Дайджест ИБ за 15 - 21 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Пост Алексея Лукацкого "Как оценить программу повышения осведомленности". Алексей приводит примеры метрик, которые позволят организовать объективную оценку результатов программы повышения осведомленности. Также Алексей опубликовал полезный пост с рекомендациями в отношении организации классификации информационных активов.

• Алексей Волков опубликовал свои мысли по поводу возможной реализации требований новой редакции закона "О персональных данных" 152-ФЗ в подзаконных актах (часть 1, часть 2 и часть 3).

• Пост Евгения Царева "Коротко о бизнес-анализе службы ИБ и показателях эффективности". Евгений делает вывод о том, что инструменты бизнес-анализа вполне применимы к сфере ИБ, однако классические показатели эффективности вложений для ИБ не применимы.

Лучшие посты из англоязычных блогов по ИБ

• Пост Adriano Dias Leite "6 причин, по которым не стоит работать в ИБ", в котором Адриано отмечает 6 самых негативных вещей, с которыми сталкиваются практически все специалисты, работающие в области ИБ. 6) Постоянная сверхурочная работа (т.к. инциденты происходят почти постоянно); 5) Люди вспоминают о вас, только когда случается что-то плохое (не ждите благодарности за отлично проделанную работу по обеспечению безопасности сети); 4) Учиться, учиться и еще раз учиться (когда другие отправляются на отдых, вы приступаете к изучению новой книжки по обеспечению безопасности Apache); 3) Существует предел роста в вашей карьере (у специалиста по ИБ мало шансов стать ген.директором); 2) Нет права на ошибку (ошибаться могут все - программисты, создающие небезопасные программы, сотрудники, подключающие к сети зараженные ноутбуки... вы - не можете); 1) К вам часто будут обращаться с просьбами что-нибудь взломать (вы же хакер, что вам стоит взломать чью-нибудь почту или какую-нибудь программу? отказать по этичным соображениям и при этом не обидеть человека очень сложно). Вы все еще хотите работать в ИБ? :-)

• Brad Bemis опубликовал пример политики использования собственных мобильных устройств, написанной в соответствии с правилами, о которых он писал ранее (см. мой пост "Пишите документы по безопасности, которые люди смогут читать!").

• Пост Michael Sanchez "Вас взломали? Что нужно делать в таком случае". Майкл описывает 5 шагов, которые следует выполнить в рамках реагирования на сетевую атаку и восстановления работы сети. 1) Проверьте, что именно было атаковано, тип атаки, адреса атакующих и т.д. - соберите как можно больше информации о происходящем (и как можно быстрее). 2) Остановите дальнейший ущерб и защитить бизнес-активы - например, отключите доступ в Интернет, изолируйте отдельные сегменты сети, отключите атакуемые системы (но учтите необходимость сохранения доказательств) и т.п. 3) Примите решение - нужно ли делать публичное заявление о произошедшем, возможно потребуется уведомление клиентов или партнеров, если они были затронуты. 4) Восстановите поврежденные системы (решив вопросы со сбором доказательств) - переустановите их с резервных копий, смените пароли. 5) Закройте уязвимость, которая использовалась для атаки на вашу сеть.

• Пост Ben Sapiro "3 закона специалиста по ИБ". Бен взял за основу знаменитые 3 закона робототехники, придуманные Айзеком Азимовым, и сформулировал на их основе 3 закона специалистов по ИБ, которые можно считать неким профессиональным кодексом этики: 1) специалист по ИБ не может причинить вред бизнесу или своим бездействием допустить, чтобы бизнесу был причинен вред; 2) специалист по ИБ должен следовать указаниям бизнеса, за исключением случаев, когда такие указания нарушают Первый Закон; 3) специалист по ИБ должен защищать целостность функций безопасности, пока это не нарушает Первый или Второй Закон. Кроме этих трех законов, Бен, следуя логике Азимова, добавил нулевой закон: 0) специалист по ИБ не может причинить вред обществу или своим бездействием допустить, чтобы обществу был причинен вред.

• Jeff Bardin опубликовал таблицу для оценки уровня зрелости программы управления ИБ.

Законодательство

• На сайте ФСТЭК опубликован проект Положения о лицензировании деятельности по технической защите конфиденциальной информации. По сравнению с действующей редакцией Положения, в новой версии конкретизированы виды работ (услуг), подлежащих лицензированию, установлены лицензионные требования, предъявляемые к лицензиату при осуществлении ТЗКИ. Также в документе много других существенных и не очень изменений. Краткий обзор документа от Александра Бондаренко можно посмотреть здесь. За новость спасибо Алексею Краснову.

Стандарты, руководства, лучшие практики, исследования

• Перевод документа Software Engineering Institute "Систематизация операционных рисков, связанных с ИБ". В документе приведена подробная классификация рисков ИБ. В качестве основных классов выделены: 1) действия людей; 2) сбои ПО и оборудования; 3) недостатки внутренних процессов; 4) внешние события. Далее, каждый класс делится на подклассы и отдельные элементы.

• PCI Security Standards Council выпустил новый документ "PCI DSS. Руководство по токенизации" (на английском). В контексте данного документа, "токенизация" - это замена номеров карт (PAN) при хранении и обработке в различных приложениях на некое (псевдо)случайное значение, "токен". Это позволяет ограничить область действия PCI DSS и обеспечить дополнительную безопасность данных платежных карт за счет ограничения мест хранения полных номеров карт - фактически, они будут храниться только в базе данных, "связывающей" реальные номера карт с "токенами". За новость спасибо Александру Бондаренко.

• Также на тему "токенизации" Securosis выпустила свой документ "Токенизация против Шифрования: Варианты для обеспечения соответствия" (на английском). Помимо "токенизации" платежных данных, в документе рассматриваются вопросы "токенизации" персональных данных и медицинской информации.

• SANS выпустил очередной бюллетень Ouch! для повышения осведомленности пользователей по вопросам ИБ. Новый бюллетень посвящен вопросам обновления программного обеспечения (на английском).

• Вышли новые номера журналов InfoSecurity и ClubHack Magazine (на английском).

• Facebook опубликовала "Руководство по безопасному использованию Facebook" (на английском). В руководстве рассказывается, как защитить свою учетную запись в Facebook, оградить себя от мошенников, использовать расширенные настройки безопасности, как восстановить взломанную учетную запись в Facebook и как остановить злоумышленников.

Новости

• История с ChronoPay и Павлом Врублевским продолжается, в деле появляются новые фигуранты и новые задержанные. Недавно был арестован некто Дмитрий Ступин, который играл ключевую роль в работе сервисов "GlavMed" и "SpamIt", еще недавно являвшихся крупнейшими в мире распространителями спама, ориентированного на продвижение нелегальных интернет-аптек. Что интересно, пишут об этом деле в основном западные ресурсы, в Рунете (за исключением постов malaya_zemlya) - тишина.

• Появились подробности произошедшей недавно масштабной утечки персональных данных южных корейцев. Оказывается, злоумышленники предварительно взломали систему безопасности разработчика ПО ESTsoft и скрыли вредоносный код на сервере обновлений. В результате хакеры смогли получить доступ к 62 компьютерам SK Communication, использовавшим ПО ESTsoft, что и позволило им получить доступ к данным миллионов пользователей. 

• Эксперты по сетевой безопасности сообщают о появлении крупной вредоносной сети Shnakule. Ее особенность в том, что для заражения компьютеров пользователей используются одновременно поддельные рекламные баннеры, в которые внедрен вредоносный код, и фальшивые оповещения систем безопасности.

• В августе многократно возросло количество сообщений электронной почты с вредоносными вложениями.

• Группа энтузиастов компьютерной безопасности разработала способ использования акселерометра, встроенного в большинство современных мобильных устройств на базе ОС Android или iOS, для перехвата нажатий клавиш на экранной клавиатуре. Следует отметить, что обе указанные ОС не ограничивают доступ приложений (в т.ч. веб-приложений) к данным акселерометра. Здесь можно посмотреть видеопрезентацию с демонстрацией работы метода.

• Злоумышленники все чаще используют возможности поисковых систем для автоматизации поиска уязвимых сайтов и проведения атак на них. С помощью бот-сетей они могут генерировать сотни тысяч поисковых запросов, сохраняя при этом свою анонимность. С отчетом Imperva на эту тему можно ознакомиться здесь (на английском).

Инциденты за неделю

• Продолжаются атаки на сайты интернет-магазинов, работающих на базе системы osCommerse. Число зараженных сайтов уже измеряется миллионами. И среди них - сотни сайтов российских интернет-магазинов, причем только немногие из них помечены как потенциально опасные.

• Произошел серьезный сбой в работе поисковой системы Яндекс. На несколько часов вышли из строя все основные сервисы Яндекса, а также некоторые сервисы Рамблера, который использует поисковые механизмы Яндекса.

• Хакеры Anonymous взломали сервер еще одного подрядчика Министерства Обороны США - компании Vanguard Defense Industries, которая специализируется на производстве беспилотных летательных аппаратов. В открытом доступе опубликована деловая переписка вице-президента компании.

• Хакеры взломали сайт Seiko Epson, скомпрометированы персональные данные 350 тысяч корейских клиентов компании.