Get best of the week

Nous insérons des bâtons dans les roues lors des audits, ou Comment rendre l'audit SI aussi inconfortable que possible pour l'auditeur

Bonjour, Habr! Après 9 ans sur des projets d'audit de sécurité derrière moi, je veux insupportablement prendre et écrire le livre "1000 and 1 Attempt to Trick the Auditor". Je commencerai, peut-être, par le premier chapitre - je partagerai de mauvais conseils sur la façon de «réussir» l'audit, après avoir reçu le nombre minimum de commentaires de l'auditeur.

Pourquoi les entreprises effectuent-elles un audit de sécurité de l'information? Il peut y avoir plusieurs raisons:

  • obtenir une évaluation objective de l'état de la sécurité de l'information (pour vous-même);
  • parce que l'audit est obligatoire (pour les régulateurs);
  • parce que l'audit est exigé par les partenaires ou l'organisation mère (pour les autres).

Chacun de ces types d'audits poursuit le principal objectif positif - améliorer la société en localisant les problèmes actuels. La plupart de nos clients sont intéressés par la conduite efficace de ces travaux. Cependant, il arrive parfois que le critère de réussite de l'audit ordonné soit l'absence de problèmes identifiés dans le rapport d'audit (le cas échéant). Les raisons sont différentes, mais les plus courantes sont les suivantes.

  • L'audit est «imposé» par une organisation supérieure.
  • L'absence d'audit (par exemple PCI DSS) entraîne des sanctions de la part des autorités réglementaires
  • Le service de l'IB a peur d'obtenir un "plafond" de la part des dirigeants.

Dans tous ces cas, l'audit régulier se transforme en champ de bataille, où l'entreprise cherche à maintenir les limites maximales sans montrer «d'excès», et le travail de l'auditeur ressemble plus à une histoire de détective.

PS répertorié sous la coupe n'est pas une fiction, tout cela s'est produit et se produit parfois sur de vrais projets.


Se préparer pour un audit


Nous formons le personnel - nous vous apprenons quoi dire et quoi ne pas montrer


La clé d'une formation réussie au sabotage du personnel (en particulier dans le contexte des futures hostilités) est une formation préalable approfondie. En règle générale, il vise à:

  • faire connaître les armes actuelles de l'auditeur, ses techniques, ses techniques et ses points douloureux;
  • le développement et l'amélioration des compétences de l'équipe dans l'obscurcissement, la dissimulation de traces, ainsi que le perfectionnement de la technique du «switchman».

De toute évidence, moins l'auditeur découvre d'informations, moins il trouvera de divergences et là où il y a peu de divergences, il y a peu de problèmes (et de travail). Cela signifie que l'objectif maximum de la société auditée est de masquer d'éventuels problèmes (systèmes d'information, éléments individuels de l'infrastructure informatique, etc.) en formant des spécialistes à ce qui peut être montré et ce qui n'est pas nécessaire.

Souvent, nous devons deviner la conduite de ces formations par des signes indirects, mais il y a aussi des «crevaisons» ennuyeuses. Par exemple, lors d'un audit de conformité PCI DSS, l'une des banques a imprimé un schéma de réseau pour nous dans un brouillon, et au verso il y avait ... une lettre du service SI avec une note détaillée sur les systèmes qui peuvent, bien sûr, être montrés, mais pas cette fois. Le bouton Transférer dans le client de messagerie a également laissé tomber à plusieurs reprises des combattants expérimentés, alors qu'avec des certificats d'audit (captures d'écran / téléchargements), des accords internes nous ont été transmis.

Est-ce que cette astuce fonctionne? Mauvais: nous utilisons divers contrôles complets - et des arrangements harmonieux commencent à «s'effondrer».

Ignorer la demande préliminaire d'informations


Tout audit débute par une demande d'information préalable: les auditeurs tentent de connaître à l'avance le mode de vie de l'entreprise et la structure de ses processus afin de planifier au mieux les réunions et leur durée. Par conséquent, une tâche importante de cette étape est de détruire les rêves roses des auditeurs concernant un audit facile. Le scénario d'un premier rendez-vous parfait avec une entreprise devrait être inattendu. Nous utilisons les arguments éprouvés suivants:
  • "Le prélude n'est pas pour nous, des morceaux de papier peuvent être lus plus tard."
  • "Nous n'avons toujours rien, la vérité est la vérité (pas la vérité)."
  • "Nous avons tout sur le portail, nous allons maintenant rapidement (dans deux semaines) créer un compte, venir lire."

Il existe de nombreux exemples, un seul résultat: beaucoup doivent être traités sur place, en découvrant de nouvelles choses dès l'audit. Une telle tactique réussit-elle? Non, il suffit de passer plus de temps "en heures supplémentaires".

Seulement des passes uniques, seulement du hardcore!


Une bonne matinée commence par un pass café . Une autre bonne astuce consiste à démoraliser l'ennemi à l'avance. Nous nous levons tôt, faisons la queue à la réception ou au bureau des laissez-passer, peignons un stylo. Si vous ne connaissez toujours pas la série et le numéro de votre passeport, vous vous en souviendrez certainement.

Parfois, il y a des tours complètement interdits. Par exemple, une condition d'admission sur le site d'un des clients était l'élaboration d'une réglementation pour sa mise à disposition. Qui avait besoin d'un accès? Nous! Nous avons donc écrit comment nous le recevrons et avec qui nous coordonner.

Ces "difficultés" mènent-elles à quelque chose? Evidemment non: on adore se lever tôt (si on se couche encore).

Rendre la gestion de projet plus compliquée


Vous avez besoin - vous organisez. Version hard pour expérimenté




Autre astuce militaire importante: déplacer la responsabilité de l'organisation de toutes les réunions sur les épaules expérimentées du chef de projet.
«Voici le portail, voici le téléphone - organisez des réunions vous-même. Le rapport peut être envoyé ici à cette adresse, seulement d'abord d'accord avec tout le monde par courrier.
Le résultat, en règle générale, ne se fait pas attendre: faute de curateur, les spécialistes n'auront jamais le temps de se réunir.

Une bonne tentative pour retarder les délais, mais cela fonctionne mal avec nos gestionnaires et un système d'escalade intégré :-).

Nous avons essayé, mais nous n’avons pas réussi. Version légère pour débutants


Plus de miel et moins de goudron. Nous rendons l'horaire aussi inconfortable et imprévisible que possible. La journée idéale de l'auditeur sur le site devrait ressembler à ceci: une conversation d'une heure à 9h00, puis de 30 minutes à 13h00 et la suivante à 18h00. Les informations sur les réunions prévues pour le lendemain sont envoyées strictement à 23h55. Plus il y a de chaos, plus les auditeurs ont de chances d'oublier l'impression même d'un projet de lettre avec une formation interne .

L'auditeur doit être flexible, donc un autre hack de vie consiste à échanger des entretiens le jour de la réunion. Le plan d'entretien lui-même suit toujours une certaine logique, par exemple, d'abord la fonctionnalité du système est étudiée, puis ses composants sont vérifiés (SGBD, etc.). Mais c'est Sparte, et la logique est pour les mauviettes, car:
"Nous voulions parler avec vous vendredi avec le DBA, mais notre spécialiste avait 15 minutes de temps libre, il viendra maintenant."
L'ennemi sera-t-il vaincu? Non, c'est ce que nous voyons souvent et pouvons y faire face.

Audit photographique - L'audit le plus honnête


Nous augmentons les chances de succès. Nous transformons l'audit «sur site» en audit «documentaire». Rappelles toi:
«Il est faux de distraire les gens du travail, nous avons du personnel hautement qualifié qui remplira tout et joindra des captures d'écran. Envoyez les questionnaires. "
Il est impossible de compiler un questionnaire universel pour tous les cas; selon les réponses, l'auditeur mène toujours la conversation de différentes manières. Le problème des questionnaires détaillés se résume à leur manque de flexibilité: plus ils contiennent de questions, moins l'envie de répondre en détail se fait sentir. Par conséquent, en règle générale, un tel audit se présente comme suit:

  • Préparer un tas de questionnaires avec un mémo pour les remplir.
  • Obtenir une énorme quantité de matériel non structuré (tout le monde peut comprendre la question de différentes manières).
  • Téléphones avec des spécialistes pour clarifier les informations.
  • Construire une image harmonieuse de tout le matériel.
  • Prenez soin d'un nouveau cercle de raffinement.

L'objectif de l'entreprise de réduire la qualité a-t-il été atteint et est-il possible de démoraliser l'ennemi? Non: nous aimons appeler et vérifier encore plus ce qu'ils nous ont envoyé.

Mener une entrevue


Le théâtre commence par un cintre - nous choisissons les meilleurs endroits pour la conversation


Si vous ne pouviez toujours pas riposter et que les réunions avec les auditeurs ne pouvaient pas être évitées, voici le TOP des meilleurs endroits pour mener une interview. Les auditeurs apprécieront certainement - ne remerciez pas.

  • Sur l'aire de jeux près du champignon.
  • Dans la salle de toilette, transformée en une salle de commutation supplémentaire.
  • Dans la voiture (la nuit).
  • Dans la salle à manger.

En fait, il y a des endroits beaucoup plus étranges où nous avons mené l'interview. Mais alors il faut vivre avec. En général, c'est encore plus intéressant, c'est donc plus un plus qu'un moins.

N'êtes-vous pas un espion d'une heure?


Lors de l'audit, chaque employé de l'entreprise doit être en alerte: que se passe-t-il s'il s'agit d'ingénierie sociale, et au lieu d'un auditeur un espion nous a rejoint? Le calcul d'un espion est simple - faites-le apparaître de manière inattendue dans l'ordre suivant:

  • NDA pour l'entreprise où travaille l'auditeur;
  • auditeur NDA personnel avec vous;
  • passe de travail;
  • une copie du cahier de travail;
  • une lettre brassée par le chef de l'entreprise;
  • passeport.

Alors seulement, donnez des «secrets militaires». Je n'ai pas de copie du travail avec moi - eh bien, je vais devoir planifier une nouvelle réunion.

La réception est rare, elle fonctionne parfaitement pour exactement une réunion, puis tous les documents sont rapidement collectés dans le bon nombre d'exemplaires.

Nous prenons en vrac, ou plus, le plus intéressant (non)


Comment rendre une réunion d'affaires aussi inutile que possible? La recette est simple: nous ouvrons n'importe quel article sur Internet sur des réunions efficaces et transformons l'utile en non utile:

  • Décidez toujours à l'avance de l'ordre du jour de la réunion. N'informez jamais vos collègues du but de la réunion. Dites qu'il s'agit de PRO SECURITY, et IL SERA PARLÉ À VOUS PAR DES PERSONNES NÉCESSAIRES (avez-vous ressenti la chair de poule?).
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

La pratique d'organiser de telles réunions n'est pas rare (bien que de tels moments soient toujours évoqués par le client), et nous sortons de la situation de différentes manières afin d'engager tous les experts dans la conversation et de ne pas les laisser s'ennuyer.

Travaux? Mauvais, mais bon essai.

Nous jouons Danetka, ou je devine cette mélodie d'une note




Nous activons l'arme secrète - nous nous souvenons des règles du jeu dans Danetka.

La tâche de l'employé: minimiser la torture psychologique des auditeurs, les forcer à formuler correctement les questions de manière à ce qu'elles ne puissent être répondues que par «Oui» ou «Non».

La tâche de l'auditeur: pour deviner pourquoi un homme entre dans le bar et demande un verre d'eau, le barman sort soudainement un pistolet et le pointe vers l'homme. L'homme dit "Merci" et laisse les réponses à ses questions:
- Quels moyens d'automatisation de la gestion des applications utilisez-vous?
- Oui!
- Quelles technologies de virtualisation sont utilisées dans l'entreprise?
- Tout!

Il est extrêmement difficile de réaliser de tels audits, les informations doivent être obtenues en grains. J'adore ce jeu.

Ajouter la censure


Pensiez-vous que la censure est un système de contrôle du contenu et de la diffusion des informations, des imprimés, des œuvres musicales et scéniques et autres? Non. La censure est un responsable de la sécurité de l'information exposé à temps dans le dos de l'auditeur. Dans un événement aussi important qu'un audit, il n'y a pas de place pour l'imagination et la spéculation de l'auditeur. Donc:
"Ce n'est pas mal avec nous, vous l'avez mal compris et vos questions sont fausses."
La tâche du censeur est d’aider l’employé à ne pas échouer à l’examen. L'aide peut comprendre les éléments suivants:

  • Nous filtrons les «mauvaises» questions à notre goût. Nous faisons appel par les limites de l'audit ou par des questions non abordées ou non substantielles.
  • Nous sommes responsables de l'audité (il a soudainement oublié ce qu'il avait eu le temps de négocier avec lui auparavant).
  • Nous regardons dans les notes de l'auditeur et faisons des commentaires.

Surréalisme? Il est. Cependant, une telle expérience était également dans notre pratique. Franchement: ça s'est mal passé chez le client, bien que l'idée soit du feu!

Nous partons dans un cycle et traduisons les flèches


Il est important de confondre l'ennemi afin qu'il ne puisse pas faire un rapport d'audit dangereux et vous nuire. Une autre arme nucléaire, comme Danetka. Écrivez une formule universelle.
Travailleur N: "Je ne sais pas cela, je suis le travailleur N, un autre travailleur N + 1 le sait."

Employé N + 1: "Je suis un employé de N + 1, vous avez été trompé, c'est le domaine de responsabilité de l'employé N".

Employé IS: «Malheureusement, nous n'avons plus de places libres pour les employés N et N + 1, vous devez travailler avec les informations disponibles.»
Il est difficile de travailler dans ce mode, ce qui signifie que l'objectif a été atteint? Non, il est possible et nécessaire de se battre: nous pré-appelons des spécialistes, tenons des procès-verbaux de réunions, etc.

Tenez la souris, je suis parti, ou si vous voulez mieux connaître le système - faites-le vous-même!


Tout auditeur est un spécialiste avec une majuscule. Il doit donc connaître in absentia absolument toutes les technologies que vous utilisez au niveau administrateur, être capable de reconstruire le noyau Linux en 5 minutes et connaître votre SAP par cœur. Par conséquent, la meilleure façon de le rendre nerveux est de le laisser «diriger». Faites-lui comprendre l'architecture de vos systèmes, construite au fil des ans. Vous pouvez simplement vous asseoir à côté et vous taire.

Soit dit en passant, cela ne fonctionne pas très bien, car nous savons souvent comment "diriger", mais lors de l'audit, la compétence du personnel est également évaluée. En conséquence, nous pouvons conclure que les spécialistes ne connaissent pas leurs systèmes.

Corrigé rapidement - cela signifie qu'il n'y avait pas


Connaissez-vous la règle des cinq secondes? Génial, utilisez-le également pour l'audit. Distrayez l'auditeur et apportez des modifications audacieuses aux paramètres de sécurité. Ou ne vous distrayez pas du tout et apportez-le avec lui: ils l'ont rapidement corrigé - cela signifie qu'il n'y en avait pas. Vous ne pouvez pas expliquer - ne fonctionne pas.

Nous compliquons la procédure d'obtention des certificats


Nous avons des informations top secrètes


Une technique populaire, sans problème, comme un fusil d'assaut Kalachnikov. Toute la documentation développée est la propriété intellectuelle. Toutes les configurations d'équipement réseau sont un secret commercial. Pour étudier les informations nécessaires, faites travailler les auditeurs sur un lieu de travail dédié, désactivez Internet et désactivez les lecteurs flash. Laissez-le réécrire tout ce dont vous avez besoin sur papier, ou dépersonnalisez et laissez le fichier sur le bureau, et vous laissez déjà celui que vous souhaitez dans le fichier à votre goût. Quant aux documents, laissez le vérificateur les lire sous forme imprimée.

Séparément, plusieurs cas sont rappelés.

  • D'une manière ou d'une autre, nous avons imprimé la configuration de l'équipement réseau sur une paire de packs Snegurochka sans autorisation de retirer du matériel du site.
  • Une autre fois, nous avons dû justifier chaque capture d'écran demandée.
  • Sur un autre projet, tous les certificats ne pouvaient être transmis que sur papier.

Quelqu'un s'y est raisonnablement opposé: probablement, ces sociétés avaient un régime strict de secrets commerciaux? Non. Il ne l'était pas du tout.

Aidera-t-il d'une manière ou d'une autre à réduire la qualité du travail? Discutable. Nous n'avons pas une telle expérience: par exemple, créer un rapport via le VDI du client avec un tampon fermé, des ports et Internet avec l'obtention de certificats sur le disque marqué CT messager. Ça vous plaît, David Blaine?

Utiliser la magie d'un éditeur graphique




Comme l'a dit le grand Sun Tzu dans The Art of War:
«La guerre est un moyen de tromperie. Par conséquent, si vous pouvez faire quelque chose, montrez à l'ennemi que vous ne pouvez pas; si vous utilisez quelque chose, montrez-lui que vous ne l'utilisez pas. "
En temps de guerre, toutes les méthodes sont bonnes, donc l'utilisation d'un éditeur graphique augmente vos chances de gagner. Toutes les preuves "gênantes" entre vos mains, il reste à apporter un peu de maquillage avant l'envoi. Ce vecteur a une petite chance lors de la demande d'informations à distance ou d'une mauvaise mémoire de l'auditeur. Les moins: cela s'avère gênant lorsque l'auditeur a décidé de vérifier les captures d'écran précédemment fournies sur le site. Mais qui a-t-il arrêté?

Dans notre pratique, il y a eu un cas où nous avons reçu une chaîne de lettres envoyée au hasard par le client avec le contenu suivant:
- Correction d'une petite capture d'écran, ça semble être vrai?
- Envoyez, soudain un tour.
Soit dit en passant, ce n'était pas le cas.

Nous resserrons l'approbation du rapport


Les virgules sont importantes


L'étape finale de la confrontation: entretiens menés, preuves envoyées, ébauche de rapport reçue. Il est temps de s'attaquer à la chose la plus importante: les virgules et les points. Peu importe que le contrôle normatif du document soit la dernière étape (et cela a été convenu), tout devrait bien se passer dans le rapport. Plus il y a de commentaires, plus l'impression est que l'audit a été mal exécuté. Retarder autant que possible les commentaires de fond et le calendrier d'approbation des différentes sections du rapport.

L'inclusion d'un grand nombre de spécialistes dans la chaîne de coordination fonctionne également très bien. Notre devise: «Un audit pendant six mois, nous serons d'accord pour un an et demi!». Tirez plus longtemps, et là le degré d'incandescence baissera, et une partie du travail deviendra hors de propos (une nouvelle apparaîtra, l'ancienne sera mise hors service).

Cela fonctionne mal, lire ci-dessus sur les gestionnaires.

***

Bien sûr, la plupart de nos projets d'audit se déroulent comme d'habitude, et voici les exemples les plus frappants de la façon dont un tel travail peut être transformé en un long événement. Chacun tirera lui-même des conclusions: adopter et «réussir» les contrôles, ou encore améliorer un peu votre prochain audit conjoint avec un intégrateur.

Souris plus souvent :-)

More articles:


All Articles