Lo que NO nos enseñan los casos de MTS, SDEK y KB Raduga o Imitation Security / Sudo Null IT News

Historia

MTS
En la mañana del 17 de marzo (2024), los servidores VDS dejaron de estar disponibles simultáneamente en dos centros de datos de CloudMTS: a las 03:30 en 1cloud.ru, a las 03:45 en oblako.kz
El servidor de oblako.kz entró en funcionamiento el 18 de marzo a las 22:25
El servidor de 1cloud.ru cobró vida el 23 de marzo a las 15:40
(Habr)

1 Gb – similar, 17 de marzo de 2024, cita:

Aproximadamente a las 7 de la mañana del 17 de marzo, la red de alojamiento fue sometida a un ataque de piratas informáticos agresivo y sin precedentes, cuyo objetivo era destruir completamente los datos en los servidores de nuestra empresa. Como resultado de las acciones de los atacantes, el servicio de alojamiento quedó paralizado y los datos y sistemas operativos de muchos servidores en funcionamiento quedaron irremediablemente destruidos. Desafortunadamente, en algunos casos también se destruyeron las copias de seguridad, aunque en la mayoría de los casos hay copias.

Escriben en los comentarios. desagradable.

SDEC
Del 26 de mayo de 2024 al 2 de junio de 2024, SDEK no funcionó.
¿Qué escribió SDEK? Cita:

Debido a una falla técnica, la aplicación y el sitio web de SDEK no funcionan actualmente y también es imposible recibir y emitir envíos en el punto de recogida. Fuente – Sitio web de SDEK

¿Qué tienen en común estos tres casos, posiblemente más?
Por supuesto, hay más de tres casos. Aquí hay una filtración de datos de organizaciones de préstamos/microfinanzas, una filtración de Russian Railways y una declaración reciente de Moscú IT de que no se estaba filtrando nada (ver Departamento de Tecnologías de la Información de la ciudad de Moscú_2023.csv.), y una nueva filtración de El sistema Spectrum IBD que garantiza la lucha contra el fraude de seguros de la Unión Rusa de Aseguradores de Automóviles (RUA) en caso de accidentes de tráfico de personas, cito:

Los datos sobre accidentes de tráfico de particulares contienen 58,6 millones de registros:

Todos tienen una cosa en común; todas las fugas y problemas terminan de la misma manera:
– la ausencia de cualquier indicio de que el hecho haya ocurrido,
– declaraciones que 6 En junio, estos datos serán revisados ​​por la junta directiva de SDEK durante una reunión extraordinaria para determinar los principios y enfoques para organizar la gestión de riesgos.. Fuente .
¿Considerado, aceptado, votado?
– la ausencia de conclusiones y recomendaciones públicas y también privadas. Además de los clásicos: haz el bien, no hagas el mal, lávate las manos, lávate los dientes, cámbiate los calcetines y las contraseñas todos los días. Y ni una palabra sobre el hecho de que no utilizan Anydesk previamente pirateado y no utilizan ningún sistema de almacenamiento de contraseñas en línea, también están pirateados.

Desde mi punto de vista, la situación es clara.
Si comienzas la investigación de verdad, podrás encontrarte a ti mismo.
Encuentra a aquellas personas que llevan años coordinando solicitudes de empleados sin llegar a contratarlos, razón por la cual el resto hizo algo y de alguna manera.
Llegue a aquellos RR.HH. que durante años no han querido ni quieren hacer su trabajo basándose en una evaluación real del mercado: qué cualificaciones valen, cuánto cuestan y por qué para contratar es necesario escribir los salarios directamente. en vacantes. MTS, por ejemplo, nunca empezó a hacer nada, ni siquiera después de la caída. El precio de las historias sobre la escasez de personal altamente calificado y mal pagado se ve inmediatamente.
Puede ponerse en contacto con todo el departamento de seguridad de la simulación. Lo más probable es que el departamento haya emitido 20 registros de capacitación sobre cómo cambiar contraseñas por contraseñas complejas y cambiarlas con la mayor frecuencia posible, idealmente dos veces por la mañana y una vez por la noche. O, como debe ser en la organización donde contratan para trabajar en el departamento de seguridad de simulación, dar instrucciones de que por la noche, al salir del trabajo, es necesario entregar el sistema de almacenamiento de contraseñas (tubo) y las contraseñas de un solo uso no utilizadas. para firmar en la sala de almacenamiento de contraseñas.

Desde hace muchos años no ha habido recomendaciones disponibles públicamente sobre el proceso de implementación de AppLocker, Windows Defender Application Control (WDAC), o al menos sobre el lanzamiento de las antiguas, probadas y fáciles de configurar Políticas de restricción de software (SRP). Por supuesto, si implementas al menos algo que funcione, ¿cómo puedes escribir artículos “oh, alguien hizo clic en algo”?
Por supuesto, puede tomar digsig de 2006 y llamarlo una abreviatura de moda.

También es una buena idea implementar cualquier antivirus ruso o alguna otra herramienta de seguimiento, que con cada actualización estropea algo nuevo, intentando interceptar lo que no merece la pena. Y luego repararlo heroicamente durante dos semanas.
¿O tal vez en Debian 10, es decir, Astra Linux Special Edition, además de los registros, ya se ha implementado la funcionalidad SRP? ¿O incluso la solución de contraseña de administrador local (Windows LAPS)?
O en algún lugar hay una descripción para Astra (y cualquier distribución que sustituya importaciones) sobre cómo hacer un /etc/sudoers correcto y utilizable, sin mencionar cómo hacer algo similar a PowerShell Web Access (PSWA) + CredSSP + SDDL ( Descriptor de seguridad) combinación de lenguaje de definición para Security.AccessControl.CommonSecurityDescriptor)?
O tal vez exista una solución para Linux (incluidas las que se anuncian como reemplazo casi completo de AD) para aquellos a quién le gusta almacenar contraseñas en Excel, similar a Active Directory Rights Management Services (AD RMS) ?
¿Qué hacer con el hecho de que la seguridad simulada, en principio, no entiende qué privilegio de depuración y Depuración del modo seguro del kernel ? sin mencionar la base de las bases: ¿HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL?
Y la misma pregunta sobre el tipo de virtualización rusa: ¿hay algo remotamente parecido a una descripción de su uso? Comando forzado SSH ?
Aunque, más recientemente, los expertos en seguridad de la información de un integrador, sin dudarlo, directamente sobre Habré sugirieron ignorar todas las recomendaciones de Microsoft y deshabilitar ipv6. Aunque parece (no estoy seguro) que se enteraron de la existencia de Preferir IPv4 sobre IPv6 en las políticas de prefijo, tal vez aprendan algo sobre krbtgt.

Si criticas, ¿haces sugerencias?
Habría algo que criticar. La idea de pasar a una imitación idéntica a la natural no viene de abajo ni del negocio. Está Gossopka, hay 187-FZ KII, hay 367 y 368 pedidos, hay 27001 GOST, hay muchos métodos. Incluso hay organizaciones que prohíben entrar por la puerta equivocada, con orgullosas leyendas: “Defensores de Internet de algo”. Existe todo un CEO-vet: el Consejo para el Desarrollo de la Certificación Profesional de Especialistas en TI dependiente de la Asociación de Empresas de Informática y Tecnología de la Información (APKIT).

Incluso hay masas de New Regs en Habré, que no sólo se lanzan a escribir artículos con “rrya vretiiii”, sino también New Regs, cuyos primeros y únicos comentarios son automáticamente alentados de inmediato. Habr es un medio de comunicación registrado oficialmente en la Federación Rusa, no se sorprenda.
No existe una documentación simple y clara de “así es exactamente como funciona”, recopilada en un solo lugar y legible.
Realmente no creo en las historias de los Novoreg con su “sí, todo funciona para mí, eres solo una red neuronal y odias a todas las personas”, no hay artículos sobre exactamente cómo y cuánto funciona “todo” para a ellos.
No existe un conjunto de software recomendado ni siquiera para el almacenamiento simple de contraseñas, en lugar de archivos de texto interminables, Excel general o contraseñas almacenadas individualmente. Hay 1,5 soluciones rusas para “muy caras”. Hay reseñas (ejemplo), pero no hay una sola reseña sobre “aquí lo usamos, así con LDAP, así con grupos, así con etiquetas, qué más hemos probado”. El mismo Bitwarden requiere una clave del desarrollador y no funciona con LDAP de forma gratuita. ¿Alguien ha analizado Vaultwarden? No lo parece.
No hay recomendaciones abiertas paso a paso sobre cómo diseñar y configurar un SOC interno (aunque no es nada complicado, trabajar en un mes-hombre)
No existe una funcionalidad descrita para implementar algo más complejo que sudo (aunque el mecanismo en sí existe en Linux).
Aunque… dadas las recomendaciones para algunos productos de “deshabilitar SELinux primero”, no confío en la capacidad de escribir siquiera instrucciones para ejecutar estos productos sin deshabilitar SELinux. Y todavía no tienes idea de cómo funcionará systemd 256 en las computadoras de escritorio.

Si hablamos de sistemas de almacenamiento de datos y su papel en la prevención del cifrado, de mecanismos como la programación de instantáneas + réplica de solo lectura, cuando se toma una instantánea de solo lectura en un sistema de almacenamiento de datos y no se puede eliminar de ninguna manera (me gustaría creer que es consistente, pero en el caso de Linux rusificado, ¿quién, me pregunto, desempeñará el papel de VSS?), que luego se puede replicar en otro sistema de almacenamiento; luego, muestre este punto en la documentación abierta para ruso. sistemas de almacenamiento, es solo replicación, bytes aquí y bytes aquí, ¿qué es tan complicado?
Sobre soluciones a nivel de IndexEngines o Crowdstrike o al menos simples y elementales FCM4 o Protección autónoma contra ransomware (ARP) Probablemente ni siquiera sea una pregunta.
¿Quizás sea hora de anunciar el año del programa nacional de restauración de la producción ARVID? ¿Para reemplazar LTO? Algo similar al IBM 726 se podrá hacer en un par de años en Mikron, donde ni siquiera se necesitan 1000 nm.
Aunque … en Rostec no pudieron tomar una foto de su nueva red analógica, cito:

Los desarrolladores nacionales han creado una computadora de placa única completa llamada MP21, ensamblada sobre la base del procesador Elbrus-2S3, dijeron a CNews representantes de la corporación estatal Rostec.
En el momento de la publicación del material, las fotografías del MP21 no estaban disponibles públicamente. Rostec rechazó una solicitud de sus fotografías. Fuente

cuanto podria costar
¿Cuánto puede costar el trabajo anterior?
escribir 50 (aproximadamente) instrucciones y guías básicas con imágenes,
montar un soporte de demostración para comprobar las instrucciones,
¿Recopilar distribuciones verificadas, o más bien códigos fuente, en un sitio, de modo que el ensamblaje se lleve a cabo en un circuito cerrado del cliente, y el cliente esté seguro de que estaba construyendo a partir de esta versión particular del código fuente?
¿Además de experiencia en implementación en 1 o 2 clientes, además de reentrenamiento desde simuladores de seguridad hasta seguridad de la información?
No hay nada nuevo en el procedimiento de formación, se trata de 10-12 cursos básicos sobre redes, sistemas operativos, seguridad e impacto empresarial, es decir, un curso de 10-12 semanas a 500 dólares por semana, más exámenes. SABSA, CompTIA, eCIR para los más pequeños.
No se necesita mucho para escribir instrucciones sobre los principios básicos y la implementación de prácticas de administración de sistemas. Las instrucciones tardan aproximadamente una semana en escribirse, si sabes qué escribir. Para escribirlo, se necesitan 3 personas; al mismo tiempo, una de ellas necesita solo 8 horas a la semana para escribir el índice (esqueleto) del borrador, la segunda es necesaria para escribir el borrador en sí y la otra. El tercero es necesario para formatear el borrador en una forma legible. Para comprobar las instrucciones se necesitarán otras 80 horas (totales) de trabajo de 2 especialistas de línea (2*40), por lo que podemos decir que el coste total de las instrucciones será:
8 * $100, total $800 – consulta senior (para todo el proceso)
40 * 50 $, total 2000 $: redactar un borrador y equiparlo con un aparato de referencia, desplegar soportes, verificar y agregar después de escribir.
40 * 25 $, total 1000 $ – diseño de instrucciones en una forma aún más legible y simplificada
80 * $10, total 800 – revisando instrucciones y corrigiendo errores.
Total de $5000 por instrucción, para 50 instrucciones sobre principios básicos: $250k.
Muy económico, comparable a la financiación a largo plazo de la promoción de nuevos registros con gritos de rrrr, y comparable (quizás más barato) con el precio de un par de conferencias en Skolkovo.

No existe nada de esto, lo que significa que no se necesita una verdadera seguridad de la información.

¿Qué en lugar de eso?
Como dijo uno de mis amigos ha fallecido – cita:

Del modo “Todo va según lo previsto”, los medios estatales pasan al modo “Las personas responsables están eliminando ciertas deficiencias”. El punto clave es que la “eliminación de deficiencias” debería ser enteramente mérito de las “personas responsables”. Sistema “personas responsables”. “Todo no salió según lo planeado, lo arreglaremos ahora”.

No reconocer una crisis como tal es el principal signo de una crisis sistémica. Es decir, el sistema no refleja sus problemas como sistémicos, no se realizan cambios en el mecanismo operativo. Y no los resuelve normalmente. Y, en general, sigue trabajando “según lo previsto y antes de lo previsto”

es decir, ahora el administrador del sistema, o un simple empleado de línea, siempre tiene la culpa. Quien presionó, abrió o malinterpretó la orden de la dirección.
Que en Roscosmos en 2022 dio 1,5 años de prueba a FreeRADIUSmientras que ni el jefe ni la seguridad de la información tuvieron nada que ver con ello.
Que en KB Raduga, los problemas no están en la falta de copias de seguridad, ni en el hecho de que en las computadoras locales hay DLP colgado, radica en basura muy importanteno es que el primer departamento no haya realizado un trabajo explicativo, sino que alguien se peleó con alguien.
Por supuesto que es más fácil de esta manera. Conócete a ti mismo, identifica a los enemigos del pueblo, incluso puedes hacerlo con Habré.

¿Qué debe hacer un empleado? Obviamente, lea literatura clásica:
Como valoras tu vida o tu razón aléjate del páramo.