Get best of the week

Wir setzen bei den Audits Stöcke in die Räder ein oder wie man das IS-Audit für den Auditor so unangenehm wie möglich macht

Hallo Habr! Nach 9 Jahren in Sicherheitsprüfungsprojekten hinter mir möchte ich unerträglich das Buch „1000 und 1 Versuch, den Prüfer auszutricksen“ nehmen und schreiben. Ich beginne vielleicht mit dem ersten Kapitel - ich werde schlechte Ratschläge geben, wie man das Audit „erfolgreich“ besteht, nachdem ich die Mindestanzahl an Kommentaren vom Auditor erhalten habe.

Warum führen Unternehmen ein Audit zur Informationssicherheit durch? Es kann mehrere Gründe geben:

  • eine objektive Einschätzung des Zustands der Informationssicherheit (für sich selbst) zu erhalten;
  • weil die Prüfung obligatorisch ist (für Aufsichtsbehörden);
  • weil das Audit von Partnern oder der übergeordneten Organisation (für andere) verlangt wird.

Jede dieser Arten von Audits verfolgt das wichtigste positive Ziel - das Unternehmen durch Lokalisierung aktueller Probleme zu verbessern. Die meisten unserer Kunden sind an der effektiven Durchführung solcher Arbeiten interessiert. Manchmal gibt es jedoch Fälle, in denen das Kriterium für den Erfolg des bestellten Audits das Fehlen identifizierter Probleme im Auditbericht ist (falls vorhanden). Die Gründe sind unterschiedlich, aber die häufigsten sind die folgenden.

  • Das Audit wird von einer höheren Organisation „auferlegt“.
  • Das Versäumnis der Prüfung (z. B. PCI DSS) führt zu Sanktionen durch die Regulierungsbehörden
  • Der IB-Dienst hat Angst, eine "Kappe" von der Führung zu bekommen.

In all diesen Fällen wird die regelmäßige Prüfung zu einem Schlachtfeld, auf dem das Unternehmen versucht, die maximalen Grenzen einzuhalten, ohne "Übermaß" zu zeigen, und die Arbeit des Prüfers wird eher zu einer Detektivgeschichte.

PS Unter dem Schnitt aufgeführt ist keine Fiktion, all dies ist passiert und tritt gelegentlich bei realen Projekten auf.


Vorbereitungen für ein Audit


Wir schulen Mitarbeiter - wir bringen Ihnen bei, was Sie sagen und was Sie nicht zeigen sollen


Der Schlüssel zu einer erfolgreichen Sabotageschulung des Personals (insbesondere im Zusammenhang mit künftigen Feindseligkeiten) ist eine gründliche Vorschulung. In der Regel richtet es sich an:

  • Sensibilisierung für die aktuellen Waffen des Auditors, seine Techniken, Techniken und Schmerzpunkte;
  • Entwicklung und Verbesserung der Teamfähigkeiten beim Verschleiern, Verbergen von Spuren sowie beim Honen der „Switchman“ -Technik.

Je weniger Informationen der Prüfer herausfindet, desto weniger Unstimmigkeiten werden offensichtlich festgestellt, und wo es nur wenige Unstimmigkeiten gibt, gibt es nur wenige Probleme (und Arbeit). Dies bedeutet, dass das maximale Ziel des geprüften Unternehmens darin besteht, mögliche Problembereiche (Informationssysteme, einzelne Elemente der IT-Infrastruktur usw.) zu verbergen, indem Spezialisten darin geschult werden, was gezeigt werden kann und was nicht.

Oft müssen wir über die Durchführung solcher Schulungen durch indirekte Zeichen raten, aber es gibt auch ärgerliche „Einstiche“. Während eines PCI-DSS-Konformitätsaudits druckte eine der Banken beispielsweise ein Netzwerkdiagramm für uns in einem Entwurf aus, und auf der Rückseite befand sich ... ein Brief des IS-Dienstes mit einem detaillierten Memo zu Systemen, die natürlich angezeigt werden können, diesmal jedoch nicht. Die Schaltfläche Weiterleiten im Mail-Client ließ auch erfahrene Kämpfer wiederholt im Stich, wenn zusammen mit Audit-Zertifikaten (Screenshots / Uploads) interne Vereinbarungen zu uns flogen.

Funktioniert dieser Trick? Schlecht: Wir verwenden verschiedene umfassende Kontrollen - und harmonische Vereinbarungen beginnen zu „bröckeln“.

Vorläufige Informationsanfrage ignorieren


Jede Prüfung beginnt mit einer vorläufigen Informationsanfrage: Die Prüfer versuchen im Voraus herauszufinden, wie das Unternehmen lebt und wie seine Prozesse strukturiert sind, um Besprechungen und deren Dauer optimal zu planen. Daher ist es eine wichtige Aufgabe dieser Phase, die rosa Träume der Prüfer über eine einfache Prüfung zu zerstören. Das Szenario eines perfekten ersten Termins mit einem Unternehmen sollte unerwartet sein. Wir verwenden die folgenden bewährten Argumente:
  • "Der Auftakt ist nichts für uns, Zettel können später gelesen werden."
  • "Wir haben immer noch nichts, die Wahrheit ist die Wahrheit (nicht die Wahrheit)."
  • "Wir haben alles auf dem Portal, wir werden jetzt schnell (in zwei Wochen) einen Account erstellen, kommen und lesen."

Es gibt viele Beispiele, ein Ergebnis: Viele müssen vor Ort behandelt werden, um bereits während des Audits neue Dinge zu entdecken. Ist eine solche Taktik erfolgreich? Nein, Sie müssen nur mehr Zeit "Überstunden" verbringen.

Nur einmalige Pässe, nur Hardcore!


Ein guter Morgen beginnt mit einem Kaffeepass . Ein weiterer großer Trick besteht darin, den Feind im Voraus zu demoralisieren. Wir stehen früh auf, stellen uns an der Rezeption oder im Passbüro an und malen einen Stift. Wenn Sie die Serie und Nummer Ihres Reisepasses noch nicht kennen, werden Sie sich jetzt definitiv daran erinnern.

Manchmal gibt es völlig verbotene Tricks. Voraussetzung für die Zulassung eines Kunden zum Standort war beispielsweise die Entwicklung von Vorschriften für dessen Bereitstellung. Wer brauchte Zugang? Uns! Also haben wir geschrieben, wie wir es erhalten und mit wem wir uns abstimmen sollen.

Führen solche "Schwierigkeiten" zu irgendetwas? Natürlich nicht: Wir lieben es, früh aufzustehen (wenn wir noch ins Bett gehen).

Das Projektmanagement komplizierter gestalten


Sie brauchen - Sie organisieren. Harte Version für erfahrene




Ein weiterer wichtiger militärischer Trick: Die Verantwortung für die Organisation aller Treffen auf die erfahrenen Schultern des Projektmanagers zu verlagern.
„Hier ist das Portal, hier ist das Telefon - vereinbaren Sie selbst Treffen. Der Bericht kann hier an diese Adresse gesendet werden, nur mit allen per Post einverstanden sein. “
Das Ergebnis lässt in der Regel nicht lange auf sich warten: Aufgrund des Fehlens eines Kurators haben Spezialisten nie Zeit für Besprechungen.

Ein guter Versuch, die Fristen zu verschieben, aber er funktioniert schlecht mit unseren Managern und einem eingebauten Eskalationssystem :-).

Wir haben es versucht, aber es ist uns nicht gelungen. Leichte Version für Anfänger


Mehr teerloser Honig. Wir machen den Zeitplan so unangenehm und unvorhersehbar wie möglich. Der ideale Tag des Auditors auf der Website sollte folgendermaßen aussehen: ein Gespräch für eine Stunde um 9.00 Uhr, dann für 30 Minuten um 13.00 Uhr und das nächste um 18.00 Uhr. Informationen zu den für den nächsten Tag geplanten Sitzungen werden ausschließlich um 23.55 Uhr gesendet. Je mehr Chaos herrscht, desto höher ist die Wahrscheinlichkeit, dass Prüfer den Ausdruck eines Briefentwurfs mit interner Schulung vergessen .

Der Auditor muss flexibel sein, daher besteht ein weiterer Life-Hack darin, die Interviews direkt am Tag des Meetings auszutauschen. Der Interviewplan selbst folgt immer einer bestimmten Logik. Beispielsweise wird zuerst die Funktionalität des Systems untersucht und anschließend seine Komponenten überprüft (DBMS usw.). Aber das ist Sparta, und Logik ist für Weicheier, weil:
"Wir wollten am Freitag mit dem DBA mit Ihnen sprechen, aber unser Spezialist hatte 15 Minuten Freizeit, er wird jetzt kommen."
Wird der Feind besiegt? Nein, das sehen wir oft und können damit umgehen.

Fotografie-Audit - Das ehrlichste Audit


Wir erhöhen die Erfolgschancen. Wir verwandeln das Audit vor Ort in ein Dokumentar-Audit. Merken:
„Es ist falsch, Menschen von der Arbeit abzulenken. Wir haben hochqualifiziertes Personal, das alles ausfüllt und Screenshots anfügt. Senden Sie die Fragebögen. "
Es ist unmöglich, für alle Fälle einen universellen Fragebogen zu erstellen. Abhängig von den Antworten führt der Prüfer das Gespräch immer auf unterschiedliche Weise. Das Problem detaillierter Fragebögen liegt in der mangelnden Flexibilität: Je mehr Fragen sie enthalten, desto weniger besteht der Wunsch, sie detailliert zu beantworten. Daher sieht eine solche Prüfung in der Regel wie folgt aus:

  • Vorbereiten einer Reihe von Fragebögen mit einem Memo zum Ausfüllen.
  • Eine große Menge unstrukturierten Materials erhalten (jeder kann die Frage auf unterschiedliche Weise verstehen).
  • Telefone mit Spezialisten zur Klärung von Informationen.
  • Aus all dem Material ein harmonisches Bild machen.
  • Sorgen Sie für einen neuen Kreis der Verfeinerung.

Wurde das Ziel des Unternehmens, die Qualität zu reduzieren, erreicht und ist es möglich, den Feind zu demoralisieren? Nein, wir rufen gerne an und überprüfen noch mehr, was sie uns geschickt haben.

Ein Interview führen


Das Theater beginnt mit einem Kleiderbügel - wir wählen die besten Orte für Gespräche


Wenn Sie sich immer noch nicht wehren können und Besprechungen mit Auditoren nicht vermieden werden können, finden Sie hier die TOP der besten Orte, um ein Interview zu führen. Auditoren werden es auf jeden Fall mögen - danke nicht.

  • Auf dem Spielplatz in der Nähe des Pilzes.
  • Im Toilettenraum in einen zusätzlichen Schaltraum umgewandelt.
  • Im Auto (nachts).
  • Im Esszimmer.

Tatsächlich gibt es viel seltsamere Orte, an denen wir das Interview geführt haben. Aber dann muss man damit leben. Im Allgemeinen ist dies sogar noch interessanter, daher ist dies eher ein Plus als ein Minus.

Bist du nicht eine Stunde Spion?


Während des Audits sollte jeder Mitarbeiter des Unternehmens auf der Hut sein: Was ist, wenn es sich um Social Engineering handelt und anstelle eines Auditors ein Spion zu uns gekommen ist? Die Berechnung eines Spions ist einfach - lassen Sie ihn unerwartet in der folgenden Reihenfolge anzeigen:

  • NDA für das Unternehmen, in dem der Wirtschaftsprüfer arbeitet;
  • persönlicher NDA-Auditor mit Ihnen;
  • Arbeitsausweis;
  • eine Kopie des Arbeitsbuchs;
  • ein Brief, den der Firmenchef gebraut hat;
  • Reisepass.

Erst dann "militärische Geheimnisse" preisgeben. Ich habe keine Kopie der Arbeit bei mir - nun, ich muss erneut ein Treffen vereinbaren.

Der Empfang ist selten, er funktioniert einwandfrei für genau eine Besprechung, dann werden alle Dokumente schnell in der richtigen Anzahl von Kopien gesammelt.

Wir nehmen in großen Mengen oder je mehr, desto interessanter (nein)


Wie kann man ein Geschäftstreffen so nutzlos wie möglich machen? Das Rezept ist einfach: Wir öffnen jeden Artikel im Internet über effektive Besprechungen und verwandeln nützliche in nicht nützliche:

  • Entscheiden Sie sich immer im Voraus für die Tagesordnung. Informieren Sie Kollegen niemals über den Zweck des Meetings. Sagen Sie, dass dies PRO SECURITY ist und dass Sie von den benötigten Personen angesprochen werden (haben Sie Gänsehaut gespürt?).
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

Die Organisation solcher Meetings ist nicht ungewöhnlich (obwohl der Kunde immer auf solche Momente spricht), und wir verlassen die Situation auf unterschiedliche Weise, um alle Experten in das Gespräch einzubeziehen und sie nicht langweilen zu lassen.

Funktioniert? Schlecht, aber ein guter Versuch.

Wir spielen Danetka, oder ich werde diese Melodie aus einer Note erraten




Wir aktivieren die Geheimwaffe - wir erinnern uns an die Spielregeln in Danetka.

Die Aufgabe des Mitarbeiters: die psychologische Folter der Prüfer zu minimieren, sie zu zwingen, Fragen richtig zu formulieren, damit sie nur mit „Ja“ oder „Nein“ beantwortet werden können.

Die Aufgabe des Auditors: Um zu erraten, warum ein Mann die Bar betritt und um ein Glas Wasser bittet, nimmt der Barkeeper plötzlich eine Waffe heraus und richtet sie auf den Mann. Der Mann sagt "Danke" und hinterlässt die Antworten auf seine Fragen:
- Welche Mittel zur Automatisierung des Anwendungsmanagements verwenden Sie?
- Ja!
- Welche Virtualisierungstechnologien werden im Unternehmen eingesetzt?
- Alle!

Es ist äußerst schwierig, solche Audits durchzuführen, Informationen müssen in Körnern eingeholt werden. Ich liebe dieses Spiel.

Zensur hinzufügen


Haben Sie gedacht, dass Zensur ein System der Überwachung des Inhalts und der Verbreitung von Informationen, Drucksachen, Musik- und Bühnenwerken und anderen Dingen ist? Nein. Censorship ist ein Informationssicherheitsbeauftragter, der rechtzeitig hinter dem Rücken des Abschlussprüfers entlarvt wird. In einem so wichtigen Ereignis wie einer Prüfung gibt es keinen Platz für die Vorstellungskraft und Spekulation des Abschlussprüfers. Deshalb:
"Das ist nicht falsch mit uns, Sie haben es falsch verstanden und Ihre Fragen sind falsch."
Die Aufgabe des Zensors ist es, dem Mitarbeiter zu helfen, die Prüfung nicht zu bestehen. Die Hilfe kann Folgendes umfassen:

  • Wir filtern die „falschen“ Fragen nach unserem Geschmack heraus. Wir appellieren an die Grenzen der Prüfung oder an Fragen, die nicht oder nicht inhaltlich behandelt werden.
  • Wir sind für die geprüfte Stelle verantwortlich (plötzlich vergaß er, was sie vorher mit ihm zu verhandeln hatten).
  • Wir schauen in die Notizen des Abschlussprüfers und geben Kommentare ab.

Surrealismus? Er ist. Eine solche Erfahrung gab es jedoch auch in unserer Praxis. Ehrlich gesagt: Es hat sich beim Kunden als schlecht herausgestellt, obwohl die Idee Feuer ist!

Wir gehen in einem Zyklus und übersetzen die Pfeile


Es ist wichtig, den Feind zu verwirren, damit er keinen gefährlichen Prüfbericht erstellen und Ihnen Schaden zufügen kann. Eine andere Atomwaffe wie Danetka. Schreiben Sie eine universelle Formel auf.
Arbeiter N: "Ich weiß das nicht, ich bin Arbeiter N, ein anderer Arbeiter N + 1 weiß das."

Mitarbeiter N + 1: "Ich bin ein Mitarbeiter von N + 1, Sie wurden getäuscht, dies ist der Verantwortungsbereich von Mitarbeiter N".

IS-Mitarbeiter: „Leider haben wir keine freien Plätze mehr für die Mitarbeiter N und N + 1. Sie müssen mit den Informationen arbeiten, die es gibt.“
Es ist schwierig, in diesem Modus zu arbeiten, was bedeutet, dass das Ziel erreicht wurde? Nein, es ist möglich und notwendig zu kämpfen: Wir rufen Spezialisten an, führen Sitzungsprotokolle und so weiter.

Halten Sie die Maus gedrückt, ich bin weg, oder wenn Sie das System besser kennenlernen möchten, machen Sie es selbst!


Jeder Wirtschaftsprüfer ist ein Spezialist mit Großbuchstaben. Er muss also in Abwesenheit absolut alle Technologien kennen, die Sie auf Administratorebene verwenden, in der Lage sein, den Linux-Kernel in 5 Minuten neu zu erstellen und Ihr SAP auswendig zu kennen. Daher ist der beste Weg, ihn nervös zu machen, ihn „steuern“ zu lassen. Lassen Sie ihn die Architektur Ihrer Systeme verstehen, die im Laufe der Jahre aufgebaut wurde. Sie können einfach als nächstes sitzen und die Klappe halten.

Übrigens funktioniert es nicht sehr gut, weil wir oft wissen, wie man „lenkt“, aber während des Audits wird auch die Kompetenz des Personals bewertet. Infolgedessen können wir den Schluss ziehen, dass Spezialisten ihre Systeme nicht kennen.

Schnell korrigiert - das heißt, es gab keine


Kennen Sie die Fünf-Sekunden-Regel? Großartig, verwenden Sie es auch für Audits. Lenken Sie den Auditor ab und nehmen Sie mutig Änderungen an den Sicherheitseinstellungen vor. Oder lenken Sie überhaupt nicht ab und bringen Sie es mit: Sie haben es schnell korrigiert - das heißt, es gab es nicht. Sie können nicht erklären - funktioniert nicht.

Wir erschweren das Verfahren zur Erlangung von Zertifikaten


Wir haben streng geheime Informationen


Eine beliebte Technik, problemlos, wie ein Kalaschnikow-Sturmgewehr. Alle entwickelten Dokumentationen sind geistiges Eigentum. Alle Netzwerkgerätekonfigurationen sind ein Geschäftsgeheimnis. Um die erforderlichen Informationen zu studieren, lassen Sie die Auditoren an einem bestimmten Arbeitsplatz arbeiten, schalten Sie das Internet aus und deaktivieren Sie Flash-Laufwerke. Lassen Sie es entweder alles, was Sie brauchen, auf Papier umschreiben oder entpersönlichen und die Datei auf dem Desktop belassen, und Sie belassen bereits die gewünschte Datei in der Datei nach Ihrem Geschmack. Lassen Sie die Dokumente vom Prüfer in gedruckter Form lesen.

Unabhängig davon werden mehrere Fälle zurückgerufen.

  • Irgendwie wurde die Konfiguration der Netzwerkausrüstung auf einem Paar Snegurochka-Packs ausgedruckt, ohne die Erlaubnis, Material von der Site zu entfernen.
  • Ein anderes Mal mussten wir jeden angeforderten Screenshot begründen.
  • Bei einem anderen Projekt konnten alle Zertifikate nur auf Papier übertragen werden.

Jemand protestierte vernünftigerweise: Wahrscheinlich hatten diese Unternehmen ein striktes Regime von Geschäftsgeheimnissen? Nein. Er war überhaupt nicht.

Wird es helfen, die Qualität der Arbeit irgendwie zu verringern? Fraglich. Wir haben keine solche Erfahrung: Zum Beispiel das Erstellen eines Berichts über den VDI des Kunden mit einem geschlossenen Puffer, Ports und dem Internet mit dem Erhalt von Zertifikaten auf einer mit einem Kurier gekennzeichneten CD. Wie gefällt es dir, David Blaine?

Mit der Magie eines grafischen Editors




Wie die große Sonne Tzu in Die Kunst des Krieges sagte:
„Krieg ist ein Weg der Täuschung. Wenn Sie also etwas tun können, zeigen Sie dem Feind, dass Sie es nicht können. Wenn du etwas benutzt, zeig ihm, dass du es nicht benutzt. "
Im Krieg sind alle Methoden gut, daher erhöht die Verwendung eines Grafikeditors Ihre Gewinnchancen. Bei all den "unbequemen" Beweisen in Ihren Händen bleibt es, vor dem Senden ein wenig Make-up mitzubringen. Dieser Vektor hat eine geringe Chance, wenn er Informationen aus der Ferne oder einen schlechten Auditorenspeicher anfordert. Weniger: Es stellt sich als unangenehm heraus, wenn der Prüfer beschlossen hat, die zuvor auf der Website bereitgestellten Screenshots zu überprüfen. Aber wer hat es aufgehört?

In unserer Praxis gab es einen Fall, in dem wir vom Kunden eine zufällig gesendete Briefkette mit folgenden Inhalten erhalten haben:
- Ein kleiner Screenshot korrigiert, scheint es wahr zu sein?
- Senden Sie plötzlich eine Fahrt.
Übrigens nicht.

Wir verschärfen die Genehmigung des Berichts


Kommas sind wichtig


Die letzte Phase der Konfrontation: Interviews durchgeführt, Beweise gesendet, Berichtsentwurf erhalten. Es ist Zeit, das Wichtigste anzugehen: Kommas und Punkte. Es spielt keine Rolle, dass die normative Kontrolle des Dokuments die letzte Phase ist (und dies wurde vereinbart), alles sollte in dem Bericht in Ordnung sein. Je mehr Kommentare abgegeben werden, desto größer ist der Eindruck, dass die Prüfung schlecht durchgeführt wurde. Verzögern Sie die inhaltlichen Kommentare und den Zeitpunkt der Genehmigung einzelner Abschnitte des Berichts so weit wie möglich.

Die Einbeziehung einer großen Anzahl von Spezialisten in die Koordinierungskette funktioniert ebenfalls hervorragend. Unser Motto: „Ein Audit für sechs Monate, wir werden uns auf eineinhalb einigen!“. Ziehen Sie länger, und dort sinkt der Grad der Glühbirne, und ein Teil der Arbeit wird irrelevant (ein neuer wird erscheinen, der alte wird außer Betrieb genommen).

Es funktioniert schlecht, lesen Sie oben über Manager.

***.

Natürlich finden die meisten unserer Prüfungsprojekte wie gewohnt statt, und hier sind die auffälligsten Beispiele dafür, wie solche Arbeiten zu einem langen Ereignis werden können. Jeder wird selbst Schlussfolgerungen ziehen: die Prüfungen übernehmen und „erfolgreich“ bestehen oder Ihr nächstes gemeinsames Audit mit einem Integrator ein wenig verbessern.

Lächle öfter :-)

More articles:


All Articles