Дайджест ИБ за 25 апреля - 1 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Перевод презентации Brad Bemis "Пишите документы по ИБ, которые люди смогут читать!". Брэд объясняет, почему традиционный подход к разработке нормативных документов по ИБ часто оказывается неэффективен, и дает рекомендации по решению этой проблемы.

• Пост Андрея Гусакова, в котором он дает несколько ссылок на полезные документы Oracle по ИБ.

• Статья Евгения Царева "5 программ, которые делают работу в Интернет безопаснее". Евгений сделал обзор 5 бесплатных облачных сервисов, один из которых (Qualys BrowserCheck) помогает проверить браузер на наличие уязвимостей, а 4 других (Norton Safe Web Lite, McAfee SiteAdvisor, WOT add-on и G Data CloudSecurity) - обеспечивают безопасность веб-серфинга.

• Презентация Дмитрия Евтеева "Безопасность веб-приложений сегодня".

Лучшие посты из англоязычных блогов по ИБ

• Пост Michael Maloof "Управление журналами регистрации событий: Плохие новости, Хорошие новости". Майкл, анализируя свежий Отчет Verizon по результатам исследования утечек данных, обратил внимание на интересную деталь: ни один из произошедших инцидентов не был выявлен с помощью анализа журналов регистрации событий. В отчете за прошлый год это помогло выявить всего 3% инцидентов. И это при том, что обычно в журналах присутствует достаточно информации, свидетельствующей об инциденте. Ведение и анализ журналов регистрации событий слишком часто реализуются только для соответствия внешним требованиям, большинство компаний не имеют опыта и времени для своевременного выявления информации об инциденте среди миллионов записей журнала. Многие даже не знают, что они ищут.

• Два поста Lenny Zeltser "6 причин, почему руководство игнорирует рекомендации специалистов по ИБ по снижению ИТ-рисков" и "Изучите альтернативы перед тем, как начинать переговоры о подходах к снижению ИТ-рисков", в которых Ленни объясняет причины, по которым руководство компании может игнорировать рекомендации специалистов по безопасности. Дело в том, что мы часто предлагаем руководству только один вариант, причем направлен он обычно на один и тот же способ обработки риска - его минимизацию. Часто это может быть слишком дорого или непрактично. Кроме того, мы иногда злоупотребляем "фактором страха" и говорим на непонятном языке. Ленни рекомендует продумывать различные варианты обработки риска и оценивать их преимущества для компании, прежде чем предлагать их руководителю. Это позволит ему выбрать оптимальный вариант.

• Статья Chad Perrin "Как заставить людей использовать надежные пароли", в которой Чад объясняет, почему требование, согласно которому пользователи должны использовать длинные, сложные пароли и часто менять их, не приводит к повышению безопасности. Также Чад описывает в статье методы взлома паролей, создания надежных паролей и их использования. Основная рекомендация Чада - позволить пользователям использовать менеджеры паролей.

• Пост Skeeter "Руководитель подразделения ИБ... Кому ты подчиняешься?", в котором автор рассматривает несколько вариантов подчиненности подразделения по ИБ, указывает их плюсы и минусы.

• Статья Ulf Mattsson "Защита облака и защита данных в облаке - это не одно и то же". В статье Ульф рассматривает основные уязвимости и недостатки, возникающие при хранении данных в "облаке". В его Топ-5 вошли: неправильное или несанкционированное использование "облачных" вычислений; небезопасные интерфейсы и API; внутренние злоумышленники (инсайдеры) провайдеров; проблемы совместного использования технологий; непонятные профили рисков.

• Igor Drokov опубликовал несколько видеороликов, наглядно демонстрирующих использование различных средств для подписи электронных транзакций в системах интернет-банкинга.

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост Романа Исаева "Банковские проекты: своими силами или консалтинг?". Роман показывает преимущества подхода, когда банк большую часть работ по проекту выполняет своими силами, а консультантов привлекает исключительно для информационно-методической поддержки.

• Перевод статьи Alistair Gray "9 неожиданных особенностей поведения пользователей". Статья касается поведения пользователей при просмотре веб-сайтов. Может пригодится, например, при создании раздела по ИБ на корпоративном портале. За перевод спасибо Анастасии Старковой.

• Презентация и видеозапись доклада Александра Орлова и Вячеслава Панкратова на тему "Практикум работы с неконструктивными моделями поведения".

Законодательство

• Законопроект "О лицензировании отдельных видов деятельности" одобрен Советом Федерации и направлен на подпись Президенту. Из изменений (по сравнению с действующим 128-ФЗ), касающихся ИБ, можно отметить: установку бессрочного действия лицензий; запрет отнесения к лицензионным требованиям требований законодательства, которые обязаны исполнять все организации; отсутствие необходимости получать лицензию на тех.обслуживание СКЗИ для собственных нужд организации; необходимость получать только одну общую лицензию на деятельность по разработке, производству, распространению, оказанию услуг, тех.обслуживанию СКЗИ. Небольшой обзор законопроекта сделал Алексей Волков.

Стандарты, лучшие практики, исследования

• Symantec совместно с сообществом Профессионалы.ру провели исследование по использованию сотдуниками российских компаний корпоративной информации. Исследование показало, что 70% сотрудников (в опросе приняло участие более 2000 респондентов) выносят корпоративную информацию из внутренней сети компании (например, чтобы дома закончить важный документ). 37% оставляют корпоративные ноутбуки без присмотра в общественных местах. У 50% - простые пароли. 9% подумывает о продаже корпоративной информации сторонним лицам, а 6% уже неплохо на этом заработали.

• Алексей Лукацкий сделал обзор отчета Frost & Sullivan за 2010 год по исследованию тенденций, связанных с уязвимостями. Отчет показывает значительно возросшее (на 62%) количество публично зафиксированных уязвимостей, причем большинство из них (70%) имеют высокую степень риска. Лидер по числу уязвимостей - Adobe. Существенно возросло число обнаруженных уязвимостей в MacOS, она уже обогнала Linux и приближается к Windows.

• Securosis выпустила руководство "Бенчмаркинг безопасности, выход за пределы метрик" (на английском) - отличный документ по оценке безопасности.

• Prism Microsystems опубликовала документ "Топ 10 инсайдерских угроз и рекомендации по защите от них" (на английском). В Топ 10 вошли: утечки через USB-накопители, несанкционированное использование прав локального и доменного администратора (в т.ч. взлом административных учетных записей), несанкционированная установка и использование программ, несанкционированное удаление данных, несанкционированное использование чужих ящиков электронной почты и других ресурсов.

• Перевод документа BakBone по классификации данных и выбору стратегии защиты их доступности. В документе даны рекомендации по оценке и классификации данных компании, определению бизнес-требований к их защите, выбору оптимального варианта защиты доступности критичных данных компании.

• Verisign опубликовала лучшие практики по снижению воздействия DDoS-атак (на английском).

• В результате проведенного Ponemon Institute опроса 127 поставщиков "облачных" услуг оказалось, что только 43% из них считают вопросы обеспечения безопасности важными. Остальные предпочитают сэкономить на безопасности и не считают ее конкурентным преимуществом, несмотря на риски. Более того, такую позицию разделяют 90% заказчиков, для которых ключевую роль играют стоимость и скорость, а вовсе не безопасность "облачных" сервисов.

• SANS обновила документ по использованию SQL-инъекций для распространения вредоносного программного обеспечения (на английском).

• CERT Societe Generale опубликовал "шпаргалку", кратко описывающую методологию реагирования на инциденты, связанные с заражением компьютерными червями.

• Портал Anti-Malware провел исследование рейтинга системных интеграторов по ИБ в России в 2008-2011 годах.

Новости

• Специалисты DSecRG обнаружили опасную уязвимость в работе корпоративной версии антивируса Касперского при использовании стандартных настроек Kaspersky Administration Kit. Уязвимость позволяет удаленно выполнить код через SMBRelay.

• В Москве задержан хакер, который похищал деньги с расчетных счетов коммерческих фирм через системы "Банк-Клиент".

• Александр Бондаренко опубликовал список конференций по ИБ, которые пройдут в Москве в мае-июне 2011 года.

• Вышел новый номер журнала Hakin9, посвященный "облачной" безопасности (на английском). К сожалению, журнал стал платным - бесплатно доступен ограниченный объем информации. Зато для платных подписчиков появилась масса дополнительных материалов (обучающие материалы, руководства).

• Вышел новый номер журнала Information Security Europe (Spring 2011) (на английском). Главная тема номера - риски.

• Barracuda опубликовала отчет (на английском), в котором привела подробное расследование произошедшей недавно атаки на свою сеть. Атака была произведена с помощью SQL-инъекции. Причиной уязвимости стал "человеческий фактор" и неудачное стечение обстоятельств.

• Amazon подготовила подробный отчет о произошедшем на прошлой неделе инциденте и сообщила о том, что будет предпринято, чтобы избежать повторения таких инцидентов в будущем (на английском).

Инциденты за неделю:

• Сеть Sony PlayStation Network была взломана. Похищены данные 77 миллионов пользователей, в т.ч., как минимум, несколько миллионов записей с информацией банковских карт. Хакеры предлагали Sony выкупить похищенную базу, но Sony отказалась и данные поступили в продажу. Тем временем сама сеть PlayStation Network не работает уже более недели.

• Таким образом, Sony стала очередной жертвой целевых хакерских атак, участившихся в этом году. За 4 месяца 2011 года от атак пострадало множество крупных компаний: RSA, HBGary, Nasdaq, Epsilon, Comodo, ESA, Nonghyup, Hyundai Capital, Barracuda, Morgan Stanley, Ashampoo, DSLReports, IEEE, SourceForge, MySQL, Google Android, WordPress, LiveJournal... Причем, наверняка, большинство из них отводило далеко не последнее место вопросам информационной безопасности и управления рисками...

• В открытом досупе на интернет-сайте были опубликованы персональные данные водителей, задержанных в 2010 году в Санкт-Петербурге в состоянии алкогольного или наркотического опьянения.