Дайджест ИБ за 2-8 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Выступление Steven Rambam с последней конференции H.O.P.E. "Анонимности нет, смиритесь!". Целых 2 часа видео с русскими субтитрами, но оно стоит потраченного времени. За субтитры и ссылки спасибо doctorpepper.

• Статья Рустэма Хайретдинова "Как работают DLP-системы: разбираемся в технологиях предотвращения утечек информации".

• Пост Сергея Солдатова "Нужен ли Вам пентест после внедрения", в котором Сергей сравнивает пентест с анализом защищенности и дает рекомендации, в каких ситуациях что будет предпочтительней.

• Пост Александра Гостева "Русские хакиры". Александр поискал информацию о Смирнове/Магомедове - хакере, недавно задержанном УБЭП за хищения денег посредством систем "Банк-Клиент". Найденная информация совершенно не соответствует образу хакера, который взламывает компьютеры коммерческих фирм и выводит с их помощью деньги на счета подставных фирм...

Лучшие посты из англоязычных блогов по ИБ

• Пост Dejan Kosutic "Означает ли соответствие компании ISO 27001, что информация на 100% защищена?". Дижен рассматривает пример недавнего инцидента с облачным сервисом Amazon Web Services (AWS). AWS сертифицирован по ISO 27001, сертификацию проводила E&Y CertifyPoint. Но инцидент тем не менее произошел. Так что же в действительности означает соответствие компании стандарту? Только то, что компания соответствует стандарту :-) Орган по сертификации не может предсказать всех возможных инцидентов, да это и не его работа. Его работа - это проверка того, что компания сделала все необходимое для соответствия стандарту. Но в чем же тогда смысл соответствия? Соответствие снижает риски и вероятность инцидентов. Но не более того.

• Статья Jart Armin "Эксфильтрация: Как хакеры выводят данные". После того, как хакеры получают контроль над системой, они не торопятся сразу загружать все данные с нее. Вывод данных может занимать недели, месяцы и даже годы. При этом данные передаются небольшими фрагментами, часто для этого используются скрытые каналы (например, DNS-запросы с внутреннего DNS-сервера компании).

• Пост Lenny Zeltser "Чувствовать себя в безопасности это совсем не то же самое, что быть в безопасности". В частности, Ленни обращает внимание на важность демонстрации результативности и эффективности безопасности, чтобы у заказчика/руководства/пользователя складывалось чувство безопасности. Например, если CISO построил действительно качественную систему безопасности и компания реально хорошо защищена, но руководство компании не видит ничего, кроме отсутствия инцидентов, оно не будет чувствовать, что компания в безопасности. Соответственно проделанная CISO работа не будет оценена по достоинству.

• Пост Jarrod Loidl "Ложь управления рисками". Джерод говорит о недостатках процедур оценки и управления рисками ИБ, которые не позволяют им быть действительно эффективными. Он выделяет три ключевых недостатка: невозможность отслеживания и оценки цепочек связанных уязвимостей; невозможность точного объективного расчета реального риска; невозможность эффективного практического использования результатов анализа рисков. Конечно, оценка и управление рисками - лучше, чем ничего. Но не нужно рассчитывать, что это сможет решить ваши проблемы, считает Джерод.

• Статья NetIQ "Насколько хорош ваш процесс управления пользователями? Повышение эффективности и безопасности за счет автоматизации". Авторы рассматривают некоторые способы автоматизации процедур управления правами доступа пользователей, позволяющие выполнять запросы более оперативно, обеспечить соответствие требованиям и повысить безопасность систем.

• Статья Carmi Levy "Мифы удаленного доступа". В настоящее время удаленный доступ руководства и сотрудников компаний к корпоративным ресурсам становится реальной потребностью бизнеса. Однако часто соответствующие проекты откладываются или реализуются в ограниченном объеме из-за опасений, что безопасность таких решений невозможно будет обеспечить. Нередко такие опасения необоснованы и базируются на мифах. Некоторые из таких мифов развенчивает автор статьи. Кстати, недавно у Алексея Лукацкого была интересная презентация по организации защищенного мобильного офиса.

• Статья VMWare "Топ 10 вещей, о которых часто забывают при разработке Плана восстановления после аварий".

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост Бориса Вольфсона "Эффект наблюдателя", в котором Борис говорит о влиянии метрик на поведение членов команды. Очень часто введение даже вполне разумных метрик ведет к тому, что люди начинаются подстаиваться под них. Это негативно сказывается на качестве и эффективности работы, хотя значения метрик получаются очень высокими. Необходимо учитывать этот фактор при введении метрик. Очень хорошо на эту тему высказывался Эльдар Мусаев.

• Пост Евгении Смородниковой "Постсоветские факторы в головах сотрудников". Евгения перечислила основные факторы, которые нужно учитывать при работе с персоналом в российских компаниях (а ИБ тоже в определенной степени работа с персоналом). 

• Пост Славы Панкратов "Книги для менеджера". Слава опубликовал список книг, который он рекомендует на своих тренингах менеджерам и тем, кто хочет ими стать. Подборка очень интересная, большинство книг сопровождается рецензиями.

Стандарты, лучшие практики, исследования

• SANS выпустил отчет по результатам ежегодного исследования управления журналами регистрации событий (на английском). Исходя из отчета, можно сделать вывод, что компании научились собирать логи, но пока испытывают серьезные сложности с анализом их содержимого. Это вполне соответствует недавнему исследованию Verizon по утечкам данных, согласно которого ни один из инцидентов не был выявлен с помощью анализа журналов регистрации событий.

• NSA опубликовало "Лучшие практики по обеспечению безопасности домашней сети" (на английском). В документе рассмотрены вопросы обеспечения безопасности компьютеров под управлением Windows и MacOS, вопросы защиты домашней сети (в т.ч. беспроводной), вопросы использования сети Интернет и хранения персональной информации на интернет-ресурсах.

• CERT Societe Generale опубликовал "шпаргалку", кратко описывающую методологию реагирования на инциденты, связанные со взломом Windows-системы (на английском).

• Рекомендации TSIA и Citrix Online по выбору эффективных и сбалансированных метрик оперативности, качества и стоимости.

• ENISA опубликовала отчет, посвященный надежности сети Интернет (на английском). Авторы отчета рассматривают массу проблемных зон, которые могут стать причиной нарушения работы Интернета. А ведь большинство компаний организует свою инфраструктуру, исходя из предположения, что Интернет будет функционировать всегда. В отчете представлен ряд рекомендаций по улучшению текущей ситуации. За ссылку и краткий обзор отчета спасибо Алексею Чеканову.

• Отчет Team Cymru "Перспективы использования связок эксплойтов в криминальных целях" (на английском). Авторы отчета исследовали более 40 различных связок эксплойтов, чтобы лучше понять возможные сценарии их криминального использования. Также были проанализированы вопросы их монетизации и применяемые в них механизмы защиты кода. Демонстрацию использования связки эксплойтов недавно выкладывал Александр Матросов.

• Рекомендации PayPal по организации борьбы с киберпреступностью (на английском). Краткий обзор документа от одного из авторов можно посмотреть здесь.

• Лаборатория Касперского выпустила обзор вирусной активности в апреле 2011.

• Microsoft выпустила новую версию Руководства по жизненному циклу безопасной разработки ПО (SDL 5.1) (на английском).

Новости

• Компания Бифит завершает работы по созданию "Трастскрина", который представляет из себя USB-картридер с экраном. Он показывает пользователю подписываемый документ и направляет документ на подпись в USB-токен или смарт-карту только с согласия пользователя. "Трастскрин" предназначен для обеспечения безопасности пользователей системы ДБО iBank 2. Обсуждение нового устройства ведется на форуме Bankir.ru.

• Специалисты McAfee обнаружили распространяющийся в сети Интернет троян IncognitoRAT, который угрожает как пользователям Windows, так и пользователям Mac. Существует вероятность, что этот троян может также быть угрозой для iPhone и iPad. Также, на черном рынке появился инструментарий для сборки вредоносных программ под MacOS. А еще в сети начали распространяться фальшивые антивирусы для Mac.

• Вскрываются некоторые подробности атаки на Sony. Оказывается, что из компании утекли также 24,6 миллионов учетных записей Sony Online Entertainment. Там тоже были данные банковских карт. Некоторые серверы Sony работали на устаревшей версии Apache, имевшей известные уязвимости, и не были защищены межсетевым экраном. Более того, информация об этом обсуждалась за несколько месяцев до инцидента на открытом форуме Sony. Кроме того, оказывается, что в компании Sony нет... CISO!

• Вышла новая версия бесплатной системы контроля доступа к сети (NAC) PacketFence 2.2. Система обладает впечатляющим набором функций и может интегрироваться с IDS Snort и сканером уязвимостей Nessus.

• Обнаружена уязвимость в OpenID.

Инциденты за неделю

• Возможно произошла утечка данных из LastPass (онлайн-менеджер паролей). Специалисты LastPass зафиксировали аномальный сетевой трафик, что могло быть следствием хакерской атаки. Всем пользователям рекомендуется срочно сменить пароли.

• Продолжаются DDoS-атаки на LiveJournal. Пока техническим службам удается их отражать.