четверг, 25 августа 2016 г.

Agile - новое слово в ИБ ?

Тема Agile с легкой руки Германа Грефа активно пошла в народ. Все вдруг неожиданно заговорили про необходимость реализации гибких подходов, причем во всем. За последнее время я слышал про agile и в контексте управления всей компанией и в кадровых процессах и в ..ИБ...

Интересна особенность этой тенденции в том, что это инициатива "сверху", т.е в компаниях ее сверху толкают топ-менеджеры или собственники. При этом, конечно же, они не сильно вникают в детали того что же скрывается за термином agile, скорее всего не очень в курсе, что уже появилось немало людей, считающих что agile мертв (вот тут Matthew Kern прямо таки камня на камне не оставляет от  agile своими аргументами), и наверное меньше всего хотели бы столкнуться вот с таким проявлением agile


Но agile это однозначно не зло, хотя с ним как с сахаром или солью, если переборщить, то обязательно будет плохо. Да и пытаться применить его везде где только можно тоже не самый разумный подход (см. картинку выше). С точки зрения разработки программного обеспечения мы у себя в компании  R-Vision, например, применяем agile подходы, правда за годы работы уже выработали свою собственную модель, которая отличается от классических практик.

Давайте посмотрим что же такое agile и как он может быть реализован в ИБ. Эта идеология строится всего на 4 основных постулатах:
  • Люди и взаимодействие важнее процессов и инструментов. ИБ обеспечивают люди, работать приходится с людьми, люди самое слабое звено в безопасности и т.п. Поэтому конечно же этот постулат применим к ИБ и его можно также интерпретировать как то, что прежде чем покупать очередную дорогую игрушку (DLP, SIEM и проч.) нужно понять каким образом текущие коммуникации и деятельность людей будет улучшена / автоматизирована / оптимизирована, т.к первоочередными являются именно они, а не средства их обеспечения. 
  • Работающий продукт важнее исчерпывающей документации. Вроде все верно, внедренные и эффективно работающие средства защиты и процессы обеспечения безопасности важнее тонны написанной бумаги (получите, бумажные безопасники!). Но есть, конечно же, ньюансы. Если вы часто общаетесь с регуляторами, то знаете что для них бумага важнее, что далеко ходить, даже в СТО БР или 382-П математика оценки соответствия составлена так, что если у вас нет документов, то получите 0 и претензии со стороны регулятора. Поэтому если не вдаваться в крайности этот постулат можно интерпретировать как то, что актуализация документации, ее 100% соответствие текущей реальности по приоритетам должна быть ниже чем актуализация и совершенствование сами средств защиты и процессов.
  • Сотрудничество с заказчиком важнее согласования условий контракта. Заказчиком в данной ситуации выступает бизнес / руководство / собственники. Данный постулат говорит о необходимости выстраивания неформальных взаимоотношений, позволяющих получать быструю и конструктивную обратную связь, обеспечивающих возможность оперативного согласования и корректировки в условиях постоянно меняющихся внешних обстоятельств. В общем, меньше формализма и действий строго по должностной инструкции, а больше конструктива, сотрудничества и работы на конечный результат.
  • Готовность к изменениям важнее следования первоначальному плану. Любой план не более чем ориентир. Жизнь постоянно меняется и вы должны быть готовы меняться что называется "на ходу". Этот постулат требует довольно серьезной, фундаментальной перестройки. Вы сами, ваша команда, внедряемые вами практики и механизмы, реализуемые вами проекты, все это должно создаваться и развиваться в идеологии готовности к любым изменениям в любой момент. Тут очень непростым окажется вопрос взаимодействия с внешними подрядчиками. Не даром же на любые работы или системы изначально пишется ТЗ, в соответствии с которыми они реализуются. Так что возможность постоянно менять условия и требования для внешних подрядчиков выльется в дополнительные расходы, хотя, возможно, позволит избежать еще больших и, что самое важное, совершенно неэфффективных трат.  
Вообще тема agile очень большая и в один пост все не уложишь.  Кому интересна тематика советую сходить на конференцию AgileDays, но сразу оговорю что это мероприятие, ориентированное в первую очередь на разработчиков и тех, кто управляет разработкой. Но как знать, может быть какие-то идеи из смежных областей вы сможете с успехом перенести в ИБ. Успехов ! 

пятница, 29 января 2016 г.

Ищем консультанта в команду R-Vision

Всем привет !  Давно ничего не писал, прошлый год заканчивался динамично, новый начался не менее бодро. 

Мы растем, ставим перед собой новые цели и задачи, о многом хочется рассказать, но пока возьму паузу, чтобы не спугнуть удачу :)    Пост собственно не об этом, а о том, что мы ищем единомышленника в команду.  Хочешь вместе с нами покорить мир ? Присоединяйся ! 

Нам нужен консультант по информационной безопасности, в круг задач, которого будет входить:
  • Консалтинг и помощь заказчикам компании в реализации лучших практик в области менеджмента информационной безопасности. 
  • Разработка рекомендаций по совершенствованию процессов менеджмента информационной безопасности. 
  • Общение с потенциальными клиентами компании на этапе пресейла совместно с менеджерами по продажам. 
  • Проведение периодических обучений клиентов по тематикам в области менеджмента информационной безопасности. 
  • Разработка политик, методик и иной документации по информационной безопасности. 
  • Участие в разработке методических материалов, справочных публикаций, статей и другого специализированного материала как для широкой аудитории, так и для внутреннего использования. 
  • Участие в работе различных рабочих групп, ассоциаций, комитетов и пр. в качестве представителя компании.
Более подробно есть тут -  http://kotelniki.hh.ru/vacancy/15836320

Заинтересовала вакансия ? Пиши нам на адрес hr@rvision.pro

пятница, 6 ноября 2015 г.

Ключевые факторы в деятельности по реагированию на инциденты ИБ

В преддверии SOC-форума, решил высказаться по сабжу. 

Тема инцидент-менеджмента на мой взгляд одна из тех, которая должна быть в приоритетах практически любой службы информационной безопасности. В современном мире неприкасаемых не осталось, жертвами внешних или внутренних злоумышленников становятся самые разнообразные компании, включая тех, которые сами занимаются разработкой программного обеспечения или оказанием услуг в области информационной безопасности. 

Есть несколько моментов, которые являются, на мой взгляд, ключевыми факторами, влияющими на успех или провал при реализации деятельности по управлению инцидентами ИБ. 

Определиться что является инцидентом.  Ресурсов никому никогда не хватает, пытаться все подряд называть инцидентом и реагировать - путь в никуда. Хотя большинство начинают именно с этого, сперва пытаются собирать и фиксировать все, пытаться реагировать на каждый чих, но сразу же приходит понимание того, что нужно как-то сужать фокус. Т.е движение идет от большего к меньшему, в то время как более правильный путь это движение от меньшего к большему. Уж лучше сразу целенаправленно уменьшить перечень событий, которые должны быть отнесены к инцидентам ИБ и обеспечить их корректную обработку. Далее, настроив процесс, постепенно его масштабировать и расширять на менее критичные события. 

Понятная цепочка обработки инцидентов. Обработка инцидентов - это конвейер, каждый инцидент должен быть обработан по заранее согласованной схеме, которая должна быть отработана практически до автоматизма. 

Готовые планы реагирования. "Время дорого" - вот главный девиз эффективного инцидент-менеджмента. Действовать надо быстро и слаженно. Здесь очень хорошо помогают готовые планы реагирования на инциденты, привязанные к типовым ситуациям: вирусное заражение, DDOS, отключение питания и проч. Понятно что если вдруг возникнет нештатная ситуация, для которой нет плана реагирования, придется импровизировать уже на ходу, но это не отменяет того, что для типовых ситуаций удастся сберечь массу ресурсов, времени и нервов. 

Согласованный порядок сбора и фиксации информации по инцидентам. Инцидент нужно не только как можно скорее закрыть, устранив возможные последствия, но еще и зафиксировать набор различных сведений, которые должны помочь впоследствии провести расследование, применить меры дисциплинарного воздействия, выявить системные проблемы, накопить статистику для различных целей, в том числе для оценки рисков. Если это не реализовано, то процесс реагирования на инциденты превращается в вечный и неэффективный бой. 

Тайминг. Время, время, время... Самая главная метрика эффективности процесса реагирования на инциденты ИБ - время отработки инцидента. Причем эта одна из самых простых метрик, с точки зрения ее определения. Если данные по обнаружению инцидента и данные по закрытию инцидента где-то зафиксированы, то определить среднее время обработки инцидентов не составит большого труда. За счет работы над тем, что я описал выше и рядом других моментов необходимо добиваться снижения данного показателя до необходимого для компании уровня. 

Как видите все вышеперечисленное не про технические системы. SIEMы, IDSы, и проч. всего лишь инструменты, которые должны помочь реализовать стоящие перед группой реагирования на инциденты ИБ задачи и помочь с тем что я описал. К сожалению плохие, непродуманные внедрения порой становятся главным препятствием на пути к нормальному инцидент-менеджменту. 

P.S. На SOC-форуме я буду вместе с моими коллегами представлять проект R-Vision. Подходите, буду рад пообщаться. 

P.P.S. Что касается инструментов, то на следующий день после SOC-форума буду проводить вебинар с демонстрацией новых возможностей R·Vision SGRC по управлению инцидентами ИБ. Регистрация тут - https://rvision.pro/?post_type=event&p=1219

среда, 28 октября 2015 г.

Оценка рисков с использованием R·Vision SGRC

Всем привет ! 

Завтра провожу вебинар по теме "Оценка рисков с использованием R·Vision SGRC"


Поговорим про анализ рисков вообще и моделирование угроз в частности, обсудим западные методики и пока еще не вышедшую методичку ФСТЭК.  Детально расскажу и покажу новые возможности по идентификации и оценке рисков в R·Vision SGRC. 

Регистрируйтесь, вебинар завтра, 29 октября в 11:00 ! 

вторник, 20 октября 2015 г.

Организация программы по повышению осведомленности

Кризис бьет по экономике, бизнес-руководство "режет косты", т.е сокращает финансирование, но обеспечивать безопасность по-прежнему нужно. И хочешь не хочешь, но необходимо искать какие-то простые (в идеале бесплатные) методы достижения нужного результата.  Конечно порой такая погоня за дешевизной в прямом смысле дорого обходится, но пост не об этом. 

Одним из самых недорогих, но действенных методов по повышению общего уровня безопасности на мой взгляд является программа повышения персонала в вопросах ИБ. Внедряя такую программу в компании подразделение ИБ убивает сразу 2х зайцев:
  • сотрудники становятся более грамотными в плане ИБ, что приводит к меньшему количеству ошибок, обращений в ИТ и ИБ и в конечном итоге уменьшает количество инцидентов;
  • программа повышения осведомленности может помочь популяризировать деятельность подразделения ИБ в компании, эдакий способ PR-а внутри компании. 
Есть несколько простых инструментов, которые могут составить такую программу повышения осведомленности: 
  • периодические тренинги персонала - самый очевидный, но при этом самый ресурсозатратный метод, да и часто вызывает определенное отторжение, поэтому я бы рекомендовал его применять крайне дозированно (раз в год, например). 
  • рассылки внутри компании - метод простой и в меньшей степени напряжный, особенно если удастся обеспечить хороший контент для такой рассылки. Если делать ее не часто (раз в месяц например) и включать советы в том числе по личной компьютерной безопасности, то уверен что найдется немало людей кто будет даже благодарен. 
  • плакаты, наглядная агитация - хороший метод, но только если прям угадаете с оформлением. Нужно ориентироваться на принятую культуру в компании, средний возраст персонала и проч. Должно быть интересно, немного смешно и должно запомниться.  Есть вечные темы вроде полуголых женщин, призывающих "не болтать", есть дизайнерские находки, вроде тех плакатов, которые в свое время делал для себя Билайн (жаль что их нигде в сети нет)
  • база знаний - раздел на внутрикорпоративном сайте компании, который содержит в простой и доступной форме описание и разъяснение основных положений политики ИБ компании, описание действий в ситуации "если вдруг ___  то действуйте так ____"
Для реализации всего того, что я написал выше, в первую очередь нужен грамотный контент - материал из которого будут делаться тренинги, рассылки, плакаты и проч.  С этим конечно все сложнее и это пожалуй единственный серьезный барьер, о который разбиваются многие попытки внедрить деятельность по повышению осведомленности. 

Приведу несколько ссылок, надеюсь что помогут. Практически все на английском, у нас в России по этой теме пока мало кто активно работает.  Но ведь стоимость переводчика не такая большая, можно нанять, а можно самому перевести, да еще и знание языка повысить :) 

  • Проект Так безопасно от компании ЛЕТА - набор готовых плакатов - скринсейверов, с описанием стандартных и очевидных правил информационной безопасности.
  • Microsoft Security Awareness Toolkit - тулкит от компании Microsoft, содержащий различные материалы (планы, статьи, презентации), которые могут быть использованы для реализации программы повышения осведомленности. 
  • Stay Smart Online - Сайт Австралийского агентства Department of Communications and the Arts, содержит набор статей, описывающих основные рекомендации по обеспечению персональной безопасности в сети.  
  • Stop. Think. Connect - онлайн ресурс, содержащий рекомендации по обеспечению ИБ, а также подборку плакатов 

четверг, 8 октября 2015 г.

Вебинар про R·Vision SGRC

Мы строили, строили  и наконец построили.....


Хочу поделиться приятной новостью.  Еще в начале этого года мы затеяли глобальную переделку системы R-Vision. В рамках этой работы необходимо было решить 2 серьезные задачи:
  • Объединить весь имеющийся функционал в одну систему, с целью консолидации информации и создания единой модели данных, с которыми работают пользователи продукта.
  • Расширить гибкость системы с целью адаптации ее под нужды различных компаний

В результате мы практически полностью переписали все что было, но это того стоило. Забегая вперед, скажу что нам все удалось и даже больше. Подробности сейчас раскрывать не буду, чтобы сохранить интригу. 

В следующую среду (14 октября) в 11:00 мы будем проводить большой вебинар, на котором покажем и расскажем о том что же такое SGRC, как мы его видим и какие новые возможности дает наша обновленная система. 

Регистрируйтесь, будем рады всех видеть - https://rvision.pro/?post_type=event&p=1192


среда, 30 сентября 2015 г.

4 функции директора по информационной безопасности

В предыдущем посте я уже писал об исследовании компании Deloitte:  


в ходе проведения которого была предложена следующая функциональная модель современного директора по информационной безопасности:
  • Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.
  • Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков. 
  • Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.
  • Технарь.  Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.
Согласно исследованию Deloitte бОльшую часть времени директора тратят на активности из области Защитник и Технарь, оставляя на 2 другие стратегические области совсем немного. Бизнес-руководители же ожидают от директоров по ИБ совсем иного, они ждут что они будут больше времени уделять стратегии и меньше технике. 

Думаю что со временем эта тенденция и дальше будет усиливаться, примеров компаний с большими департаментами ИБ не так много, очень часто директору по информационной безопасности приходится заниматься решительно всем. А это в свою очередь будет обуславливать то, что решение чисто технических задач будет занимать все больше и больше времени. 

С другой стороны, с ростом количества и технологической сложности решений по безопасности возможности по обслуживанию всех необходимых средств защиты будут сокращаться и единственно возможным решением будет передача данных функций на аутсорсинг, что в свою очередь приведет к разгрузке директора по безопасности, но неизменно поставит вопрос о его необходимости в компании. 

Обосновать необходимость можно будет только за счет стратегических функций, для выполнения которых необходимо уже сейчас осваивать новые для себя инструменты: управление рисками, бизнес-планирование, финансовый менеджмент и др. 

пятница, 25 сентября 2015 г.

47-ой выпуск журнала (IN)SECURE

Содержание номера: 
  • Redefining security visualization with Hollywood UI design
  • Best practices for ensuring compliance in the age of cloud computing
  • The evolution of DDoS and how ISPs can respond
  • NowSecure Lab cloud: Mobile app assessment environment
  • Why vulnerability disclosure shouldn't be a marketing tool
  • Report: Black Hat USA 2015
  • We don't know what we don't know
  • Outdated protocols put IoT revolution at risk
  • The challenges of implementing tokenization in a medium-sized enterprise
  • Automated threat management: No signature required
  • Re-thinking security to detect active data breaches
  • How to prevent insider threats in your organization
  • ISO/IEC 27001 scoping and beyond
  • Combatting human error in cybersecurity
  • Threat intelligence matters to everyone

Качаем тут

понедельник, 21 сентября 2015 г.

Проверка сертификатов специалистов и компаний

Сколько уже было поломано копий вокруг темы сертификации. Хорошо это или плохо каждый решает для себя сам, я отношусь к теме сертификации как специалистов, так и компаний положительно, хотя сам уже давно никаких новых сертификатов не получал, лично я решил на CISA и CISSP пока остановиться. 

Что среди прочего мне нравится в этих сертификациях (о чем я собственно и хотел поговорить) это то, что вы всегда можете проверить спеца по номеру сертификата. 

У ISACA форма проверки находится прям на главной странице справа (форма Verify a Certification), достаточно знать только номер сертификата и фамилию. 

У ISC форма находится тут, аналогично для проверки достаточно знать номер и фамилию. 

Я считаю это правильно, приходит к тебе наниматься на работу эдакий спец весь бумажками увешанный, а подтвердить что он действительно проходил указанные курсы, получил сертификаты можно только взяв у него бумажный сертификат.  А как говаривал Остап Бендер: "при современном развитии печатного дела изготовить советский паспорт это пара пустяков". Так что слепить в фотошопе сертификат это вообще не проблема, я даже знаю когда подобные вещи делались для конкурсов, в которых было требование о наличии специалистов с сертификатами.   

Проблема понятна, решение очевидно, если какая-то организация выдает человеку или другой организации бумажку, которая будет предъявляться третьим лицам всегда тем, кто выдал бумажку, должен быть обеспечен простой и прозрачный механизм проверки достоверности этой бумаги. 

Вот, к примеру, если вы хотите проверить организацию на наличие у нее сертификата ISO 27001, выданного компанией BSI, то вам сюда: 


А если хотите проверить подрядчика на предмет того, что у него есть необходимые статусы для проведения аудита на соответствие требованиям PCI DSS, то сюда:


Я правда не смог найти какого-то единого реестра для проверки компаний, на наличие самих сертификатов PCI DSS, но это видимо обусловлено тем, что аудиторов очень много и это задача каждой такой компании вести реестр и все предпочитают хранить это в тайне, не уверен что это правильно. 

среда, 16 сентября 2015 г.

О "бумажной" безопасности и не только

Термин "бумажная безопасность" уже практически укоренился в нашей среде и приобрел оттенок резко отрицательный. Все чаще представители различный компаний в своих выступлениях пытаются показать что мол мы тут реальными вещами занимаемся, а не какой-то там "бумажной" безопасностью. 

Я нисколько не пытаюсь умалить ценность разного рода технических средств, да только на практике доказано, что количество, стоимость и крутизна бренда установленных в компании средств безопасности далеко не всегда коррелирует с реальной защищенностью и готовностью оперативно реагировать на меняющийся ландшафт угроз. Сейчас на рынке информационной безопасности чего только нет, сотни различных решений и кого не спроси все же не просто так выпускают новые ИБ-продукты, все так или иначе решают какие-то реальные проблемы, устраняют угрозы и проч. 

Но вот что при этом упускается из вида, что подчас приписывается к той самой "бумажной безопасности", это необходимость не просто наращивать мускулы в виде средств защиты, но и "включать голову" в смысле адекватного оценивания ситуации, выставления приоритетов, определения той самой (заезженный термин) стратегии обеспечения безопасности. Но стратегии не в том смысле как это часто делается, в виде документа на несколько сотен страниц, который успевает устареть к моменту его утверждения в организации, а стратегии если можно так сказать "в режиме реального времени", ориентированной на текущие обстоятельства. 

А что для этого нужно ? Нужно адекватно инвентаризировать инфраструктуру и определить наиболее критичные активы, необходимо оценивать риски и расставлять приоритеты в части того, что нужно минимизировать в первую очередь, нужно собирать аналитику и оценивать состояние текущих средств защиты, нужно искать механизмы взаимодействия с бизнесом с точки зрения понимания ключевых задач и приоритетов и прочее. Готовых рецептов тут тоже нет, можно ориентироваться на стандарты, на лучшие практики, да на что угодно, но главное "включать голову". К сожалению все что я описал выше очень часто относят к "бумажной" безопасности и, стало быть, начинают воспринимать как абсолютно бесполезную вещь, мне кажется зря. В качестве подтверждения моих слов приведу еще два небольших комментария: 

Если брать в пример военное дело, то можно найти немало примеров полководцев, которые одерживали победы над превосходящими силами противника. Что им помогало ? Конечно же верно выбранные стратегия и тактика. На эту тему есть, например, труды известного полководца А.В. Суворова, который, как известно, за всю жизнь не проиграл ни одного сражения. 

Недавно проведенное исследование компании Delloite показало что директора по безопасности тратят порядка 77% процентов всего своего времени на  разного рода технические задачи, в то время как руководители бизнеса ожидают от них прямо противоположного: больше ориентации на бизнес-задачи, стратегическое планирование и проч.

четверг, 10 сентября 2015 г.

Осторожно, зловреды-вымогатели !

Интересная новость тут попалась на глаза:

Специалисты по безопасности из компании Zscaler сообщили о новой разновидности трояна-вымогателя, который поражает Android-смартфоны под видом порнографического видеоплеера. После запуска программы троян фотографирует пользователя и требует выкуп.

Источник новости тут:  https://xakep.ru/2015/09/08/adult-player/

Думается мне, что сегмент разного рода вредоносов-вымогателей еще в самом начале своего развития. Пока все мы слышали только про разномастных шифровальщиков, которые шифруют важные файлы и требуют выкуп, а также разного рода блокировщики экранов. Но заразив компьютер человека можно получить доступ ко всей его электронной переписке, статистике посещения сайтов, профилях и переписке в социальных сетях и прочее. 

Вот, например, сейчас вся западная блогосфера "гудит" насчет взлома и публикации инсайдерской информации сайта Ashley Madison, есть опасения что опубликованная информация уже была использована для шантажа любителей устроить интрижку на стороне.   Что мешает делать тоже самое, но тихо и применительно к отдельным людям. 

Это я все к тому, что как мне кажется не за горам появление вымогателей, которые заразив компьютер жертвы будут выискивать какие-то факты личной жизни человека и использовать их для шантажа. 

понедельник, 7 сентября 2015 г.

Мои планы на BIS Summit 2015

Пришла осень, а значит и пора множества конференций. В моем графике первой осенней конференцией будет BIS Summit 2015.  Я уже не первый раз буду участвовать в этом мероприятии, еще помню его как DLP Russia, но уже тогда было понятно, что мероприятие перерастает заданную тематику, да и вопрос DLP перестал быть таким уж "горячим", по сравнению с тем как это было лет 5 назад. 

По воспоминаниям с прошлого года могу сказать что конференция производит приятное впечатление, видно что организаторы стараются задать интересные темы для дискуссии, собирают широкую экспертную аудиторию, хочется надеятся что в этом году успех будет закреплен и развит, хотя времена сейчас конечно очень непростые. 

В общем если хотите пообщаться со мной, то буду рад, приходите на конференцию, ловите меня в толпе и давайте общаться :) 

В выставочной части конференции в этом году мы также организуем стенд проекта R-Vision, на котором вы сможете поговорить с моими коллегами о возможностях нашей разработки, а может быть даже и познакомиться с новой версией системы, которую мы интенсивно разрабатываем уже несколько месяцев.  В любом случае будет интересно. 

Кроме того в рамках конференции будет проходить еще одно мероприятие - StandUp for Startup, в рамках которого аудитории будут представлены проекты молодых компаний на рынке ИБ.  Так что попробуем и себя показать и других посмотреть. 

понедельник, 10 августа 2015 г.

Готовые агрегаторы ИБ-блогов

Не устаю повторять, что современному специалисту (в любом деле) просто необходимо быть в курсе того, что происходит в его профессии. Жизнь стала очень динамичной, отключаешься от инфо-потока и все... через некоторое время ты уже безнадежно отстал. В ИТ (ну и ИБ конечно) это проявляется наиболее остро.  

Для отслеживания актуальной информации лично я использую RSS-читалку (раньше это был Google Reader, а теперь bazqux), в которую загоняю разного рода новостные сайты и конечно же блоги. Собственно этому и посвящен этот пост. Давным-давно я наткнулся на площадку Security Bloggers Network, эти ребята агрегировали в себе несколько сотен ИБ-блогов и выдавали в качестве одного rss-фида. Отличная штука, можно было сразу одной подпиской получить канал со всех западных блогов, круто !  Но примерно месяц назад у площадки начались какие-то проблемы, она стала работать со сбоями, а сейчас и вовсе недоступна уже неделю. 

Пришлось самому делать подписки на отдельные блоги, и я подумал что раз это было полезно мне, то наверное может пригодится еще кому-то. В общем я решил выложить публичные фиды своих каналов:

фид англоязычных ИБ-блогов, на которые я подписан 
https://bazqux.com/feed/d317015927f7b82254f9

фид российских блогов, на которые я подписан 

Все в одном месте, пользуйтесь на здоровье. 

А тем, у кого совсем нет времени на чтение блогов рекомендую подписаться на дайджесты от R-Vision

Подписка по RSS - https://rvision.pro/blog/blog/feed/

Подписка на E-mail - http://eepurl.com/BpV9X


четверг, 23 июля 2015 г.

Вам нужны крутые специалисты ? Их есть у меня

Коллеги, на примете есть парочка хороших специалистов, которые подумывают о смене работы. Один системный архитектор с богатым техническим опытом (внедрение ИБ-систем разного масштаба и сложности), опытом руководства проектами и проведения маркетинговых мероприятий, другой - ИБ-консультант с кучей проектов за плечами.  Если кому нужны, то свяжитесь со мной любым удобным для вас способом, перекину вам резюме.

понедельник, 29 июня 2015 г.

Избавляемся от легко угадываемых паролей

Пароли, сколько их уже хоронили, сколько говорили про то, что они ненадежны, они все равно остаются основным средством аутентификации. 

Практически любой пентестер подтвердит, что в рамках работ по взлому он сталкивается с ситуацией нахождения учетных записей, у которых установлен пароль вроде p@ssw0rd или 123456.  Сам помню как в одном случае мы наткнулись на учетную запись с паролем secret (абсолютно реальный случай), которая давала админский доступ как минимум к половине всей инфраструктуры заказчика. 

С такими же проблемами сейчас сталкиваются и онлайн-сервисы, большинство обычных пользователей используют очень простые пароли, что дает возможность злоумышленникам легко получить доступ к нужным аккаунтам. 

Вот, к примеру, Dropbox недавно в очередной раз заблокировал большое количество слабых паролей пользователей сервиса. На мой взгляд это очень правильная профилактическая мера, но как ни странно я что-то не знаю ни одного ИБ-продукта, в котором бы присутствовала функция обнаружения и блокировки слабых учеток. 

Понятно что можно запустить сканер, потом посмотреть отчет, найти виновных и прочее, но ведь было бы значительно проще запускать периодически скрипт, который будет искать учетки со слабыми паролями и менять их на какой-то один сложный, но известный пароль.

Конечно тут есть свои минусы, что увеличится количество обращений в техподдержку с просьбой сбросить пароль, возможно перестанут работать какие-то скрипты, но ведь тут получается классическая дилемма, либо безопасность как должно быть, либо все как придется, дыры в системе, угроза взлома и проч. 

Конечно не стоит рубить с плеча, можно же начать в режиме просто поиска таких учеток, а потом в какой-то момент перейти на принудительный сброс пароля. 

В общем, мне кажется, что это правильная практика, и безопаснику стоит ее при определенных обстоятельствах включить в свой арсенал. 

Теперь о том как это можно сделать.  

1) Необходимо сформировать набор логинов и  паролей, которые будем проверять. Логины берем из AD, пароли из типовых справочников, вроде того что опубликовал тот же Dropbox.

2) Проверку учеток можно сделать, например, с использованием nmap и плагина smb-brute

3) С блокировкой сложнее, готовых инструментов нет, тут придется писать свои скрипты, либо для bash, либо bat-ник, либо плагин на языке nmap.  Для установки пароля нужно всего лишь выполнить команду net user <текущий пароль> <новый пароль>. Как вариант можно воспользоваться плагином nmap - smb-psexec