вторник, 27 сентября 2011 г.

Дайджест ИБ за 19 - 25 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Пост Алексея Лукацкого "Немного о политике ИБ". Алексей добавил несколько важных моментов к вопросам разработки Политики ИБ, затронутых недавно Ригелем и Русланом Пермяковым. 1) Политика должна отвечать на вопрос пользователя: "Почему это так важно для меня?"; 2) Политика должна учитывать способы взаимодействия (не обязательно формализованные) внутри компании и за ее пределами; 3) Необходимо регулярно пересматривать Политику для учета в ней происходящих изменений; 4) Используйте авторитетных лиц в компании - пусть они участвуют в продвижении Политики в массы; 5) Применяйте маркетинговые приемы для распространения и внедрения нужных вам идей.
  • Статья Юрия Гольцева “Облачные вычисления на службе у пентестера”. Юрий рассказывает о возможностях использования сервиса IaaS для выполнения таких задач, как обман IPS при удаленном сканировании портов, распределенный перебор паролей, DoS-атака, сканирование сетевого периметра, автоматизированный поиск уязвимостей. Облачные технологии предоставили доступ к огромным вычислительным возможностям не только законопослушным пользователям, но и злоумышленникам. И панацеи от этого не существует. Однако, зная возможные векторы “облачных” атак, можно защитить свои информационные ресурсы от возможных инцидентов.
Лучшие посты из англоязычных блогов по ИБ
  • Пост Ben Tomhave "Потеря баланса", в котором Бен размышляет о балансе между правилами безопасности и потребностями человека в свободе принятия решений (или иллюзии свободы). С одной стороны люди хотят чувствовать себя в безопасности. Они хотят сосредоточиться на своей жизни и своей работе, не беспокоясь и не думая о безопасности. Ради этого они готовы следовать некоторым простым правилам, но до определенного предела и только пока им это не мешает. Как только правил становится слишком много и они начинают мешать людям, ограничивая их свободу выбора, люди начинают активно сопротивляться таким правилам. По мнению Бена, для обеспечения безопасности крайне важно найти нужный баланс между правилами и свободой выбора для людей. Кстати, выводы Бена отчасти подтверждаются результатами недавнего исследования компании Webroot.
  • Пост Greg Hoglund "APT - суровая правда". Грег рассказывает об эволюции киберугроз в период с 2000 по 2011 годы. Он выделяет три основных типа киберугроз: организованная киберпреступность, хулиганы и кибертеррористы, шпионаж и APT. Эти угрозы появились еще в начале 2000-х, но сейчас они значительно усилились и переплелись. Современные киберпреступники в большинстве случаев имеют финансовые или политические мотивы, доходы от организованной киберпреступности уже превышают доходы от торговли наркотиками...
  • Пост Dr. Luke O'Connor, в котором автор приводит две ссылки на интересные презентации по вопросам управления криптографическими ключами. Автор первой презентации - Anthony Stieber - рассказывает о современных проблемах управления ключами в компаниях. А автор второй презентации - Chris Kostick - приводит модель зрелости корпоративного управления ключами и описывает жизненный цикл управления ключами.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Пост Олега Кулагина "Еще раз о целях". Олег кратко описывает две взаимодополняющих методики постановки целей: SMART (цели должны быть: конкретными, измеримыми, согласованными, реалистичными, ограниченными по времени) и VIP (цели должны соответствовать ценностям и видению компании, они должны быть вдохновляющими, а также должны быть согласованы с оперативными и стратегическими планами компании). Будет совсем не лишним использовать эти методики при подготовке проектов по ИБ.
  • Пост Романа Цованяна "Анализ заинтересованных сторон". В любом серьезном проекте есть заинтересованные стороны - это подразделения, люди или целые организации, интересы которых затрагиваются выполнением, либо результатами проекта. Для проектов по ИБ это очень актуально ;-). В своем посте Роман дает рекомендации по идентификации заинтересованных сторон, определению степени их важности и влияния, выбору стратегии и тактики для взаимодействия с каждой из них.
  • Пост Никиты Галкина "Как просто объяснить сложное". Тоже очень актуальная тема для многих специалистов по ИБ. Никита привел несколько основных моментов, которые позволят донести до собеседника нужную информацию: используйте образы, проводите аналогии, говорите на понятном собеседнику языке, рисуйте, задавайте уточняющие вопросы.
Законодательство
Стандарты, руководства, лучшие практики, исследования
  • Компания Imperva опубликовала результаты исследования "Анатомия атак с использованием SQL-инъекций" (на английском). SQL-инъекции являются самой разрушительной уязвимостью в истории компьютеров. С 2005 по 2011 годы - 83% успешных хакерских атак были произведены с использованием SQL-инъекций. В результате проведенного исследования специалисты Imperva обнаружили, в частности, что за последнее время хакеры научились эффективно обходить простые защитные механизмы, основанные на сигнатурах; для атак они используют доступные автоматизированные хакерские инструменты, что позволяет им проводить сложные атаки, не обладая специальными знаниями и навыками; скомпрометированные машины хакеры часто включают в свои ботсети, которые затем используют при следующих атаках. И еще один очень интересный вывод: оказывается 41% атак с использованием SQL-инъекций исходил всего с 10 хостов (!). Обзор отчета можно посмотреть здесь (на английском).
  • Компания ICSA Labs опубликовала рекомендации по защите от современных угроз безопасности для пользователей коммуникаторов и планшетов (на английском): 1) покупайте приложения только в известных вам магазинах; 2) дважды подумайте, прежде чем дать затребованные приложением "разрешения"; 3) следите за расходом денег со своего счета; 4) соблюдайте требования политики безопасности компании при использовании корпоративного мобильного устройства; 5) соблюдайте требования политики безопасности компании при работе с корпоративными ресурсами на собственном мобильном устройстве; 6) применяйте меры защиты, аналогичные защитным мерам для персональных компьютеров; 7) защитите свой телефон и голосовую почту PIN-кодом.
Новости
  • Российская компания Safe Tech разработала устройство SafeTouch, которое представляет собой карт-ридер для смарт-карт с экраном. Устройство может использоваться для обеспечения безопасности систем ДБО, создавая внутри себя доверенную среду. В него через USB-подключение автоматически загружается подписываемый платежный документ, его реквизиты отображаются на экране, после чего пользователь может проверить и подписать его непосредственно в самом устройстве. У устройства есть несколько недостатков, зато цена составляет всего 50$, что почти вдвое дешевле похожей разработки Актива - RuToken PINPad. В настоящее время уже ведется работа по интеграции SafeTouch в наиболее популярные в России системы ДБО.
  • Компания Adobe выпустила экстренный патч для Flash Player. Патч закрывает ошибку, которая уже активно эксплуатируется злоумышленниками для привлечения пользователей на вредоносные сайты, ссылки на которые распространяются в сообщениях электронной почты.
  • Обнаружен новый троян для Android, который позволяет собирать злоумышленникам подробную информацию о коммуникаторах жертв, перечне установленного ПО, а также получать SMS-сообщения жертвы, логи телефонных звонков, рассылать сообщения с инфицированного коммуникатора и (при определенных условиях) устанавливать на коммуникатор любое ПО. Подробности можно посмотреть в блоге Trend Micro (на английском).
  • В продаже появился бот-конструктор Aldi Bot по цене всего 10 Евро. Части создаваемого им вредоносного кода очень напоминают фрагменты ZeuS, который еще недавно продавался за тысячи долларов. С помощью ботов Aldi Bot можно проводить DDoS-атаки, воровать пароли, удаленно запускать любые файлы. Для начинающих хакеров автор проводит специальный "курс молодого бойца".
Инциденты за неделю
  • Клиенты ВТБ-24 пострадали от скимминга. По всей видимости, скиммер был установлен на банкомате около м.Таганская. С карт некоторых клиентов произведены несанкционированные списания средств, часть карт была заблокирована.
  • Хакеры взломали сайт INSA (Intelligence and National Security Alliance) и украли личные данные американских секретных агентов. Имена и адреса электронной почты сотен сотрудников американской разведки, включая некоторых высокопоставленных чиновников из администрации президента США, были опубликованы в свободном доступе.
  • Взломан крупный спортивный сайт FOX Sport (ежедневная аудитория - несколько миллионов посетителей). База данных сайта и хэши административных паролей опубликованы в открытом доступе.

2 комментария:

St.Bars комментирует...

Выход изменений в СТО БР ИББС планируется только в части легитимности обработки ПДн, в том числе сборе согласий и взаимоотношений оператора со сторонними ЮЛ. Ну по крайне мере так озвучил Курило.

eagle комментирует...

Это уже не мало! ;)