понедельник, 27 июня 2011 г.

Дайджест ИБ за 20 - 26 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Пост Алексея Лукацкого "Вновь об управлении инцидентами". Алексей обращает внимание на важность формализации задач и процессов в рамках организации реагирования на инциденты, а также заблаговременного создания группы реагирования на инциденты. Без этого, в случае инцидента, начнется хаос. Инцидент при этом возможно и будет как-то разрешен, однако подробности инцидента и следы злоумышленника могут быть безвозвратно потеряны.
Лучшие посты из англоязычных блогов по ИБ
  • Пост Boris Sverdlik "Злоумышленники обожают вашу кадровую службу". Борис затрагивает вопрос утечки сведений об используемых компанией аппаратных и программных средствах, а также средствах обеспечения безопасности через... объявления о вакансиях. Анализ информации из объявлений о поиске специалистов ИТ и ИБ может дать злоумышленнику много ценной информации, что существенно повысит его шансы на успех. Борис рекомендует компаниям использовать для поиска персонала специализированные рекрутинговые агентства и не раскрывать заранее название компании. Однако не намного меньшую проблему представляют резюме бывших сотрудников, описывающих свой опыт работы в компании...
  • Пост Lenny Zeltser "Важнейшая роль Координатора группы реагирования на инциденты", в котором Ленни обращает внимание на очень важную роль в группе реагирования на инциденты - роль Координатора. Ленни описывает основные обязанности Координатора (отслеживать прогресс обработки инцидента, уведомлять о нем заинтересованных лиц, координировать действия членов команды, при необходимости организовывать экспертизу) и навыки, которыми он должен обладать (разбираться в информационных технологиях и ИТ-инфраструктуре компании, иметь хорошие коммуникативные навыки, быстро обучаться при необходимости и уметь импровизировать).
  • Пост Tyler Shields "Пользователей не волнует безопасность". Конечно, большинство пользователей не хочет, чтобы их данные или данные их компании стали доступны кому-то еще, но почему же в таком случае они игнорируют требования безопасности? По мнению Тайлера, это происходит потому, что безопасность просто не волнует большинство из них - у них нет для этого стимулов. Далее Тайлер анализирует вопрос стимулов более детально. Какие стимулы мотивируют людей на следование определенному поведению? Есть 4 категории социальных стимулов: материальные (не работает, т.к. сотрудники обычно не получают материальных благ за то, что соблюдают требования безопасности), моральные (тоже не работает, т.к. несоблюдение требований безопаности аморальным поведением общество пока не считает), естественные (страх нарушения безопасности - отличный стимул, однако большинство людей считают пренебрежительно малой вероятность того, что проблема ИБ случится именно с ними, поэтому и этот стимул не работает), принуждение (установка обязательных требований и наказание за их несоблюдение часто является единственным вариантом обеспечения безопасности, т.к. этот стимул работает, однако на практике реальные наказания используются очень редко - в долгосрочной перспективе это ведет к еще большим проблемам). Как же быть в такой ситуации? Тайлер считает, что для решения этой проблемы служба ИБ должна обеспечивать безопасность за пользователя, внедряя сервисы безопасности, работающие в фоновом режиме, без его непосредственного участия, и устанавливая ограничения, исключающие выполнение пользователем небезопасных действий.
  • Статья Larry Hardesty "Защита медицинских имплантов от атак". Проведенные исследования показали, что импланты, поддерживающие работу жизненно важных органов миллионов американцев уязвимы для хакерских атак. Большинство имплантов имеют беспроводные интерфейсы, которые позволяют врачам контролировать их работу и вносить изменения в настройки. Однако о безопасности этих интерфейсов при их разработке никто не подумал. Получив доступ к управлению имплантом, злоумышленник может изменить его настройки, что может, в худшем случае, привести к смерти жертвы. Исследователи предлагают способы решения этой проблемы с использованием криптографических алгоритмов.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Пост psilon "Менеджер проектов внутри матрицы". Интересная заметка, в которой автор рассказывает о том, с чем может столкнуться менеджер проектов прийдя работать в крупную компанию (на примере банка). Описанные в заметке сложности весьма актуальны и для сферы ИБ, причем в ИБ они нередко распространяются не только на проектную деятельность, но и текущую. В частности, автор отмечает такие проблемы, как низкая "вовлеченность" в проект участвующих в нем сотрудников подразделений банка; выделение времени на проект и представителей в проект по "остаточному принципу"; отсутствие "проектной команды", как таковой; конфликты между подразделениями, вовлеченными в проект. Знакомо? Автор дает рекомендации, как преодолеть все эти сложности: гланое - принять такое положение вещей и учитывать его при работе (будем реалистами, вряд ли менеджер проекта может серьезно повлиять на это в крупной компании); главное оружие - коммуникации, нужно выстраивать отношения с людьми; хороший контакт со "спонсором" из числа топ-менеджеров, заинтересованном в успехе проекта; максимальная "прозрачность" проекта для всех участников; документальная фиксация всех решений.
Стандарты, руководства, лучшие практики, исследования
  • Brian Krebs проанализировал базу с хэшами паролей пользователей взломанного в прошлом году хакерского форума Antichat.ru. Оказывается хакеры тоже используют слабые пароли - всего за несколько дней Брайану удалось взломать почти половину паролей. Тремя самыми популярными паролями были 123456, 111111, 123123. Аналогичный анализ произвел Ростислав (sic) и добился еще больших успехов - были взоманы 77% паролей за 8 часов.
  • Проведенное GFI Software исследование показало, что четверть опрошенных представителей компаний отметили, что их компании сталкивались с серьезными проблемами, вызванными дефектными патчами или несовместимостями ПО после установки патчей. Более половины компаний не имеют жесткой политики установки критических патчей. Большинство (90%) компаний устанавливает патчи в течение 1-2 недель после выпуска. По результатам тестирования исследователи подчеркивают важность проведения тестирования патчей перед их установкой в промышленной среде, а также важность использования специализированных решений по управлению патчами.
Новости
Инциденты за неделю
  • Облачный сервис Dropbox устроил день открытых дверей. В течение 4 часов любой мог получить доступ к файлам любого пользователя Dropbox. Для этого нужно было знать только логин (адрес электронной почты) пользователя, а в качестве пароля можно было указать любые символы. 

Комментариев нет: