Clever Geek Handbook

FinTech. Et quoi protéger?

Bonjour Ă  tous,



Minutka deanona, je m'appelle Anatoly Makovetskiy, je suis responsable de l'équipe de sécurité chez Exness.



Je vais immédiatement m'excuser auprès de ceux qui s'attendent à voir un article technique, il ne sera pas ici. En outre, le matériel décrit des choses qui sont si évidentes à première vue que ce n'est même pas un fait qu'elles le soient, mais vous pouvez raisonnablement me demander comment j'ai été embauchée et quand je cesserai de prétendre être en sécurité (réponse dans l'image sous la coupe).







Ils ont conduit.





Image: Chaîne de télégramme Information Security Memes (https://t.me/infosecmemes)



Mes dernières années dans la profession ont été façonnées dans des entreprises technologiques, et en tant que spécialiste de la sécurité de l'information, j'ai protégé ... des informations (casquette), mais attendez si comprendre, comme il est d'usage dans notre industrie, qu'il y avait parfois un bon mélange de protection des systèmes, sans grande différence réelle, quel type d'informations ils contiennent, à quel point ces systèmes sont importants pour les entreprises, y a-t-il quelque chose de plus important maintenant, et d'autres conventions.



D'accord, c'est tellement cool en l'absence de gestion stricte, de processus bien construits, de priorités claires et d'autres bonheur, de sauter de système en système, de trouver de beaux bugs à la surface ou un peu plus profonds sur la base des nouvelles recherches ou de l'expérience personnelle de quelqu'un d'autre, montrant des façons impressionnantes de les utiliser. Cela vous permet vraiment d'établir un dialogue avec d'autres équipes informatiques et de gagner en crédibilité. Quelque part j'ai été emporté au mauvais endroit ...



Oui, c'est vrai, la vraie sécurité de l'information est basée sur les processus, l'ISO, 27k dans les dents et est allé sortir les cerveaux de l'informatique et du top management, on va tout dire, on va tout expliquer, justifier et montrer, personne ne discutera, après tout, c'est nécessaire, mais nos processus dans les domaines vont-ils s'améliorer avec l'introduction de la prochaine norme?



En fait, le message est que vous devez essayer de passer à l'idée racine, à une protection complète et équilibrée des actifs précieux de l'entreprise, et non à «patcher» la sécurité, sinon cela ressemblera à ceci:





Photo: s.66.ru



Vous êtes moi désolé juste pour ces exemples extrêmes des deux côtés, je comprends que cela ne peut pas être mis au point, mais dans ma propre expérience, j'ai été transporté d'un extrême à l'autre, exactement comme indiqué ci-dessus, alors j'espère profondément qu'il y a un public adulte décent ici , et mon expérience est insignifiante par rapport à la vôtre, puisque j'ai commencé avec le papier le plus complet dans ses pires manifestations, puis en douceur à travers l'informatique, je suis passé aux domaines pratiques, alors je me suis précipité d'un extrême à l'autre, j'ai vu ceux qui étaient assis dans ces extrêmes à côté de moi donc je n'étais pas seul là-bas et je noterai une chose:



, , , , :


  • , ( ), , , , , ;
  • , - , , , , .


Les deux approches ont leurs côtés positifs, car une attention insuffisante à chacune d'elles génère ses propres risques individuels, mais la vérité est en équilibre, sinon la sécurité pour des raisons de sécurité est obtenue quelque part près du cheval très sphérique dans le vide. Nous arrivons ici à une autre preuve évidente:



  1. Les responsables de la sécurité de l'information se noient devant la nécessité de protéger tout et tout le monde, souvent sans fixer de vraies priorités, et se réjouissent de toute occasion de lyncher publiquement quelqu'un en fronçant fièrement les sourcils pour faire ses preuves quand quelqu'un viole un processus construit ou inachevé.
  2. Les agents de sécurité pratiques se concentrent souvent sur le fait de ne pas permettre aux vulnérabilités d'être présentes n'importe où, car cela compromet potentiellement tout l'environnement, mais présente également des lacunes de hiérarchisation, donnant une priorité plus élevée à un système plus vulnérable qu'un système plus sensible mais moins * vulnérable.


Remarque: *
, , , .



Souvent, nous nous appuyons sur l'expérience de quelqu'un d'autre, sur les priorités de quelqu'un d'autre, que nous lisons quelque part, qui ne sont pas toujours incorrectes et inappropriées, mais souvent pas assez optimales pour des conditions spécifiques, de la catégorie Démarrage rapide, qui parfois, néanmoins, peut être justifiée lorsque tumbleweeds et cerfs-volants tournent autour, et évidemment mieux que rien, mais l'entreprise, quant à elle, vit d'elle-même.



Au fait, qu'en est-il du dialogue entre les entreprises et la sécurité? À mon avis, nous (les agents de sécurité) essayons très souvent de vendre à l'entreprise ce qu'il ne comprend pas, ce dont il n'a pas vraiment besoin et ce qui ne s'applique pas à lui, ou nous n'essayons même pas de vendre quoi que ce soit. Autrement dit, notre argumentation en tant que représentants de la sécurité est basée sur les idées et les fondements de notre propre industrie, dont les entreprises peuvent être très éloignées, et nous devons motiver dans un langage compréhensible et raisonnablement, l'effet sera alors plus prévisible, à plus long terme, et la participation des entreprises est plus élevée. En fin de compte, nous devrions nous tourner vers l'entreprise pour le budget, peu importe combien nous voulons que ce soit l'inverse :)



Pourquoi les entreprises ont-elles vraiment besoin de nous? Parfois, la sécurité est nécessaire pour le spectacle, car elle est simplement requise. Laissons de tels cas, et parlons des cas où la sécurité apparaît en raison d'une compréhension de la nécessité. La bonne entreprise veut de l' argent pour évaluer globalement les risques potentiels à l'avance, pour y faire face à l'avance, ainsi que pour répondre rapidement et efficacement aux menaces qui se concrétisent, en tirer des conclusions pour l'avenir et devenir plus fortes. Autrement dit, nous sommes engagés pour aider, mais comment pouvons-nous aider?



Tout d'abord, vous devez comprendre comment l'entreprise gagne de l'argent de cette manière, ce qu'elle fait et ce à quoi elle s'efforce, puis de toutes nos forces pour la protéger. Si une entreprise élève des poulets qui pondent des œufs et finissent sur les tables de gens gentils comme nourriture, protégeons les poulets, leurs œufs, les processus qui les entourent et la façon dont ils sont livrés aux tables. Si l'entreprise est engagée dans le Big Data, protégeons cette très grosse date, les ordinateurs, les données brutes, les algorithmes et tout ce qui y est lié.



Ainsi, à mon grand regret, seule une petite partie des collègues de l'atelier en réalité en pratique parvient à se rendre compte de la faible efficacité de l'approche incompatible avec l'entreprise et à la mise en œuvre ultérieure d'un modèle de travail sur les priorités de l'entreprise. Et qu'est-ce qui nous permet d'identifier les menaces réelles? C'est vrai, en les modelant.



Prenons un instant de côté et imaginons le processus global de modélisation des menaces tel que je le vois:



  1. Nous définissons les actifs de valeur de l'entreprise, et les précieux sont ceux dont la violation des propriétés entraîne finalement des pertes, selon l'expérience, qui se résument finalement à des pertes financières, directement ou indirectement, si nous parlons d'une société commerciale. Ici, en règle générale, nous obtenons telle ou telle information, que nous devons protéger dans notre propre intérêt ou pour des raisons réglementaires. Je n’ai pas eu la chance de travailler dans les mines d’or, il n’y a peut-être pas d’information en premier lieu.
  2. Nous classons ces actifs les plus précieux afin de les hiérarchiser d'une manière ou d'une autre.
  3. , , , , , ( , - , , , , ).
  4. .
  5. , , , , , , .
  6. .
  7. , **, .


: **
. , , .., , , , , , , , , .



Donc, plus tôt, par expérience, j'avais toujours des informations avec l'actif protégé, c'était suffisant pour construire une protection, mais quand je suis arrivé à Exness et que j'ai commencé à former un modèle qui prend en compte les particularités locales, je ne pouvais pas me séparer du sentiment qu'il manquait quelque chose, quelque chose puis l'important a été manqué jusqu'à ce qu'il me vienne à l'esprit (oui, riez de moi, l'imposteur de sécurité écrivant ce post, et l'évidence de ce qui se passe):



"Il y a de l'argent dans la fintech."


Toute entreprise a de l'argent. Toute entreprise, au moins tôt ou tard, paie des salaires aux employés, loue un bureau, mène une activité économique et fournit du travail pour le service comptable, mais cela se résume à avoir un compte bancaire, ou, en plus d'un système de paiement intégré au site, mais la fintech a de l'argent réel, tandis que les utilisateurs externes travaillent avec, et une bonne partie des opérations avec elle est automatisée. Oups ...



Imaginons maintenant qu'en plus d'un tas d'informations pertinentes pour l'entreprise et d'autres informations protégées, oui, y compris les crédits et les clés de la banque en ligne, que tout le monde possède et aussi sur l'argent, vous avez au moins de l'argent réel de clients qu'ils gagnent à vos comptes au sein de vos systèmes. Autrement dit, à l'intérieur des systèmes, il s'agit de la même information que tout ce qui l'entoure, mais en fait, c'est de l'argent qui est transformé en information et qui est renvoyé aux limites des systèmes, mais vous ne devriez pas les traiter comme des informations ordinaires.



L'image ci-dessous est un diagramme des flux d'informations de l'un de nos produits :)





Image: série «DuckTales» Walt Disney Television Animation



Aussi, s'éloigner du paradigme selon lequel nous ne protégeons que les informations a permis de comprendre un autre type de ressource précieuse que j'avais jusque-là négligée, mais qui est présente chez tout le monde, même si elle est plutôt ambiguë - une relation qui peut être un partenariat avec un client / fournisseur de trafic, ou avec un fournisseur de services de communication / sécurité / infrastructure. Bien sûr, avant j'ai toujours considéré implicitement cela, mais dans le contexte de la mise en œuvre d'une menace dans le vide, de la catégorie du plan de continuité d'activité et du plan de reprise après sinistre, mais ici, il s'est transformé en conscience en un actif pleinement conscient qu'il vaut la peine d'identifier et de protéger, ce qui élargit notre couverture, donc comment nous commençons à nous déplacer à cet égard non seulement à partir des menaces connues, mais aussi de l'actif lui-même, comme d'un objet potentiellement exposé à des menaces inconnues, mais il ne s'agit pas de cela maintenant.



Si vous regardez de plus près, vous pouvez voir l'argent de tous les côtés:



  1. Au minimum, il y a la même activité économique que dans n'importe quelle autre entreprise.
  2. Il existe des produits liés aux transactions financières et à la rapidité de leur mise en œuvre, qui contiennent la vraie logique de l'entrée et de la sortie des fonds, c'est-à-dire que l'argent ne peut pas être transféré vers un coffre-fort éloigné et ne peut être regardé qu'une fois par jour après une cérémonie spéciale avec des «arcs» et un «déshabillage» complet. Ils doivent être intégrés aux systèmes, et le plus vite sera le mieux pour l'entreprise, souvent.
  3. Il existe un grand nombre de systèmes de paiement et d'autres outils différents, chacun ayant sa propre implémentation d'interaction, de restrictions et de fonctionnalités d'intégration.
  4. Il existe une infrastructure dans laquelle les produits fonctionnent.
  5. , ; , ; , ; , - .
  6. , .


En conséquence, il existe un grand nombre d'articulations d'actifs, de systèmes, d'utilisateurs, d'employés, de partenaires, de processus et, en règle générale, nous recevons les principales menaces au niveau des articulations, et des articulations supplémentaires créent de nouvelles menaces.



Tout cela signifie qu'à la racine se trouvent non seulement des informations ou des données qui sont familières aux responsables de la sécurité de l'information, mais aussi des actifs d'un autre type, comme l'argent, qui, étant donné une telle ampleur de «catastrophe», est assez difficile à transférer exclusivement sur des informations et des données qui nous sont familières à tous. La mise en œuvre d'une menace contre un type d'information familier ne conduit pas toujours à des dommages, et dans le cas de l'argent, chaque transaction a une valeur minimale connue et sans ambiguïté, en particulier lorsque nous parlons de leur passage assez rapide, qui ne peut qu'augmenter par la nature de la menace.



Autrement dit, dans le cas des services bancaires par Internet ou des crypto-portefeuilles, vous disposez de crédits / secrets / clés pour y accéder (résumés par le mot «secrets»). Les secrets sont des informations, mais il existe également des processus, des procédures et des cérémonies pour travailler avec eux, et un cercle relativement restreint de personnes avec lesquelles travailler. Ici aussi, le concept de protection des informations ne se rompt pas, mais lorsque nous passons à l'étape consistant à passer directement ou indirectement la logique de paiement à travers tout ce qui se trouve autour, ainsi qu'à "étaler" de l'argent sur différents produits et systèmes, la situation devient beaucoup plus délicate :)



En fin de compte, la seule chose que nous devrions espérer est notre lien avec l'entreprise et notre bonne compréhension de celle-ci, qui se traduit par une certaine expertise interne, que nous pouvons et devrions continuellement pomper et immédiatement transformer en un véritable modèle de menace, qui à son tour nous devons nous imposer sur les caractéristiques de nos systèmes afin d'éviter la rupture et le hasard, et, par conséquent, le non-sens dans tout notre travail.



Pardonnez-moi qu'il y ait tant de mots sur une pensée aussi courte, mais j'aimerais que nous tous, dans le secteur de la sécurité de l'information, réfléchissions une fois de plus à ce que nous faisons et comment nous faisons, et si nous avons une telle opportunité, alors tout faire correctement, de sorte que toutes les étapes ont été coordonnés les uns avec les autres, et si une telle opportunité n'est pas donnée - se battre pour cela, si cela en vaut la peine, sinon nous serons toujours plusieurs étapes derrière les attaquants, car ils connaissent généralement bien leurs objectifs et les suivent, contrairement à nous.



Si ce matériel n'échoue pas dans son intégralité, alors j'essaierai de révéler plus en détail et de manière pratique les principales approches, «outils» et vision subjective de sujets tels que:



  • Mon «vĂ©lo» sur le thème de la modĂ©lisation des menaces (s'il y a une demande, car il y a assez de vĂ©los mĂŞme sans le mien);
  • (Pas) confiance et sĂ©curitĂ©;
  • Bug Bounty, comment nous le faisons et ce que nous recherchons;
  • Remarques sur les particularitĂ©s du marchĂ© russophone des spĂ©cialistes de la sĂ©curitĂ© de l'information après une longue expĂ©rience en tant qu'intervieweur;
  • Ce qui devrait conduire Ă  la sĂ©curitĂ©.

Si le matériel est entré - ajoutez, si l'échec - noyé dans les commentaires. Toujours heureux pour des commentaires constructifs, qu'ils soient positifs ou non.



Toute la gentillesse et une approche professionnelle équilibrée!


More articles:


All Articles