Денис Колошко - CEO и основатель проекта по веб-безопасности Dhound.io, cертифицированный CISSP эксперт. Более 15 лет занимается разработкой ПО (банковские и страховые системы, автоматизация бизнеса), последние 8 лет в роли СТО были тесно связаны с безопасностью. В интервью он расскажет об отношении белорусского IT-сообщества к вопросам информационной защиты и даст несколько рекомендаций, которые помогут снизить риски взлома и утечки данных.
- Денис, расскажите, что такое безопасность для вас?
- Безопасность для меня - это прежде всего процесс. Процесс управления безопасностью, который начинается ещё на стадии сбора требований к системе и их верификации. Мало выстроить защиту, её необходимо ещё и постоянно поддерживать, мониторить и управлять ею. Приведу пример, есть знакомая компания, которая приобрела монитор безопасности. Когда в пайплайне оказалось слишком много инцидентов для исследования из-за того, что команда постоянно отвлекалась на “срочные” функциональные задачи, они отказались на время от монитора и начали искать человека, который постоянно будет заниматься управлением безопасностью системы и будет нести персональную ответственность.
Более того это динамичный процесс, требующий постоянного внимания и поддержки. Приведу другой пример из личного опыта. Мы выстроили отличную защиту для одной из своих систем. В какой-то момент обнаружили, что несколько месяцев назад один из разработчиков для определённых целей отключил файервол и забыл его обратно включить. В этот период ничего не случилось, но один из контролов безопасности был отключен на долгий срок, и обнаружилось это по чистой случайности. Включить файервол было не проблемой, вопрос заключался в обнаруженных слабостях самого процесса управления безопасностью, которые пришлось исправлять.
Сертификация компаний в области безопасности всегда оценивает прежде всего именно процессы.
- А как возникла идея создать свой проект в сфере веб-безопасности?
Для меня, как для СТО, остро встал вопрос защиты используемых нами серверов. Мы давно работаем с достаточно серьезными бизнес-системами, которые оперируют с персональными данными, что требовало применения особых мер в плане безопасности еще задолго до GDPR. Нам не хватало прозрачности безопасности на наших серверах, поэтому обратили внимание на IDS (прим. IDS - intrusion detection system, система обнаружения вторжений), и после длительных поисков ни одно решение нас не устроило. Все найденные варианты можно было разделить на два лагеря: очень громоздкие и дорогие enterprise решения или open source в стиле “гики для гиков”, для которых слово UX было чуждым. Так и пришла идея разработать свою IDS для своих собственных нужд, которая со временем начала обрастать и другими полезными фичами и сервисами, и затем превратилась в продукт.
- В последнее время вопросы безопасности данных действительно стали очень актуальными, для Беларуси это тоже характерно?
- Ранний аутсорс, когда за “каждый час” приходилось бороться, немного подпортил нашу культуру, когда главное - это поставить некое решение вовремя вопреки всему, когда упор делается больше на функциональные формы и кнопки и меньше на нефункциональные требования, включая высокую доступность, целостность, конфиденциальность, безопасность.
В целом уровень “security maturity” в белорусском сообществе все еще относительно низкий, этот термин означает уровень зрелости компаний в управлении безопасностью и поставки высоко-защищенных систем. Здесь можно говорить и о недостатке кадров, нехватке знаний, малой мотивированностью. Но мы уже способны предлагать качественные решения, быть проактивными, не быть просто исполнителями, а быть экспертами - за что, кстати, зарубежные клиенты идут в Беларусь.
В основном, сейчас осознание приходит, когда уже “петух клюнул”. То есть после взломов, или того хуже - утечек данных. Это, к сожалению, уже поздно. Не привыкли у нас работать на профилактику, а о том, что на “лечение” взломанной системы уйдет гораздо больше средств, чем на ту самую пресловутую профилактику, никто не думает. Если IT сообщество еще хоть как-то “в теме”, то взять любые другие сферы - там совсем все плачевно. Например, спросите владельца или управляющего белорусского не сетевого отеля: “У Вас останавливаются гости из ЕС? А как вы обеспечиваете безопасность его персональных данных, которые попадают в вашу компьютерную систему после его регистрации? А вы слышали про GDPR? А кто у вас ответственный за информационную безопасность?” Как вы думаете, после ответа на первый вопрос, вы получите еще ответы?
- А в вашей компании все сотрудники вовлечены в вопросы безопасности?
- Да, все, тем или иным способом, но все. Часть процесса управления безопасностью - это постоянное обучение и развитие команды. У нас разработан свой собственный Security Development LifeCycle, который интегрирован в процесс разработки на каждую стадию, начиная со стадии сбора требований по безопасности и их верификации, проработки архитектуры, соответствия стандартам безопасности и документирования в Architecture Design Document перед началом работ, и заканчивая регулярным мониторингом поставленных систем.
Также у нас есть хорошая традиция, раз в месяц объявляется Security Day, и в этот день один из разработчиков, назначаемый Head of Dev, занимается проверкой безопасности на всех проектах компании, а после проверки всех систем он рассылает команде письмо с краткими результатами выполненной работы. Далее инициируется обсуждение и исправление выявленных ошибок. Еще одна хорошая традиция - это внутренние конференции. Ежеквартально мы у себя проводим небольшие внутренние конференции, когда несколько сотрудников, обычно 5-6, готовят доклады по темам, которых они тесно касались в своей работе в последнее время, или им просто очень нравится тема, и они хотели бы с ней поработать в будущем. Один из докладов всегда связан с безопасностью. Вот так и получается занятный ликбез по вопросам безопасности на ежеквартальной основе.
- Говорят, что безопасность это дорого. Так ли это?
Все в этом мире относительно. Выстраивание системы безопасности и процессов управления - это всего лишь средство. Конечная цель - снизить риски для конечного бизнеса. Для этого их необходимо правильно определить и оценить. Риск можно либо нивелировать, либо принять его, что он такой есть. Многослойная защита с набором дорогостоящих контролов безопасности не всегда нужна для небольшого или среднего бизнеса, потому что это только может создать новый для них риск. Но все равно есть минимальный уровень, ниже которого опускаться не стоит, поставляя непроверенную систему и не предлагая мер по защите. Поэтому сам владелец системы определяет, что ему дороже - взять экспертизу по безопасности и по архитектурам и нивелировать риск, либо принять риск и быть готовым оплачивать последствия.
- Часто вообще в Беларуси компании подвергаются хакерским атакам?
- Конечно, как и везде. Ни ваше местонахождение, ни размер вашей компании никак на это не влияют. Бытует мнение, что хакерам интересны только большие корпорации. Это не так, под угрозой все, и не надо думать, что если ваш бизнес маленький, то вы никому не интересны. Конечно, при взломе системы большой и известной компании хакеры получают информацию, которую можно очень дорого продать или требовать за нее выкуп. Но а взломав сервера небольшой компании, можно с них спамить или проводить дальнейшие атаки, и быть уверенным, что вас обнаружат ой как нескоро, ведь какое дело маленькой компании до безопасности, правда? Хакерские атаки происходят постоянно, и сохранность вашей системы и ваших данных зависит от того, насколько грамотно выстроена защита и насколько быстро вы способны обнаружить и отреагировать на злоумышленника. А если злоумышленник ваш сотрудник, или он уже уволен, но никто не позаботился о том, чтобы закрыть все его доступы к системе? Таких обнаружить очень сложно, но при создании нашей IDS мы это учитывали - возможность обнаружить подозрительную активность даже легитимных пользователей системы. А иногда сотрудники, даже не имея злых намерений, могут стать угрозой для бизнес-системы просто нажав на подозрительную ссылку в письме. Поэтому очень важно, чтобы забота о кибербезопасности в компании лежала не только на плечах конкретного отдела или сотрудника, все должны быть вовлечены в это, проводите ликбезы для вашей команды: какими должны быть пароли, где они должны храниться, что может случиться при их передаче коллеге - это азы, но это поможет серьезно снизить риски быть взломанным по причине человеческого фактора, а эта причина превалирует в мире в последние годы.
- Денис, Вы являетесь одним из трех обладателей сертификата CISSP (Certified Information Security Systems Professional) в Беларуси, расскажите немного о сертификации.
- CISSP сертификация одна из топовых сертификаций в индустрии безопасности и требует достаточно широких знаний в этой сфере. Сам экзамен действительно был сложным. CISSP сертификат ценится особенно за рубежом, где без подобного подтверждения экспертизы нельзя претендовать на некоторые должности, например, Chief Information Security Officer.
Сертификация позволяет освежить знания и легче ориентироваться в стандартах, регламентах, процессах, управлении рисками, новых подходах и контролах безопасности. Крупные игроки обычно умеют оценивать собственные риски, поэтому перед заключением контракта присылают длинные листы с вопросами по безопасности, стандартам, соответствиям, и CISSP сертификация расценивается ими как доказательство экспертизы в области безопасности.
- А что такое тестирование на проникновение?
- Тестирование на проникновение (или penetration testing) - это поиск уязвимостей в системе. Часто одним из условией для поставки enterprise решений является проведение пен-теста сторонней компанией не реже, чем раз в год. Мы сами предоставляем подобную экспертизу, иногда приходится заказывать пен-тест на стороне для наших же систем. Найти хорошего пен-тестера ещё нужно постараться, часто они используют автоматические инструменты, которые дают достаточно низкий результат, и меньше уделяют времени ручному тестированию. Мы со своей стороны наоборот основной упор делаем именно на ручное тестирование, чтобы каждый параметр каждой страницы был проверен. Мало провести тестирование, нужно ещё сделать правильный delivery в виде отчета, в котором отражена проделанная работа, найденные уязвимости, оценены риски и даны рекомендации по их уменьшению. Ещё ни один наш отчет не обходился без найденных уязвимостей.
Если совсем уверены в защите, можете зарегистрировать систему на площадках типа HackerOne, где обычно быстро развеивают уверенность в безопасности системы на 100%.
- Какие базовые рекомендации вы бы дали тем, кто хочет повысить уровень безопасности своих веб-проектов?
- Проводя тренинги, я обычно исхожу из гипотезы, что “нельзя защитить то, что не знаешь, как взломать”. Поэтому учитесь взломам, новым техникам, пробуйте различные инструменты.
Основные принципы надо закладывать еще на стадии построения архитектуры, например, уменьшение области атак. Лучший способ защититься - это вообще свести к нулю возможность поломать или побрутфорсить вашу админку по SSH, FTP или RDP. Это надо учитывать при проектировании защищенной архитектуры.
Далее файерволы, благо их уже все стали использовать. Но если с фильтрацией входящего трафика справляются, то исходящий трафик обычно не контролируется, а очень зря. Потому что, если злоумышленник обошел вашу защиту и начал сливать данные, засечь его как раз таки можно будет по исходящему трафику. Так можно предотвратить или минимизировать утечку данных. Особый упор на мониторинг исходящего трафика мы делали и в нашей IDS.
Очень очевидная рекомендация - всегда обновлять используемое ПО до последней версии. Все об этом знают, но смотрят на это сквозь пальцы. А ведь пока вы не обновитесь, вы используете ПО с уязвимостями, которые после выхода новой версии уже известны всем.
Шифрование данных, двухфакторная аутентификация, много чего хочется посоветовать, но тогда это превратиться в лекцию. К тому же любая система имеет свои особенности и требует специфических мер по защите.
- Ну и последний вопрос, Денис, недавно вы окончили факультет философии БГУ, что же вас подтолкнуло к этому, и как это помогает вам в жизни или работе?
- На dev.by была как-то статья о нехватке гуманитарного знания у белорусской IT сферы. Полностью соглашусь с этим. Поставляемые системы - это не просто набор форм, реализованных по вайфрэймам. Это решение определенной проблемы для бизнеса. И это решение не всегда требует только лишь технических знаний.
Обычно выделяют три уровня мышления и деятельности: операционный, тактический и стратегический. Философия и на работе, и в жизни помогает выйти на более высокий уровень - смысловой. Когда постоянно задаешься предельными вопросами смысла того, что делаешь, над чем работаешь и для чего это все надо. Любая система определяется не выбранной стратегией, а смыслом своего собственного существования. Любая форма заканчивает свое существование в момент исчерпания своего собственного смысла (система, архитектура, физическое тело). Именно смысловой уровень позволяет отрефлексировать, взглянуть на принимаемые решения со стороны и правильно принять решения на более низких уровнях, избегая ненужной и бессмысленной деятельности.
Хороший инженер - это тот, который может принимать нестандартные, иногда иррациональные, но эффективные решения. А для этого необходим широкий кругозор и знания разных областей. Поэтому учиться, учиться и ещё раз учиться.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.