Дайджест ИБ за 18-24 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Пост Алексея Лукацкого "Что такое TEI?", в котором Алексей делает краткий обзор методики TEI (Total Economic Impact - совокупный экономический эффект), предназначенной для количественной оценки вклада ИТ (ИБ) в бизнес компании. Алексей приводит пример исследования Forrester вклада от технологий Cisco "Сети без границ" (на английском). А вот тут есть исследование той же Forrester по эффекту внедрения платформы Объединенных коммуникаций Microsoft (отчет - на русском).

• Пост Владимира Стырана "Когда управление рисками не работает". Владимир говорит о том, что традиционные методы управления рисками хорошо работают в отношении естественных или неумышленных угроз, но они не очень эффективны для умышленных угроз (атак). Для атак решением является проработка их сценариев и методов защиты от них на этапе проектирования систем, а также проведение тестов на проникновение для уже работающих систем. Т.е. нужно анализировать системы с позиции предполагаемого злоумышленника.

• Презентация Тараса Иващенко "Безопасность расширений веб-браузеров", в которой Тарас описывает основные уязвимости из списка OWASP Top 10 и демонстрирует, как они могут быть использованы через расширения популярных веб-браузеров.

• Статья Олега Седова "Расследование инцидентов". Олег подробно рассматривает проблемы реагирования и расследования компьютерных преступлений в российских коммерческих компаниях, а также сложности судебного преследования злоумышленников и возмещения ущерба.

• Андрей Гусаков опубликовал сканы всех действующих сертификатов ФСТЭК на линейку продуктов Oracle по ИБ.

• Презентация Дениса Батранкова, подробно описывающая систему предотвращения вторжений HP TrippingPoint.

Лучшие посты из англоязычных блогов по ИБ

• Презентация Dan Guido "Исследование эксплуатации уязвимостей", в которой Дэн показывает, что упор на уязвимости и недостаточное внимание к угрозам ведет к ошибкам при управлении рисками. При том огромном числе уязвимостей, постоянно выявляемых в современных приложениях, нужно больше внимания уделять оценке угроз и сосредотачивать свои усилия на защите от наиболее вероятных атак.

• Статья Jerod Brennan "ЧТО вы хотите подключить к сети?!". Джерод затрагивает вопрос подключения сотрудниками компаний собственных мобильных устройств к корпоративной сети. Они делают это, не спрашивая разрешения у подразделения ИБ, поскольку ожидают получить в ответ категорическое "нет!". Джерод считает такой подход специалистов по ИБ неправильным - если у бизнеса действительно есть такая потребность, специалисты по ИБ должны не запрещать ее, а помочь бизнесу безопасно реализовать нужные ему возможности.

• Статья Дениса Батранкова "Почему сейчас самое время пересмотреть корпоративную политику электронной почты". Денис дает конкретные и практические рекомендации по актуализации политики безопасности электронной почты, позволяющие учесть реалии современной жизни (увеличение объема сообщений, использование мобильных устройств, спам и т.д.).

• Пост "Большинство сотрудников крадут конфиденциальную информацию компании" по результатам исследования, проведенного Cyber-Ark. Исследование показало, что большинство (66% опрошенных) специалистов ИТ и топ-менеджеров берут с собой конфиденциальную информацию компании при увольнении. Чаще всего увольняющиеся сотрудники уносят клиентские базы данных, списки паролей привелигированных учетных записей, планы по слияниям и поглощениям.

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост Николая Лумпова "Правила работы с возражениями". Хотя пост Николая ориентирован в первую очередь на продажи, описанные им правила достаточно универсальны и применимы при взаимодействии специалистов по ИБ с руководством и представителями бизнес-подразделений. Мы ведь тоже время от времени "продаем" свои идеи и решения бизнесу.

Законодательство

• Выпущен документ "Стратегия развития банковского сектора РФ на период до 2015 года". В п.7 этого документа, в качестве одной из мер по снижению административной нагрузки на кредитные организации, предусмотрено: "решить вопрос об устранении чрезмерных обременений при обработке кредитными организациями ... ПДн, полученных от клиентов (контрагентов) и кредитных организаций - корреспондентов, при осуществлении банковских операций и деятельности, предшествующей заключению договоров с клиентами (контрагентами) и кредитными организациями - корреспондентами ...". За новость спасибо Наталье Храмцовской.

Стандарты, лучшие практики, исследования

• Securosis опубликовала документ "Новые подходы к реагированию на сложные инциденты" (на английском). В документе даются рекомендации по реагированию на различные сложные атаки (в частности, APT). Для лучшего понимания документа авторы рекомендуют начать изучение с "Основ реагирования на инциденты", опубликованных Securosis несколько месяцев назад.

• Выпущено "Техническое руководство по тестированию на проникновение" (на английском). Руководство достаточно подробно описывает все основные процедуры тестирования на проникновение, а также различные инструменты и сценарии их использования. Здесь можно посмотреть презентацию по документу. За новость спасибо Владимиру Стырану.

• Ponemon Institute провел исследование динамики соответствия PCI DSS (на английском) в американских компаниях. Исследование показывает, что соблюдение требований PCI DSS действительно позволяет снизить число инцидентов, связанных с нарушением безопасности. Также достаточно интересен анализ выбора средств безопасности для выполнения требований. Здесь можно посмотреть обзор этого исследования (на английском).

• Verizon выпустила отчет по результатам исследования утечек данных за 2010 год (на английском). В отчете представлена очень интересная статистика: количество инцидентов, связанных с утечкой данных, в 2010 году возросло более, чем в 5 раз, однако количество утекших записей сократилось в 36 раз! В 92% случаев злоумышленники были внешними. Здесь можно посмотреть обзор этого исследования (на английском).

• Veracode опубликовала отчет о текущем состоянии обеспечения безопасности в веб-приложениях (на английском). Компания протестировала 4,8 тыс. веб-приложений на соответствие требованиям ИБ. Оказалось, что безопасность 58% приложений является неприемлемой, а 80% приложений содержат уязвимости из списка OWASP Top 10. Здесь и здесь можно посмотреть краткие обзоры отчета на русском.

• Австралийская служба DSD, ответственная за безопасность в сфере коммуникаций, выпустила документ, содержащий рекомендации по использованию облачных технологий и минимизации связанных с ними рисков. За новость спасибо Игорю Хайрову.

Новости

• Вышел кибер-триллер Марка Руссиновича "Нулевой день" (на английском). 

• Вышел новый номер журнала "Информационная безопасность". Номер посвящен решениям по защите от утечек информации.

Инциденты за неделю

• Взлом Системы управления личными финансами EasyFinance.ru (?). Пользователи EasyFinance получили от взломщиков (или обиженного сотрудника?) по электронной почте предложение закрыть свой аккаунт, а администрации сайта предложено свернуть проект. Для подтверждения факта взлома в открытый доступ выложен список пользователей и их счета.

• Произошел серьезный сбой в работе дата-центра Amazon EC2, из-за чего длительное время не работал ряд крупных сайтов.