Дайджест ИБ за 14 - 20 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Пост Алексея Лукацкого "Кто может сказать "Да" проекту по ИБ?". Алексей объясняет, что такое хорошо подготовленный проект по ИБ, и какие условия необходимы, чтобы этот проект был одобрен и успешно реализован.

• Алексей Федоров сделал хорошее описание действий, которые необходимо выполнить службе ИБ (и СБ) банка в случае инцидента в системе ДБО, связанного с хищением денег со счета клиента.

• Пост Михаила Емельянникова "Коммерческая тайна и персданные: парадоксы правосудия". Михаил сделал небольшую подборку судебной практики по вопросам защиты коммерческой тайны. На ее основе автор делает вывод, что при установлении и поддержании режима коммерческой тайны нет мелочей, а к расследованию фактов ее разглашения надо подходить крайне аккуратно, не допуская отклонений от предписанной законом процедуры и привлекая к этому правоохранительные органы.

• Александр Бондаренко сделал подборку инструментов, которые могут пригодится для проведения анализа внутренних сетевых ресурсов и составления карты сети компании (Nmap, Unicornscan и ntop).

• Пост Евгения Касперского "Ребятам о руткитах", в которой автор рассказывает о руткитах и о том, как с ними борются продукты "Лаборатории Касаперского".

Лучшие посты из англоязычных блогов по ИБ 

• Пост Michelle Klinger "Смерть от исключений". Когда в компании вводятся новые требования ИБ, часто возникает подразделение или человек, который в силу тех или иных (часто объективных) причин не может выполнять эти требования. Ему дается разрешение не соблюдать требования (или на это просто закрываются глаза). Позже возникает еще одно исключение. Затем еще одно. Потом другие узнают о существовании исключений и у них сразу появляются очень веские причины, чтобы тоже не соблюдать требования. Через некоторое время количество таких "исключений" может превысить количество тех, кто требования соблюдает. А это уже опасная ситуация, означающая, что требования, направленные на снижение определенных рисков, не работают, хотя формально проблем вроде бы нет. Даже если вы знаете обо всех этих "исключениях", при их большом количестве вы теряете способность управлять ими. Мишель обращает внимание на то, что любые исключения должны быть временными. Давая разрешение на "исключение" вы должны сразу же договариваться о плане устранения недостатков (или иных причин), обуславливающих невозможность соблюдения требований, а затем проследить за выполнением этого плана, после чего убрать исключение.

• Статья Vincent Liu "Борьба с атаками "нулевого дня" с помощью базовых мер", в которой автор предлагает вернуться к основам, чтобы реально защититься от атак, использующих уязвимости "нулевого дня". Традиционные средства защиты (антивирус, IPS) в основном основаны на сигнатурах. Такие средства являются реактивными по своей природе, они не применимы для защиты от атак "нулевого дня", т.к. для них сигнатуры появляются только после первой волны атак. Однако практика показывает, что в большинстве таких атак уязвимости "нулевого дня" используются уже после того, как злоумышленник (или вредоносная программа) получил доступ к системе. Только после этого он применяет эксплойт и расширяет свои полномочия. Учитывая это, можно реализовать ряд базовых защитных мер, снижающих вероятность получения злоумышленником доступа к системе и/или снижающих эффективность эксплойта: 1) уменьшение "атакуемой поверхности" - удаление ненужных программ, блокировка неиспользуемых сервисов; 2) применение строгих правил на межсетевом экране; 3) правильная настройка имеющихся механизмов безопасности; 4) установка патчей; 5) строгое разграничение доступа на уровне файловой системы; 6) ограничение полномочий пользователей. Применяемые в комплексе, эти меры значительно усложнят задачу злоумышленника - они не позволят ему получить доступ к уязвимой системе, либо минимизируют последствия эксплуатации уязвимости.

• Пост Rafal Los "Предотвращение утечек данных - без новых блестящих коробок". Рафаль предлагает 7 практических рекомендаций, которые позволят снизить риски утечки данных без покупки новой супер-DLP-системы: 1) узнайте, какие данные действительно важны для вашей компании и где они находятся, разберитесь - как лучше защитить их; 2) управляйте привилегиями пользователей, исключите права доступа, в которых нет необходимости; 3) привлекайте к решению проблемы утечек подразделение физической безопасности - бессмысленно тратить огромные суммы на DLP, если кто-то может просто вынести компьютер или жесткий диск; 4) предотвращайте сетевые кросс-соединения - они могут позволить злоумышленникам получить доступ в вашу сеть (например, это может произойти в случае, если сотрудник будет работать с информационными ресурсами компании через VPN-соединение из дома с зараженного трояном компьютера); 5) заблокируйте доступ к облачным сервисам хранения файлов; 6) организуйте шифрование данных при их хранении; 7) используйте системы класса SIEM.

• Martin Luther на основе последнего отчета Verizone по анализу инцидентов 2011 DBIR построил диаграмму, показывающую соотношение типов инсайдеров, нарушивших безопасность компании. Наибольшее количество нарушений (85) связано с действиями обычных сотрудников, на втором месте - финансисты (22), на третьем - руководство (11),  далее с большим отставанием следуют сотрудники тех.поддержки (4), системные администраторы (3) и разработчики (2).

• Jeff Stebelton дает практические рекомендации по оценке и выбору IDS с точки зрения конечного пользователя этой системы.

• Kevin Liston сделал подборку статей ISC за 2011 год по теме мониторинга журналов регистрации событий.

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост Радислава Гандапаса "Корпоративная культура. Огнем и мечом". Отличная статья, в которой Радислав объясняет, что такое корпоративная культура, зачем она нужна компании и дает рекомендации по ее эффективному внедрению. Думаю, что статья будет полезна для специалистов по ИБ, т.к. многие правила ИБ, распространяющиеся на сотрудников компании, в принципе тоже являются некой корпоративной культурой и внедряться должны похожим образом. Радислав выделяет 4 ключевых принципа, позволяющие реально внедрить в компании корпоративную культуру, которая будет работать, а не пылиться на полке в виде еще одного бесполезного и неработающего документа. 1) Обсуждение (сотрудники должны понимать смысл корпоративного кодекса, принимать участие в его разработке - тогда их сопротивление будет гораздо ниже); 2) Коррекция (поддержка актуальности); 3) Разъяснение (сотрудники должны понимать предъявляемые к ним требования и их смысл); 4) Поощрять за соблюдение (не обязательно материально - хотя бы добрым словом руководителя; это гораздо эффективнее наказаний).

• Пост Валерии Кучеровой "Надо было вчера?". Валерия пишет о проблемах подразделений маркетинга, тормозящих важные проекты и не позволяющих идти "в ногу со временем". Многие  из перечисленных проблем (тормозов) очень похожи на аналогичные проблемы в ИБ, например, такие "тормоза" (фразы руководства / других подразделений): "Опять они какую-то ерунду предлагают", "У нас сейчас нет на это ресурсов", "Мы и без этого хорошо живем", а еще руководство может подписать документы не глядя, а затем заставить все переделывать уже на стадии реализации... Знакомо? ;-) Предлагаемые Валерией решения этих проблем достаточно универсальны и, думаю, вполне могут применяться специалистам по ИБ, столкнувшимися с аналогичной ситуацией.

Законодательство 

• Еще одно интересное дело из судебной практики по мошенничеству в системах ДБО. ООО успешно оспорило в суде мошенническую операцию по своему счету в Собинбанке на сумму 0,5 млн.руб., произведенную с помощью системы Банк-Клиент. Основная проблема банка была в том, что его сотрудники забыли оформить акты приема-передачи ПО и ЭЦП, а также акт выполненных работ по установке системы на компьютер клиента. При этом доступ клиенту к системе был предоставлен и клиент работал уже несколько месяцев, несмотря на то, что согласно договору банк должен блокировать доступ клиента до момента оформления полного комплекта документов. Кроме того, банк применял практику самостоятельного генерирования ключей ЭЦП клиента и передавал их клиенту на дискете или флешке, что не позволило банку доказать, что ключи не были скомпрометированы на его стороне. Апплеляционный суд оставил решение суда первой инстанции без изменений. За ссылку спасибо Наталье Храмцовской.

Стандарты, руководства, лучшие практики, исследования 

• ISACA выпустила документ "Мобильные платежи: риски, безопасность и уверенность" (на английском).

• По данным компании Prolexic Technologies за последние 12 месяцев в мире значительно возросли мощности и увеличилось разнообразие DDoS-атак. В пятерку самых распространенных атак вошли SYN-флуд (24%), ICMP-флуд (22%), фрагментация паркетов UDP (19%), GET-флуд (15%) и UDP-флуд (10%). Средняя мощность атак в 3 квартале 2011 года вчетверо превысила аналогичное значение в 3 квартале 2010 года. В целом, самыми распространенными атаками сейчас являются атаки сетевого уровня (3 уровень) (83%), остальные атаки - прикладного уровня (7 уровень) (17%). Средняя продолжительность атаки - 1,4 дней, средняя скорость - 1,5 Гбит/с. С полной версией отчета можно ознакомиться здесь (на английском).

• Larry Suto провел сравнительное тестирование 8 различных WAF (межсетевой экран прикладного уровня) и IPS (система предотвращения вторжений), оценил эффективность обнаружения ими атак, уведомления об атаках и противодействия атакам. Ларри провел две серии тестов. Сначала все устройства были протестированы практически в режиме "из коробки", а затем - после тщательной настройки (обучения). В результате тестирования было выяснено, в частности, что системы IPS не очень эффективны для защиты веб-приложений без тщательной настройки фильтров, однако после настройки их результаты возрастают почти на 60% и они сравниваются по эффективности с WAF. WAF, напротив, достаточно эффективны сразу "из коробки".

• Компания RSA выпустила документ "Почему пароли недостаточно надежны. Аргументы в пользу строгой аутентификации" (на английском). В документе показаны недостатки обычных паролей, которые, при кажущейся бесплатности решения, ведут к высоким эксплуатационным расходам. Внедрение системы строгой аутентификации, несмотря на высокие первоначальные затраты, на практике может окупиться достаточно быстро.

• CSA выпустил третью версию своего Руководства по безопасности для критических областей, связанных с облачными вычислениями (на английском). Документ дает практический план действий для тех, кто хочет перейти на использование облачных сервисов без потери безопасности и надежности. Краткий обзор изменений в документе можно посмотреть здесь (на английском). А здесь можно посмотреть рекомендации Verizone по обеспечению безопасности и соответствия требованиям при использовании облачных вычислений (на английском).

• Юрий Наместников подготовил отчет по развитию информационных угроз в 3-м квартале 2011 года. 

• Компания M86 Security прогнозирует рост в ближайшее время количества и сложности целенаправленных хакерских атак, еще более широкое использование злоумышленниками социальных сетей для обмана пользователей, а также превращение вредоносных программ для мобильных устройств в реальную угрозу.

• SANS выпустил очередной бюллетень Ouch! для повышения осведомленности пользователей по вопросам ИБ. Новый бюллетень посвящен вопросам безопасности веб-браузера и приватности (на английском).

• Securosis опубликовала документ "Управление безопасностью 2.0: Время заменить вашу SIEM?".

Новости 

• Обнаружена критическая уязвимость в самом популярном в интернете DNS-сервере BIND. Уязвимости, которая может быть использована для подделки доменных адресов или выводу сервера из строя, подвержена 9-я версия BIND. Уже есть сведения из ряда стран об использовании этой уязвимости злоумышленниками. Патч уже готов. С более подробной информацией можно ознакомиться здесь.

• Обнаружена LFI-уязвимость (внедрение локального файла) в популярной CMS Joomla. Уязвимость уже активно используется хакерами. Для устранение уязвимости необходимо обновиться на последнюю версию системы.

• Академия информационных систем проводит 1 декабря бесплатный семинар по теме "Практика реализации требований стандарта PCI DSS".

• Администрация социальной сети "ВКонтакте" ввела обязательное требование прохождения теста на знание основ информационной безопасности для восстановления аккаунтов, заблокированных по причине их взлома.

• Компания Diebold представила модернизированную лицевую панель для банкоматов семейства Opteva, которая значительно затрудняет для злоумышленников установку скиммингового устройства.

Инциденты за неделю

• Мошенники начали использовать уязвимость в сервисе Билайна "Мобильный платеж" для хищения денег с банковских карт. Сервис позволяет привязать любую банковскую карту к своему телефону, зная только ее номер и срок действия, причем срок действия можно подбирать - количество попыток не ограничено, а возможных вариантов совсем не много. За ссылку спасибо Александру Токаренко.

• Сайт РЖД по всей вероятности был взломан злоумышленниками и распространял вредоносные программы.

• В Норвегии произошла самая крупная в истории страны хакерская атака. Злоумышленники, используя специально разработанные для этой цели вредоносные программы и методики социальной инженерии, смогли получить доступ и похитить секретную информацию более десяти норвежских газо- и нефтедобывающих компаний.

• Злоумышленники получили удаленный контроль над системами водоочистки в одном из округов США. Атака, вероятно, продолжалась на протяжении нескольких месяцев, - все это время злоумышленники регистрировались в сетях SCADA-систем округа и произвольно переключали механизмы, что, в конечном счете, привело к отказу одного из водяных насосов, после чего инцидент и был обнаружен. Специалисты по безопасности, проводящие расследование, предполагают, что для атаки хакеры воспользовались уязвимостями в phpMyAdmin. О других последствиях атаки пока неизвестно. Кстати, атака производилась с российского IP-адреса. UPD. Появилась информация о взломе еще одной станции водоочистки.

• Был взломан Twitter-аккаунт новостного телеканала Sky News.

• Социальная сеть Facebook подверглась "порно-атаке", в результате которой на страницах Facebook в больших количествах были размещены порнографические фото и картинки насильственного содержания. Ссылки на картинки были разосланы пользователям через новостные каналы Facebook.