воскресенье, 20 ноября 2011 г.

Дайджест ИБ за 14 - 20 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Пост Михаила Емельянникова "Коммерческая тайна и персданные: парадоксы правосудия". Михаил сделал небольшую подборку судебной практики по вопросам защиты коммерческой тайны. На ее основе автор делает вывод, что при установлении и поддержании режима коммерческой тайны нет мелочей, а к расследованию фактов ее разглашения надо подходить крайне аккуратно, не допуская отклонений от предписанной законом процедуры и привлекая к этому правоохранительные органы.
Лучшие посты из англоязычных блогов по ИБ 
  • Пост Michelle Klinger "Смерть от исключений". Когда в компании вводятся новые требования ИБ, часто возникает подразделение или человек, который в силу тех или иных (часто объективных) причин не может выполнять эти требования. Ему дается разрешение не соблюдать требования (или на это просто закрываются глаза). Позже возникает еще одно исключение. Затем еще одно. Потом другие узнают о существовании исключений и у них сразу появляются очень веские причины, чтобы тоже не соблюдать требования. Через некоторое время количество таких "исключений" может превысить количество тех, кто требования соблюдает. А это уже опасная ситуация, означающая, что требования, направленные на снижение определенных рисков, не работают, хотя формально проблем вроде бы нет. Даже если вы знаете обо всех этих "исключениях", при их большом количестве вы теряете способность управлять ими. Мишель обращает внимание на то, что любые исключения должны быть временными. Давая разрешение на "исключение" вы должны сразу же договариваться о плане устранения недостатков (или иных причин), обуславливающих невозможность соблюдения требований, а затем проследить за выполнением этого плана, после чего убрать исключение.
  • Статья Vincent Liu "Борьба с атаками "нулевого дня" с помощью базовых мер", в которой автор предлагает вернуться к основам, чтобы реально защититься от атак, использующих уязвимости "нулевого дня". Традиционные средства защиты (антивирус, IPS) в основном основаны на сигнатурах. Такие средства являются реактивными по своей природе, они не применимы для защиты от атак "нулевого дня", т.к. для них сигнатуры появляются только после первой волны атак. Однако практика показывает, что в большинстве таких атак уязвимости "нулевого дня" используются уже после того, как злоумышленник (или вредоносная программа) получил доступ к системе. Только после этого он применяет эксплойт и расширяет свои полномочия. Учитывая это, можно реализовать ряд базовых защитных мер, снижающих вероятность получения злоумышленником доступа к системе и/или снижающих эффективность эксплойта: 1) уменьшение "атакуемой поверхности" - удаление ненужных программ, блокировка неиспользуемых сервисов; 2) применение строгих правил на межсетевом экране; 3) правильная настройка имеющихся механизмов безопасности; 4) установка патчей; 5) строгое разграничение доступа на уровне файловой системы; 6) ограничение полномочий пользователей. Применяемые в комплексе, эти меры значительно усложнят задачу злоумышленника - они не позволят ему получить доступ к уязвимой системе, либо минимизируют последствия эксплуатации уязвимости.
  • Пост Rafal Los "Предотвращение утечек данных - без новых блестящих коробок". Рафаль предлагает 7 практических рекомендаций, которые позволят снизить риски утечки данных без покупки новой супер-DLP-системы: 1) узнайте, какие данные действительно важны для вашей компании и где они находятся, разберитесь - как лучше защитить их; 2) управляйте привилегиями пользователей, исключите права доступа, в которых нет необходимости; 3) привлекайте к решению проблемы утечек подразделение физической безопасности - бессмысленно тратить огромные суммы на DLP, если кто-то может просто вынести компьютер или жесткий диск; 4) предотвращайте сетевые кросс-соединения - они могут позволить злоумышленникам получить доступ в вашу сеть (например, это может произойти в случае, если сотрудник будет работать с информационными ресурсами компании через VPN-соединение из дома с зараженного трояном компьютера); 5) заблокируйте доступ к облачным сервисам хранения файлов; 6) организуйте шифрование данных при их хранении; 7) используйте системы класса SIEM.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Пост Радислава Гандапаса "Корпоративная культура. Огнем и мечом". Отличная статья, в которой Радислав объясняет, что такое корпоративная культура, зачем она нужна компании и дает рекомендации по ее эффективному внедрению. Думаю, что статья будет полезна для специалистов по ИБ, т.к. многие правила ИБ, распространяющиеся на сотрудников компании, в принципе тоже являются некой корпоративной культурой и внедряться должны похожим образом. Радислав выделяет 4 ключевых принципа, позволяющие реально внедрить в компании корпоративную культуру, которая будет работать, а не пылиться на полке в виде еще одного бесполезного и неработающего документа. 1) Обсуждение (сотрудники должны понимать смысл корпоративного кодекса, принимать участие в его разработке - тогда их сопротивление будет гораздо ниже); 2) Коррекция (поддержка актуальности); 3) Разъяснение (сотрудники должны понимать предъявляемые к ним требования и их смысл); 4) Поощрять за соблюдение (не обязательно материально - хотя бы добрым словом руководителя; это гораздо эффективнее наказаний).
  • Пост Валерии Кучеровой "Надо было вчера?". Валерия пишет о проблемах подразделений маркетинга, тормозящих важные проекты и не позволяющих идти "в ногу со временем". Многие  из перечисленных проблем (тормозов) очень похожи на аналогичные проблемы в ИБ, например, такие "тормоза" (фразы руководства / других подразделений): "Опять они какую-то ерунду предлагают", "У нас сейчас нет на это ресурсов", "Мы и без этого хорошо живем", а еще руководство может подписать документы не глядя, а затем заставить все переделывать уже на стадии реализации... Знакомо? ;-) Предлагаемые Валерией решения этих проблем достаточно универсальны и, думаю, вполне могут применяться специалистам по ИБ, столкнувшимися с аналогичной ситуацией.
Законодательство 
  • Еще одно интересное дело из судебной практики по мошенничеству в системах ДБО. ООО успешно оспорило в суде мошенническую операцию по своему счету в Собинбанке на сумму 0,5 млн.руб., произведенную с помощью системы Банк-Клиент. Основная проблема банка была в том, что его сотрудники забыли оформить акты приема-передачи ПО и ЭЦП, а также акт выполненных работ по установке системы на компьютер клиента. При этом доступ клиенту к системе был предоставлен и клиент работал уже несколько месяцев, несмотря на то, что согласно договору банк должен блокировать доступ клиента до момента оформления полного комплекта документов. Кроме того, банк применял практику самостоятельного генерирования ключей ЭЦП клиента и передавал их клиенту на дискете или флешке, что не позволило банку доказать, что ключи не были скомпрометированы на его стороне. Апплеляционный суд оставил решение суда первой инстанции без изменений. За ссылку спасибо Наталье Храмцовской.
Стандарты, руководства, лучшие практики, исследования 
  • Larry Suto провел сравнительное тестирование 8 различных WAF (межсетевой экран прикладного уровня) и IPS (система предотвращения вторжений), оценил эффективность обнаружения ими атак, уведомления об атаках и противодействия атакам. Ларри провел две серии тестов. Сначала все устройства были протестированы практически в режиме "из коробки", а затем - после тщательной настройки (обучения). В результате тестирования было выяснено, в частности, что системы IPS не очень эффективны для защиты веб-приложений без тщательной настройки фильтров, однако после настройки их результаты возрастают почти на 60% и они сравниваются по эффективности с WAF. WAF, напротив, достаточно эффективны сразу "из коробки".
  • Компания M86 Security прогнозирует рост в ближайшее время количества и сложности целенаправленных хакерских атак, еще более широкое использование злоумышленниками социальных сетей для обмана пользователей, а также превращение вредоносных программ для мобильных устройств в реальную угрозу.
  • SANS выпустил очередной бюллетень Ouch! для повышения осведомленности пользователей по вопросам ИБ. Новый бюллетень посвящен вопросам безопасности веб-браузера и приватности (на английском).
Новости 
Инциденты за неделю
  • Злоумышленники получили удаленный контроль над системами водоочистки в одном из округов США. Атака, вероятно, продолжалась на протяжении нескольких месяцев, - все это время злоумышленники регистрировались в сетях SCADA-систем округа и произвольно переключали механизмы, что, в конечном счете, привело к отказу одного из водяных насосов, после чего инцидент и был обнаружен. Специалисты по безопасности, проводящие расследование, предполагают, что для атаки хакеры воспользовались уязвимостями в phpMyAdmin. О других последствиях атаки пока неизвестно. Кстати, атака производилась с российского IP-адреса. UPD. Появилась информация о взломе еще одной станции водоочистки.
  • Социальная сеть Facebook подверглась "порно-атаке", в результате которой на страницах Facebook в больших количествах были размещены порнографические фото и картинки насильственного содержания. Ссылки на картинки были разосланы пользователям через новостные каналы Facebook.

2 комментария:

ser-storchak комментирует...

http://www.rg.ru/2011/11/21/elektr-dokumenty-dok.html

Greg Prosmushkin комментирует...
Этот комментарий был удален автором.