«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

У меня недавно вышел занятный спор о роли CISO в компании. Неважно, что это: CFO, CTO, CISO — все будет сводиться к тому что С-level — это люди, ориентированные на бизнес, обладающие какой-то дополнительной специализацией. Это касается и CISO — человека, который думает об интересах бизнеса, но при этом знает о безопасности. Если на C-level коммуникация хорошая, тогда с ИБ все будет в порядке.

Вот в этом фишка QIWI — в правильной коммуникации. Фактически, у нас CISO имеет возможность донести свою позицию на любом уровне включая совет директоров. Смешайте это с прекрасным взаимопониманием всех менеджеров департаментов и получится то самое чудо.

— Это не так сложно, если ты можешь доказать, что твое мнение основывается не на пустых рассуждениях, а на реально существующих угрозах. Достаточно продемонстрировать это один раз, и дальше все твои тезисы и гипотезы будут восприниматься без сопротивления.

Как мы завоевывали доверие наших программистов и администраторов? Именно таким способом. Мы просто показали, какие есть уязвимости и как их можно эксплуатировать. В итоге ребята поняли, что нужно сделать, чтобы это было невозможно. Тут работает только личный пример: если ты можешь чему-то полезному научить, тебя будут слушать. Здесь начинается очень тонкий момент: если админ будет хоть чуть-чуть сомневаться в твоей технической компетенции, он тебе больше не поверит никогда, и от этого страдает большинство безопасников. Они берут какой-то compliance или best practices и говорят, нужно делать именно так. Администратор спрашивает: «Зачем?».

— Это написано в best practices.

— А что делает этот параметр?

— Да черт его знает.

После этого безопасник отправляется в долгое пешее эротическое путешествие, а потом с ним больше никто разговаривать не будет — не интересно.

Поэтому мы их смогли, во-первых, заинтересовать: пришли к ним с экспертизой, которой у них не было, и подсказали, как сделать лучше и секьюрней. Все — с админами мы подружились.

Дальше, 300 человек разработчиков. Тут пришлось устроить целое шоу. Мы собрали очень классных спикеров, которых все в России уважают. Например, Иван Новиков сейчас руководит компанией Wallarm, и он же — лучший веб-хакер. Он две недели по шесть часов очень весело и интересно рассказывал, как вообще устроена безопасность всего веба. Я считаю, это было лучшее, что мы сделали — мы рассказали не то, как бороться с частностями, мы дали бэкграунд, который разработчики поняли, осознали и передают дальше.

Окончательно путь к сердцу разработчиков и админов мы проложили, после того как устроили для них внутрикорпоративное соревнование CTF, за что передаю отдельный «привет» и «спасибо» Купризелю из Яндекса. Ребята очень азартно к этому подошли, почти вся разработка на неделю выпала из нормальной работы и ушла решать CTF. Победители получили возможность дальше учиться на безопасников и развить еще больше экспертизы.

— Это жутчайшие стереотипы. Хороший безопасник может получиться всего двумя путями: это либо админ, который админил-админил, разобрался в безопасности и стал крутым инфраструктурным безопасником, либо программист, который кодил-кодил, разобрал ся в безопасности и стал крутым application security экспертом. А если он еще и научился выражать свои мысли простым языком и рассуждать с позиции бизнеса — это CISO. А все остальное — это не безопасники, это фейк.

Насчет compliance. Любой человек из моей команды знает каждый наш compliance — в чем их смысл, и зачем он был создан. Здесь мы опять приходим к тому, что многие компании, которые начинают заниматься compliance, не понимают ради чего кто-то другой эти стандарты и требования делал. Я совсем недавно был на конференции, где завели тему про нехватку компетенций по PCI DSS. Там приводили всякие разные варианты. Что же такое compliance? Стандарт для безопасности банков, для процессинга, он сделает ваш процессинг безопасней? Нет. Эти требования нужны только для того, чтобы защитить личную собственность в виде карточных данных таких ребят как Visa, Mastercard и American Express. Вот здесь начинается дичайшее слабоумие, которым обычно занимаются безопасники. Они берут требования стандарта, думают: «Отлично, сейчас я это применю», делают это, абсолютно не понимая, на что на самом деле направлен те или иные требования, и в итоге он для них становиться болью.

Мы в этом плане пошли своим путем: приняли две нормы best practice внутри компании. Первое — это PCI DSS. Данный стандарт нам показался очень толковым, только мы изменили определение «карточные данные» на «чувствительная информация». Второе — это ISO 27002.

В качестве best practice для настройки софта и операционных систем мы взяли бенчмарки CIS (Center for internet security). Вот и все… Получается, что наш внутренний принятый набор требований и практик заведомо перекрывает требования большинства внешних регуляторов.

— 12–14 человек, включая стажеров. Команда примерно такая, потребности увеличивать ее нет. Безопасность по численности составляет примерно 1% от общего количества сотрудников.

Почти все, что можно, мы стараемся автоматизировать — мы хотим, чтобы «рукопашного» труда было как можно меньше.

Вот еще одна нестандартная фишка QIWI. Внутри моей дирекции есть внутренняя разработка. Это 8 разработчиков, которые автоматизируют все, что мы дадим и только в наших целях.

— Давайте начнем с того, зачем пентест вообще нужен? Я придерживаюсь позиции, что пентест — это не более чем проверка контролей информационной безопасности. Проверка контролей! Если их нет, проверять нечего.

Пентест — это не про взломайте меня, он позволяет проверить, как ты выполнил свою работу. Если она выполнена хорошо, пентест удачно пройти не может. Правда, компания может вырасти до таких размеров, что контролировать все станет нерентабельно. Не зря все самые крупные компании перешли на Bug Bounty — это самый дешевый в мире способ поиска уязвимостей. Дешевле трудно придумать. За последние 3–4 года я потратил около 60 000 долларов.

— Около 500 подтвержденных тикетов. Почему Яндекс этим занимается и Mail.Ru, потому что периметр стал уже таким гигантским, что успеть везде просто невозможно. Если у компании есть Bug Bounty и она исправно платит заинтересованным людям, какой смысл напускать на нее классических пентестеров? Результаты будут нулевыми — там уже все вылизано нашими коллегами из Индии.

— Здесь мы устраиваем небольшое развлечение нашим партнерам. Возьмем это интервью, я бы его давал не только вашему изданию, мы бы еще пригласили журналиста, скажем, из «Коммерсанта». Что бы произошло? Внутреннее соревнование. Мы приглашаем двух разных вендоров, объединяем их и назначаем доверенного человека от нас, который их возглавляет. Они начинают соревноваться друг перед другом, очень стараются, а нам замечательно. Мы получаем прекрасное качество работы. Но дальше мы продолжаем работать с командами: миксуем их — кто-то уходит, кого-то мы приглашаем.

— У нас есть комплекс дополнительных технических методов, которые очень неплохо противостоят фишингу. У нас есть qiwi.com и ряд внутренних ресурсов — «что-то и qiwi.com». Какой хакер может сделать фишинговый домен? Например, q1wi, q1w1. Мы написали алгоритм, который определяет все типовые мутации имен наших доменов. Все это блокируется на уровне DNS, а нам сразу прилетает отчет о том, что потенциальная фишинговая атака была предотвращена. То же самое касается всех динамических доменов, выглядящих как набор случайных символов, которые так любят использовать авторы вирусов. На том же DNS у нас стоит анализатор запросов, который уже сделан нами. Если энтропия имени домена выскакивает за определенный порог, это блокируется, от греха. В качестве корпуса мы используем словарь английского языка плюс самые часто употребляемые в Интернете выражения, относительно него мы смотрим энтропию.

В совокупности у нас получается: обучение сотрудников — это раз, технические меры — это два, все внутренние пользователи идут в мир, через IPS и NGFW, чтобы не использовать лишние протоколы — это три, сверху надеваем на все это DLP — это четыре. И политики еще закрутить групповые — и можно жить.

— Социальную инженерию можно тестировать самому — это так просто, что за это платить деньги нет смысла. Все классические приемы имитировать легко, и у нас есть внутренний инструментарий для такого тестирования. Мы ориентируемся на то, что пороговое значение по «успешности атаки» должно держаться на уровне 6–8%.

Вернемся к пентесту. Прежде всего мы проверяем контроль, связанный с мониторингом. Мы приняли, что у нас есть барьер 85%. Это значит, что такой объем атак, совершаемых на нас, мы должны видеть. Если мы не отреагировали — это не страшно, страшно, если мы атаки не видели. Не быть слепыми — самое главное.

— Абсолютно бредовый сценарий. Где вы найдете хакера, который бы рискнул сюда сунуться (смеется). И главное — зачем? Хакер — это прикольный парень, который умеет думать головой, разбираться в технологиях, находить чужие ошибки и использовать их. Этого достаточно, чтобы не ходить к тебе в офис и не рисковать, что тебя схватят и посадят в тюрьму.

Конечно, мы подвержены malware. Но даже если она попадет в сеть, что дальше? Он начнет куда-то «стучаться». А дальше начинается очень интересная штука: на нашем серверной части стоит двухфакторная аутентификация. Поэтому ни на одну линуксовую машину без второго фактора попасть нельзя, так же как и в базу данных.

— Зачем? У него доступов нет никуда. Традиционный метод атаки на менеджмент, особенно на топ-менеджмент — это бестолковая вещь. Им даже права администратора на собственный ноутбук не дают.

— Были. У нас, помимо ИБ, есть служба внутренней безопасности. Задача ребят из ИБ обеспечить их инструментарием. В нашей компании не секрет, что эти службы существуют и делают свою работу.

Векторов атак на крупную компанию всегда вагон и маленькая тележка. Их все даже перечислить невозможно, тем более закрыть, но есть очевидные пути, и там стратегически расставлены грабли. От неочевидных защититься невозможно.

Я считаю, что не нужно быть самым секьюрным на рынке, важно быть выше среднего, потому что тогда с большой долей вероятности пойдут ломать не тебя.

— Да, у нас ханипоты развернуты внутри. Тут тоже нужно начинать с того, против кого это направлено. Как только случается прорыв периметра и кто-то попадает внутрь, ему нужно проводить рекогносцировку внутри. Он найдет восемь баз данных, и три из них — ханипоты. Сам факт, что он ее нашел, уже интересен для нас. Все наши сотрудники знают, что ханипоты есть, и, если этот сервис не числится в сервисной базе данных, трогать его не нужно, хотя даже админы не в курсе, где расположены ханипоты, так как мы меняем их расположение по мере необходимости. Рядом с каждым критическим сервисом у нас висит брат-дублер — ханипотик.

— SOC — это набор стандартных бизнес-процессов и процедур, направленных на круглосуточный мониторинг угроз безопасности и правильную реакцию. У нас есть мониторинг, есть наборы бизнес-процессов, связанных с процессами SOC. У нас есть SIEM, который все это анализирует, есть поддержка, которая туда смотрит, есть процессы эскалации. Полноценного SOC с дежурными сменами, с первой, второй, третьей линиями… ни у кого нет, но почему-то все называют свои отделы мониторинга инцидентов — SOC.

Если честно, чат в Telegram и бдительные админы — это гораздо серьезней любого SIEM.

— Это достаточно сложный вопрос. У нас есть набор метрик (порядка полутора десятка), по которым мы проводим оценку, сделал ли отдел информационной безопасности все возможное, чтобы помочь бизнесу быть стабильным. Хочу подчеркнуть, не защитить от всего. У всего нашего юнита, у всех моих ребят одна миссия, обеспечить стабильность бизнеса с учетом cost efficiency. К примеру, у безопасников есть метрика, которая учитывает их PR-активность, как это не парадоксально. Часть их KPI — это PR QIWI как компании, которая занимается информационной безопасностью.

Зачем все это нужно? Потому что мы помним, где-то есть классный парень — наш клиент, и он должен быть уверен, что его деньги и информация в безопасности. Он должен чувствовать себя спокойно — все ради него.

— Это зацепка за мое прошлое, до QIWI. Vulners — это крупнейшая в мире база эксплойтов и уязвимостей. Сейчас это один из самых популярных ресурс по ИБ, причем, что примечательно, основная наша аудитория отнюдь не российская. В нем есть бесплатные компоненты, но есть и платные клиенты, и очень крупные. На полную катушку его используют Adobe, Wargaming и десяток компаний помельче.

— Мы очень много консультируем специалистов, но не превращаем это в коммерческую статью. Все ребята к нам приходят по знакомству. Вчера был кто-то из Тинькова… Мы всегда рады, готовы рассказать, что знаем, — нам не жалко делиться.

— Мы уже года три как «не лежали» под DDoS. Способ только один —распределенный DDoS-провайдер. Как это работает? У нас есть облачный сервис защиты от DDoS (Qrator), можно его представить как «черный ящик», выполняющий для нас роль шлюза в мир.

Дальше это попадает на мои Nginx – балансировщики. Они в свою очередь в виде логов складываются все в ElasticSearch. Сбоку стоит инструмент, который смотрит в Elastic: «Нет ли какой-нибудь гадости?» Если есть попытки брутфорса, перебора параметров, странной активности на L7 которая грузит наши приложения, она отправляет ее к чертовой матери, в бан, через API Qrator. Не на себе банит, а на облачном сервисе.

Эти же логи с Nginx я отдаю Qrator, почистив их от чувствительных данных. У них есть своя логика, по которой они работают, а у меня — своя в L7. Вся эта картина мира укладывается в набор метрик нормального поведения QIWI в зависимости от времени суток и от загруженности. Этот мониторинг показывает, насколько QIWI себя сейчас хорошо чувствует. И они, и мы туда смотрим, и как только видим какое-то отклонение от стандартного поведения, начинаем реагировать.

Другого метода нет — если ты L7 не анализируешь, тебя завалят по L7. Это очевидно. Я не знаю, возможно, мы под DDoS прямо сейчас, мы репорты уже давно в корзину перевели.

— Нет, пробои были. То есть до пробоя нас доводили — мы видели по графикам, что у нас пошла деградация, а вот падения не было. Мы начинаем реагировать руками, когда ботнет превышает 100–150 тысяч машин. Вот тут нам становится интересно. Но и тут — есть выход, за нашими балансировщиками стоит маштабирующаяся Nginx–ом ферма приложений. Если ситуация становится очень серьезной, она нас вытаскивает. Конечно, это шапкозакидательство, но тем не менее, до падения систему не доводят.

— Я придерживаюсь мнения, которое недавно высказал на Russian Open Source Summit: «Если ваш безопасник не умеет программировать, увольте его и наймите нормального безопасника».

У нас очень сильный костяк, который способен выращивать новых ребят и очень быстро доводить их до состояния «специалист по безопасности» — самостоятельной боевой единицы. Если в QIWI есть серьезно настроенный админ или программист, который хочет развиваться в сфере безопасности — мы всегда рады помочь и устроить внутреннюю стажировку.

У нас в QIWI есть известная шутка про две зоны унижения: пойти постажироваться на Linux — там у нас сидят лютые гуру — или прийти на стажировку к нам, в безопасность. Для всех внутренних кандидатов мы проводим собеседование, как и для внешних. Частенько человеку за 20 минут доказывают, багаж его знаний, ну как бы сказать… не велик. У нас вопросы общетехнические — мы пытаемся выяснить, есть ли у кандидата фундамент. Если есть на чем строить, мы дальше разберемся. Безопасность — это наука про детали.