В сегодняшнем обзоре:
- Лучшие посты из русскоязычных блогов по ИБ
- Лучшие посты из англоязычных блогов по ИБ
- Интересные статьи и заметки по менеджменту, коммуникациям
- Стандарты, руководства, лучшие практики, исследования
- Новости
- Инциденты за неделю
- Пост Ригеля "Враг хорошего", в котором автор в своей своеобразной манере, но на удивление просто и ясно говорит о том, зачем нужна Политика ИБ, что она должна содержать и почему максимальное участие руководства при ее написании совершенно необходимо.
- Статья Алексея Лукацкого "Наследие государственной тайны". Алексей рассуждает о современных российских проблемах в области государственного регулирования вопросов информационной безопасности и указывает на их причины. В конце статьи Алексей дает рекомендации руководителям ИТ и ИБ по действиям в сложившейся ситуации.
- Пост Игоря Бурцева "Новое решение по автоматизации оценки соответствия ИБ требованиям СТО БР ИББС-1.0" (часть 1 и часть 2). Автор сделал обзор программы ISM Revision: Audit Manager от компании ISM SYSTEMS, недавно появившейся на рынке, которая позволяет автоматизировать проведение оценки соответствия требованиям СТО БР ИББС-1.0. В обзоре приведено сравнение функций программы с имеющимися на рынке аналогами. UPD. Также хороший обзор нескольких инструментов оценки соответствия требованиям СТО БР ИББС-1.0 опубликовал в своем блоге Сергей Борисов (BSAT от LeetSoft, Estimate Tool от НПФ "Кристалл" и ISM Revision: Audit Manager от ISM SYSTEMS).
- Пост Lenny Zeltser "Советы по выявлению взлома сайта". Ленни обращает внимание на тот факт, что взлом сайта далеко не всегда сопровождается дефейсом или иными заметными изменениями. Взломанный сайт может дни, недели и даже месяцы незаметно хранить нелегальный контент, распространять вредоносный код, являться командным центром ботсети. Ленни дает рекомендации, как выявить факт взлома сайта, и приводит примеры бесплатных утилит, которые можно использовать для этих целей. Основные рекомендации: 1) установить на веб-сервер HIPS и/или утилиту контроля целостности файлов (например, OSSEC); 2) использовать сетевую IDS для выявления аномалий потока сетевого трафика (например, Snort); 3) организовать централизованный сбор и анализ журналов регистрации событий (список бесплатных средств можно посмотреть здесь). Дополнительные рекомендации: 4) использовать утилиты для локального сканирования наличия на веб-сервере рискованных компонентов – невидимые iframe, команда eval в javascript, обфускация, команды shell_exec и passthru в php-файлах (например, утилитами ClamAV, YARA, Vscan); 5) обратить внимание на конфигурационные файлы веб-сервера (в частности, .htaccess) – нет ли в них команд (например, RewriteCond и ErrorDocument), влияющих на посетителей сайта – например, перенаправляющих их на другие сайты; 6) используйте сканеры для удаленной проверки наличия вредоносного кода на сайте (например, с помощью Sucuri Site Check или Qualys Guard Malware Detection); 7) отслеживайте возможное появление адреса вашего веб-сервера в черных списках вредоносных сайтов (URLVoid, Unmask Parasites, Malware URL и многие другие), также проверяйте наличие своего сайта в архиве XSS Archive, в котором размещаются ссылки на сайты, содержащие XSS-уязвимости; 8) отслеживайте сообщения от посетителей и пользователей сайта, которые могут содержать информацию, прямо или косвенно свидетельствующую о взломе сайта. Если вы обнаружили факт взлома сайта, вы можете воспользоваться рекомендациями CERT Societe Generale по реагированию на подобные инциденты.
- Пост Rich Mogul "Треугольник компрометации данных". Рич провел интересную аналогию. Существует "треугольник пожара" (fire triangle), гранями которого являются тепло, топливо и кислород. Если убрать любой из этих компонентов - пожар прекратится (именно на этом основаны любые средства пожаротушения). Рич предложил использовать аналогичный треугольник - "треугольник компрометации данных", который может помочь расставить приоритеты при обеспечении защиты данных. Гранями этого треугольника являются: данные, эксплойт (комбинация уязвимости и способа ее использования) и канал утечки (способ вывода данных из компании). Внедряемые нами защитные меры также влияют на какую либо из граней этого треугольника, позволяя предотвратить компрометацию данных. Например, шифрование делает сами данные непригодными для злоумышленника, установка патчей устраняет уязвимость системы и не позволяет получить несанкционированный доступ к данным, а система DLP не позволяет вывести данные из компании. Использование этого треугольника может позволить упростить и удешевить систему безопасности - если мы нарушили хотя бы одну грань, этого уже будет достаточно для предотвращения компрометации данных.
- Еще одна интересная модель ИБ в посте Richard Bejtlich "Модель эффективности безопасности TaoSecurity". По мнению Ричарда, безопасность можно условно разделить на три области: 1) то, что должно быть защищено по мнению специалиста по ИБ (не зависимо от того, представляет ли это реальный интерес для злоумышленника, или нет) - это "планируемая защита"; 2) то, что представляет интерес для злоумышленника и действительно должно быть защищено - это "угрозы"; 3) то, что реально защищено в компании - это "текущая защита". Площадь пересечения этих областей дает возможность оценить эффективность безопасности. UPD. Алексей Лукацкий более подробно описал модель, предложенную Ричардом Бейтличем.
- Статья Александра Кондратовича "Переговорный тупик: диагностика препятствий", в которой Александр рассматривает различные препятствия, мешающие переговорам и не позволяющие сторонам достичь желаемого результата, и дает рекомендации, как их избежать.
- PCI SSC выпустил новую версию документа PCI DSS Wireless Guideline 2.0 (на английском) - руководство по использованию и защите беспроводных сетей в соответствии с требованиями стандарта PCI DSS. В новой версии документа добавлены требования в отношении протокола Bluetooth.
- Эксперты Лаборатории Касперского с помощью облачной системы мониторинга Kaspersky Security Network выяснили, какие поисковые запросы в Рунете являются самыми опасными и с наибольшей вероятностью ведут на вредоносные ресурсы. Такими запросами оказались запросы на поиск бесплатного и пиратского софта (26%), запросы контента "для взрослых" (17%) и контент для женской аудитории (15%).
- Cloud Security Alliance опубликовала новую версию Матрицы безопасности облачных сервисов (Cloud Controls Matrix 1.2). В матрице приведен подробный перечень защитных мер и средств для обеспечения безопасности облачных сервисов, указана их применимость к различным моделям облачных сервисов, а также их связь с наиболее распространенными стандартами безопасности. Матрицу можно бесплатно скачать здесь (на английском).
- Компания Cisco выпустила руководство по операционной безопасности (на английском) применительно к решениям Cisco. Помимо общих рекомендаций, в руководстве перечислены продукты Cisco, помогающие противостоять большинству операционных угроз. Краткий обзор этого руководства можно посмотреть здесь.
- ISACA выпустила рекомендации для компаний и частных лиц по обеспечению сохранности компьютеров в случае чрезвычайных событий (на английском).
- Проведенное компанией G Data исследование показывает, что кибермошенники в последнее время значительно больше внимания стали уделять созданию вредоносного ПО для мобильных устройств. С начала 2011 года доля вирусов для смартфонов и планшетов увеличилась на 140% больше, по сравнению с общим ростом количества вредоносных программ. Также эксперты отмечают особую активность в части кросс-платформенных троянских программ, которые в данный момент доминируют на фоне других угроз. Здесь можно еще добавить результаты исследования McAfee, согласно которым самой привлекательной для кибермошенников мобильной платформой является Android.
- Интересная инфографика от ZoneAlarm на тему парольной защиты (на английском).
- Оказалось, что сервис просмотра интернет-страниц, встроенный в Google+, может использоваться как инструмент для DoS-атак. Здесь можно посмотреть готовый скрипт. А вот наглядный пример его работы - с 6 мегабитного канала трафик составляет 96 мегабит в секунду.
- В популярном прокси-сервере Squid обнаружена опасная уязвимость, которая позволяет выполнить атаку переполнения буфера, что приводит к отказу в обслуживании. Существует вероятность, что данную уязвимость можно использовать для выполнения на сервере произвольного кода. В настоящий момент уже выпущено соответствующее исправление.
- Малайзийский CERT запустил бесплатный сервис DNSwatch, который осуществляет автоматическую проверку наличия на запрашиваемом сайте вредоносного кода. Для использования сервиса, достаточно в настройках сетевого подключения указать адрес 175.139.182.51.
- Вышел новый номер журнала The Hacker News (на английском).
- Обнаружены XSS-уязвимости на сайтах Лаборатории Касперского и MSN.
- Против владельцев двух интернет-магазинов, допустивших несколько недель назад утечку в поисковые системы личных данных покупателей, завели административные дела по статье 13.11 КоАП.
- Был взломан голландский центр сертификации DigiNotar, что позволило злоумышленникам изготовить большое количество поддельных сертификатов. В частности, были изготовлены поддельные сертификаты для сервисов Google, как минимум один из которых сразу же начал использоваться для слежки за электронными коммуникациями иранцев. Также были изготовлены поддельные сертификаты для Facebook, Microsoft, Skype, Tor, CIA, MI6, Twitter, AOL, WordPress и т.п. Взлом DigiNotar произошел еще 10 июля (а возможно и раньше), однако известно об этом стало всего несколько дней назад. На данный момент выпущены обновления браузеров и операционных систем, исключающие поддельные сертификаты из списка доверенных. Здесь можно посмотреть подробности от F-Secure и SANS (на английском).
- Были взломаны и заражены трояном сервера kernel.org, используемые для распространения архивов с исходными кодами и обслуживания Git-репозиториев с ядром Linux. Троян был обнаружен случайно и только через 17 дней (!) после заражения. Он позволял, в частности, перехватывать имена и пароли пользователей (было скомпрометировано 448 учетных записей). Разработчики уверяют, что целостность всех файлов ядра Linux защищена с использованием надежных хэшей SHA-1 и подменить код в них невозможно, однако на всякий случай проводят проверку. Подробности можно посмотреть здесь (на английском).
- В офис "Вконтакте" в Санкт-Петербурге проникли руферы (ребята, которые лазают по крышам). Окно в офисе было открыто, на сработавшую сигнализацию никто не пришел. Ребята погуляли по кабинетам офиса, пофотографировались, нашли кабинет основателя "Вконтакте" Павла Дурова, компьютер которого включился без запроса пароля. Для входа на его личную страницу "Вконтакте" пароль тоже не потребовался... Это позволило ребятам опубликовать несколько записей на личной странице Павла. После этого они покинули помещение.
- В Рунете взломаны десятки тысяч сайтов, на которых злоумышленники разместили дополнительные страницы, содержащие ссылки для загрузки различных драйверов. В действительности, под видом драйверов на компьютер пользователя загружается троянская программа Trojan.Mayachok.1.
- Взломан южнокорейский регистратор доменных имен Gabia. Реквизиты для доступа к более чем 100 тысячам доменов и 350 тысячам учетных записей попали в открытый доступ. В числе последствий был взлом корейского сайта банка HSBC.
Еще один обзор нового решения компании ISMSYS по автоматизации оценки соответствия ИБ от Сергея Борисова - - http://sborisov.blogspot.com/2011/09/3.html
ОтветитьУдалитьМой по дате дайджеста не подходит :)
ОтветитьУдалитьПочему-то пропустил обзоры, опубликованные Сергеем :( Сделал апдейт.
ОтветитьУдалить