Дайджест ИБ за 24 - 30 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• В Москве состоялась Вторая Международная конференция "Защита персональных данных". Своими впечатлениями с конференции поделился Михаил Емельянников. В частности, он отметил смещение позиции ЦБ по вопросу лицензий на ТЗКИ, сертификации и аттестации в сторону, более подходящую регулятором, чем банкам :-(

• Сергей Медюшко сделал подробный расчет расходов на получение лицензии ФСТЭК на техническую защиту конфиденциальной информации. По расчетам Сергея получилась сумма около 2,7 млн.руб. UPD. А здесь - расчет расходов на получение лицензии ФСТЭК без приобретения аппаратуры (сумма - не более 0,8 млн.руб.).

• Алексей Лукацкий перевел результаты исследования, проведенного по заданию Евросоюза, по части психологии людей в отношении собственных персональных данных. Исследование еще раз подтвердило, что люди обращаются со своими персональными данными достаточно беспечно и не готовы тратить существенных усилий на их защиту, желая, тем не менее, иметь полный контроль над своими персональными данными.

• Перевод поста Брайана Кребса "Постоянные угрозы повышенной сложности: окупается именно постоянство". Брайан рассматривает практические примеры APT-атак, говорит о сложностях их обнаружения и защиты от них.

• Александр Бондаренко поделился списком полезных ссылок на различные материалы, которые будут полезны будущему (и не только) специалисту по ИБ. Сам список находится здесь. А вот здесь можно посмотреть аналогичный список материалов от Dan Guido (на английском).

• Опубликованы презентации с семинаров RISSPA, прошедших в рамках выставок Infosecurity Russia 2011 и InfobezExpo 2011.

• Алексей Лукацкий опубликовал свои презентации по теме защиты данных и системам DLP.

Лучшие посты из англоязычных блогов по ИБ

• Пост Stephen Marchewitz "Шесть видов оценки ИБ, которые вы никогда не выполняли (хотя следовало бы)". Все знакомы с классическими видами оценки ИБ, такими как пентесты, аудиты защищенности, аудиты на соответствие. Но не все знакомы с другими видами оценки, которые могут быть не менее ценны для обеспечения безопасности компании. Стефан выделяет следующие 6 видов таких оценок: 1) Анализ социальных сетей (что пишут о компании, нет ли в свободном доступе критичной информации компании); 2) Комплексный анализ защиты хостов (host interrogation) в DMZ (выявление неправильных настроек, уязвимостей, отсутствия или некорректной работы защитных механизмов); 3) Оценка подверженности атакам социальной инженерии  (попытка убедить сотрудников раскрыть критичную информацию); 4) Оценка безопасности работы на дому (насколько защищены системы, с которых сотрудник подключается удаленно к сети компании и/или работает с ее документами); 5) Оценка недостатков плана реагирования на инциденты (насколько компания готова к тому, чтобы во время хаоса, вызванного инцидентом, собрать необходимые ресурсы и упорядоченно обработать инцидент); 6) Оценка защиты персональных данных (насколько хорошо в компании защищены персональные данные? соблюдаются ли требования законодательства в этой области?).

• Пост George Silowash "Вывод данных - неучтенные угрозы", в котором Джордж рассматривает на реальных примерах различные варианты утечки информации  через устройства, про которые часто забывают при проектировании системы защиты: сканеры, копиры, принтеры, факсы.

• Пост Brent Huston "Почему карта потоков данных сделает вашу жизнь легче?". Вы не можете защитить то, о чем вы не знаете. Поэтому вам нужно идентифицировать все системы компании и определить связи между ними. Когда у вас перед глазами будет вся картина, вам значительно проще будет спроектировать систему защиты, правильно расставив приоритеты и не забыв при этом ни об одном из компонентов. Кроме того, в случае инцидента вы сможете быстро оценить ситуацию и определить компоненты, подверженные его влиянию. Брент приводит пример карты потоков данных для простой операции оплаты банковской картой в торговой точке. 

• Серия постов SANS с пояснениями и практическими рекомендациями по реализации наиболее критичных защитных мер и средств из перечня SANS Top-20 (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20). Кстати, перевод на русский самого этого перечня SANS можно посмотреть здесь.

Интересные статьи и заметки по менеджменту, коммуникациям

• Слава Панкратов опубликовал очередной бесплатный курс "Как стать менеджером в ИТ".  Для желающих стать менеджерами в ИБ информация не менее актуальна.

Законодательство

• Опубликовано интервью с Романом Шерединым (зам. руководителя Роскомнадзора). Роскомнадзор активно работает над вопросами ужесточения ответственности операторов ПДн за нарушение требований законодательства. В частности, Роскомнадзор хочет получить полномочия по возбуждению административных дел по нарушениям законодательства по ПДн, а также увеличить штрафы до суммы, сравнимой с единовременными затратами оператора на обеспечение адекватной защиты.

• Банк России издал Указание № 2683-У от 2 сентября 2011 года, вносящее изменения в Указание № 2346-У от 25 ноября 2009 года «О хранении в кредитной организации в электронном виде отдельных документов, связанных с оформлением бухгалтерских, расчетных и кассовых операций при организации работ по ведению бухгалтерского учета». Теперь в банках должно быть назначено лицо, ответственное «за организацию и проведение работ с единицами хранения (ЕХ) в фонде EX», т.е. персональная ответственность за хранение электронных документов должна быть официально возложена на конкретных сотрудников организации. За ссылку спасибо Наталье Храмцовской.

Стандарты, руководства, лучшие практики, исследования

• ISACA выпустила документ "Безопасность веб-приложений: бизнес и риски" (на английском). В документе рассмотрены первопричины уязвимостей веб-приложений, связанные с ними риски и последствия, даны рекомендации по снижению рисков. UPD. Алексей Лукацкий сделал краткий обзор документа.

• Опубликован отчет Software Engineering Institute по исследованию инцидентов, связанных с утечкой информации (на английском). Исследователи проанализировали информацию Центра инсайдерских угроз CERT, содержащую сведения о более чем 600 утечках. По результатам исследования был, в частности, сделан вывод, что в большинстве случаев сотрудники крадут информацию непосредственно перед увольнением из компании (в пределах 30 дней до даты увольнения). При этом чаще всего для хищения информации они используют корпоративную электронную почту.

• NIST выпустил окончательную версию документа SP800-145 "Определение NIST понятия "Облачные вычисления"". За ссылку спасибо Наталье Храмцовской.

• SANS выпустил очередной бюллетень Ouch! для повышения осведомленности пользователей по вопросам ИБ. Новый бюллетень посвящен вопросам резервного копирования и восстановления (на английском).

• Вышел очередной номер журнала InfoSecurity Magazine (на английском).

Новости

• Оказывается атака, которая в начале этого года привела к компрометации сети компании RSA, затронула еще множество крупных международных компаний, однако информация об этом не была ранее обнародована. Эксперты проанализировали перечень сетей, которые вышли на связь с той же самой командной инфраструктурой, которая применялась злоумышленниками в атаке на RSA. В список жертв попало более 760 компаний, среди которых множество громких имен, таких как Cisco Systems, eBay, Facebook, Google, IBM, Intel, PriceWaterhouseCoopers, Verisign, а также множество правительственных и финансовых структур.

• В ходе внутреннего расследования, проводимого по результатам недавней хакерской атаки на японского оборонного подрядчика Mitsubishi Heavy Industries, появились подтверждения, что злоумышленники смогли получить критичную информацию о военной технике, а также о проекте ядерной электростанции с планом обеспечения безопасности.

• Злоумышленники начали использовать новую схему мошенничества. С помощью ботнетов они находят и взламывают незащищенные телефонные станции российских компаний, а затем подключаются к ним для осуществления звонков на предварительно зарегистрированные премиальные номера.

• Хакеры выложили в свободный доступ утилиту, которая позволяет проводить успешную DoS-атаку на веб-сервер, использующий для защиты трафика протокол SSL. Атака основана на уязвимости в SSL, которая появляется в случае, если сервер поддерживает режим повторного подтверждения SSL (SSL renegotiation).

• Вышел Service Pack 3 для MS Office 2007.

• Компания Яндекс последовала примеру западных компаний о объявила конкурс на поиск уязвимостей в своих веб-сервисах. Победитель получит 5 тыс. долларов.

• Правительство США подозревает, что китайские хакеры смогли получить доступ и несколько раз вмешаться в работу американских научно-исследовательских спутников. Хотя инцидент произошел в 2007-2008 годах, информация о нем появилась только сейчас.
• Начиная с июля 2011 года компьютерная сеть японского парламента подвергается регулярным хакерским атакам. В частности, злоумышленники смогли с помощью компьютерного вируса получить доступ к электронной почте парламентариев. Здесь тоже обнаружен "китайский след".

• Появился новый троян под MacOS X, который умеет следить за пользователем, воровать пароли, а также использовать зараженный компьютер для добычи Bitcoin. Троян распространяется через файлообменные сети в виде "добавки" к скачиваемым программам. Кроме того, на MacOS X был портирован Linux-троян Tsunami, который создает из зараженных компьютеров ботсеть, выполняющую DDoS-атаки.

• Android стала самой популярной мобильной платформой для создателей вредоносных программ. UPD. Лаборатория Касперского подтверждает этот печальный факт.

Инциденты за неделю

• В свободном доступе в интернете появились данные 1,6 млн. абонентов МТС из Башкирии и Санкт-Петербурга. По заявлению МТС утечка, в результате которой были скомпрометированы опубликованные данные, произошла еще в 2006 году.

• В исходном коде бесплатного веб-форума MyBB обнаружен вредоносный код. Уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.

• Сайт крупнейшего российского агрегатора партнерских программ Myragon подвергся мощной DDoS-атаке, которая привела к временной неработоспособности системы. Атаки продолжались более суток. Компания предлагает вознаграждение в размере 3 млн. руб. за информацию, которая приведет к поимке злоумышленников.

• Был взломан австралийский сайт компании LG.