Дайджест ИБ за 27 июня - 03 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Отличный пост Ригеля "Десять ключей к сертификации по ISO 27001". Автор делится практическими рекомендациями по подготовке и прохождению сертификации по ISO 27001: 1) читайте стандарт в оригинале; 2) не перегружайте себя информацией, чтобы не запутаться - достаточно серии ISO 27xxx; 3) для понимания отдельных требований можно поискать параллели в ISO 9xxx; 4) правильно выбирайте область сертификации; 5) прежде чем выходить на сертификацию, нужно пройти хотя бы один цикл PDCA; 6) для каждого "контрола" нужны документальные свидетельства, как и для СМИБ в целом; 7) в первую очередь запускайте цикл, непосредственно связанный с требованиями 27001; 8) перечень необходимых аудиторам документов берите из 27001 и 27002; 9) требуйте предсертификационный аудит; 10) не перевыполняйте план, не увлекайтесь лучшими практиками - вам нужна адаптированная под вашу организацию СМИБ, которую вы сможете потом реально эксплуатировать.

Лучшие посты из англоязычных блогов по ИБ 

• Пост David Maynor "Согласитесь, безопасность проиграла на этот раз", в котором Дэвид рассматривает вопрос влияния недавних подвигов хакерских сообществ, типа LulzSec, на безопасность. Многие (особенно вендоры) считают, что их деятельность окажет положительное влияние - компании уделят больше внимания безопасности, будут выделять на нее больше средств. Однако Дэвид согласен с такими выводами лишь отчасти. Он говорит о том, что компании, тратившие на безопасность огромные деньги, попались на элементарных уязвимостях - SQL-инъекциях и паролях по умолчанию. Какая же польза была от огромных затрат?! Дэвид считает, что пока не изменится менталитет руководства компаний в отношении безопасности, никакие затраты не позволят обеспечить реальную безопасность.

• Пост Johannes Ullrich "Все сети уязвимы?". Йоханнес также обращается к теме недавних громких атак, но рассматривает их под несколько иным углом. Он считает, что предотвращение абсолютно всех нарушений безопасности не является целью обеспечения ИБ. Цель ИБ - снижение рисков до приемлемого уровня. Только при таком подходе обеспечение ИБ является решаемой задачей. Как можно снизить риск? Риск можно снизить, уменьшив вероятность (частоту) его реализации - т.е. внедрив защитные меры, а также уменьшив величину потенциального ущерба. В любом случае, бизнес строится на доверии и задачей ИБ является укрепление доверия к системам компании со стороны ее клиентов и партнеров.

• Пост Lenny Zeltser "4 совета по правильному написанию Пояснительной записки (Executive Summary) в Отчете по результатам оценки безопасности". Ленни говорит о том, что большая часть аудитории, для которой предназначается такой отчет, не будет читать его целиком, а ограничится только первой страницей. Поэтому очень важно, чтобы на первой странице было краткое резюме всего отчета, а именно - Пояснительная записка. При этом она должна: 1) иметь смысл и быть понятной для нетехнической аудитории - не перегружайте ее техническими деталями; 2) быть связанной с деятельностью компании, иметь значение для бизнеса - ссылайтесь на бизнес-процессы, показатели деятельности, риски, обязательства; 3) быть краткой - не более 1 страницы; 3) быть конкретной - делайте конкретные заявления и указывайте цифры, вместо слов "некоторые", "многие" и т.п.

• В своем следующем посте "6 качеств хорошего Отчета по результатам оценки безопасности", Ленни дает рекомендации по написанию самого Отчета. Он говорит о том, что даже отлично сделанная работа может быть загублена плохо написанным отчетом. Чтобы этого не произошло, соблюдайте следующие правила. Отчет должен: 1) начинаться с правильно написанного резюме (пояснительной записки) (см. выше); 2) давать содержательный анализ, а не просто отчет инструмента оценки (например, сканера безопасности); 3) содержать все необходимые цифры для обоснования выводов; 4) содержать описание методологии оценки и границ оценки; 5) выглядеть профессионально, не содержать орфографических ошибок и опечаток; 6) быть структурирован, разделен на логические разделы.

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост psilon "Раз-два-три-четыре-пять, я иду презентовать". Автор кратко описал наиболее важные моменты, которые нужно учесть при подготовке презентации и при выступлении. Если вам нужно чуть больше подробностей, посмотрите мою статью о проведении презентаций по информационной безопасности (часть 1, часть 2).

Законодательство

• Законопроект о внесении изменений в закон о персональных данных принят во втором чтении. Вот только принят совсем не тот законопроект, который мы видели на прошлой неделе. В принятой редакции, увы, исчезли почти все преимущества предыдущей версии :-(. Дата третьего чтения пока неизвестна. Остается слабая надежда, что до третьего чтения ситуацию удастся исправить, т.к. новый законопроект полностью противоречит поручению Президента и вообще целям, ради которых эти изменения и затевались (вот, например, инициатива Алексея Волкова). Обсуждение новой редакции поправок можно посмотреть в блогах Юрия Травкина, Алексея Лукацкого, Алексея Волкова, Михаила Емельянникова и Евгения Царева. А тем временем с 01.07.2011 действующая редакция 152-ФЗ вступила в полную силу без всяких оговорок и исключений...

• Принят новый закон №161-ФЗ "О национальной платежной системе". Краткий обзор закона можно посмотреть здесь.

Стандарты, руководства, лучшие практики, исследования

• NIST опубликовал документ IR 7693 "Руководство по идентификации активов" (на английском). В документе описаны цели и методы проведения идентификации активов, рекомендуемые модели данных, а также некоторые указания по порядку проведения этой работы.

• FFIEC выпустила дополнение к своему Руководству по аутентификации в среде интернет-банкинга. Дополнение учитывает существенно возросшие за последнее время риски для финансовых организаций и их клиентов, связанные с использованием систем дистанционного банковского обслуживания. Примечательно, что в документе больше внимания уделено таким мерам, как оценка рисков, использование систем антифрода и повышение осведомленности клиентов, а на технологии рекомендуется не полагаться полностью. Основное руководство, выпущенное в 2005 году, можно посмотреть здесь. Переведенный краткий обзор документа от Brian Krebs можно посмотреть здесь.

• MITRE опубликовала новый отчет "2011 CWE/SANS Топ 25 наиболее опасных ошибок в программном обеспечении". Ошибки разделены на три категории: небезопасное взаимодействие между компонентами, опасное управление ресурсами, недостатки в защите. Ошибки все те же - SQL-инъекции, инъекции команд ОС, переполнение буфера, XSS, проблемы аутентификации и авторизации, жесткое указание в коде реквизитов доступа, хранение критичных данных без шифрования и т.д.

• Министерство внутренней безопасности США провело исследование в ходе которого они разбросали на парковке одного из государственных учреждений флешки и компакт-диски, причем некоторые из них имели логотип этого учреждения, а некоторые - нет. В результате исследования было установлено, что сотрудники этого учреждения подключили к своим компьютерам 60% найденных носителей информации без логотипа их учреждения и 90% - с логотипом. При этом нужно отметить, что в этом учреждении регулярно проводились обучения сотрудников по вопросам ИБ, возможным угрозам, с примерами их проявлений. Исследование еще раз показало, что человеческие ошибки являются одной из самых больших угроз ИБ.

• Компания Leta опубликовала отчет по результатам исследования рынка ИБ в 2010 году. Краткий обзор отчета можно посмотреть здесь. Интересно, что как один из основных факторов развития рынка ИБ Leta отметила смену поколений специалистов ИБ в российских организациях.

• Специалисты Лаборатории Касперского провели исследование новой версии одной из самых опасных современных вредоносных программ TDL-4. Изменения в TDL-4 направлены на построение ботнета, максимально защищенного от посягательств конкурентов и антивирусных компаний, и теоретически обеспечивают доступ к зараженным машинам даже при закрытии всех командных центров. Только за три первых месяца 2011 года TDL-4 было заражено более 4,5 млн. компьютеров по всему миру.

Новости

• На сайте Veracode опубликована интересная инфографика со всеми событиями, связанными с произошедшими в этом году взломами Sony. Отражено влияние каждого из событий на стоимость акций Sony, которые с начала года подешевели на треть. Общий ущерб Sony от атак уже составил 171 млн. долларов США и потенциально может возрасти до 24 млрд. долларов США. При этом стоимость защиты от таких атак (атакующий использовали SQL-инъекции), по мнению экспертов, составляет всего около 10 тыс. долларов США.

• Symantec выпустила документ "Окно в безопасность мобильных устройств" (на английском). В документе рассматриваются вопросы безопасности мобильных операционных систем Google Android и Apple iOS. Хотя обе операционные системы являются достаточно современными и были разработаны с учетом современных угроз безопасности, все же значительное внимание в них уделено вопросам удобства использования, что привело к определенным компромиссам. В документе достаточно подробно рассмотрены модели безопасности, лежащие в основе обоих платформ, проанализирована их подверженность различным типам атак.

• Появился интересный сайт для проверки устойчивости к социальной инженерии ;-). Сайт "Is Your Credit Card Stolen?" предлагает вам узнать, не были ли украдены реквизиты вашей банковской карты. Для этого на сайте нужно ввести номер карты, срок действия и имя держателя карты. Если пользователь не заметил подвоха, и ввел все эти данные, он попадает на страницу, которая поясняет, что он стал жертвой социальной инженерии. Владельцы сайта уверяют, что никакой информации о картах они не собирают. За ссылку спасибо Дмитрию Евтееву.

• Специалисты компании Netragard, нанятые для проверки межсетевого экрана заказчика на возможность проникновения во внутреннюю сеть, немного модифицировали компьютерную мышь и отправили ее одному из сотрудников компании в виде рекламной акции. Внутренняя сеть была успешно взломана. Подробности можно посмотреть здесь (на английском). 

• Руководство Citibank признало, что в результате недавней атаки, хакерам удалось похитить 2,7 млн. долларов США со счетов 3400 клиентов банка. Банк возместит убытки клиентов.

• Вышел новый номер журнала InfoSecurity (на английском).

• Исходные коды нашумевшего компьютерного червя Stuxnet попали в открытый доступ. Точнее, это не совсем исходные тексты, а результаты декомпиляции модулей червя с помощью Hex-Rays.

• Обнаружен новый руткит Popureb, для удаления которого требуется переустановить Windows, либо  восстановить MBR при помощи диска восстановления.

Инциденты за неделю

• Индийское подразделение Groupon случайно опубликовало в Интернете базу данных, содержащую адреса электронной почты и незашифрованные (!) пароли 300 тысяч пользователей сайта скидок sosasta.com. База данных была проиндексирована Google. Некоторые подробности можно посмотреть здесь (на английском).

• Хакеры взломали сайт DefenceNews, занимающийся военной индустрией, и украли персональные данные его подписчиков - имена, логины, пароли, адреса электронной почты, воинское звание, род войск. Есть опасения, что эта информация будет использоваться для целевого фишинга. 

• Появился второй троян, направленный на электронную валюту bitcoin. Только если первый троян просто воровал кошельки пользователей, новый ворует их компьютерные ресурсы. После заражения компьютера этим троянов, в нем запускается процесс, начинающий генерировать монеты bitcoin для создателя трояна. Однако создателя трояна на этот раз постигла неудача - его аккаунт почти сразу вызвал подозрения администрации и был заблокирован.

• Проведена DDoS-атака на сайт MasterCard, из-за которой сайт был несколько часов недоступен. Однако позже MasterCard заявила, что сайт был недоступен из-за проблем у провайдера, а вовсе не из-за действий злоумышленников.

• В результате фишинговой атаки были скомпрометированы учетные данные тысяч пользователей сервиса микроблоггинга Tumblr.