Clever Geek Handbook

FinTech. E o que proteger?

Olá a todos,



Minutka deanona, meu nome é Anatoly Makovetskiy, sou o chefe da equipe de segurança da Exness.



Pedirei desculpas imediatamente àqueles que esperam ver um artigo técnico, ele não estará aqui. Além disso, o material descreve coisas que são tão óbvias à primeira vista que não é nem um fato que são, mas você pode me perguntar razoavelmente como fui contratado e quando vou parar de fingir que estou seguro (responda na foto abaixo do corte).







Eles dirigiram.





Imagem: Canal Telegram Information Security Memes (https://t.me/infosecmemes)



Meus anos anteriores na profissão foram moldados em empresas de tecnologia e, como especialista em segurança da informação, protegi ... informações (cap), embora espere se entenda, como é habitual em nosso setor, às vezes havia uma boa mistura de proteção de sistemas, sem uma grande diferença real, que tipo de informação eles contêm, quão importante esses sistemas são para os negócios, há algo mais importante agora e outras convenções.



Concordo, é tão legal na ausência de gerenciamento rigoroso, processos bem construídos, prioridades claras e outras alegrias, pular de sistema em sistema, encontrar belos bugs na superfície ou um pouco mais fundo com base na pesquisa recente ou experiência pessoal de outra pessoa, mostrando maneiras impressionantes de usá-los. Isso realmente permite que você construa um diálogo com outras equipes de TI e ganhe alguma credibilidade. Em algum lugar fui levado no lugar errado ...



Sim, isso mesmo, a verdadeira segurança da informação é baseada em processos, ISO, 27k nos dentes e foi arrancar o cérebro da TI e da alta administração, vamos contar tudo, vamos explicar tudo, justificar e mostrar, ninguém vai discutir, afinal, é necessário, mas nossos processos em campo ficarão melhores com a introdução do próximo padrão?



Na verdade, a mensagem é que você precisa tentar mudar para a ideia raiz, para uma proteção abrangente e equilibrada de ativos comerciais valiosos, e não para "corrigir" a segurança, caso contrário, ficará assim:





Foto: s.66.ru



You are me desculpe apenas por exemplos tão extremos em ambos os lados, eu entendo que isso não pode ser levado ao ponto, mas em minha própria experiência fui levado de um extremo a outro, exatamente como escrito acima, então espero profundamente que haja um público adulto decente aqui , e minha experiência é insignificante contra o seu pano de fundo, já que comecei com o artigo mais completo em suas piores manifestações, então suavemente através de TI passei para áreas práticas, então eu corri de um extremo a outro, vi aqueles que se sentaram nesses extremos ao meu lado, então eu não estava sozinho lá e vou notar uma coisa:



, , , , :


  • , ( ), , , , , ;
  • , - , , , , .


Ambas as abordagens têm seus lados positivos, uma vez que a atenção insuficiente a cada uma delas gera seus próprios riscos separados, mas a verdade está em equilíbrio, caso contrário, a segurança por uma questão de segurança é obtida em algum lugar perto do próprio cavalo esférico no vácuo. Aqui chegamos a mais uma evidência óbvia:



  1. Os oficiais de segurança da informação estão se afogando na necessidade de proteger tudo e todos, muitas vezes sem definir prioridades reais, e alegram-se com qualquer oportunidade de linchar publicamente alguém que franze a testa com orgulho para provar seu valor quando alguém viola um processo construído ou inacabado.
  2. Os guardas de segurança práticos geralmente se concentram em evitar vulnerabilidades em qualquer lugar, pois isso compromete potencialmente todo o ambiente, mas também tem lacunas de priorização, dando maior prioridade a um sistema mais vulnerável do que um mais sensível, mas menos * vulnerável.


Nota: *
, , , .



Muitas vezes contamos com a experiência de outra pessoa, com as prioridades de outra pessoa, que lemos em algum lugar, que nem sempre são incorretas e inadequadas, mas muitas vezes não são ideais o suficiente para condições específicas, da categoria Quick Start, que às vezes, no entanto, pode ser justificada quando mudas e pipas estão circulando, e obviamente melhor do que nada, mas o negócio, enquanto isso, vive por conta própria.



Aliás, como fica o diálogo entre negócios e segurança? Na minha opinião profunda, nós (seguranças) muitas vezes tentamos vender ao negócio o que ele não entende, o que ele realmente não precisa e o que não se aplica a ele, ou nem tentamos vender nada. Ou seja, nossa argumentação como representantes de segurança é baseada nas ideias e fundamentos de nossa própria indústria, da qual os negócios podem estar muito distantes, e precisamos motivar em uma linguagem clara e razoável, então o efeito será mais previsível, de longo prazo e o envolvimento dos negócios será maior. Em última análise, devemos ir para o negócio pelo orçamento, não importa o quanto queiramos que seja o contrário :)



Por que as empresas precisam de nós? Às vezes, a segurança é necessária para exibição, pois é simplesmente necessária. Deixemos esses casos e falemos de casos em que a segurança surge devido ao entendimento da necessidade dela. A empresa certa quer dinheiro para avaliar de forma abrangente os riscos potenciais com antecedência, para lidar com eles com antecedência, bem como para responder oportuna e efetivamente às ameaças que estão sendo realizadas, tirar conclusões delas para o futuro e se tornar mais forte. Ou seja, somos contratados para ajudar, mas como podemos ajudar?



Em primeiro lugar, você precisa entender como a empresa ganha dinheiro dessa forma, o que faz e pelo que se esforça e, em seguida, com todas as nossas forças para protegê-la. Se uma empresa cria galinhas que botam ovos e acabam nas mesas de pessoas gentis como alimento, então vamos proteger as galinhas, seus ovos, os processos ao seu redor e a maneira como são entregues às mesas. Se a empresa está envolvida em Big Data, então vamos proteger esse big data, computadores, dados brutos, algoritmos e tudo o que estiver conectado a ele.



Assim, com grande pena minha, apenas uma pequena parte dos colegas da loja, na realidade na prática chega à constatação da fraca eficiência de uma abordagem inconsistente com o negócio e à subsequente implementação de um modelo de trabalho de trabalho nas prioridades do negócio. E o que nos permite identificar ameaças reais? Isso mesmo, modelando-os.



Vamos nos afastar por um momento e imaginar o processo geral de modelagem de ameaças como eu o vejo:



  1. Definimos os bens valiosos da empresa, e os valiosos são aqueles cuja violação dos bens acaba por levar a perdas, segundo a experiência, que acabam por se resumir em financeiras, directa ou indirectamente, se se trata de uma empresa comercial. Aqui, via de regra, obtemos esta ou aquela informação, que devemos proteger por interesse próprio ou por motivos regulamentares. Não tive a chance de trabalhar em minas de ouro, talvez não haja informação em primeiro lugar.
  2. Classificamos os ativos mais valiosos para priorizá-los de alguma forma.
  3. , , , , , ( , - , , , , ).
  4. .
  5. , , , , , , .
  6. .
  7. , **, .


: **
. , , .., , , , , , , , , .



Então, antes, por experiência, sempre tive informações com o bem protegido, isso era o suficiente para construir proteção, mas quando vim para Exness e comecei a formar um modelo que leva em conta as peculiaridades locais, não pude deixar de sentir que faltava algo, que algo então o importante foi esquecido até que me ocorreu (sim, ria de mim, o impostor de segurança escrevendo este post e a obviedade do que está acontecendo):



"Há dinheiro em fintech."


Qualquer empresa tem dinheiro. Qualquer empresa, pelo menos mais cedo ou mais tarde, paga salário aos empregados, aluga escritório, exerce algum tipo de atividade económica e dá trabalho ao departamento de contabilidade, mas se resume a ter conta em banco, ou, para além de sistema de pagamento integrado no site, mas a fintech tem dinheiro de verdade, enquanto usuários externos trabalham com ele, e boa parte das operações com ele é automatizada. Opa ...



Agora, vamos imaginar que, além de um monte de informações relevantes para os negócios e outras informações protegidas, sim, incluindo créditos e chaves do Internet banking, que todos têm e também sobre dinheiro, você tem pelo menos dinheiro real de clientes que eles ganham para suas contas em seus sistemas. Ou seja, de fato, dentro dos sistemas, essa é a mesma informação que tudo ao seu redor, mas na verdade é o dinheiro que se transforma em informação e volta para os limites dos sistemas, mas você não deve tratá-los como informações comuns.



A imagem abaixo é um diagrama dos fluxos de informação de um de nossos produtos :)





Imagem: Série “DuckTales” Walt Disney Television Animation



Além disso, afastar-se do paradigma de que apenas protegemos as informações tornou possível entender outro tipo de recurso valioso que eu havia negligenciado anteriormente, mas está presente em todos, embora seja um tanto ambíguo - uma relação que pode ser uma parceria com um cliente / provedor de tráfego, ou com um provedor de serviços de comunicação / segurança / infraestrutura. Claro, antes eu sempre considerei isso implicitamente, mas no contexto da implementação de uma ameaça no vácuo, da categoria de Plano de Continuidade de Negócios e Plano de Recuperação de Desastre, e aqui se transformou em um ativo plenamente consciente que vale a pena identificar e proteger, o que amplia nossa cobertura, então como começamos a nos mover neste sentido não apenas a partir de ameaças conhecidas, mas também do próprio ativo, como de um objeto potencialmente exposto a ameaças desconhecidas, mas não é isso agora.



Se você olhar mais de perto, verá o dinheiro de todos os lados:



  1. No mínimo, existe a mesma atividade econômica que em qualquer outra empresa.
  2. Existem produtos que estão relacionados com a movimentação financeira e a velocidade de sua execução, que contêm a lógica real de entrada e saída de fundos, ou seja, o dinheiro não pode ser retirado para um cofre distante e apenas dado uma olhada nele uma vez por dia após uma cerimônia especial com "reverências" e “despir-se” completo. Eles precisam ser conduzidos em sistemas e, quanto mais rápido, melhor para os negócios, muitas vezes.
  3. Há uma grande quantidade de diferentes sistemas de pagamento e outras ferramentas, cada um com sua própria implementação de recursos de interação, restrições e integração.
  4. Existe uma infraestrutura na qual os produtos operam.
  5. , ; , ; , ; , - .
  6. , .


Como resultado, existe um grande número de junções de ativos, sistemas, usuários, funcionários, parceiros, processos e, via de regra, recebemos as principais ameaças nas juntas, e junções adicionais criam novas ameaças.



Tudo isso significa que na raiz estão não apenas informações ou dados que são familiares aos oficiais de segurança da informação, mas também ativos de um tipo diferente, como dinheiro, que, dada a escala de "desastre", é muito difícil de transferir exclusivamente para informações e dados que são familiares a todos nós. A implementação de uma ameaça contra algum tipo de informação familiar nem sempre leva a danos e, no caso de dinheiro, cada transação tem um valor mínimo conhecido e inequívoco, especialmente quando estamos falando de sua passagem bastante rápida, que só pode aumentar com a natureza da ameaça.



Ou seja, no caso de internet banking ou cripto-carteiras, você tem créditos / segredos / chaves para acessá-los (resumidos pela palavra “segredos”). Segredos são informações, mas também existem processos, procedimentos e cerimônias para trabalhar com eles, e um círculo relativamente estreito de pessoas para trabalhar com eles. Aqui, também, o conceito de proteção de informações não quebra, mas quando passamos para o estágio de passar a lógica de pagamento direta ou indiretamente por tudo ao redor, bem como para “espalhar” dinheiro em diferentes produtos e sistemas, a situação se torna muito mais complicada :)



No final, a única coisa que devemos esperar é nossa conexão com os negócios e nosso bom entendimento sobre eles, o que se traduz em uma certa experiência interna, que podemos e devemos bombear continuamente e imediatamente transferir para um modelo de ameaça real, que por sua vez devemos impor as características de nossos sistemas, a fim de evitar a ruptura e casualidade e, como resultado, a falta de sentido em todo o nosso trabalho.



Perdoe-me que haja tantas palavras sobre um pensamento tão curto, mas gostaria que todos nós na indústria de segurança da informação pensássemos mais uma vez sobre o que e como fazemos, e se essa oportunidade nos for dada, faça tudo certo, para que todas as etapas foram coordenados uns com os outros, e se tal oportunidade não for dada - lutar por ela, se valer a pena, caso contrário estaremos sempre vários passos atrás dos atacantes, pois normalmente eles conhecem bem os seus objectivos e os seguem, ao contrário de nós.



Se este material não falhar por completo, então tentarei revelar de forma mais detalhada e orientada para a prática as principais abordagens, “ferramentas” e visão subjetiva de tópicos como:



  • Minha “bicicleta” no tópico de modelagem de ameaças (se houver demanda, já que há bicicletas suficientes mesmo sem a minha);
  • (Não) confiança e segurança;
  • Bug Bounty, como o fazemos e pelo que nos esforçamos;
  • Observações sobre as peculiaridades do mercado de língua russa de especialistas em segurança da informação após uma longa experiência como entrevistador;
  • O que deve impulsionar a segurança.

Se o material entrou - acrescente, se a falha - afogue nos comentários. Sempre feliz pelo feedback construtivo, seja ele positivo ou não.



Toda gentileza e profissionalismo equilibrado!


More articles:


All Articles