30 окт. 2014 г.

Мастер-класс Алексея Лукацкого «Внутренний маркетинг службы ИБ»

7 ноября 2014 года в 11.00 состоится мастер-класс Алексея Лукацкого «Внутренний маркетинг службы ИБ».

Специалист уже выстроил процесс обеспечения информационной безопасности, угрозы ИБ успешно нейтрализуются, и никаких негативных проявлений на предприятии в связи с этим не наблюдается. Тогда руководство компании начинает задаваться вопросом: «А зачем нам безопасность, если и так все прекрасно?» Как показать ценность службы информационной безопасности для разных целевых аудиторий внутри предприятия? Как организовать внутренний маркетинг службы ИБ? Какие передовые практики существуют? Об этом - в мастер-классе Алексея Лукацкого.




Алексей Лукацкий не нуждается в представлении. Этот человек давно сам стал брендом. Мэтр отечественной информационной безопасности, известный блогер, ведущий один из самых популярных в России блогов по ИБ. Опубликовал свыше 600 печатных работ в различных изданиях. Награжден почетным нагрудным знаком RISC за вклад в развитие отрасли ИБ.

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами ИБ.

Участие в мастер-классе бесплатное, необходимо лишь пройти предварительную регистрацию.

21 окт. 2014 г.

Cyberwoman Олеся Шелестова: в Twitter про меня писали: «Блондинка продает пароли»

Сегодня мы запускаем новый специальный проект. Мы хотим рассказать о женщинах, работающих на рынке ИБ. Они успешны и прекрасны в обычной и профессиональной жизни. Их объединяет профессионализм, способность противостоять обстоятельствам, упорство в достижении намеченных целей, но у каждой из них своя история. Наша первая героиня – Олеся Шелестова.

ДОСЬЕ
Олеся Шелестова – эксперт по ИБ, специализируется на аналитике и разработке SIEM\SIM\GRC\VA-систем. В ИБ работает с 2004 года. Участник PHDays, РусКрипто и других российских и международных security-конференций. Автор множества статей. Увлекается Ethical Wi-Fi Hacking. Работает «под прикрытием» и для взлома Wi-Fi-сетей использует плюшевого медведя, «заряженного» Wi-Fi-адаптером и антенной. В свободное от компьютера время любит погонять на мотоцикле, профессионально занимается стрельбой из лука. Спит не более 4 часов в день. Фанат своего дела. 



Расскажи, как ты пришла в ИТ и ИБ? С чего все начиналось? 
Я помню, как мне впервые показали компьютер, собранный в дипломате. Из дипломата выпилили части, вставили туда детали и микросхемы и подключили клавиатуру. На этом устройстве можно было примитивно программировать и, конечно же, играть в игры. Я с детства увлекалась всякими инженерными штучками, отлично управлялась с паяльником, могла починить мелкую электронику. Это хобби передалось мне от отца, который был электронщиком-радиолюбителем. Где-то в 7–8 классе мне захотелось зарабатывать, и я бралась за ремонт разной мелочи, компьютерных приставок и джойстиков, «перепрошивала» и продавала картриджи для приставок. 

После окончания института работала айтишницей. Занималась установкой и настройкой операционных систем, прокладкой и установкой первых сетей, которые тогда работали не на Ethernet, и уж тем более не на Wi-Fi. Wi-Fi в те времена мы даже представить себе не могли. Потом начала работать с более сложным сетевым оборудованием: настраивать фаерволы, устанавливать первые антивирусы. Чтобы построить сеть и наладить маршрутизацию, мне нужно было понимать, какая информация куда передается, какие угрозы существуют, как будет производиться атака и какими инструментами можно ее предотвратить. С этого момента и началось мое знакомство с информационной безопасностью. Затем были почтовые сервера, банковские системы. Вот так вот и пошло, я примкнула к безопасникам. Тогда это было чуть интереснее, чем банальная работа по настройке сетей.

Когда ты только начинала заниматься ИТ и ИБ, сталкивались ли ты с предвзятым отношением к тому, что ты девушка? Не приходилось ли тебе слышать от друзей, родственников, знакомых, что ИТ и ИБ – это не женское занятие? 

Сталкивалась очень часто. Конечно, стереотип о том, что ИТ и ИБ – не женское занятие, и что девушки могут реагировать на какие-то вещи более эмоционально, он есть. От этого никуда не денешься. И это понятно с точки зрения мужчины, который думает: «Как же девушка полезет под стол или понесет сервер? Я лучше возьму мужчину». В сфере ИТ и ИБ, где преимущественно мужской коллектив, женщине порой тяжело сделать так, чтоб тебя услышали, восприняли всерьез. Но когда ты показываешь себя как профессионал, когда решаешь задачи, которые с первого взгляда кажутся невозможными, тогда к тебе относятся совсем по-другому, и ты завоевываешь авторитет.

Никогда не приходилось использовать свои способности в личных целях?
Нет. Я никогда себе этого не позволяла и всегда вижу границу дозволенного. Для меня это табу. Был случай на РусКрипто в прошлом году, когда в Twitter писали: «Блондинка продает пароли». Да, я действительно «продампила» весь траффик на РусКрипто. Для перехвата паролей использовала плюшевого медведя, в которого я встроила Wi-Fi-адаптер и направленную антенну. Из того трафика, который я дампила, частично можно было вытащить какие-то пароли к каким-то сервисам, но только к тем, которые использовались в clear-тексте и передавались в открытом виде. Тогда организаторы попросили меня продать эти пароли за крипторубли – местную «валюту», которая использовалась на самой конференции. Дампы я тогда продала и купила на эти деньги «шляпу Лукацкого». Люди, конечно, тогда были несколько напуганы происходящим. Не все понимают, что такое дампы, что из этого можно вынуть, но сами эти слова всех вводят в ступор и заставляют нервничать. 



Какие у тебя мотивы? Почему ты этим занимаешься?
Практикуя Ethical Wi-Fi Hacking, я преследую исключительно обучающие цели, показываю пользователям, что Wi-Fi – это небезопасно. Даже если я что-то нарушаю, то делаю это только для того, чтобы посмотреть, как эту угрозу можно реализовать. Но я никогда не буду наживаться на этом. Срабатывает какой-то внутренний стопор. Если мне когда-нибудь потребуется попробовать взломать какую-то систему, то, скорее всего, я это сделаю на стенде. 

Очень часто я нахожу в интернете уязвимости на сайтах, открытые порты и иногда выкладываю их и указываю на «дырку» в безопасности. Недавно на сайте одного известного сервис-провайдера, на котором хранятся, загружаются и вставляются потом ссылками картинки, я нашла две серьезные уязвимости. Был какой-то инстинкт, что они там есть. Как бы я не относилась к этому провайдеру, я сообщила об этом в техподдержку. Несмотря на то что никакого bug bounty открыто не было, я не получила от этого провайдера ни копейки. 

Но я бы не советовала неопытным, только начинающим специалистам лезть туда, где не объявлен конкурс или открыт bug bounty. Лучше пробовать свои силы там, где есть разрешенная возможность, потому что компании могут реагировать на ваше «увлечение» по-разному. Некоторые вендоры и компании даже против того, чтобы им сообщали о каких-то найденных на их ресурсах багах. На мой взгляд, это очень плохо, потому что так уязвимости становятся скрытыми. Потом они уходят на подпольные сообщества, их начинают эксплуатировать, и все становится печально для рынка. Фактически вендор может просто не знать об этой уязвимости, в то время как от нее могут пострадать и другие ресурсы. В случае с хостингом картинок уязвимость была на сервере самого сервис-провайдера, но она угрожала и тем ресурсам, на которых их картинки публиковались. И эта цепочка могла тянуться очень далеко. Даже когда сообщаешь об уязвимости, то частенько приходит ответ о том, что этот ресурс вне bug bounty. Тогда я получаю: «Спасибо, что сказали», но денег при этом не платят, а иногда даже и спасибо не говорят. А могут даже наоборот – еще и претензии предъявить. Тогда я такие уязвимости отсылаю от сторонних ресурсов. Не от себя, чтоб не иметь потом неприятностей. 

У коллег были такие случаи, когда они получали в ответ не благодарность, а кучу обвинений и вопросов в свой адрес: зачем вы вообще проверяли наш сайт, что искали и т.д. Но ведь чтоб найти уязвимость не нужно сканировать ресурс, достаточно просто запустить кэширующий прокси и пассивно смотреть, что внутри между браузером и этим сайтом передается. От незнания владельцы этих ресурсы начинают выдумывать, что из-за такого сканирования сайт плохо грузится и теряет клиентов. Но у меня каких-то серьезных противостояний не было и до конфликтов пока не доходило.

Чем ты еще увлекаешься? Какие книги читаешь? Как проводишь свободное время?
Увлекаюсь мотоциклом, стрельбой из лука. До этого я прыгала с парашютом, потом с вингсьютом (прим. ред. англ.wingsuit – костюм-крыло из ткани). В основном читаю профессиональную литературу, документацию. Последнюю художественную книгу прочла года два тому назад. Просто не хватает на это времени. Хотя совсем недавно мне рассказывали про одного ученого, который заперся в пещере и вышел на 36-часовой день. Он ложился спать, спал столько, сколько мог, а потом все остальное время работал. В нашей профессии нужно постоянно работать головой и находиться в определенном напряжении, потому что понимаешь, что твои ошибки «крошат» и останавливают бизнес-процессы. Наша работа очень похожа на работу авиадиспетчеров, которые рулят самолетами. И здесь таким диспетчером выступает лояльность компании, в которой ты работаешь. Обеспечьте человека задачами, выделите время на их решение. И, если человек ответственный, он их решит в срок, независимо от того, во сколько приходит и уходит с работы. Конечно, есть разные программисты, кто-то отсиживает время и не задерживается на работе лишней минуты. Если человек любит свою работу, если он работает на себя и ему это интересно, тогда получаются такие «маньяки», которые могут работать по 18 часов в день. Такой график, конечно, опасен. У меня были такие случаи, когда график сдвигался, и я приходила на работу днем, отсиживала все совещания, к вечеру раскачивалась, когда все уже уходили, а потом возвращалась домой и только там начинала работать. 

Такой график не мешает личной жизни, общению с друзьями и т.д.?
Конечно мешает. Но такие маньяки-профессионалы должны быть. 

Ты себя к таким относишь?
Да, я – маньячка. Я люблю свою работу, иногда работу ценю даже больше, чем общение с друзьями. Бывают задачи, которые надо решить к определенному сроку. И тогда ты делаешь итерации по много-много часов подряд, работаешь на пределе возможностей до того самого момента, когда ты совсем выдыхаешься и уже не можешь продолжать. Это время – самое продуктивное, и нужно использовать его по максимуму. 

Твоя программа действий после вуза для молодого специалиста?
В первую очередь, надо понять, чем бы ты хотел заниматься больше всего и тогда выбрать компанию и пойти туда стажером. Сейчас очень много компаний, которым требуются специалисты по ИБ в качестве стажеров. Я часто встречаю такие вакансии на том же hh. Компании ищут стажеров на защиту Unix или стажера, который будет заниматься пентестами, и других. Надо просто понимать, что тебе интересно. Есть такие же вакансии и у конечных заказчиков, куда можно пойти и попробовать порешать ежедневные кейсы и повариться в группе экспертов. И это, наверно, было бы самая идеальная ситуация, в отличие от работы у отдельных вендоров и разработчиков.

Я бы не стремилась обвешиваться сертификатами, несмотря на то, что многие компании требуют эти самые сертификаты при приеме на работу. И тем не менее приглашают на собеседования и без них. Если у человека есть понимание и способность самостоятельно в чем-то разобраться, именно понимание, а не заучивание теории и ответов на экзамены, то специалиста обязательно оценят. Нужно стремиться видеть и понимать комплексные процессы, что и как взаимодействует. Начать можно с азов, которые дадут в вузе. Если чувствуешь пробелы, восполни эти пробелы в интернете, где масса видео, вебинаров. Много интересных статьей есть, например, на Хабре. Это процесс познания, как лесенка: ты начинаешь чем-то заниматься, понимаешь, что какой-то информации не хватает, изучаешь, запоминаешь, пробуешь сделать и ползешь по лесенке дальше. С чем-то столкнулся, даже на уровне бокового зрения, сразу задумываешься: а как бы я эту проблему решил. Нужно хвататься за эти кирпичики и выстраивать эту лесенку из своих навыков и знаний. То, что вы таким образом изучили, до чего самостоятельно докопались, никуда от вас не денется. 

Спасибо!

9 окт. 2014 г.

Первый пошел!

На прошлой неделе совместно с экспертами CyberSecurity PwC RISC провел свой первый очный семинар в Санкт-Петербурге. По этому случаю была выбрана непростая, но очень увлекательная тема – «Роль человека в обеспечении информационной безопасности». Всего встречу товарищества посетило более 40 специалистов по ИБ и ИТ из различных компаний Санкт-Петербурга. Спасибо всем, кто смог к нам присоединиться.

Кратко о том, что происходило на нашем семинаре.

По традиции, вступительное слово на семинаре произнесла Мария Сидорова, верховный комиссар товарищества RISC и его основатель. Мария рассказала о товариществе, его целях и планах на ближайшее будущее.

Деловую часть нашей встречи открыл Роман Чаплыгин из PwC с докладом «Темные пятна в ИБ, где ваше слабое звено».



Вот что сказал Роман о прошедшем семинаре RISC:
«На мой взгляд, формат мероприятия был камерным и почти домашним (особенно для нас). Получилось уникальное мероприятие-семинар, как для общения с потенциальными заказчиками, так и для понимания ключевых вопросов и краеугольных камней, которые в будущем мы будем принимать во внимание и анализировать, помогать руководителям ИБ справляться с их задачами. На сегодняшний день мы планируем проводить подобные мероприятия-семинары уже в московском офисе. Надеемся, что и в будущем сотрудничество с товариществом по информационной безопасности RISC будет взаимовыгодным и интересным».

Вот так-то! Затем мы приступили к практике.

О том, как повышать осведомленность пользователей в вопросах ИБ, рассказал Алексей Митюшов из «Аэроэкспресс».



Впечатления Алексея Митюшова о семинаре RISC:
«Хотелось бы поблагодарить организаторов и спикеров семинара RISC за создание доброжелательной и теплой атмосферы на мероприятии. Темы докладов и тема семинара очень актуальны в повседневной деятельности специалиста ИБ. Особенно следует отметить практическую направленность обсуждаемых вопросов. В ходе мероприятия удалось достичь главного – создать неформальный и вместе с тем профессиональный "клуб" по обмену опытом, позволяющий взглянуть на проблематику ИБ с другой стороны. Мероприятий подобного формата явно не хватает в нашей с вами нелегкой работе».

Дальше в ход пошла «тяжелая артиллерия». Представители ИТ и ИБ сошлись в неравном бою. Первой «выступила» ИБ. О проблемах взаимодействия ИБ- и ИТ-департаментов рассказал Юрий Шойдин, АРСИБ.



«30 сентября с СПб прошел первый семинар RISC. К сожалению, я не смог присутствовать на мероприятии все время, но заряд положительных эмоций был получен. Порадовала, прежде всего, приятная аудитория, которая не боялась вступать в дискуссию по неоднозначным вопросам, оставаясь при этом корректной и положительно настроенной. Во-вторых, хочется сказать спасибо организаторам за качественно подготовленное мероприятие. Надеюсь, что в дальнейшем сотрудничество RISС c АРСИБом и СоДИТ будет только нарастать, к нашему взаимному удовольствию», – рассказал Юрий Шойдин.

Со стороны ИТ ответ держал Алексей Широких, Сколковский институт науки и технологий («Сколтех»). Он выступил с докладом «ИБ и ИТ – казнить нельзя помиловать: взгляд со стороны ИТ».



Алексей Широких о семинаре RISC:
«По моему мнению, семинар «Роль человека в обеспечении информационной безопасности» превзошел все ожидания. Темы докладов были подобраны по существу и актуальны. Презентации были восприняты аудиторией с интересом. Для себя, в частности, я нашел много интересного и полезного. Надеюсь, данные мероприятия будут регулярны и темы будут интересны и полезны».

Мы, со своей стороны, обещаем Алексею, что наши «мероприятия будут регулярны», а «темы – интересны и полезны».

Следом с докладом о проблеме подбора специалистов по ИБ на российском рынке труда выступил еще один практикующий специалист по ИБ, Дмитрий Мананников, SPSR-express. Его презентация «взорвала» аудиторию. Иначе и не скажешь.



Мнение Дмитрия Мананникова о прошедшем семинаре RISC:
«Для меня это новый формат мероприятий, в котором я вижу возможность обсуждения процессов безопасности с управленческой точки зрения и получения ценных комментариев от коллег с точки зрения их практики. Никакого пресейла от вендоров, никаких долгих презентаций о технической реализации, что положительно выделяет это мероприятие на фоне других активностей по ИБ».

Деловую часть нашего семинара заключал доклад человека, «смотрящего» за каждым и всеми, Андрея Прозорова, Infowatch.



Вот что сказал Андрей о прошедшем семинаре RISC:
«Мне понравилось. Приятное мероприятие. С удовольствием приеду еще раз. Особо порадовало отсутствие рекламных/спонсорских докладов и увеличенная длительность презентаций (за 40 минут можно и тему раскрыть, и на вопросы ответить). Продолжайте в том же духе».

По окончании семинара началось самое интересное. Мария Сидорова рассказала о программе поощрения экспертов, принимающих самое активное участие в развитии отрасли ИБ вообще и в деятельности RISC в частности. Первыми счастливчиками, награжденными серебряными значками RISC, стали Алексей Лукацкий и Андрей Прозоров.

В заключение мы бы хотели поблагодарить нашего партнера, компанию PwC, и лично Екатерину Старостину, Романа Чаплыгина и Криса Гоулда, благодаря которым стало возможным проведение этого семинара.