Get best of the week

Inserimos palitos nas rodas nas auditorias ou Como tornar a auditoria de TI o mais desconfortável possível para o auditor

Olá Habr! Depois de 9 anos em projetos de auditoria de segurança atrás de mim, eu insuportavelmente quero pegar e escrever o livro “1000 e 1 tentativa de enganar o auditor”. Talvez eu comece no primeiro capítulo - compartilharei maus conselhos sobre como passar com êxito na auditoria, tendo recebido o número mínimo de comentários do auditor.

Por que as empresas realizam uma auditoria de segurança da informação? Podem existir várias razões:

  • obter uma avaliação objetiva do estado de segurança da informação (por si mesmo);
  • porque a auditoria é obrigatória (para reguladores);
  • porque a auditoria é exigida pelos parceiros ou pela organização mãe (para outros).

Qualquer um desses tipos de auditorias busca o principal objetivo positivo - melhorar a empresa localizando os problemas atuais. A maioria dos nossos clientes está interessada na condução efetiva de tal trabalho. No entanto, algumas vezes há casos em que o critério para o sucesso da auditoria ordenada é a ausência de problemas identificados no relatório de auditoria (se houver). Os motivos são diferentes, mas os mais comuns são os seguintes.

  • A auditoria é "imposta" por uma organização superior.
  • A falha na auditoria (por exemplo, PCI DSS) implica sanções pelas autoridades reguladoras
  • O serviço do IB tem medo de obter um "limite" da liderança.

Em todos esses casos, a auditoria da equipe se transforma em um campo de batalha, onde a empresa procura manter os limites máximos sem mostrar “desnecessário”, e o trabalho do auditor se torna mais como uma história de detetive.

PS Listado sob o corte não é ficção, tudo isso aconteceu e ocasionalmente ocorre em projetos reais.


Preparando-se para uma auditoria


Treinamos funcionários - ensinamos o que dizer e o que não mostrar


A chave para o bem-sucedido treinamento de sabotagem do pessoal (especialmente no contexto de futuras hostilidades) é um treinamento preliminar completo. Como regra, ele visa:

  • aumentar a conscientização sobre as armas atuais do auditor, suas técnicas, técnicas e pontos de dor;
  • desenvolvimento e aprimoramento das habilidades da equipe em ofuscar e ocultar traços, além de aperfeiçoar a técnica de “manobra”.

Obviamente, quanto menos informações o auditor descobrir, menos discrepâncias encontrará e, onde há poucas discrepâncias, existem poucos problemas (e trabalho). Isso significa que o objetivo máximo da empresa auditada é ocultar possíveis áreas problemáticas (sistemas de informação, elementos individuais da infraestrutura de TI etc.) treinando especialistas no que pode ser mostrado e no que não é necessário.

Freqüentemente, temos que adivinhar a conduta de tais treinamentos por sinais indiretos, mas também existem “punções” irritantes. Por exemplo, durante uma auditoria de conformidade com o PCI DSS, um dos bancos imprimiu um diagrama de rede em um rascunho e, no verso, havia ... uma carta do serviço de SI com uma nota detalhada sobre sistemas que podem, é claro, ser mostrados, mas não desta vez. O botão Encaminhar no cliente de correio também decepcionou combatentes experientes várias vezes. Quando, juntamente com os certificados de auditoria (capturas de tela / uploads), os acordos internos também voavam para nós.

Esse truque funciona? Ruim: usamos várias verificações abrangentes - e arranjos harmoniosos começam a “desmoronar”.

Ignorar solicitação preliminar de informações


Qualquer auditoria começa com uma solicitação preliminar de informações: os auditores tentam descobrir com antecedência como a empresa vive e como seus processos estão estruturados para planejar da melhor maneira as reuniões e sua duração. Portanto, uma tarefa importante desse estágio é destruir os sonhos cor-de-rosa dos auditores sobre uma auditoria fácil. O cenário de um primeiro encontro perfeito com uma empresa deve ser inesperado. Usamos os seguintes argumentos testados pelo tempo:
  • "O prelúdio não é para nós, pedaços de papel podem ser lidos mais tarde."
  • "Ainda não temos nada, a verdade é a verdade (não a verdade)."
  • "Temos tudo no portal, vamos agora rapidamente (em duas semanas) fazer uma conta, entrar e ler".

Existem muitos exemplos, um resultado: muitos precisam ser tratados imediatamente, descobrindo coisas novas já durante a auditoria. Essa tática é bem-sucedida? Não, você só precisa gastar mais tempo "horas extras".

Apenas passes únicos, apenas hardcore!


Um bom dia começa com um passe de café . Outro grande truque é desmoralizar o inimigo com antecedência. Acordamos cedo, fazemos uma fila na recepção ou no escritório do passe, pintamos uma caneta. Se você ainda não conhece a série e o número do seu passaporte, agora certamente se lembrará.

Às vezes, existem truques completamente proibidos. Por exemplo, uma condição para admissão no site de um dos clientes era o desenvolvimento de regulamentos para seu fornecimento. Quem precisava de acesso? Nos! Então, escrevemos como vamos recebê-lo e com quem coordenar.

Tais "dificuldades" levam a alguma coisa? Obviamente que não: adoramos acordar cedo (se ainda formos para a cama).

Tornando o gerenciamento de projetos mais complicado


Você precisa - você organiza. Versão difícil para experientes




Outro truque militar importante: mudar a responsabilidade de organizar todas as reuniões sobre os ombros experientes do gerente de projetos.
“Aqui está o portal, aqui está o telefone - organize você mesmo as reuniões. O relatório pode ser enviado aqui para este endereço, apenas primeiro concordo com todos por e-mail. ”
O resultado, via de regra, não demora muito: devido à falta de um curador, os especialistas nunca terão tempo para reuniões.

Uma boa tentativa de adiar os prazos, mas funciona mal com nossos gerentes e com um sistema de escalação interno :-).

Tentamos, mas não conseguimos. Versão light para iniciantes


Mais mel sem alcatrão. Tornamos a programação o mais desconfortável e imprevisível possível. O dia ideal do auditor no local deve ficar assim: uma conversa por uma hora às 9 horas, depois por 30 minutos às 13 horas e o próximo às 18 horas. As informações sobre as reuniões programadas para o dia seguinte são enviadas estritamente às 23h55. Quanto mais caos, maior a chance de os auditores esquecerem a própria impressão de um rascunho de carta com treinamento interno .

O auditor deve ser flexível, para que outro truque da vida seja trocar as entrevistas no dia da reunião. O próprio plano de entrevista sempre segue uma certa lógica, por exemplo, primeiro a funcionalidade do sistema é estudada e, em seguida, seus componentes são verificados (DBMS, etc.). Mas isso é Sparta, e a lógica é para os fracos, porque:
"Queríamos conversar com você na sexta-feira com o DBA, mas nosso especialista tinha 15 minutos de tempo livre, ele virá agora."
O inimigo será derrotado? Não, é isso que vemos frequentemente e somos capazes de lidar com isso.

Auditoria de Fotografia - A Auditoria Mais Honesta


Aumentamos as chances de sucesso. Transformamos a auditoria "no local" em uma "documentária". Lembrar:
“É errado distrair as pessoas do trabalho, temos pessoal altamente qualificado que irá preencher tudo e anexar capturas de tela. Envie os questionários. "
É impossível compilar um questionário universal para todos os casos; dependendo das respostas, o auditor sempre conduz a conversa de maneiras diferentes. O problema dos questionários detalhados se resume à falta de flexibilidade neles: quanto mais perguntas eles contêm, menor o desejo de respondê-las em detalhes. Portanto, como regra, essa auditoria se parece com a seguinte:

  • Preparando um monte de questionários com um memorando para preenchê-los.
  • Conseguir uma enorme quantidade de material não estruturado (todos podem entender a questão de maneiras diferentes).
  • Telefones com especialistas para esclarecer informações.
  • Construir uma imagem harmoniosa com todo o material.
  • Cuide de um novo círculo de refinamento.

O objetivo da empresa de reduzir a qualidade foi alcançado e é possível desmoralizar o inimigo? Não: adoramos ligar e verificar ainda mais o que eles nos enviaram.

Conduzindo uma entrevista


O teatro começa com um cabide - escolhemos os melhores lugares para conversar


Se você ainda não conseguiu reagir e as reuniões com os auditores não podem ser evitadas, aqui está o TOP dos melhores lugares para realizar uma entrevista. Os auditores definitivamente vão gostar - não dê graças.

  • No parque infantil perto do fungo.
  • No banheiro, convertido em uma sala de comutação adicional.
  • No carro (à noite).
  • Na sala de jantar.

De fato, existem lugares muito mais estranhos onde realizamos a entrevista. Mas então você tem que viver com isso. Em geral, isso é ainda mais interessante, portanto, é mais um plus que um menos.

Você não é uma hora espião?


Durante a auditoria, cada funcionário da empresa deve estar alerta: e se for engenharia social e, em vez de um auditor, um espião chegou até nós? O cálculo de um espião é simples - mostre-o inesperadamente na seguinte ordem:

  • NDA para a empresa onde o auditor trabalha;
  • auditor pessoal da NDA com você;
  • passe de trabalho;
  • uma cópia do livro de trabalho;
  • uma carta elaborada pelo chefe da empresa;
  • Passaporte.

Só então divulgue "segredos militares". Não tenho uma cópia do trabalho comigo - bem, terei que agendar uma reunião novamente.

A recepção é rara, funciona perfeitamente em exatamente uma reunião e todos os documentos são rapidamente coletados no número certo de cópias.

Tomamos a granel, ou quanto mais, mais interessante (não)


Como tornar uma reunião de negócios o mais inútil possível? A receita é simples: abrimos qualquer artigo na Internet em reuniões eficazes e tornamos útil em não útil:

  • Sempre decida com antecedência a agenda da reunião. Nunca informe os colegas sobre o objetivo da reunião. Diga que isso é PRO SEGURANÇA, e SERÁ CONVERSADO POR PESSOAS NECESSÁRIAS (você sentiu arrepios?).
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

A prática de organizar essas reuniões não é incomum (embora esses momentos sejam sempre falados pelo cliente), e saímos da situação de maneiras diferentes para envolver todos os especialistas na conversa e não deixá-los entediados.

Trabalho? Ruim, mas uma boa tentativa.

Nós tocamos Danetka, ou eu acho que essa melodia está em uma nota




Ativamos a arma secreta - lembramos as regras do jogo em Danetka.

A tarefa do funcionário: minimizar a tortura psicológica dos auditores, forçá-los a formular corretamente perguntas, para que possam ser respondidas apenas com “Sim” ou “Não”.

A tarefa do auditor: adivinhar por que um homem entra no bar e pede um copo de água, o barman de repente pega uma arma e aponta para o homem. O homem diz "obrigado" e deixa as respostas para suas perguntas:
- Quais meios de automação do gerenciamento de aplicativos você usa?
- Sim!
- Quais tecnologias de virtualização são usadas na empresa?
- Todos!

É extremamente difícil realizar tais auditorias, as informações devem ser obtidas nos grãos. Eu amo este jogo.

Adicionar censura


Você achou que a censura é um sistema de supervisão sobre o conteúdo e a disseminação de informações, materiais impressos, obras musicais e teatrais e outras coisas? Não. A censura é um oficial de segurança da informação exposto a tempo nas costas do auditor. Em um evento tão importante como uma auditoria, não há lugar para a imaginação e especulação do auditor. Portanto:
"Isso não está errado conosco, você entendeu errado e suas perguntas estão erradas."
A tarefa do censor é ajudar o funcionário a não passar no exame. A ajuda pode incluir o seguinte:

  • Nós filtramos as perguntas "erradas" ao nosso gosto. Apelamos pelos limites da auditoria ou por perguntas não abordadas ou não substantivamente.
  • Somos responsáveis ​​pelo auditado (de repente, ele esqueceu o que eles tinham tempo para negociar com ele antes).
  • Examinamos as notas do auditor e fazemos comentários.

Surrealismo? Ele é. No entanto, essa experiência também estava em nossa prática. Francamente falando: o resultado foi ruim para o cliente, embora a ideia seja fogo!

Saímos em um ciclo e traduzimos as setas


É importante confundir o inimigo para que ele não possa fazer um relatório de auditoria perigoso e prejudicá-lo. Outra arma nuclear, como Danetka. Anote uma fórmula universal.
Trabalhador N: "Não sei disso, sou trabalhador N, outro trabalhador N + 1 sabe disso."

Empregado N + 1: "Eu sou um funcionário de N + 1, você foi enganado, esta é a área de responsabilidade do funcionário N".

Funcionário do IS: "Infelizmente, ficamos sem vagas gratuitas para os funcionários N e N + 1, você precisa trabalhar com as informações".
É difícil trabalhar neste modo, o que significa que o objetivo foi alcançado? Não, é possível e necessário lutar: ligamos para especialistas, mantemos atas das reuniões e assim por diante.

Segure o mouse, eu já fui, ou se você quiser conhecer melhor o sistema - faça você mesmo!


Qualquer auditor é um especialista com letra maiúscula. Portanto, ele deve conhecer à revelia absolutamente todas as tecnologias que você usa no nível de administrador, poder reconstruir o kernel do Linux em 5 minutos e conhecer o seu SAP de cor. Portanto, a melhor maneira de deixá-lo nervoso é deixá-lo "dirigir". Deixe-o entender a arquitetura de seus sistemas, construída ao longo dos anos. Você pode apenas sentar ao lado e calar a boca.

A propósito, isso não funciona muito bem, porque geralmente sabemos como "orientar", mas durante a auditoria, a competência da equipe também é avaliada. Como resultado, podemos concluir que os especialistas não conhecem seus sistemas.

Corrigido rapidamente - isso significa que não havia


Você conhece a regra dos cinco segundos? Ótimo, use-o também na auditoria. Distraia o auditor e corajosamente faça alterações nas configurações de segurança. Ou não distraia e traga com ele: eles rapidamente o corrigiram - isso significa que não havia. Você não pode explicar - não funciona.

Nós complicamos o procedimento para obter certificados


Temos informações ultra-secretas


Uma técnica popular, sem problemas, como uma espingarda de assalto Kalashnikov. Toda a documentação desenvolvida é propriedade intelectual. Todas as configurações de equipamentos de rede são um segredo comercial. Para estudar as informações necessárias, faça com que os auditores trabalhem em um local de trabalho dedicado, desligue a Internet e desative as unidades flash. Deixe reescrever tudo o que você precisa no papel ou despersonalize e deixe o arquivo na área de trabalho, e você já deixa o desejado no arquivo ao seu gosto. Quanto aos documentos, deixe que o auditor os leia em formato impresso.

Separadamente, vários casos são lembrados.

  • De alguma forma, imprimimos a configuração do equipamento de rede em um par de pacotes Snegurochka sem permissão para remover material do site.
  • Outra vez, fomos solicitados a justificar cada captura de tela solicitada.
  • Em outro projeto, todos os certificados só podiam ser transmitidos em papel.

Alguém objetou razoavelmente: provavelmente, essas empresas tinham um regime estrito de segredos comerciais? Não. Ele não era de todo.

Ajudará de alguma forma a reduzir a qualidade do trabalho? Discutível. Não temos essa experiência: por exemplo, a criação de um relatório por meio do VDI do cliente com um buffer fechado, portas e Internet com a obtenção de certificados no disco marcado com o correio CT. Como você gosta, David Blaine?

Usando a magia de um editor gráfico




Como o grande Sun Tzu disse em The Art of War:
“A guerra é uma maneira de enganar. Portanto, se você puder fazer alguma coisa, mostre ao inimigo que não pode; se você usar alguma coisa, mostre a ele que não a usa. "
Na guerra, todos os métodos são bons, portanto, usar um editor de gráficos aumenta suas chances de ganhar. Toda a evidência "inconveniente" em suas mãos, resta trazer um pouco de maquiagem antes de enviar. Esse vetor tem uma pequena chance ao solicitar informações remotamente ou com pouca memória do auditor. Menos: fica estranho quando o auditor decide verificar as capturas de tela fornecidas anteriormente no site. Mas quem parou?

Em nossa prática, houve um caso em que recebemos uma cadeia de cartas enviada aleatoriamente do cliente com o seguinte conteúdo:
- Corrigida uma pequena captura de tela, parece ser verdade?
- Envie, de repente uma carona.
A propósito, não.

Apertamos a aprovação do relatório


Vírgulas são importantes


A etapa final do confronto: entrevistas realizadas, evidências enviadas, minuta de relatório recebido. É hora de resolver o mais importante: vírgulas e pontos. Não importa que o controle normativo do documento seja a etapa final (e isso foi acordado), tudo deve ficar bem no relatório. Quanto mais comentários, maior a impressão de que a auditoria foi mal executada. Adie, tanto quanto possível, os comentários substantivos e o prazo da aprovação de seções individuais do relatório.

A inclusão de um grande número de especialistas na cadeia de coordenação também funciona muito bem. Nosso lema: “Uma auditoria por seis meses, concordaremos por um ano e meio!”. Puxe mais tempo, e aí o grau de incandescência cairá, e parte do trabalho se tornará irrelevante (um novo aparecerá, o antigo será desativado).

Funciona mal, leia acima sobre gerentes.

***

Obviamente, a maioria de nossos projetos de auditoria ocorre como de costume, e aqui estão os exemplos mais impressionantes de como esse trabalho pode ser transformado em um evento longo. Todo mundo tirará suas próprias conclusões: adotar e passar com êxito nas verificações ou melhorar um pouco a sua próxima auditoria conjunta com um integrador.

Sorria com mais frequência :-)

More articles:


All Articles