Дайджест ИБ за 04 - 10 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Пост Сергея Борисова "Аудит ИБ Банков". Сергей прошел обучение по курсу аудита ИБ банков и делится полученной информацией об особенностях проведения аудита по стандарту Банка России СТО БР ИББС-1.0. Есть очень интересные и полезные моменты.

• Пост drossekmayer "Identity Management - основы управления учетными записями", в котором автор дает краткое введение в системы IDM (IAM), практические рекомендации по их внедрению и использованию. 

• Сергей Ерохин опубликовал в своем блоге краткий обзор документа по оценке рисков на химических объектах США. Для использования в ИБ подход нуждается в доработке, но несколько интересных идей в нем есть. Ранее Сергей сделал краткие обзоры и более традиционных методик оценки рисков: ISO 27005, РС БР ИББС-2.2, ГОСТ 13569, ГОСТ 13335-3, NIST SP 800-30. Материал будет полезен при выборе (совершенствовании) подхода к проведению работ по оценке рисков в своей компании. 

• Пост Алексея Лукацкого "Стратегия безопасности мобильных устройств", в котором Алексей перечисляет и кратко описывает ключевые разделы такой стратегии.

• Андрей Гусаков опубликовал "Сравнение Microsoft Forefront Identity Manager 2010 и Oracle Identity Manager 11gR1".

• Сергей Халяпин сообщил о появлении официальной документации по продуктам Citrix на русском языке. Пока ее немного, но количество будет расти, - обещает Сергей.

Лучшие посты из англоязычных блогов по ИБ

•  Пост Rich Mogull "Просто - на самом деле не так и просто". Рич обращает внимание на множество заметок и статей по произошедшим в последнее время взломам и атакам, в которых авторы пишут о том, что инцидент легко было предотвратить с использованием простых и очевидных защитных мер. Достаточно просто обучить разработчиков писать безопасный код, установить последние патчи и следовать лучшим практикам в области обеспечения безопасности. Это остановит всех злоумышленников, за исключением самых решительных и целеустремленных. Ничего сложного, не так ли? На самом деле - не так, говорит Рич. Эта простота очень плохо масштабируется. Очень мало решений по безопасности, которые не требуют квалифицированной поддержки и эксплуатации. Если компания небольшая и в ней работают всего несколько сотрудников, обеспечить ее безопасность действительно не сложно, однако у нее нет достаточных ресурсов для этого. Если компания большая, обеспечение ее безопасности становится очень сложной задачей, даже если она обладает достаточными ресурсами для этого. Просто устранить конкретную уязвимость или недостаток, но сделать это для всех систем и процессов крупной компании - очень сложная задача. Chris Wysopal немного дополнил пост Рича.

• Пост Rob VandenBrick "Это слишком важно, чтобы ставить патчи". Роб обращает внимание на парадокс - нередко оказывается, что на самые важные и критичные для компании системы патчи не ставятся, а иногда они работают под управлением уже давно не поддерживаемого программного обеспечения или операционных систем. Администраторы таких систем не допускают установку патчей, опасаясь последствий непредсказуемой работы систем после этого.

• Статья Kai Roer "Информационная безопасность - это не то же самое, что ИТ-безопасность". В статье Кай дает определения ИБ и ИТ-безопасности, показывает ключевые различия между ними, говорит о проблемах, которые возникают, когда решением вопросов ИБ занимается подразделение ИТ.

• В журнале IEEE Spectrum была опубликована интересная матрица по 25 последним крупным инцидентам ИБ. Матрица очень наглядно показывает сложность проведенных атак и уровень их последствий.

• Еще один пост на тему APT. По мнению Pete Lindstrom, APT - не более, чем обычная "пугалка" в новой обертке. Просто компаниям стыдно признаться в своих просчетах, которые привели к нарушению безопасности, поэтому они заявляют, что подверглись APT-атаке, пытаясь снять с себя ответственность.

Интересные статьи и заметки по менеджменту, коммуникациям

•  Пост Радислава Гандапаса "13 принципов реагирования на вопросы аудитории". За ссылку спасибо Денису Батранкову.

Законодательство

• Проект закона о внесении поправок в закон о персональных данных принят в третьем чтении. Теперь вся надежда только на то, что его не подпишет и отправит на доработку Президент... Коллеги подготовили письмо для Президента и организовали сбор подписей. Краткие промежуточные итоги можно посмотреть здесь. На 13 июля назначено рассмотрение законопроекта Советом Федерации.

Стандарты, руководства, лучшие практики, исследования

• Австралийское Министерство обороны выпустило документ "Руководство по обеспечению безопасности iOS" (на английском).

• SANS опубликовал документ "Создание собственного инструментария для сбора и управления событиями и реагирования на инциденты, используя инструменты с открытыми исходными текстами" (на английском).

• SANS опубликовал практическое руководство по использованию бесплатной системы обнаружения вторжений уровня хоста - OSSEC (на английском).

Новости

• В исходных текстах FTP-сервера vsftpd был обнаружен бэкдор. Видеодемонстрацию его использования можно посмотреть здесь.

• Обнаружены критические уязвимости в phpMyAdmin, которые позволяют атакующему выполнить собственный PHP-код.

• Были обнаружены уязвимости на сайтах Oracle, Apple и Dukascopy.

• Учебный центр "Информзащита" проводит бесплатные ознакомительные семинары Microsoft First Look по решениям безопасности, реализованным в Windows Server 2008.

Инциденты за неделю

• На этой неделе с новой силой продолжились хакерские атаки на сайты, сети и блоги различных компаний. Ниже приведены только самые крупные из них:
• Взломан один из серверов НАТО. Похищенные данные размещены в свободном доступе.
• Взломана сеть IRC Federal (поставщик ФБР), похищены и выложены в свободный доступ более 100MB внутренних документов и иных данных.
• Взломан сайт Apple, в свободный доступ выложены 26 имен и хэшей паролей пользователей, среди которых учетные записи администраторов.
• Взломана база данных сервиса поиска работы газеты The Washington Post, украдена информация о 1,3 миллионах адресов электронной почты посетителей этого сервиса. Подробности на официальном сайте газеты.
• Взломана учетная запись в Twitter политического раздела Fox News, после чего от имени издания в Twitter была опубликована поддельная новость об убийстве президента США.
• Взломан бразильский сайт Microsoft.
• Взломана учетная запись PayPal UK в Twitter. 

• Произведена фишинговая атака на абонентов Билайн. Им рассылались электронные письма, в которых сообщалось о выигрыше приза и предлагалось отправить "бесплатную" SMS на короткий номер... Непонятно только, откуда у мошенников были адреса электронной почты абонентов Билайн? Или они рассылали письма всем подряд?