Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:
- чтобы получить объективную оценку состояния ИБ (для себя);
- потому что аудит является обязательным (для регуляторов);
- потому что аудит требуют партнеры или головная организация (для других).
Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ. Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.
- Аудит «навязан» вышестоящей организацией.
- Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
- ИБ-служба боится получить «по шапке» от руководства.
Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.
P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.
Готовимся к аудиторской проверке
Подготавливаем персонал – обучаем, что нужно говорить и что нельзя показывать
Залог успешной диверсионной подготовки персонала (особенно в условиях грядущих военных действий) — тщательное предварительное обучение. Как правило, оно направлено на:
- повышение осведомленности о текущем вооружении аудитора, его приемах, техниках и болевых точках;
- выработку и совершенствование командных навыков по запутыванию, сокрытию следов, а также оттачивание методики «стрелочник».
Очевидно, что чем меньше информации узнает аудитор, тем меньше несоответствий обнаружит, а где мало несоответствий, там мало проблем (и работы). Значит, задача-максимум аудируемой компании — скрыть возможные проблемные области (информационные системы, отдельные элементы ИТ-инфраструктуры и пр.), обучив специалистов тому, что можно показывать, а что не нужно.
Зачастую о проведении таких обучений нам приходится догадываться по косвенным признакам, однако бывают и досадные «проколы». Например, во время аудита на соответствие PCI DSS в одном из банков нам распечатали схему сети на черновике, и на его обратной стороне оказалось… письмо от службы ИБ с детальной памяткой по системам, которые можно, конечно, показать, но не в этот раз. Неоднократно подводила опытных бойцов также кнопка «Переслать» в почтовом клиенте, когда вместе со свидетельствами аудита (скриншотами/выгрузками) к нам улетали и внутренние договоренности.
Работает ли этот прием? Плохо: используем различные комплексные проверки — и стройные договоренности начинают «сыпаться».
Игнорируем предварительный запрос информации
Любой аудит начинается с предварительного запроса информации: аудиторы пытаются заранее узнать, как живет компания и как выстроены ее процессы, чтобы оптимально спланировать встречи и их продолжительность. Поэтому важная задача этого этапа — разрушить розовые мечты аудиторов о легком аудите. Сценарий идеального первого свидания с компанией должен быть неожиданным. Используем следующие проверенные временем аргументы:
- «Прелюдия не для нас, бумажки можно почитать потом».
- «У нас все равно ничего нет, правда-правда (не правда)».
- «У нас все на портале, мы сейчас вам быстро (за две недели) учетку сделаем, приезжайте и читайте».
Примеров можно привести много, итог один: со многим приходится разбираться на месте, открывая для себя новое уже в ходе аудита. Успешна ли такая тактика? Нет, просто больше времени приходится тратить «внеурочно».
Только разовые пропуска, только хардкор!
Хорошее утро начинается с
Иногда встречаются совсем запрещенные приемы. Например, условием допуска на площадки одного из заказчиков стала разработка регламента его предоставления. Доступ кому был нужен? Нам! Вот мы и писали, как будем его получать и с кем согласовывать.
Приводят ли к чему-то такие «сложности»? Очевидно, что нет: мы любим пораньше вставать (если все-таки ложимся спать).
Усложняем управление проектом
Вам надо — вы и организовывайте. Хард-версия для опытных
Еще одна важная военная хитрость: переложить ответственность за организацию всех встреч на бывалые плечи менеджера проекта.
«Вот портал, вот телефон — организовывайте встречи сами. Отчет можно отправить вот по этому адресу, только сначала со всеми согласуйте по почте».Результат, как правило, не заставляет себя долго ждать: из-за отсутствия куратора у специалистов никогда не будет времени на встречи.
Хорошая попытка затягивания сроков, но с нашими менеджерами и выстроенной системой эскалаций работает плохо :-).
Мы попробовали, но у нас не получилось. Лайт-версия для новичков
Больше дегтя — меньше меда. Делаем план-график максимально неудобным и непредсказуемым. Идеальный день аудитора на площадке должен выглядеть так: беседа на час в 9.00, потом на 30 минут в 13.00 и следующая в 18.00. Информацию о запланированных на следующий день встречах высылаем строго в 23.55. Чем больше хаоса, тем выше шанс, что аудиторы забудут о той самой распечатке на черновике письма с внутренним обучением.
Аудитор должен быть гибким, поэтому еще один лайфхак — менять местами интервью прямо в день проведения. Сам план интервью всегда преследует определенную логику, например, сначала изучается функционал системы, а потом проверяются ее компоненты (СУБД и пр.). Но это — Спарта, и логика — для слабаков, потому:
«Мы там хотели с вами в пятницу с DBA поговорить, но у нашего специалиста 15 минут свободного времени появилось, он сейчас придет».Враг будет разгромлен? Нет, такое мы встречаем часто и умеем с этим бороться.
Аудит по фотографии — самый честный аудит
Повышаем шансы на успех. Превращаем «выездной» аудит в «документарный». Запоминаем:
«Отвлекать людей от работы неправильно, у нас высококвалифицированный персонал, который сам все заполнит и приложит скриншоты. Высылайте опросники».Составить универсальный опросник на все случаи невозможно, в зависимости от ответов аудитор всегда ведет беседу по-разному. Проблема детальных опросников сводится к отсутствию в них гибкости: чем больше вопросов они содержат, тем меньше возникает желания отвечать на них подробно. Поэтому, как правило, такой аудит впоследствии выглядит следующим образом:
- Подготовка кучи опросников с памяткой по их заполнению.
- Получение огромного количества неструктурированного материала (каждый может понять вопрос по-разному).
- Созвоны со специалистами для уточнения информации.
- Выстраивание из всего материала какой-то стройной картины.
- Уход на новый круг уточнения.
Достигнута ли цель компании по снижению качества и удается ли деморализовать противника? Нет: звонить мы любим, а проверять то, что нам прислали, еще больше.
Проводим интервью
Театр начинается с вешалки — выбираем лучшие места для беседы
Если все-таки отбиться не получилось и встреч с аудиторами не избежать, вот вам ТОП лучших мест для проведения интервью. Аудиторам точно понравится — не благодарите.
- На детской площадке у грибка.
- В туалетной комнате, переоборудованной дополнительно в коммутационную.
- В машине (ночью).
- В столовой.
На самом деле странных мест, где мы проводили интервью, гораздо больше. Но вам потом придется с этим жить. Вообще так даже интереснее, так что это скорее плюс, чем минус.
А не шпион ли ты часом?
В ходе проведения аудита каждый работник компании должен быть на чеку: а вдруг это социальная инженерия, и вместо аудитора к нам пробрался шпион? Вычислить шпиона просто — заставьте его неожиданно показать в следующем порядке:
- NDA на компанию, где работает аудитор;
- личный NDA аудитора с вами;
- рабочий пропуск;
- копию трудовой книжки;
- письмо, заваренное руководителем компании;
- паспорт.
Только после этого выдавайте «военную тайну». Нет с собой копии трудовой — ну что ж, придется запланировать встречу еще раз.
Прием встречается редко, работает безотказно ровно для одной встречи, потом все документы оперативно собираются в нужном количестве экземпляров.
Берем массой, или Чем больше, тем интереснее (нет)
Как сделать деловую встречу максимально бесполезной? Рецепт прост: открываем любую статью в Интернете по эффективным совещаниям и превращаем полезное в неполезное:
Всегда определяйтесь с повесткой собрания заранее.Никогда не сообщайте коллегам о цели встречи. Скажите, что это ПРО БЕЗОПАСНОСТЬ, и ТАМ вам все расскажут НУЖНЫЕ ЛЮДИ (почувствовали мурашки?).Число участников должно быть минимальным, не более 7 человек.Снимите просторную переговорку и позовите большую часть ИТ-специалистов. Они будут друг друга дополнять, и аудиторы сэкономят кучу времени (нет).Не затягивайте совещание дольше, чем на час.Запланируйте встречу часа на четыре под конец рабочего дня, чтобы точно снять все вопросы.Убедитесь в том, что все принимают активное участие в обсуждении.Раздраженный работник — лучший собеседник. Поэтому приглашайте и HR, и DBA, и всех остальных: пусть ждут, когда до них дойдет очередь.
Практика организации таких встреч не редкость (хотя такие моменты всегда проговариваются с заказчиком), и мы по-разному выходим из ситуации, чтобы вовлечь в беседу всех специалистов и не дать им заскучать.
Работает? Плохо, но попытка хорошая.
Играем в «Данетки», или Я угадаю эту мелодию с одной ноты
Активизируем секретное оружие — запоминаем правила игры в «Данетки».
Задача работника: минимизировать психологические пытки аудиторов, заставить их грамотно формулировать вопросы, чтобы на них можно было отвечать только «Да» или «Нет».
Задача аудитора: отгадать
— Какие средства автоматизации управления заявками у вас используются?
— Да!
— Какие технологии виртуализации используются в компании?
— Все!
Проводить такие аудиты крайне сложно, информацию приходится добывать по крупинкам. Обожаю эту игру.
Добавляем цензуру
Вы думали, что цензура, это — система надзора за содержанием и распространением информации, печатной продукции, музыкальных и сценических произведений и прочего? Нет. Цензура — это вовремя выставленный за спиной аудитора ИБ-шник. В таком важном мероприятии, как аудит, нет места фантазиям и домыслам аудитора. Поэтому:
«Это не у нас неправильно, это вы неправильно поняли, и вопросы ваши неправильные».Задача цензора — помочь работнику не завалить экзамен. Помощь может заключаться в следующем:
- Отфильтровываем на свой вкус «неправильные» вопросы. Апеллируем границами аудита либо вопросами не по адресу или не по существу.
- Отвечаем за аудируемого (вдруг он забыл, о чем раньше с ним успели договориться).
- Заглядываем в записи аудитора и даем замечания.
Сюрреализм? Он самый. Однако такой опыт тоже был в нашей практике. Прямо скажем: получалось у заказчика плохо, хотя идея — огонь!
Уходим в цикл и переводим стрелки
Важно запутать врага, чтобы он не смог сделать опасное аудиторское заключение и навредить вам. Еще одно ядерное оружие, как и «Данетки». Записывайте универсальную формулу.
Работник N: «Я это не знаю, я работник N, это знает другой работник N+1».Работать в таком режиме сложно, а значит цель достигнута? Нет, бороться можно и нужно: мы предварительно прозваниваем специалистов, ведем протоколы встреч и прочее.
Работник N+1: «Я работник N+1, вас обманули, это зона ответственности работника N».
Работник ИБ: «К сожалению, у нас закончились свободные слоты у работников N и N+1, вам надо работать с той информацией, что есть».
Держи мышку, я пошел, или Хочешь лучше узнать систему — сделай это сам!
Любой аудитор — это специалист с большой буквы. Так что он должен заочно знать абсолютно все используемые вами технологии на уровне администратора, уметь за 5 минут пересобрать ядро Linux и наизусть знать ваш SAP. Поэтому лучший способ заставить его понервничать — дать ему «порулить». Пусть сам разбирается в архитектуре ваших систем, выстраиваемых годами. Можно просто рядом посидеть и помолчать.
Работает, кстати, не очень хорошо, потому что «рулить» мы зачастую умеем, но в ходе аудита оценивается в том числе и компетентность персонала. Как результат можно получить заключение о том, что специалисты не знают свои системы.
Быстро поправили — значит, не было
Знаете правило пяти секунд? Отлично, используйте его и на аудите. Отвлеките аудитора и смело вносите правки в настройки безопасности. Или вообще не отвлекайте и вносите при нем: быстро исправили — значит, не было. Можно не объяснять — не работает.
Усложняем процедуру получения свидетельств
У нас суперсекретная информация
Популярный прием, безотказный, как автомат Калашникова. Вся разработанная документация — интеллектуальная собственность. Все конфигурации сетевого оборудования — коммерческая тайна. Для изучения необходимой информации заставьте аудиторов работать на специально выделенном рабочем месте, отключите Интернет, запретите флешки. Пусть либо переписывает всё необходимое на бумагу, либо обезличивает и оставляет файл на рабочем столе, а вы уже оставите в файле нужное на свой вкус. Что до документов, то пусть аудитор читает их в распечатанном виде.
Отдельно вспоминается несколько случаев.
- Как-то нам распечатали конфигурацию сетевого оборудования на паре пачек «Снегурочки» без разрешения выноса материала с площадки.
- В другой раз от нас требовали обосновывать каждый запрашиваемый скриншот.
- На еще одном проекте передавать все свидетельства можно было только на бумаге.
Кто-то обоснованно возразит: наверное, в этих компаниях был строгий режим коммерческой тайны? Нет. Его не было вообще.
Поможет ли это как-то снизить качество работ? Спорно. У нас есть и не такой опыт: например, создание отчета через VDI заказчика с закрытым буфером, портами и сетью Интернет с получением свидетельств на диске с грифом КТ курьером. Как тебе, Дэвид Блейн?
Используем магию графического редактора
Как сказал великий Сунь-Цзы в книге «Искусство войны»:
«Война — это путь обмана. Поэтому, если ты и можешь что-нибудь, показывай противнику, будто не можешь; если ты и пользуешься чем-нибудь, показывай ему, будто ты этим не пользуешься».На войне все способы хороши, поэтому использование графического редактора увеличивает ваши шансы на победу. Все «неудобные» свидетельства у вас на руках, остается чуть навести makeup перед отправкой. У этого вектора есть небольшой шанс при удаленном запросе информации или плохой памяти аудитора. Минус: получается неловко, когда аудитор решил проверить ранее предоставленные скриншоты на площадке. Но кого это останавливало?
В нашей практике был случай, когда мы получили от заказчика случайно пересланную цепочку писем следующего содержания:
— Подправил немного скриншот, похоже на правду?Кстати, не прокатило.
— Отправляй, вдруг прокатит.
Затягиваем согласование отчета
Запятые — это важно
Финальный этап противостояния: интервью проведены, свидетельства отправлены, драфт отчета получен. Пора взяться за самое важное: запятые и точки. И не важно, что нормоконтроль документа — это завершающий этап (и это было согласовано), в отчете все должно быть прекрасно. Чем больше замечаний, тем больше впечатление, что аудит выполнен некачественно. Максимально оттягивайте замечания по существу и сроки согласования отдельных разделов отчета.
Отлично работает также включение в цепочку согласования большого количества специалистов. Наш девиз: «Аудит на полгода, согласуем за полтора!». Подольше тяните, а там уже и градус накала спадет, и часть работ станет неактуальной (появится новое, старое выведется из эксплуатации).
Работает плохо, читай выше про менеджеров.
***
Конечно, большинство наших проектов по аудиту проходит в штатном режиме, и здесь приведены наиболее яркие примеры того, как такие работы можно превратить в долгое мероприятие. Выводы каждый сделает сам: взять на вооружение и «успешно» проходить проверки, либо сделать ваш следующий совместный аудит с интегратором чуть лучше.
Улыбайтесь чаще :-)
BlackDiver
Вы ещё забыли рассказать про то, как при комплексном аудите иногда пентестеры в итоге дают вам скрины того что нужно, вместо сопротивляющихся работников заказчика.