Как часто в своей работе вы сталкиваетесь с ситуацией, когда ответ лежит на поверхности, прямо перед вами или вашими клиентами, но они просто не станут делать то, что вы им рекомендуете? Вы можете дать рекомендации по устранению уязвимостей, но не можете заставить им следовать. Конечно же, эта проблема возникает и в других профессиях (технических и не только), но в информационной безопасности она особенно распространена. Позвольте мне рассказать несколько историй, в которых вы непременно узнаете себя.
Вы — аналитик центра мониторинга информационной безопасности в одной Известной Корпорации. Ваша работа — запускать сканирование на уязвимости, убеждаться в том, что уязвимости с высоким риском устраняются во всей организации, и особенно в системах с выходом в интернет. Ваши сканеры находят в популярной платформе для веб-приложений критическую уязвимость, в результате которой злоумышленник может получить доступ к ящику. Например, при удаленном выполнении кода. Или если для данной уязвимости существует эксплойт. Вы рассказываете о своих выводах, планируете установку патча, пытаетесь выступить с инициативой на встрече по контролю изменений… и ничего не добиваетесь.
Ваше предложение отклонено. Модернизация платформы требует перестройки приложения, тестирования, кучи работы, так что нет, спасибо. Мы решим это позже. У нас есть что-нибудь, что может помочь нам засечь такую атаку? Нет, у вас нет доступа к каким-либо средствам противодействия, позволяющим понять, существуют ли сигнатуры для блокировки или хотя бы ОБНАРУЖЕНИЯ этой атаки. Также нет возможности установить на затронутые серверы какие-либо средства безопасности на основе хостовой системы обнаружения. Вы уверены, что, если уведомить об этом руководителя, найдется кто-нибудь, кто сможет это сделать. Это будет настоящий скандал, если один из ваших ящиков будет взломан и уязвимость окажется первоначальным доступом, обнаруженным спустя несколько месяцев. Поэтому вы сохраняете сообщения и письма, в которых упоминали об уязвимости, чтобы позже использовать их как ПВЗ-материалы (прикрывающие вашу задницу). Хорошо, что вы это сделали, потому что Известную Корпорацию взламывают довольно легко, а уязвимость, из-за которой вы подняли весь шум, действительно оказывается первоначальным доступом. К тому же, когда СЕО песочат за то, что он это допустил, тот перекладывает всю ответственность за инцидент на сотрудников информационной безопасности.
Вы пентестер в компании, оказывающей услуги по оценке уровня безопасности и тестированию на проникновения. Вы уже неделю работаете с крупным клиентом. Вы были готовы впахивать. Ох, как вы были готовы впахивать. В конце задания ваш отчет по толщине может сравниться с большим романом. Руководитель отдела информационной безопасности и менеджеры по управлению рисками просят вас поторопиться с подготовкой отчета. Обычно люди торопятся не для того, чтобы услышать плохие новости от пентестера. Поэтому, положившись на свою удачу, вы спрашиваете: «Что за спешка?». Возможно, они готовятся к грядущему аудиту и должны убедиться, что соблюдают все предписанные правила защиты данных. Возможно, они хотят сократить часть персонала или бюджет на безопасность в конце финансового квартала. Любой из вариантов был бы приемлемым. Вместо этого вы получаете ответ: «Нам нужен отчет, чтобы подписаться под ним и принять все риски». Это означает, что вы только что потратили время на профессиональный отчет (по сертификату OSCP, золотому стандарту пентестинга, который, заметьте, очень тяжело пройти) просто так. Никто не собирается его читать, никто ни о чем из него не узнает, а вы, вернувшись через некоторое время, найдёте всё те же недостатки.
Из всех доступных вариантов вы выбрали «Ничего не делать». «Ничего страшного», — сказали они. Всё работает нормально, поэтому мы не собираемся раскачивать лодку. Сдай отчет, получи свои деньги и иди дальше. В, мягко скажем, немного деморализованном состоянии, вы делаете то, что вам сказали. Ваше соглашение о неразглашении запрещает называть и порицать компанию, которая с таким безразличием относится к значительным рискам.
Вскоре компания получает письмо, в котором написано, что хакеры завладели персональными данными и собираются слить их, если не получат выкуп в виде возмутительной суммы денег. В качестве доказательства они прикладывают скриншоты с информацией из нескольких больших баз данных. Ваше расследование показывает, что инцидент действительно произошел, но вы пока еще не понимаете, как именно им это удалось.
Компании всё равно. «Откупитесь. Никто не должен об этом узнать. Если кто-то спросит, скажите, что это результат вашего bug bounty». Вы понимаете, что это не этично, но не собираетесь лезть из кожи вон, чтобы потерять работу из-за их ошибок. В конце концов, если Сертификация CISSP вас чему-то и научила, так это тому, что ответственность за неверные решения лежит на менеджменте.
Немного похоже на Shadowrun, не так ли? Такие ситуации (и множество других) приводят к тому, что специалисты по инфобезопасности чувствуют себя угнетенными и подавленными. Что происходит, когда человек чувствует, что его работа ничего не значит? Когда ему приходится сталкиваться ежедневно с одной и той же ерундой? Неделя за неделей, месяц за месяцем? Он впадает в апатию. Дело, которое когда-то было его страстью, которому он отдавался душой и телом, превращается в халтуру с 9 до 18, которая нужна лишь для оплаты счетов.
Вы больше не чувствуете того драйва и увлеченности своим делом. Вам больше не интересно узнавать о новых технологиях, техниках, методах, прокачивать новые навыки, к чему эти хлопоты? Ни одна корпорация не хочет заморачиваться с улучшением своей защиты, так зачем вам заморачиваться с обучением? Вы больше не хотите посещать конференции, потому что они кажутся вам эхо-камерой с постоянными разговорами об улучшениях и о том, как легко можно было предотвратить все эти несанкционированные доступы, когда мы, черт побери, уже обо всем этом знали.
Это называют выгоранием. Итак, отныне вам всё равно. Вы больше не выкладываетесь на 100%. Вы серьезно сомневаетесь в ценности методов информационной безопасности. В конце концов, мы десятилетиями бездумно повторяем 20 элементов управления безопасностью. Мы не можем даже добиться управления патчами и ресурсами — фундаментальными и самыми важными для безопасности вещами. Что на самом деле находится в вашей инфраструктуре и насколько регулярно это обновляется?
OWASP топ-10 существует, по крайней мере, с 2010, и мы по-прежнему ВСЮДУ видим SQLI-уязвимости (внедрение SQL-кода) и уязвимости Command Injection, особенно в интернете вещей и SOHO-роутерах — наиболее широко распространенных, уязвимых устройствах, которые вряд ли будут пропатчены хотя бы раз после установки.
О, и пока мы говорим о такой катастрофе, как интернет вещей, с которой еще и безумно сложно работать, не стоит забывать о том, как ботнет MIRAI положил DNS-серверы Dyn, тем самым убив половину интернета на целый день.
Есть наставления и руководства. Вода чистая и освежающая. Но, тем не менее, лошади под вашей опекой и надзором просто отказываются пить. Вы не можете просто застрелить их и отправить на скотобойню, так что всё, что вы можете — ждать и наблюдать за происходящим. Вам интересно, как вы вообще оказались в этой ситуации, и задумываетесь о смене рода занятий. Но потом понимаете, что в большинстве профессий можете столкнуться с вариантами таких же ситуаций.
Особенно в сфере IT:
- Сисадмины/администраторы сетей и прочие часто сталкиваются с недостатком инвестиций в резервное копирование или инфраструктуру, но пока системы работают и приносят прибыль, всем наплевать. Кроме того, несмотря на то, что инфраструктуры приносят прибыль, IT по-прежнему рассматривают как «статью затрат». Менеджменту наплевать. Сейчас всё работает, а с проблемами мы разберемся позже.
- Программистам приходится внедрять уродливые и дерьмовые хаки, потому что не было выделено достаточно времени, чтобы выпустить продукт, в котором разработчики были хотя бы относительно уверены с точки зрения тестирования и QA. Менеджменту всё равно, значение имеют только сроки выполнения проекта и выпуск любого дерьма, за которое будут платить покупатели.
Эта вечная близорукость и гонка на дно порождают апатию и нигилизм, способствующие выгоранию. Поверьте, я прочувствовал это на собственном опыте. Когда вы в следующий раз столкнетесь с апатичным профессионалом-нигилистом с пораженческими настроениями, подумайте, что привело его к этому.
Вы спросите, почему я всё еще здесь, если я выгорел? Мне удалось пережить это. Я понял — независимо от происходящего, я всё еще остаюсь хорошо обученным и способным специалистом. Решения, которые принимают другие люди в ответ на хорошо выполненную мной работу — не моя вина. Меня всё еще раздражает, что люди могут быть такими преступно недальновидными (и эта недальновидность влияет на мою жизнь), но я учусь с этим жить.
Я также начал понимать, что у меня есть многое другое помимо моей профессии. У меня есть семья. Домашние животные. Хобби. Дела. Места, которые хотелось бы посетить. Нужно использовать время, которое мне осталось, чтобы сделать это. Я больше не живу, чтобы работать, я работаю, чтобы жить.
И хотя у меня есть разумная необходимость в том, чтобы быть в курсе последних событий в технологиях и безопасности, но, если я не хочу идти на конференцию или шерстить соцсети, а хочу сходить в кино или уехать в небольшое путешествие с женой, я могу это сделать, и я должен это сделать.
Никто не запомнит вас и не поблагодарит за обнаружение угрозы, сообщение о ней или патчинг. Когда вас не станет, никто не вспомнит, какими крутыми были ваши инструменты, каким представителем профессиональной элиты вы были,. Вас и ваши подвиги будут помнить только ваши друзья и семья. Вам нужно определить для себя самое важное и решить, чему действительно стоит посвящать свое время.
Я посвятил время себе и своей семье, и в итоге вынес из периода выгорания свой смысл жизни. Со временем мой энтузиазм в отношении информационной безопасности вернулся, но с оттенком понимания, насколько всё это нелепо. Некоторым людям это не нравится. Но это не значит, что и вам тоже должно. Это просто мой способ справляться со стрессом, так что можете меня не слушать.
Комментарии (19)
YasonD
12.03.2018 16:18Особенно в сфере IT:
Сисадмины/администраторы сетей и прочие часто сталкиваются с недостатком инвестиций в резервное копирование или инфраструктуру, но пока системы работают и приносят прибыль, всем наплевать. Кроме того, несмотря на то, что инфраструктуры приносят прибыль, IT по-прежнему рассматривают как «статью затрат». Менеджменту наплевать. Сейчас всё работает, а с проблемами мы разберемся позже.
Программистам приходится внедрять уродливые и дерьмовые хаки, потому что не было выделено достаточно времени, чтобы выпустить продукт, в котором разработчики были хотя бы относительно уверены с точки зрения тестирования и QA. Менеджменту всё равно, значение имеют только сроки выполнения проекта и выпуск любого дерьма, за которое будут платить покупатели.
Почему только менеджменту все равно? Манагеры такие недальновидные, а ай-ти специалистам лишь не хватает времени, инвестиций, ресурсов. И админам и инженерам и программистам тоже плевать. Не плевать, когда есть волшебные педели, и по карману тоже, и тех и других как за сами системы, так за и организацию работ (Где-то в сказочной стране).
VulvarisMagistralis
13.03.2018 08:18-1Манагеры такие недальновидные, а ай-ти специалистам лишь не хватает времени, инвестиций, ресурсов. И админам и инженерам и программистам тоже плевать.
Пока гром не грянет, мужик не перекреститься.
До того как грянет болезнь серьезная — люди, как правило, махают рукой на свое здоровье, «завтра-завтра».
Это особенность нашего мышления — то, что вне непосредственной нашей чувственной сферы нами не воспринимается живо.
Менеджеры не недальновидные. Просто для них это вообще не о чем. Раздражающие сигналы, обратную связь менеджер может получить только от инженера, а не непосрественно из командной строки, как это могут сделать инженеры.
И если менеджер не принимает решений о принятии мер — то в этом определенно есть большая вина инженера.
spkody
12.03.2018 16:18Главная задача безопасников — защищать самих себя, чтобы потом, в день Д и час Ч, иметь возможность принимать решение влияющее на менеджмент или, проще говоря, принимать решения менеджмент уровня.
Второстепенные директивы: поддерживать свой скилл, создавать иллюзию защищенности компании, рисовать отчёты, пиариться на конференциях, получать зарплату.
nikolayv81
13.03.2018 09:05И как один из способов поведения — мешать работать другим топя их бюрократией при любых согласлваниях, причём часто кроме бумажек ни безопасности ни фактической ответственности "не наличиствует". Т.к. бумажки идеально выполняют только две роли — повышение уровня "безопасников" и прикрытие с тыла.
Igggi
12.03.2018 16:18Все так. Как уже заметили не только в безопасности но и в других технических сферах.
Тут хотелось видеть расчет вероятности наступления события и стоимости его для компании. Менеджеры, принимающие решения принимают решения в денежном эквиваленте. Т.е. для обоснования инвестиций, в первом приближении, умножить вероятность наступления события на стоимость события для компании. Сравниваем эту стоимость со стоимостью превентивных мер. Получаем ответ о обоснованности превентивных мер.
teecat
12.03.2018 16:29Все конечно плохо и печально, но давайте посмотрим на фразу
Ваша работа — запускать сканирование на уязвимости, убеждаться в том, что уязвимости с высоким риском устраняются во всей организации, и особенно в системах с выходом в интернет.… Вы рассказываете о своих выводах, планируете установку патча, пытаетесь выступить с инициативой на встрече по контролю изменений… и ничего не добиваетесь.
То есть некая компания внедрила подразделение контроля за уязвимостями, при этом в компании нет налаженных процедур, связанных с работой данного подразделения — работник сам должен в каждом конкретном случае проявить инициативу, добиться, чтобы кто-то взял ответственность за обновления.
Соответственно вопросы — кто создал такое подразделение, не прописав его функционал, обязанности сотрудников, процедуры взаимодействия и тд и тп? Почему в руководстве нет человека, в чьих обязанностях есть взаимодействие с ИБ? А не было ли создание подразделения писком моды и не более?
nevelaev
12.03.2018 16:32Стандартный дурдом. Это везде так, работаю в сфере пожарной и охранной безопасности, обслуживаю кое-что, нигде не будут ценить, пока не грянет. Менеджеры они на то и менеджеры, меряют лишь бабло. Но, справедливости ради, скажу. что у компаний есть определенный бюджет, и его стараются тратить на разное. Вообще, спасибо, что хотя бы как есть тратят — надо сказать страховым компаниям, которые оценивают риски и проводят аудиты по безопасности. Автор правильно оценил всё — надо жить и учиться на это класть болт. Но, как и все остальное — в меру. В жизни людей все, как по законам физики. Не надо закидывать все дрова в печку, прогорят и ничего не останется, а основное вылетит в трубу, можно класть по чуть чуть, чтобы получать достаточно энергии для поддержания тепла и работы печи. Автор теперь не тратит сверхсилы, но научился тратить строго отведенное количество жизненных сил на поддержание необходимого уровня, чтобы в случае чего, если его знания понадобятся для решения срочной проблемы в наше время, быстро включиться в работу. Все правильно. Правда, это не просто нигилизм, это разумный нигилизм) Говоря проще, клади болт, но глазком поглядывай.
KonBez
13.03.2018 00:09То самое чувство беспомощности, когда нужна новая железка, инструмент или модернизация, а ты не можешь обосновать, потому что руководство меряет всё на деньги, а не на эффективность и экономический эффект.
VulvarisMagistralis
13.03.2018 08:26То самое чувство беспомощности, когда нужна новая железка, инструмент или модернизация, а ты не можешь обосновать, потому что руководство меряет всё на деньги, а не на эффективность и экономический эффект.
Они и не должны понимать технических аспектов.
Это твоя работа — разжевать им как технические аспекты превращаются в реальную эффективность. Строго говоря, тебя за тем и наняли, что они не понимают, а ты в технике понимаешь.
Изначально менеджер не заинтересован только экономить. Он заинтересован что предприятие работало эффективнее. При разумной экономии.
Но выбор степени этой разумности зависит от того, как ты сможешь презентовать и обосновать техническое решение и от неизвестных тебе финансовых приоритетов компании (может компания сейчас проводит дико дорогую рекламную кампанию и ни на что денег нет, а ты об этом не знаешь; может быть рассматривается перспектива закрытия филиала, а ты для этого филиала предлагаешь обновить парк компьютеров)KonBez
13.03.2018 10:47Согласен с этими прописными истинами, однако особенно в случае бюджетных учреждений это работает мало — всеобщее стремление сэкономить ведёт к нахождению средств не в тот момент когда всё работает, а технарь просит модернизацию, а в тот момент когда всё встаёт и на столе руководства лежат несколько служебок и докладных, о том что скоро наступит критический момент.
VulvarisMagistralis
13.03.2018 14:07С бюджетными вообще интересно, там есть такие периоды, когда нужно срочно потратить деньги, а то в следующем году урежут бюджет. И быстро быстро покупают всяческую ненужную хрень.
mayorovp
13.03.2018 14:59Там еще интереснее. Есть такие периоды, когда многие не успели потратить средства, и теперь вышестоящая организация срочно ищет кто их может потратить иначе бюджет урежут уже ей. Мой дедушка, будучи директором ПТУ, именно вот так много чего в этом ПТУ отремонтировал…
sotnikdv
13.03.2018 02:01Типичная ситуация, однажды в <финансовая организация в долине> отрепортил, что внутренняя девелоперская сетка заражена, в логах внутренних записи от эксплойтов, их же IDS верещит не останавливаясь и вообще у меня есть сомнения в целостности кода, т.к. начинают творится явные чудеса при работе с гитом. Ответ был в духе «по… й, пляшем» — «это наверное наши безопасники что-то тестируют». Ну, пожелал им большой и толстой удачи. Насколько я знаю, после моего ухода это подразделение скончалось по другим причинам, но тоже связанным с пофигизмом.
Окончание статьи перекликается с выводом одного моего знакомого, отличного специалиста. «Работа это не мотиватор, а демотиватор, к ней нужно так относиться. А в приоритете жизнь и семья». Все еще не хочется верить, но иногда задумываешься. Многие знания — многая печаль ;)
Другое дело, что высокомотивированные и умные двигаются в карьере и жизни, так что стратегически это ИМХО неверный подход.
P.S. А, да, у меня таки бэкграунд был сисадмина и безопасника, там 100% червяк, все началось с того, что аппсервер начал сбрасывать в логи странные урлы источником которых была свежая виртуалка с виндой.VulvarisMagistralis
13.03.2018 08:32Насколько я знаю, после моего ухода это подразделение скончалось по другим причинам
Все таки по другим.
Значит, они были правы со своим «пляшем».
У рядовых сотрудников частенько проявляется болезнь, при которой они считают себя умнее менеджеров. А это такие же люди как и они сами — не глупее, не умнее.
Но при этом рядовые технические сотрудники близки к технической проблеме и воспринимают ее как главную причину, не имея доступа к общекорпоративным решениям.
Загадка вашего случая может отгадываться просто: подразделение не приносило прибыли еще до «вируса», руководство компании на момент «вируса» уже раздумывало об его закрытии, потому и минимизировало дополнительные не нужные затраты для того, по ком уже заказан некролог.
Abyrvalgov
13.03.2018 13:45>Ваши сканеры находят в популярной платформе для веб-приложений критическую уязвимость, в результате которой злоумышленник может получить доступ к ящику. Например, при удаленном выполнении кода. Или если для данной уязвимости существует эксплойт.
Хорошая статья, но дальше перевод не читал. Ребята, ну вы чего? Настоящий Смиркин в отпуске?
Rohan66
Печально… Но так и есть…
И так сойдёт! ©