Одна из моих первых встреч с Адамом случилась в Microsoft, когда он изобретал новый способ решения проблемы. В данном случае речь шла о том, как победить червя Conficker (https://en.wikipedia.org/wiki/Conficker). Conficker был особенно неприятной вредоносной программой, которая появилась в конце 2008 года. У нее было несколько способов распространения (таких как «векторы»), включая взлом слабо защищенных паролем файловых ресурсов, исправление уязвимостей программного обеспечения, а также через USB-накопители с помощью встроенной функции автозапуска Windows. Conficker заражал миллионы машин в год и не проявлял никаких признаков ослабления. Вендоры антивирусных программ легко обнаруживали его, и Microsoft выпустила несколько статей о том, как остановить ее распространение, но она все равно делала свое дело.
Шостак предложил для изучения проблемы использовать анализ данных. Он совместно с Microsoft начал смотреть, какие векторы атаки позволяют Conficker распространяться больше всего. Первоначальное предположение состояло в том, что большинство пользователей инфицированных компьютеров не применяли доступный патч. И это действительно было одним из самых популярных векторов на раннем этапе. Но теперь, почти два года спустя, Шостак узнал, что в значительной степени это происходило из-за зараженных USB-ключей. Используя данные, которые собрал сам, он предложил Microsoft отключить функцию автозапуска, что было гениальным решением. Это означало изменение способа работы Windows, и Адам собирался заставить всех пользователей совершать дополнительные действия для запуска файлов со съемных носителей. Автозапуска больше не было. Microsoft выдвинула обновление, которое отключило эту функцию. Так умер Conficker. Точнее, не совсем умер, но перестал быть огромной проблемой. С тех пор распространение вредоносных программ через USB-ключи перестало быть проблемой в целом.
Подход Шостака и Microsoft к использованию данных для управления безопасностью оказал на меня огромное влияние. Благодаря этому я написал то, что считаю самой важной своей работой, – Implementing a Data-Driven Computer Security Defense (https://gallery.technet.microsoft.com/Fixing-the-1Problem-in-2e58ac4a), которая с тех пор была рекомендована для чтения многими отраслевыми светилами и группами.
Позже я прочитал книгу Шостака Threat Modeling: Designing for Security (https://www.amazon.com/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998). Было ясно, что он действительно понимает моделирование угроз и ошибки в других моделях и реализациях. Это по-прежнему одна из лучших книг, которые я рекомендую людям, заинтересованным в моделировании угроз. Шостак работал в Microsoft, помогая с несколькими проектами, вроде отключения автозапуска, чтобы остановить вредоносные программы, такие как червь Conficker, инструмент моделирования угроз SDL (https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx) и повышение привилегий моделирования угрозы (https://www.microsoft.com/en-us/sdl/adopt/eop.aspx). Он стал соучредителем Симпозиума по технологиям повышения конфиденциальности и Международной ассоциации финансовой криптографии. Кроме того, он хороший писатель, блогер и спикер.
Я спросил Адама о приходе в сферу ИБ. Он рассказал: «Я работал системным администратором в медицинской исследовательской лаборатории, и безопасность была частью моих обязанностей. Это было в 1993–1994 годах. Я начал читать несколько ранних рассылок в Интернете, например про оригинальные брандмауэры и рассылки киберпанков. Среди них были разные интересные люди, которые говорили любопытные вещи. Я начал участвовать в этом и узнал, что могу внести свой вклад в обсуждение. Моя следующая работа была больше ориентирована на безопасность. Я стал консультантом в Бостоне. Это случилось в то время, когда произошел взлет Интернета. Таким образом, знания в области безопасности и возможность внести свой вклад в развитие интернет-безопасности действительно помогли. Я смог найти недостатки в нескольких продуктах, и это повысило мою репутацию».
Я попросил его рассказать об этом подробнее. «Я нашел уязвимость в ключе. Это был предшественник RSA Secure ID, прежде чем он был куплен RSA. Недостаток был в том, что информация из предыдущего сообщения использовалась для защиты следующего, что делало ключ, который связывал их, предсказуемым и легко подделываемым».
Я спросил, как он занялся общими уязвимостями и воздействием (CVE), словарем общеизвестных уязвимостей и воздействий информационной безопасности. Он ответил: «Одним из моих клиентов была компания Fidelity Investments. Их код безопасности был таким, как в Microsoft 15 лет назад. Я все еще принимал активное участие в составлении интернет-рассылок, делился идеями и получал обратную связь. Я всегда буду благодарен, что руководители позволили мне это сделать, потому что не все начальники и компании разрешают своим сотрудникам использовать такой тип обмена информацией. В Fidelity я столкнулся с венчурным капиталистом, который владел частью компании по сканированию уязвимостей, и подумал, что это интересно, поэтому перешел туда. Мы были очень конкурентоспособны с тем, сколько уязвимостей могли обнаружить. Я работал над новой уязвимостью fingerd и не мог сказать, обнаружил ли один из продуктов нашего конкурента ту же уязвимость или нечто другое. В то время информация об уязвимостях была недоступна, как и поисковые системы. Найти информацию было не так легко, как сегодня. Я начал задаваться вопросом, как можно поговорить с другими пользователями ПО о том, какие уязвимости мы нашли или упустили, и эти размышления привели меня к мысли о том, как общаться с системными администраторами, чтобы они могли идентифицировать различные уязвимости и выяснить, исправили их или нет. Нам нужна была система, помогающая объединять разные типы людей, чтобы говорить об одних и тех же вещах на одном языке и понимать друг друга. Решением стал CVE».
Я спросил Шостака, чем он, в частности, способствовал моделированию угроз. Он немного поколебался, а затем ответил: «Я слушал людей, которые говорили мне, что что-то не работает. Некоторые пытаются объяснить, почему это не работает, но я считаю, что такие неполадки нужно менять. Например, если кто-то открывает электронное письмо и постоянно заражается, даже если вы просите не открывать ненадежные послания, проблема заключается в системе, а не в пользователе. Мы должны разработать системы, которые учитывают то, что делают люди, потому что они делают это правильно. Я читаю о системах безопасности самолетов, потому что в этой сфере, в отличие от ИБ, подробно анализируют неудачи. Даже если все, что у них есть, это инцидент с близким промахом, есть форма, которую любой пилот может заполнить и отправить в главный офис. Там их собирают и изучают. Управление может увидеть распространенные ошибки, даже если сначала те выглядят как человеческие оплошности. Они могут отправить рекомендацию производителю радио и рассказать, как исправить проблему, добавив, например, освещение, или поведать конкретному аэропорту (или группе аэропортов), как избежать проблемы с освещением взлетно-посадочной полосы. Это безупречный анализ первопричин. Поле ИБ не анализирует причины так же хорошо, поэтому мы в итоге повторяем одни и те же ошибки снова и снова, и для разработки лучших систем требуется больше времени».
Я закончил интервью, спросив, что бы он порекомендовал молодым специалистам в области ИБ. Он ответил: «Две вещи. Во-первых, я думаю, что студенты могут извлечь выгоду путем изучения гуманитарных дисциплин (психологии, философии и др.). В начале карьеры я изучал науку об окружающей среде. Я узнал, что на проблемы экологии влияют политические, правовые и экономические проблемы, и, если их не решить, невозможно помочь экологии. То же самое с ИБ. Конечно, есть технические вопросы, но вы должны понимать политические, юридические и экономические аспекты, если хотите решить технический вопрос. Это не просто проблема с брандмауэром. Кроме того, научитесь писать. Во-вторых, приобретаемые вами технологические навыки не так важны, как умение думать. Технологические проблемы, с которыми я столкнулся, когда впервые вошел в это поле, даже не близки к современным. Мир ИТ постоянно меняется. Но подход, который я использую, остается прежним. Я стараюсь смотреть на крупные проблемы и спрашивать себя, почему они возникают. Я хочу найти проблему с широким диапазоном, но сузить фокус достаточно, чтобы ее решить. Вы не можете сразу справиться с крупными проблемами. Читатели должны выбрать правильные проблемы, значимые для них, задать правильные вопросы, а затем найти рычаги, которые могут использовать, чтобы повлиять на них».
Информация об Адаме Шостаке
Более подробную информацию об Адаме Шостаке смотрите по ссылкам:
• Threat Modeling: Designing for Security: https://www.amazon.com/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998;
• The New School of Information Security (в соавторстве с Эндрю Стюартом): https://www.amazon.com/New-School-Information-Security/dp/0321814908;
• веб-сайт Адама Шостака: https://adam.shostack.org/;
• Адам Шостак в Twitter: http://twitter.com/adamshostack;
• профиль Адама Шостака на LinkedIn: http://www.linkedin.com/in/shostack/.
41. Обучение информационной безопасности
Один совет, который дал почти каждый человек, о котором мы говорили, – это необходимость более качественного образования в области ИБ. Нет никакой уверенности в том, что некое совершенное технологическое решение, которое исключит необходимость рассказывать людям об угрозах ИБ и о том, как с ними обращаться, вскоре будет найдено. Некоторые «эксперты» по ИБ утверждают, что это пустая трата времени – пытаться обучить конечных пользователей, но большинство серьезных специалистов по безопасности знают, что образование для конечных пользователей и сотрудников принесет только пользу.