понедельник, 17 октября 2011 г.

Дайджест ИБ за 10 - 16 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
Лучшие посты из англоязычных блогов по ИБ
  • Dave Piscitello и Lance Spitzner объясняют, почему традиционные программы повышения осведомленности пользователей по ИБ в большинстве случаев остаются пустым звуком и практически не меняют поведение людей. Чтобы изменить поведение людей, нужно кардинально изменить свой подход к проведению таких мероприятий. Мы должны признать, что хотя мы отлично знаем вопросы ИБ, мы понятия не имеем, как нужно донести эту информацию до людей. Мы знаем технологии, угрозы, атаки и даже риски, мы тщательно изучаем поведение злоумышленников и их средства. Мы хорошо знаем нашего врага, но мы совершенно не знаем того, кто с нами по одну сторону "баррикад" - обычного законопослушного человека, которого мы пытаемся учить. Мы ошибочно предполагаем, что люди заинтересованы в безопасности также, как и мы сами. Это не так. Наши рекомендации действуют на пользователей примерно также, как сообщение (абсолютно правильное!), что если вы будете потреблять меньше калорий, вы будете худеть. Подобные сообщения предназначены для профессионалов, а не для обычных людей, поэтом обычно они на людей не действуют. К счастью, существуют психологи и социологи, которые как раз изучают обычных людей. Нам нужно обращаться к ним за помощью или, хотя бы, изучать успешный опыт в других областях повышения осведомленности. Например, действительно эффективная программа снижения веса включает в себя обучение, наставничество, консультирование, но в ней используется минимальное количество компонентов, которые направлены на активное влияние на поведение - различных требований, указаний, призывов, которые реально ведут только к внутреннему протесту. Нужно приводить людям наглядные примеры (имеющие отношение лично к ним), использовать методы, схожие с социальной инженерией. Только в таком случае вы сможете на практике изменить поведение людей, а не просто поставить еще одну галочку для соответствия требованиям.
  • Дополнительными рекомендациями по теме повышения осведомленности делится Dominic Vogel, который обращает внимание еще на несколько важных аспектов, мешающих успешности нашей задачи. Для достижения успеха, необходимо отбросить ярлык "пользователь" и любое негативное мышление. Если вы противопоставляете себя пользователям, считаете их врагами или просто идиотами, ваша программа повышения осведомленности обречена на провал. Говорите о конкретных вещах, которые должны привести к конкретным результатам. Точно знайте, какие конкретно риски вы собираетесь снизить и стройте программу повышения осведомленности в соответствии с этим.
  • Пост Patrick Murray "APT-угрозы: от страшилок к фактам". Патрик справедливо замечает, что APT-угрозы не являются основной проблемой для большинства компаний - вряд ли их будут атаковать хакеры, спонсируемые китайским или северокорейским правительством. Однако Патрик отмечает одну вещь - многие методы, которые используются такими хакерами, быстро перенимаются обычными хакерами и используются для более распространенных атак, например, кражи денег или персональных данных, а также целевых атак. Он приводит пример с APT-атакой на Google в 2009 году (Аврора). Всего через 2 дня после публичного сообщения об атаке, использованный в ней экслойт нулевого дня появился в открытом доступе, а патч был выпущен только через 9 дней. Не нужно привязываться к терминологии - хотя APT-угрозы действительно  не актуальны для большинства компаний, для них вполне могут быть актуальны обычные целевые атаки, в которых будут применяться похожие на APT методы и средства.
  • Пост Dejan Kosutic "ISO 27002 - что принесет новая редакция". По информации Дижена, через год - полтора должно выйти обновление стандарта ISO 27002:2005. На основании заявлений экспертов и обсуждений на форуме ISO 27k Forum, Дижен сделал список того, что с большой вероятностью появится в новом стандарте: подотчетность и ее связь с управлением персоналом; бОльшая проработка вопросов аутентификации, управления учетными записями; облачные вычисления; безопасность баз данных; вопросы этики и доверия; вопросы, связанные с мошенничеством, фишингом, хакингом, социальной инженерией; стратегическое управление информацией; ИТ-аудит; персональные данные; отказоустойчивость; тестирование безопасности, приложений, оценка уязвимостей, пентесты.
  • Пост Branden Williams "Жизнь в состоянии взлома". В настоящее время сети стали слишком большими и сложными, их периметр сильно "размыт" или вообще не существует, объемы информации растут, сама информация хранится в множестве различных мест (часто, в том числе, и за пределами сети компании), злоумышленники стали очень активными, упорными и обладают эффективными средствами для нападений. Вряд ли в таких условиях вы можете всерьез рассчитывать на то, что злоумышленники не смогут попасть в вашу сеть. Поэтому Брендан рекомендует изменить свою точку зрения и строить безопасность исходя из того, что злоумышленник уже находится в вашей сети. Для этого, во-первых, нужно по максимуму отказаться от такого элемента, как "доверие" - гарантировано доверенных объектов больше нет. Во-вторых, нужно обеспечить прочное "ядро" безопасности - минимум полномочий, многоуровневая защита, ориентация на информацию (централизация и защита действительно ценных информационных активов).
  • Пост Lenny Zeltser "Поиск зараженных систем, как часть оценки безопасности". Большинство оценок безопасности ограничивается поиском внутренних недостатков и уязвимостей в инфраструктуре компании. Чтобы повысить ценность таких оценок, Ленни предлагает дополнительно проводить анализ наличия в проверяемой среде зараженных компьютеров или иных признаков взлома, тем более, что сделать это не очень сложно: 1) выделите системы, подверженные наибольшему риску (например, не управляемые централизовано, без установленных патчей и средств защиты и т.д.); 2) проанализируйте настройки автозапуска на них, обращайте особое внимание на программы, которых нет на других компьютерах; 3) проанализируйте исходящий трафик для выявления попыток соединения с известными плохими или подозрительными адресами; 4) просканируйте файлы для выявления подозрительного содержимого. 
  • Серия постов Rob Rachwald об инсайдерских угрозах (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12). Роб подробно анализирует типы инсайдерских угроз, самих инсайдеров, их мотивацию навыки. Приводит конкретные примеры из реальной жизни. Дает рекомендации, как можно выявить инсайдерскую деятельность.
  • Пост Davi Ottenheimer "По вине аудитора HIPAA произошла компрометация данных". Когда компанию проверяют аудиторы, не редко им передается (или дается доступ) очень критичная для компании информация. Увы, нередко происходят ситуации, когда аудиторы и консультанты сами не выполняют свои же рекомендации по безопасности. Кроме того, многие аудиторские компании (даже крупнейшие) склонны нанимать молодых неопытных сотрудников, которые сами по себе представляют большую угрозу безопасности компании. Дэви приводит в качестве примера произошедший недавно случай, когда один из аудиторов компании KPMG, проводившей аудит крупной компании на соответствие HIPAA по контракту на 9,2 млн. долларов, потерял незашифрованную флешку, на которую были скопированы персональные данные клиентов и сотрудников компании.
Стандарты, руководства, лучшие практики, исследования
Новости 
  • Компания Microsoft выпустила аналитический отчет по безопасности за первую половину 2011 года (на английском). Отчет содержит много полезной информации в отношении уязвимостей ПО и угроз вредоносного кода. Вот некоторые из выводов отчета. 1) Распространение вредоносного кода в большинстве случаев (44,8%) происходит с непосредственным участием пользователя, на втором месте - распространение с помощью автозапуска с USB-устройств (26%), лишь около 6% случаев распространения вредоносного кода связано с эксплуатацией уязвимостей, причем использование уязвимостей нулевого дня не дотянуло даже до 0,1% (Microsoft считает, что опасность угроз нулевого дня сильно преувеличены). 2) Количество обнаруженных уязвимостей высокого и среднего уровня понемногу снижается. 3) Снижается удельное количество уязвимостей продуктов Microsoft (6,9%) среди всех обнаруженных уязвимостей. 4) Чаще всего злоумышленники пользуются уязвимостями в Java, однако существенно выросло использование уязвимостей ОС (за счет уязвимости CVE-2010-2568) и очень активно растет использование уязвимостей Adobe Flash. 5) При использовании уязвимостей документов, у злоумышленников лидируют приложения Adobe Reader и Acrobat. 6) Самой часто заражаемой ОС (среди поддерживаемых ОС Microsoft) является Windows XP SP3, самой редко заражаемой - Windows 7 x64 (разница почти в 10 раз, хотя "семерка" уже сравнилась по популярности с XP). Резюме по отчету на русском можно посмотреть здесь. А здесь Вадим Стеркин проанализировал отдельные аспекты отчета.
Инциденты за неделю
  • Наблюдается очередная волна массового взлома веб-сайтов и заражения их вредоносным кодом. Для взлома сайта используются уязвимости в ASP и ASP.NET. После взлома сайта, в его код добавляется вызов скрипта, представляющего собой загрузчик вредоносного кода, который эксплуатирует уязвимости Adobe Flash и Java. На данный момент обнаружены уже сотни тысяч взломанных сайтов, в том числе около тысячи сайтов Рунета (к счастью, пока среди них нет популярных сайтов). 
  • Произошел крупный сбой в работе британского ЦОДа компании RIM (Research in Motion), в результате которого миллионы владельцев смартфонов BlackBerry в ряде регионов (в т.ч. в Европе и России) столкнулись с длительной неработоспособностью электронной почты, доступа к веб-сайтам, системы обмена мгновенными сообщениями.

Комментариев нет: