вторник, 27 декабря 2011 г.

Детальное руководство по оценке рисков информационной безопасности из Канады

Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC (сайт организации). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь, дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке.

Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд.  Для тех кто в состоянии читать на английском языке (кто не может, тем рекомендую заняться изучением английского), крайне рекомендую ознакомится с этим документом, очень достойный материал.

В частности в материале достаточно подробно описаны следующие вещи:
  • Организация проекта по проведению оценки рисков (вовлечение руководства, формирование рабочей группы, привлечение сторонних консультантов)
  • Определение границ проведения оценки рисков (описаны различне подходы к выбору области проведения оценки рисков)
  • Подходы к идентификации и классификации активов (включая методы сбора первичной информации, формы для описания перечней активов)
  • Описание различия между BIA (Business Impact Analysis), PIA (Privacy Impact Analysis) и TRA (Threat and Risk Assessment)
  • Классификация и описание возможных угроз информационной безопасности (с примерными перечнями). Впервые я встречаю в описании упоминание о прямых (direct) и непрямых(indirect) угрозах.
  • Определение защитных мер, включая оценку их эффективности применительно к возможным угрозам
... и еще много чего интересного.  Ниже привожу несколько скриншотов из данного документа.






P.S. Еще раз подчеркну, что для тех, кто серьезно интересуется тематикой оценки рисков данный материал может стать довольно полезным. 

воскресенье, 25 декабря 2011 г.

Итоги года уходящего и прогноз на 2012

Ну вот, коллеги, подходит к концу довольно непростой 2011 год. В этом посте мне бы хотелось оглянуться на те события, которые происходили в этом году, на мой прогноз, который я давал в прошлом году, и немного поразмышлять о прогнозах на год грядущий. 

Для начала вспомним о том, какие прогнозы я давал в прошлом году и насколько они сбылись:

Прогноз 1 (привожу лишь некоторые купюры): "Усилятся (расширятся) регуляторные требования по информационной безопасности. ..... Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок..... Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных...."

Все мы знаем чем закончилась (или может быть все же не закончилось) эпопея с поправками в 152-ФЗ. Прогноз об усилении регуляторных требований оправдался, прогноз о том, что ФСТЭК будут оттеснять оправдался (сейчас работу по разработке требований возглавляет ФСБ), а вот насчет свободы, точнее отказ от нее ... это конечно самая большая ошибка наших законодателей на мой взгляд.

Прогноз 2: Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами.

Этот прогноз тоже оправдался. Усиление хакерской активности это даже пожалуй слабо сказано. В этом году мы все услышали и про Anonymous и про LulzSec.  А что касается крупных инцидентов, то тут взлом RSA безусловно можно назвать не просто крупным, а крупнейшим инцидентом из произошедших за последние годы. Но RSA - это лишь одна из компании, взлому также подверглись компании Sony, MySQL, Epsilon, Acer, Honda, Nintendo и многие другие.

Прогноз 3: Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности

Прогноз оправдался. В текущем году только в России было продано более 1 млн. планшетов. Многие компании теперь задумываются над такой проблемой как использование личных мобильных устройств в бизнес среде (на западе эту тенденцию назвали consumerisation of IT) и связанными с этим проблемами с безопасностью. Что же касается появления новых угроз, то тут активно начали работать вирусописатели под платформу Android (примеры тут, тут и тут).

Прогноз 4: Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. ...... Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)

Прогноз, на мой взгляд, оправдался частично. Специалисты по информационной безопасности нужны многим, на сайтах работы можно на вскидку найти с десяток вакансий от младшего специалиста до руководителя службы информационной безопасности. Активнее всего людей сейчас ищут банки (оно и понятно, СТО БР поднять - это не так уж и просто).  Но при этом никакого жесткого хед-хантинга все же на рынке не наблюдается. Связано это с тем, что необдуманные действия наших законодателей с принятием поправок в 152-ФЗ ввели всех в ступор и многие компании заняли выжидательную позицию. Да и призрак второй волны мирового финансового кризиса не прибавляет желания активно набирать людей.

Прогноз 5: Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.

Прогноз почти не оправдался. С развитием ИТ в России все откровенно говоря не очень. Хотя, искренне удивило то, что под конец года появилась информация о том, что Роскомнадзор взялся разрабатывать требования к облачным платформам. Ну посмотрим что из этого выйдет.

Подводя итоги важнейших событий уходящего года, я бы еще отметил проведение в России двух хакерских конференций - Positive Hack Days и ZeroNights. Еще год назад многим казалось, что у нас такое просто невозможно организовать, но как оказалось мы тоже можем устраивать достойные мероприятия (к сожалению сам попасть не смог, надеюсь на будущий год организаторы про меня не забудут :) )

Теперь о грядущем. Что же нас ожидает ?  Для начала посмотрим на прогнозы других экспертов и компаний, которые уже появились в сети:
  • Лаборатория Касперского подвела итоги 2011 года и сделала прогнозы на 2012 год. Отчет доступен тут.
  • Прогноз до 2016 г. от Gartner опубликовал сайт PCIDSS.ru. Ссылка.
  • Компания StoneSoft опубликовала довольно короткий прогноз на 2012 г. Ссылка.
  • Предсказания на 2012 г. от Технического директора компании Imperva. Ссылка.
  • Прогноз на 2012 г. от экспертов компании ESET. Ссылка.
Позволю себе также сделать несколько прогнозов:

1) Увеличение количества ИТ-инцидентов, связанных со сбоями и техногенными авариями. Я не верю в конец света в 2012 г., но я убежден, что компаниям, особенно крупным, надо прорабатывать вопросы непрерывности деятельности и восстановления после аварий. Shit happens, все неприятности невозможно будет предотвратить, но суметь оперативно отреагировать - жизненно важно.

2) Законодательный винегрет. По-другому никак не могу это назвать, прошедший год показал, что людей, способных писать адекватную нормативную базу в области ИТ/ИБ в госорганах практически не осталось. Надо быть готовым к появлению массы коллизий, спорных норм и двойных стандартов (вроде использования неразрешенной криптографии на государственных ресурсах). Однако, как показывает исторический опыт, неадекватное регулирование и излишнее завинчивание гаек рождает рост протестных настроений. И обрести они могут самую разную форму.

3) Усиление хакерской активности. Тут ничего нового, это многолетний тренд. Объемы вредоносного кода и масштабы хакерских атак растут год от года. В предстоящем году эту тенденцию может подхлестнуть ухудшающаяся экономическая ситуация. При этом все большее количество атак будет носить направленный характер (targeted attack).

4) Снижение внимания  к информационной безопасности. Неожиданный прогноз :)  но все происходящие в последнее время события показывают, что в стране накопилось множество проблем... в политике, в экономие, в промышленности (на днях потеряли очередной спутник.. как ни грустно об этом говорить, но мы проср..ли почти все что можно было). И в этой связи вопросы информационной безопасности конечно будут волновать государство и бизнес, но приоритет этих вопросов серьезно снизится.

Вот такие вот мысли, коллеги.  Но самое главное - не терять оптимизма !  Всех с наступающим новым годом !  :)

суббота, 24 декабря 2011 г.

Перемен, требуют наши сердца ! (В.Цой)

Мы часто видим, как государство принимает неверную позицию относительно развития информационных технологий в России.

Пора что-то делать - http://on.fb.me/s6YtU7  !!!

P.S. Данный пост не является агитацией, а лишь предназначен для того, чтобы собрать на одной информационной площадке всех, кто не равнодушен к ситуации, которая творится вокруг профессиональной области, которой многие из нас решили посвятить свою жизнь (ну или хотя бы часть жизни). 

четверг, 22 декабря 2011 г.

Главный по кибер-безопасности

Кибер-война, кибер-шпионаж, защита критичных систем - все эти вопросы волнуют умы наших иностранных коллег, да и мы, собираясь на разного рода мероприятиях, тоже иногда поднимаем эти темы (потом правда опять возвращаемся к насущным вопросам и к надоевшему уже всем 152-ФЗ, тут как в анекдоте: "мыши плакали и кололись, но продолжали есть кактус").  Однако наши зарубежные коллеги  помимо слов еще и делом занимаются (чему многие из нас думаю тайно завидуют). И дело это заключается в том, что в разных странах появляются отдельные органы (или люди) задача которых - на государственном уровне продвигать вопросы кибер-безопасности.  Вот лишь несколько примеров:

Австралия
Март 2011. Австралийское правительство в рамках реализации национальной стратегии кибербезопасности объявило о создании государственного подразделения, отвечающего за национальную кибербезопасность. В задачи нового подразделения войдет защита правительственных и военных сетей, а также ИТ-ресурсов, включая открытые и закрытие ресурсы, от хакерских атак.
Новое подразделение создано на базе австралийской разведки ASIO (Australian Security Intelligence Organisation) и будет фактически работать под началом данного государственного института. Также сообщается, что новая служба будет тесно взаимодействовать с CERT Australia (Computer emergency response team Austalia) и центром Cyber Security Operations Centre (CSOC), работающим при Министерстве обороны страны. В задачи новой службы кибербезопасности также будет входить борьба с кибершпионажем и утечками информации из стратегически важных источников.
Сайт этой организации можно посмотреть по этой ссылке

США
Май 2009. Президент США Барак Обама объявил о создании в Белом доме отдела по кибербезопасности, во главе которого будет стоять "киберцарь", сообщает агентство AP.
Обама заявил, что хакеры являются одной из главных угроз экономической и национальной безопасности США. "В масштабах страны и в масштабах правительства мы не готовы справиться с этой проблемой в полном объеме", - заявил президент США на пресс-конференции в Белом доме.

"Киберцарь" будет отчитываться перед Советом национальной безопасности и Экономическим советом, а также будет "регулярно" встречаться с президентом. Как передает AFP, его обязанности будут заключаться в координации работы правительственных агентств и усилий по обеспечению информационной безопасности.

Франция
2009г. Агенство по национальной безопасности информационных систем (ANSSI) было учреждено Декретом № 2009-834 от 7 июля 2009 года ( Официальный вестник от 8 июля 2009г.), в качестве национальной службы. Оно прикреплено к Генеральному секретарю по вопросам обороны и национальной безопасности (SGDSN), орган, ответственный за оказание помощи премьер-министру в вопросах обороны и национальной безопасности. К основным задачам агенства относятся: обеспечение безопасности государственных информационных систем, координация действий по обороне информационных систем, проектированию и развертыванию телекоммуникационных систем с целью решения задач высшего руководства страны, обеспечения надежного межведомственного взаимодействия, а также создания условий для атмосферы доверия и безопасности, способствующих развитию информационного общества во Франции и Европе.

Сайт этой организации можно посмотреть по этой ссылке.

Германия
В германии еще с 80-х годов прошлого века существует служба, отвечающая за вопросы информационной безопасности - Bundesamt für Sicherheit in der Informationstechnik (BSI). Возможно кто-то слышал об этой организации, они выпускают довольно интересный справочный каталог по безопасности - IT Grundschutzhandbuch, а также поддерживают собственные стандарты по ИБ, созданные на основе стандартов серии ISO 2700x.

Сайт этой организации здесь.

Украина
Да, даже наши соседи предприняли попытку :). В Украине появится специальный орган по обеспечению информационной безопасности. Правда судя по тексту, пока все же законопроект забраковали... НО, был сделан первый шаг.

Россия ???
А что же на нашей Родине ?  Кто у нас отвечает за эти вопросы и занимается этими проблемами ?  ФСТЭК ? ФСБ ? Отдел К в МВД ?

Думается мне, что все же в текущем раскладе никто. Кстати, все уже слышали о том, что в новой думе упразднили комитет по ИТ ?

Вот, читаем:

Комитет по информационной политике, ИТ и связи перестанет существовать в Госдуме нового созыва. Деятельность по этому направлению будет возложена на комитет культуры, возглавляемый режиссером Станиславом Говорухиным.

Подробнее: http://www.cnews.ru/news/top/index.shtml?2011/12/20/469659

Замечательно. Я ничего не имею против Станислава Сергеевича, но думаю что в описанных выше вопросах он не сильно разбирается.

Кроме того, я слышал что Госдуму покинула (или скоро покинет) Волчинская Елена Константиновна. Очень грамотная на мой взгляд женщина, по крайней мере на разного рода ИБ-конференциях она говорила очень правильные вещи.

Ну и где эта модернизация ?  Почему никто на государственном уровне не решает вопросы кибербезопасности в частности и вопросы информационной и ИТ безопасности вообще ?

P.S. Я конечно понимаю, что вопросы в никуда...... Хотя может быть кто-то знает кому их можно задать ? :)

понедельник, 19 декабря 2011 г.

План проверок Роскомнадзора на 2012 год в формате Excel

План проверок РКН на следующий год был опубликован в конце ноября (Алексей Лукацкий уже писал об этом тут).  Но не знаю кому как, а лично мне формат данного отчета (MS Word) абсолютно неудобен. 

Поэтому я перевел план в формат Excel, отфильтровал только те проверки, которые включают в себя вопросы соблюдения законодательства о персональных данных и удалил ряд незначащих (по моему мнению) столбцов. 

Скачать план проверок можно здесь.  Пользуйтесь, коллеги !

вторник, 13 декабря 2011 г.

Новый номер журнала (IN)SECURE

Вышел в свет декабрьский номер журнала (IN)SECURE, на мой взгляд одного из лучших изданий в нашей отрасли.

В этом номере:

  • 7 questions you always wanted to ask a professional vulnerability researcher
  • Insights on drive-by browser history stealing
  • Review: Kingston DataTraveler 6000
  • RSA Conference Europe 2011
  • PacketFence: Because NAC doesn't have to be hard!
  • Information security and the threat landscape with Raj Samani
  • Security is a dirty word
  • Smartphone apps are not that smart: Insecure development practices
  • Virus Bulletin 2011
  • Infosec professionals: Accomplishing your day job without breaking the law
  • WPScan: WordPress Security Scanner
  • Securing the enterprise: Is your IT department under siege?
Скачать журнал можно здесь.

воскресенье, 11 декабря 2011 г.

Мини-DLP, но главное бесплатно

На выходных нашел в интернете компанию, занимающуюся разработкой различного ПО, позволяющего проводить анализ инфраструктуры Microsoft (групп, политик, прав, настроек баз данных проч.).

Что меня заинтересовало - это то, что они предлагают бесплатную систему DLP. Сказано конечно громко насчет именно DLP. Дело в том, что данная программа выполняет только одну функцию современных DLP-систем - она позволяет проводить поиск конфиденциальной информации по заранее заданным шаблонам (в программе есть как уже настроенные шаблоны для поиска, так и возможность создать свои). Ниже парочка скриншотов


































Я не отношу себя к поклонникам сэкономить на всем и вся (особенно на безопасности), но для тех, кто не может позволить себе полноценную DLP-систему, это может быть неплохим инструментом для того, чтобы хотя бы разобраться с тем, что где лежит.

четверг, 8 декабря 2011 г.

Столкновение взглядов: сертифицироваться или нет

И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему сертификаций. Относительно недавно я проводил опрос на эту тему и по его результатам видно, что почти 85% опрошенных подумывают над сертификацией или дополнительным образованием.

Довольно известные аргументы против сертификации:

- сертификация не показывает опыт и знания, а лишь подтверждает умение пройти тест (причем, возможно, заранее наловчившись на дампах);

- серьезные специалисты не сертификации получают, а делом занимаются;

- знания, проверяемые при сертификации, как правило не соответствуют необходимым на практике.

Несколько аргументов за:

- для некоторых вакансий наличие сертификаций является либо обязательным либо крайне предпочтительным (т.е. дает дополнительный плюс при прочих равных);

- для иностранных организаций наличие сертификации является универсальным языком общения (наши институты и специальности, если это не МГУ, для них темный лес);

Мое мнение - все же сертификаты получать нужно, но к выбору того, какой сертификат получать, следует отнестись довольно серьезно. И чувство меры тоже должно быть.

По своему опыту могу сказать, что из тех сертификаций, которые я получал, в качестве серьезных я могу выделить CISSP, CISA и RHCE. Первые две потому как помимо довольно серьезного экзамена (который кстати многие не сдают с первого раза), они еще и требуют постоянное подтверждение компетенции. А RHCE потому что это одна из немногих сертификаций, которая сдается путем именно практического экзамена, т.е. нужно не на вопросы отвечать, а реальную систему настраивать по предоставленному заданию.

Справедливости ради стоит сказать, что мне доводилось встречать CISSPов, которые рассказывали как готовились к экзаменам по брошюркам и дампам, но тем не менее это не уменьшает для меня ценность сертификации.

понедельник, 5 декабря 2011 г.

PDF - скрытая угроза

При том количестве уязвимостей, которое находят исследователи в продуктах компании Adobe в последнее время, можно с уверенностью сказать, что использование pdf-файлов в настоящее время является одной из самых опасных угроз.

Современный бизнес не может отказаться от pdf-файлов и это делает затруднительным работу по защите от данной угрозы. Кроме того следует сказать, что функция sandbox, которая уже давно применяется в браузерах с целью ограничить возможности вредоносного ПО рамками "песочницы", в Adobe Reader появилась только в версии 10.0 и называется Protected Mode (подробнее можно посмотреть здесь).

Помимо перехода на версию 10.0 другим относительно простым способом защиты является переход на альтернативные pdf-читалки. В данном случае работает принцип того, что в альтернативных читалках уязвимости активно никто не ищет по причине невысокого общего объема их использования в мире (хакеры идут простым путем и в первую очередь ориентируются именно на наиболее распространенное ПО) .

Из альтернативных читалок можно выделить Foxit Reader и Nitro PDF Reader.

четверг, 1 декабря 2011 г.

Итоги опроса недели

Итак, рабочая неделя подошла к концу. Публикую результаты опроса, который касался того, чем читатели блога занимаются на работе.












В этом опросе приняло участие пока наибольшее количество человек (если сравнивать с другими опросами). Несколько удивило, что 17% считают что протирают штаны, я надеюсь что вам нравится этот процесс, потому что в противном случае мне кажется, что надо задуматься над сменой работы.

Наибольшее количество специалистов все же относит себя именно к тем, кто занимается информационной безопасностью (защитой информации).

Еще порадовали некоторые ответы тех, кто выбрал "Другое"

"Делаю мир безопаснее", " Провожу в Мир стабильность и надежность" , "работаю", "Думаю чем заняться"... и совсем шедевральное "занимаюсь защитой информации от ИТ-инфраструктуры" :)

среда, 30 ноября 2011 г.

Вот что иногда на почту приходит

Получит тут на днях сообщение на почту:
Здравствуйте.

Интересует возможность подачи объявления (поста) на страницах вашего сайта.
Объявление вида:

=================
Взлом Одноклассников, Вконтакте,
почты на mail.ru, rambler.ru, yandex.ru, yahoo.com, gmail.com и т.д...
Любые доказательства на Ваше усмотрение.
Без предоплат, авансов и в самые короткие сроки.
Оплата после предоставления доказательств.
ICQ – НЕ занимаемся.
Сайт: http:///....
===================

Готовы предоставить баннер 468x60 (баннер, к сожалению, не профессионального качества)

Мы не занимаемся обманом, мошенничеством и т.д.

Готовы ежемесячно (или еженедельно, на ваше усмотрение) платить вам определенную сумму.

Если вас это заинтересует, просьба ответить нам на почту, указав сумму, способ оплаты и т.д..

Напишите, пожалуйста, как скоро сможете осуществить наш запрос на рекламу, метод оплаты.

Просьба сделать для примера одну страничку вашего сайта с нашей рекламой и прислать на данную почту (чтобы мы просмотрели изначально, как все будет выглядить).
Так же просьба по возможности предоставить нам статистику посещаемости по запросу «взлом почты, одноклассников» и т.д.

Ждем вашего ответа.

Странно, вроде даже в комментариях написал, что я не считаю данную деятельность законной и поэтому не приемлю рекламу таких услуг ни в каком виде в моем блоге. На всякий случай повторюсь ! Все попытки оставлять рекламу в комментах будут жестко пресекаться !

P.S. Судя по всему взлом аккаунтов в почте и соцсетях действительно серьезный, доходный бизнес. Я кстати вот тут описал приемы, которыми добывают пароли к почте, а вот соцсетей еще не касался, так что в ближайшее время отдам свой аккаунт в одной из соцсетей на растерзание и напишу что получилось.

вторник, 29 ноября 2011 г.

Скоро выборы !

<03.12.2011> в России день тишины

понедельник, 28 ноября 2011 г.

Опрос недели: а чем вы занимаетесь ?

Притча про 3 каменщиков:
Спрашивают одного из них, что ты делаешь. Он отвечает: «Я кладу кирпичи».
Спрашивают другого, он говорит, что возводит стену.
Третий каменщик сказал: «Я строю храм!».

В комментариях к моим постам (тут и тут) начался диспут на тему ИБ и ИТ-Б (это я так сократил "ИТ-безопасность"). Я даже думаю, что недавний пост Ригеля (тут) тоже появился в результате этих обсуждений. Мне даже предложили сделать опрос на тему того кто и как расшифровывает определения ИБ и ИТ-Б и какое из них более правильное. Но я думаю, что этот опрос ничего не даст, и я решил пойти другим путем. Опрос этой недели очень простой и состоит фактически из одного вопроса: "А чем на работе занимаетесь вы ?" Как вы называете то, чему вы посвящаете как минимум 8 часов своей жизни в день.

Опрос доступен здесь.

Результаты опубликую в конце недели.

суббота, 26 ноября 2011 г.

Проект "Обратная связь" в ВШЭ

Сегодня читал лекцию в Высшей школе экономики. За организацию спасибо Александре Савельевой.

Как и обещал, выкладываю файл с полезными ссылками, которые упоминаются в моей презентации. Файл лежит тут.

С удивлением узнал, что немногие студенты, присутствовавшие на лекции, знали что такое RSS. На мой взгляд, отслеживать появление актуальной информации в Интернет без использования этой технологии просто невозможно. Лично я в качестве RSS-читалки использую Google Reader. Просто и доступно о том, что такое RSS написано здесь.

четверг, 24 ноября 2011 г.

Вопрос на собеседовании

В свое время мне пришлось провести немаленькое количество собеседований (больше сотни точно) с теми, кто желал работать в консалтинге. Опыт для меня стал бесценным, по крайней мере я понял, что для составления практически полного портрета человека и принятия решения о том брать или не брать его на работу достаточно 15 минут (максимум), остальное время уходит лишь на то, чтобы укрепить себя в принятом решении. Но речь сейчас не об этом. В ходе собеседования я иногда задавал такой ситуационный вопрос:

"Вас позвали на должность директора по информационной безопасности в небольшую организацию, которая занимается инвестиционной деятельностью (на самом деле вид деятельности может быть другой). В компании работает 50 человек, офис расположен в Москве в одном из бизнес-центров. Вас позвали потому, что руководство по своим каким-то каналам узнало, что из компании периодически сливается информация что серьезно вредит бизнесу т.к. приводит к потере потенциальных клиентов. Как это происходит и кто виноват руководство не знает. Собственно вас нанимают не для того (точнее не именно для этого) чтобы найти источник слива информации, сколько для того, чтобы обеспечить в организации нормальный уровень защиты, который позволит минимизировать или свести на нет проблемы с утечкой и потерей потенциальных клиентов. До вас безопасностью никто не занимался. Все что есть сейчас - это приходящий системный администратор, который следит за работой нескольких серверов и рабочих станций сотрудников, на каждой рабочей станции есть антивирус, выход в интернет организован через сеть провайдера бизнес-центра, сервера периодически бекапятся на резервный жесткий диск, хранящийся у системного администратора (соискатель мог также задавать дополнительные уточняющие вопросы относительно того, что собой представляет сеть организации). Объем денег, который вам готово выделить руководство ничем не ограничен, НО (искусственное условие) вы ограничены лишь в количестве возможных мер, которые вы можете предпринять. Предложите 5 (!) конкретных действий, которые как вы считаете необходимо реализовать в первую очередь. Под словом "конкретных" понимается, что это не должны быть рассуждения на тему оценить обстановку, оценить риски, выработать меры по обработке рисков, а конкретные действия: поставить то-то, ввести такую-то процедуру и проч."

Т.е. смысл именно в том, что соискатель исходя из описываемой ситуации (допускалось задавать уточняющие вопросы) должен был сам оценить основные риски и предложить наиболее очевидные меры, которые позволят решить обозначенную проблему.

Самое интересное, что у этой задачи нет конкретного решения. Безопасность может быть обеспечена разными способами. Важно что именно предлагает соискатель и как он обосновывает необходимость реализации именно этой меры (ведь всего их может быть не больше пяти). Были конечно и такие, которые даже пять не могли назвать..... По некоторым ответам становилась понятно с чем человек привык работать и в чем он сильнее разбирается (это предлагалось в первую очередь).

Вот такой вот пример. Брать или не брать его на вооружение решать вам, но мне он при проведении собеседований пригодился.

вторник, 22 ноября 2011 г.

ИТ-безопасность или Информационная безопасность

Случился у нас тут на днях диспут на тему того, чем отличается ИТ-безопасность от информационной безопасности. И вот в тему этого вопроса попалась мне сегодня на глаза статья. Не могу сказать, что во всем согласен с автором, но привожу здесь мой перевод этого материала.

Некоторые думают, что термины ИТ-безопасность и информационная безопасность -это слова синонимы, ведь в конце концов разве информационная безопасность не занимается защитой компьютеров ? Вообще говоря нет. Основной аргумент здесь следующий - у вас может быть идеальная ИТ-безопасность, но всего лишь одно злонамеренное действие, например, администратора, и вся ИТ-инфраструктура может стать не работоспособной. Этот риск не имеет никакоk5;о отношения к компьютерам, он относится к людям, процессам и контролю.

Кроме того, важная информация может быть и не в электронной, а в бумажной форме. В качестве примера можно привести важный договор, подписанный с клиентом или перечень административных паролей, хранящихся в сейфе директора по ИТ.

Именно поэтому я люблю говорить своим клиентам, что ИТ-безопасность это примерно 50% от информационной безопасности, т.к. к информационной безопасности нужно еще отнести вопросы работы с персоналом, выполнения законодательства, защиты бизнес-процессов. Задача информационной безопасности обеспечить защиту информации (как относящуюся к ИТ, так и не относящуюся) путем реализации механизмов, снижающих возможные риски.

Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (или иначе защитные меры), среди которых:
  • контроли, относящиеся к ИТ: 46%
  • контроли, относящиеся к организации и документированию: 30%
  • контроли, связанные с физической безопасностью: 9%
  • контроли, связанные с соблюдением законодательства: 6%
  • контроли, связанные с взаимодействием с поставщиками и клиентами: 5%
  • контроли, связанные с управлением персоналом: 4%

Собственно подход, описанный в данной статье совпадает со многими комментариями, которые высказывались коллегами. Поясню почему я с ним не согласен. На мой взгляд это довольно классический (я бы даже сказал несколько устаревший) взгляд на информационную безопасность. Я предлагаю обратиться к такому стандарту как Cobit (кстати не особо популярному в России). Так вот в данном стандарте, относящемся к ИТ приводятся следующие процессы:




Как можно увидеть здесь есть и процессы работы с персоналом (APO07) и работа с поставщиками (APO10) и вопросы контроля процессов (DSS8). Так что говорить, что вопрос работы с персоналом - это прерогатива именно информационной безопасности на мой взгляд не совсем корректно. Это все смежные области, которые могут интегрироваться и с информационной и с ИТ-безопасностью. Так что хоть я и согласен, что в настоящее время информационная безопасность и включает в себя ИТ-безопасность, но в очень скором будущем это должно измениться. Так что будет new school и old school :) Но это мое мнение, а так поживем - увидим.

воскресенье, 20 ноября 2011 г.

Технический аудит - часть 3 (Маппинг сети)

Продолжаем тему проведения технического аудита своими силами. Предыдущий пост был посвящен вопросу сбора информации, доступной публично, а сегодня речь пойдет уже об анализе внутренних ресурсов. Прежде чем переходить к детальным техническим проверкам нужно составить достаточно подробную карту сети (провести т.н. маппинг) и здесь могут пригодится следующие инструменты:

Инструменты активного сканирования - это разного рода сканеры портов, среди которых я бы особо выделил:

Nmap - известнейший сканер портов (http://nmap.org/), для которого уже давно появилась еще и графическая оболочка Zenmap (http://nmap.org/zenmap/). Для поиска большей части узлов по наиболее часто встречаемым портам в сети можно использовать следующую команду:
# nmap -sP -PS21,22,23,25,53,80,110,139,389,443,445,1433,3389 < ip-адрес подсети > -oG <имя файл для вывода результатов>

Unicornscan - также довольно мощный сканер, меня он привлек удобным функционалом по сканированию UDP-портов (http://www.unicornscan.org/). Для сканирования по основным UDP-портам используется команда:
# unicornscan -mU -I -E < ip-адрес подсети >

Инструменты пассивного сканирования - это инструменты, которые используют данные, полученные путем перехвата сетевого трафика. Такие инструменты удобны в том случае, когда есть возможность перехватывать трафик (например, через SPAN-порт коммутатора) и когда есть подозрение, что в сети есть узлы, не отвечающие на активное сканирование, обнаружить которые можно только через анализ трафика.

Ntop - анализатор трафика (http://www.ntop.org/products/ntop/), позволяющий собрать массу различной информации о том, какого рода трафик циркулирует в сети. Одним из таких видов информации является IP-адрес и операционная система сетевого узла (как раз то, что нужно при проведении маппинга).

Результаты сканирования конечно же удобнее всего получать в виде карты, но вот здесь к сожалению мне не известно ни одной программы (даже платной), которая могла бы строить красивые карты на основании результатов сканирования. Полуавтоматическим способом является использование Microsoft Visio. Для версии 2010 это выглядит следующим образом:

1. Подготавливаем Excel-файл, содержащий результаты сканирования.
2. Открываем Visio и выбираем шаблон "Подробная схема сети"
3. Переходим на вкладку "Данные" и выбираем "Связать данные с фигурами"
4. Далее следуйте указаниям мастера загрузки данных.

среда, 16 ноября 2011 г.

Размышления о перспективах

Задумался я тут о предстоящих возможных трансформациях отрасли инфобезопасности и решил поделится этими соображениями с вами, дорогие читатели. И вот что мне думается:

1) Информационная безопасность vs. ИТ-безопасность

На мой взгляд в ближайшем будущем термин ИТ-безопасность будет более применим к тому, чем придется заниматься специалистам по ИБ. БОльшая часть информации уже давно циркулирует именно в электронной форме и ее обработка невозможна без информационных технологий. А что это значит ? А то, что безопасность будет обеспечиваться именно в контексте ИТ-технологий. Мне думается, что это приведет к тому, что для обеспечения максимальной эффективности традиционные "технари" от безопасности должны будут перейти под крыло ИТ-подразделения, а директор по информационной безопасности должен будет сконцентрироваться на вопросах уровня GRC, т.е. общем руководстве, управлении рисками и соответствием законодательству.

2) Сращивание ИТ и ИБ

Как продолжение предыдущей мысли, уже сейчас видно как крупные ИТ-игроки скупают компании, занимающиеся информационной безопасностью (Intel купил McAfee, HP купил ArcSight и т.д. и т.п.). Все это на мой взгляд говорит о том, что в будущем элементы безопасности будут встроены в ИТ-сервисы, предоставляемые пользователям. И это будет правильно по двум причинам: во-первых интегрированный сервис удобен пользователям, т.к. им не надо заботится о защите (хотя они и так не заботятся :)), во-вторых такой сервис надежнее, т.к. как известно безопасность встроенная лучше безопасности наложенной.

3) Отказ от жесткого регулирования вопросов применения средств защиты

Я убежден, что "завинчивание гаек" в виде сертификации средств защиты хоть и имеет краткосрочный эффект (многие вендоры задумались о необходимости сертификации), но в долгосрочной перспективе абсолютно нежизнеспособно. Может быть это чересчур эмоционально, но думаю что такие меры это позор для нашей страны, которая так нуждается в модернизации. Так что мне думается, что если уж не в краткосрочной, то в долгосрочной перспективе отказ от обязательной сертификации непременно произойдет.

4) Усиление регуляторного прессинга

И как это не парадоксально в контексте предыдущего размышления, но количество стандартов и разного рода законов и регуляторных требований будет возрастать, т.к. все же безопасностью бизнес старается заниматься в последнюю очередь (в первую конечно же основные процессы) и ничего с этим не сделаешь (люди вообще склонны к риску и игнорированию опасности, особенно когда она не очевидна), а единственный способ заставить все же думать о безопасности - это введение регулирования (отраслевого, законодательного, международного).

воскресенье, 13 ноября 2011 г.

Столкновение взглядов: Обновлять или не обновлять

Итак, коллеги, продолжая тему споров на профессиональные тематики хочу сегодня предложить обсудить вопрос обновления/установки патчей. Тема эта опять же не однозначная, с одной стороны все понимают, что обновлять системы необходимо, т.к. хакеры как правило ориентируются именно на непропатченные уязвимости. С другой стороны, само по себе обновление систем может создать проблемы посерьезнее, чем вредоносный код, т.к. частенько случается, что новый патч может стать причиной сбоя системы, потери работоспособности прикладного ПО, скрытых глюков, которые даже не сразу проявляются.
Итог, некоторые специалисты предпочитают либо вообще не обновлять некоторые критичные системы (по принципу "не стоит менять то, что работает"), либо делать это крайне редко.

Мое мнение - обновлять все (!) системы необходимо, но:

во-первых это необходимо делать по согласованному графику (не часто, не редко, в среднем критические уязвимости должны закрываться в течение 1-2 месяцев)

во-вторых все обновления должны быть предварительно протестированы либо на тестовых системах, либо на схожих "живых" системах, но не выполняющих критические функции (например, прежде чем обновить весь парк рабочих станций можно протестировать обновления на десятке активных пользователей, готовых мирится с возможными сбоями)

в-третьих, исключения для ряда систем возможны (например, установленное ПО вообще никак не работает с новым патчем, а разработчик обновлять ПО не собирается, т.к. эта версия уже не поддерживается), но они должны быть согласованы с руководством (включая обсуждение возможных рисков), документально закреплены и должны быть продуманы и реализованы компенсирующие меры

Я убежден, что найдутся и противоположные мнения, давайте поспорим, коллеги.

четверг, 10 ноября 2011 г.

Пятничный offtopic

В тему пятницы и опроса недели небольшой анекдот:

Попал мужчина (М) в рай, райская жизнь, нега.... стало ему скучно, ходит по раю, вдруг видит - турагентство, занимающееся отправкой экскурсий в АД.
Мужик записался, прибывает в АД, там встречает гид-черт (Ч), начинаются экскурсии по смертным грехам 1-я экскурсия - чревоугодие - пьянка, обжираловка - жизнь кипит - туристы: "Ах, ОХ" 2-я экскурсия - прелюбодеяние - все ясно, без комментариев. Ну, думает мужик, вот где жизнь, решил остаться.
Подходит к Сатане, тот его спрашивает "уверен, что хочешь остаться ?" - М отвечает - "Да", только подписали бумаги, Мужика сразу на расскаленное масло, тот кричит - "эй, вы что, а где прелюбодеяние, чревоугодие ??!!" - а черти отвечают: "А ТЫ НЕ ПУТАЙ ТУРИЗМ С ЭМИГРАЦИЕЙ"

Что касается результатов опроса касательно профессиональной эмиграции, то тут результаты получились следующие:



























Из основного можно отметить следующее:

Людей, желающих работать за рубежом у нас не так уж и мало, больше половины опрошенных.

Основным сдерживающим фактором называется незнание английского языка, так что, коллеги, советую многим (вне зависимости от желания или нежелания покидать страну) задуматься над освоением языка, тем более что сейчас это стало значительно проще, чем раньше (в интернете доступна масса обучающих материалов, сайтов, вебинаров и проч.)

И, что интересно, большинство из опрошенных не работает в настоящий момент в иностранной организации, хотя на мой взгляд для тех, кто желает перебраться за рубеж это должен быть шаг № 1.

среда, 9 ноября 2011 г.

А вы уже готовы к появлению Duqu ?

Еще в середине октября компания Symantec сообщила о появлении нового вируса, который получил название Duqu. Название связано с тем, что вирус создавал файлы с префиксом ~DQ. Подробнее можно почитать здесь. Некоторые эксперты склонны считать, что разработчики этого вируса либо знакомы с исходными кодами нашумевшего вируса Stuxnet, либо и есть разработчики Stuxnet.

Для заражения этот вирус использует уязвимость CVE-2011-3402. Для распространения используются doc-файлы. Чем опасны такие вирусы думаю объяснять не надо. Сейчас фактически весь бизнес-обмен документами ведется в 2х форматах - PDF и DOC, а значит риск заражения возрастает очень серьезно.

В настоящий момент в качестве механизмов защиты можно предложить либо

а) убедиться, что вы используете антивирусное программное обеспечение, использующее обновленные базы, содержащие сигнатуру Duqu. К таковым точно относятся антивирусы Symantec, NOD32, Kaspersky. По поводу других точно не скажу.

либо

б) установить fix от компании Microsoft, отключающий использование TrueType шрифтов. решение не самое лучшее, т.к. множество приложений используют эти шрифты, а значит и их внешний вид претерпит изменение. но тут уж каждый выбирает сам что важнее, безопасность или удобство и внешний вид.

Сроки выхода патча от Microsoft пока не известны.

понедельник, 7 ноября 2011 г.

Профессиональная эмиграция

"....Но я, я остаюсь,
Там где мне хочется быть,
И пусть, я немного боюсь, Hо я, я остаюсь,
Я остаюсь, чтобы жить!.."

Анатолий Крупнов, группа Черный Обелиск

Разговоры о том, что "надо валить" я честно говоря слышу с некоторой регулярностью еще с момента поступления в ВУЗ. В основном конечно же от своих сверстников и людей помладше. Каждый в конечном итоге для себя решает сам, а стоит ли оно того или нет. Есть как те, кто доволен, так и те, кто не особо.... А что думаете вы, коллеги ?

Как всегда предлагаю небольшой опрос, результаты которого будут опубликованы в конце недели.

P.S. Честно говоря абсолютно, на мой взгляд, неадекватное регулирование рынка информационной безопасности, которое проявилось главным образом в рамках тематики персональных данных, не прибавляет как я смотрю оптимизма коллегам по цеху и толкает людей уходить в "здравые" области, т.е либо в иностранные организации в России, либо уезжать зарубеж. Вот кстати еще один интересный побочный эффект, о котором вряд ли задумывались наши законодатели.

четверг, 3 ноября 2011 г.

Справочный материал по внедрению стандарта СТО БР ИББС

Коллеги, хотел бы презентовать вам материал, который сегодня был официально анонсирован Компанией ЛЕТА.

Это брошюра, посвященная подходу к внедрению системы обеспечения информационной безопасности по требованиям стандарта Банка России.

Идея подготовки подобного материала родилась у нас после аналогичной работы, которую мы провели почти 2 года назад, выпустив брошюру по персональным данным. Подготавливая этот материал мы старались взглянуть на стандарт не с точки зрения того, какие требования надо выполнить, а с точки зрения того, какие действия (мероприятия) надо провести в банке для того, чтобы в итоге построить ту самую систему обеспечения информационной безопасности, отвечающую требованиям стандарта.

Сам материал можно сказать здесь.

Соответствующий анонс на сайте ЛЕТА можно прочитать здесь.

Понятно, что это не является единственно верным/возможным подходом к реализации требований СТО БР ИББС. Но мы надеемся, что этот материал станет полезным для специалистов по информационной безопасности, работающих в кредитно-финансовых учреждениях России.

Конструктивная критика и комментарии приветствуются.

вторник, 1 ноября 2011 г.

Солдаты кибер-войны

Сегодня по новостным лентам прошла парочка интересных новостей:

1) Как передает информационное агентство Bloomberg со ссылкой на одно из правительственных ведомств США, за последние несколько лет неизвестными злоумышленниками были взломаны системы управления четырьмя американскими спутниками. Непрямые улики указывают на то, что в каждой из этих атак участвовали китайские хакеры. Источник - http://www.securitylab.ru/news/409126.php

2) Баронесса Невилл-Джонс (Neville-Jones) заявила, что Россия и Китай имеют отношение к масштабной хакерской атаке на компьютерные системы Министерства иностранных дел Великобритании и ряда других ведомств, которые были проведены летом текущего года. Источник - http://www.securitylab.ru/news/409473.php

Конечно же представители Китая оперативно выступили с опровержением, но интересно тут другое.

Разговоры о серьезной кибер-угрозе, которая исходит от Китая, идут уже давно. Считается, что Китай готовит целую армию хакеров, которые должны будут включиться в борьбу в кибер-войне, которая может случиться в ближайшей перспективе. Вспомним опять же операцию "Аврора" и последующий скандал и выход Google из Китая.

Вопрос к читателям блога: вы верите, что Китай целенаправленно готовит специалистов для проведения кибер-атак в целях шпионажа (в т.ч. коммерческого) ? Или это ни что иное как транснациональные группировки кибер-преступников, которые всего лишь скрываются за личиной китайских или русских "хакеров".

Что лично смущает меня. Сообщения о нападении китайских хакеров на западные ресурсы и компании появляются с завидной регулярностью, но в отношении российских - полная тишина. В чем причина ? Мы так хорошо защищены ? Сомнительно, лично мне думается, что мы менее других стран подготовлены к кибер-атакам, потому что

а) у нас этой проблемой никто не занимается, в то время как в других странах это вопрос поднят на уровень президента и правительства

б) в государственных структурах у нас работают (к сожалению) не самые выдающиеся эксперты, а нормативные требования наших регуляторов не способствуют организации защиты, отвечающей требованиям современности

То, что в будущем экономические/политические войны могут усилится - думаю это факт и то, что в этих войнах хакеры, целью которых будет хищение секретов или вывод систем конкурентов из строя, станут неотъемлемой частью, думаю что тоже факт.

Пора начинать готовится к "светлому будущему", коллеги :)

четверг, 27 октября 2011 г.

Книжная полка - Web Application Hackers Handbook

Хочу представить вам очень свежее издание (сентябрь 2011) интереснейшей книжки - Web Application Hackers Handbook 2. По сути это детальная методология (и практика) тестирования на стойкость веб-приложений. Это уже второе издание, в которое вошли самые свежие техники и, что характерно, взятые из реальной практики.
В свое время я читал первую редакцию этой книги и был очень приятно поражен следующими факторами:
- материал в книге подается последовательно в соответствии с возможным алгоритмом проведения проверки, создавая системный взгляд на методику тестирования;
- очень много конкретных приемов, которые также можно отработать на практике, используя соответствующие тестовые дистрибутивы (WebGoat и др.);
- книга содержит именно современные техники, уязвимости и приемы их эксплуатирования (никаких шаблонных, типовых подходов, которые уже лет 5 как не работают на практике ибо разработчики веб-приоложений тоже чему-то научились :) )

В общем для всех кто интересуется вопросами всестороннего тестирования веб-приложений на прочность настоятельно рекомендую прочесть эту книгу и потренироваться на описанных в ней примерах.

Книжку можно купить через Amazon.

понедельник, 24 октября 2011 г.

Как защитить ребенка в сети Интернет

Интернет Цензор
Защита детей в сети Интернет - это проблема, с которой сейчас сталкивается большинство родителей. В поисковике даже порой совсем безобидные словосочетания приводят на сайты с самым чернушным содержанием.
Я уже не говорю о многочисленных баннерах, всплывающих окнах и проч., в общем наткнутся на материалы порнографического, экстримистского или просто нецензурного характера ребенку легче легкого.

Что делать ? Не пускать к компьютеру ? Практически невозможно... Да и потом, помимо всего негатива в интернете есть масса полезных образовательных и развлекательных ресурсов, зачем же лишать ребенка возможности с ними познакомиться ?

Изучая эту тематику сам натыкался на массу бесполезных советов для родителей вроде: ставьте монитор так, чтобы вы видели чем занимается Ваше чадо, проводите разъяснительные беседы с ребенком :) ...просматривайте историю посещений и проч.
Давайте признаемся сами себе, большинству из нас нужно простое и действенное решение, т.к. откровенно говоря некоторые родители знают компьютер еще хуже современных первоклашек (без обид ! ), а вести тотальный визуальный контроль практически невозможно.

Самый действенный способ - блокировать доступ к "плохому" содержимому и для этого есть специализированные средства так называемого родительского контроля. Они встраиваются в современные антивирусы (NOD32, Kaspersky и др.), есть также и отдельные программы. Мегафон, например, сейчас активно рекламирует тариф "Детский Интернет", обеспечивающий безопасный серфинг для детей.

Возвращаясь к тебе отдельных программ, некоторое время назад мне на глаза попалась программка Интернет-Цензор. Устанавливается легко и быстро. Принцип защиты - база "одобренных" разработчиками программы сайтов. Кроме того в программе есть возможность самому добавлять "разрешенные" сайты.
Установил у себя, работает без вопросов. Фильтрует отменно. И что самое важное, программа абсолютно бесплатна ! За более подробной информацией отправляю всех на сайт разработчика.

А чем вы пользуетесь для защиты своих детей в сети Интернет ?

пятница, 21 октября 2011 г.

Результаты опроса недели

Вот и завершается трудовая неделя. Как и обещал, публикую результаты опроса про обучение и сертификацию. Комментировать особо не буду, результаты говорят сами за себя.



Лекция в рамках проекта обратная связь

Сегодня состоялась очередная лекция в рамках проекта "Обратная связь".

Время и место: 21.10.2011 с 9:00 до 11:00 МИЭТ Конференцзал библиотеки МИЭТа.
Тема лекции: "Что важно знать будущему специалисту по информационной безопасности.

В этот раз лекция читалась для студентов МИЭТа. Помог ее организовать Хорев Анатолий Анатольевич, Заведующий кафедрой информационной безопасности, д.т.н. Вот здесь можно прочитать о нем дополнительную информацию.

Анатолий Анатольевич был одним из первых кто вообще откликнулся на мои письма (а писал я во многие ВУЗы), вот вроде говоришь, что готов делится опытом бескорыстно, а никому не надо.... обидно.

Но здесь иная ситуация, видно что Анатолий Анатольевич понимает необходимость получения ребятами актуальных, свежих знаний. В общем старт сотрудничеству дан, будем надеяться что оно будет полезным и плодотворным.

Как и обещал, выкладываю файл с полезными ссылками, которые упоминаются в моей презентации (саму презентацию выкладывать не буду, т.к. она не сильно изменилась, см. предыдущие посты о проекте с самой презентацией).

Файл лежит тут.

среда, 19 октября 2011 г.

Технический аудит - часть 2 (Общий алгоритм и первые шаги)

Итак, продолжая тему проведения технического аудита своими силами переходим непосредственно к алгоритму действий.

Типовой аудит состоит из следующих стадий:
- Сбор первичной информации
- Выявление уязвимостей
- Эксплуатация обнаруженных уязвимостей и получение доступа
- Фиксация результата и расширение полученных привилегий

Сегодня поговорим о первой стадии "Сбор первичной информации", а точнее о сборе информации, доступной в сети Интернет. К такой информации относится все то, что может быть использовано злоумышленником для проведения атаки: ip-адреса, адреса электронной почты, файлы конфигурации, логины и пароли и многое другое.

Для сбора этой информации есть ряд инструментов, с которыми и хотел бы вас познакомить:

1) Maltego - инструмент №1 для сбора публичной информации, он позволяет собирать множество сведений (ip-адреса, mx-записи, email и проч.) используя поисковые системы и механизм так называемых трансформаций, представляющий собой поиск сведений на основании уже полученных или внесенных в систему. Есть как бесплатный, так и платный варианты данного программного обеспечения.

Для тех, кто хочет освоить этот инструмент есть хорошие видео-инструкции здесь. Скачать Maltego можно здесь.

2) Google Hacking Diggity Project - инструмент для поиска разного рода информации, проиндексированной поисковыми системами (т.н Google Hacking). Не секрет, что в поисковые системы часто уходит множество интересной информации, это и файлы конфигурации, содержащие логины, пароли и другую информацию о внутренней архитектуре компании, и различные временные страницы, позволяющие определить версию веб-сервера, операционной системы, установленной на сервере, и многое другое.

Сам инструмент можно скачать здесь. Про Google Hacking можно прочитать здесь.

3) FOCA - инструмент для анализа мета-полей в файлах, выложенных на веб-сайте компании или любом другом публичном источнике. Такие файлы (в формате MS Office или PDF) могут стать источником полезной информации для злоумышленника, т.к. иногда содержат доменный аккаунт пользователя, составившего документ, сведения о программном обеспечении, использовавшемся для его создания и прочее.

Сам инструмент можно скачать здесь. Краткая статья о нем здесь.

4) netcraft.com - сайт, предоставляющий онлайн-инструменты для выявления различной информации (ip-адрес сайта, владелец блока ip-адресов, другие севера, относящиеся к домену и проч.). Также для выявления блоков ip-адресов, принадлежащих одной компании, могут использоваться базы данных региональных регистраторов:

ARIN (www.arin.net)
RIPE (www.ripe.net)
APNIC (www.apnic.net)
LACNIC (www.lacnic.net)
AFRNIC (www.afrinic.net)

На этом пока все. В следующий раз поговорим о сборе информации о внутренней сети.

понедельник, 17 октября 2011 г.

Нужно ли обучение/сертификация в кризис ?

Сейчас уже все кому не лень говорят о "второй волне кризиса", которая вот-вот должна накрыть Европу, а следом за ней и весь остальной мир. Произойдет это или нет нельзя утверждать однозначно, хотя конечно всеобщее ожидание второй волны скорее всего также вносит свой вклад в это, т.к. мысль материальна. Да и в целом общая нервозность грозит разного рода срывами, которые могут перерасти в общую панику.

Но я хотел поговорить не об этом. Говорят что в кризис наилучшая стратегия - это копить силы для рывка в тот момент когда этот самый кризис закончится. И обучение некоторые рассматривают как раз как способ накопления этих самых сил и повышения личной конкурентоспособности.

Поэтому опрос этой недели мне бы хотелось посвятить теме обучения и сертификации специалистов по информационной безопасности.

Планируете ли вы обучаться ? На какое обучение/сертификацию лучше потратить свое время и деньги (и нужно ли тратить вообще) ?

Опрос находится здесь.

Результаты, как обычно, будут опубликованы в конце недели.

пятница, 14 октября 2011 г.

Бесплатные вебинары для тех, кто готовится сдавать на CISSP

В интернете есть довольно интересная площадка Brighttalk, на которой постоянно читаются онлайн-вебинары различными компаниям, даже проходят целые онлайн-конференции, посвященные той или иной тематике.

Ресурс очень полезный, поэтому крайне рекомендую с ним познакомиться.

Что же касается тех, кто планирует в ближайшее время получать сертификацию CISSP, то на этой площадке недавно появились 2 бесплатных вебинара:



По своему опыту подготовки к сертификации могу сказать, что лишних знаний при подготовке не бывает, поэтому советую послушать указанные вебинары.

среда, 12 октября 2011 г.

Исследование Ponemon о последствиях кибератак

В августе этого года известный институт Ponemon Institute опубликовал отчет о результатах второго исследования по теме финансовых потерь для американских компаний от киберпреступлений.

Сам отчет можно скачать здесь.

Хотя все эти западные исследования как правило редко применимы для нашей российской действительности, но в данном случае я думаю, что результаты могут быть интересны, т.к. все же западные компании чаще подвергаются атакам со стороны киберпреступников, а значит их опыт может быть полезен.

Из основных выводов исследования можно выделить следующее:

Потери американских компаний от киберпреступности растут год от года и составляют в настоящий момент довольно серьезные цифры - средние потери среди 50 опрошенных организаций составили 5,9 млн $.

Ущерб от киберпреступлений отличается в зависимости от размера организации. И если более крупные компании в абсолютном значении несут большие потери, то для организаций меньшего размера ущерб относительно их оборота оказывается более существенным.

Практически все опрошенные организации постоянно сталкиваются с кибератаками. Статистика показала что в течении недели на каждую организацию совершается в среднем 1,4 успешных атаки.

Практически в 90% случаев кибератаки были связаны с вредоносным кодом, DDOS-ом, украденными устройствами или инсайдерами.

Скорость реакции на кибератаку обратно пропорциональна ущербу, который может быть нанесен организации. Среднее время реакции по опрошенным организациями составило 18 дней.

Кражи информации, а также прерывание деятельности являются источниками наибольшего ущерба для опрошенных организаций.

Компании, использующие технологии класса SIEM, а также GRC-практики несут меньший ущерб от киберпрестуников в силу более быстрой реакции и оперативного выявления атак. Мне все же кажется, что этот результат как-то связан с тем, что среди спонсоров исследования значится компания ArcSight :) Хотя определенная логика в этих выводах конечно же присутствует. О том, что такое GRC я поподробнее расскажу в последующих постах.

воскресенье, 9 октября 2011 г.

Новости проекта "Обратная связь"

Всем привет ! Как и обещал, я обновил страницу проекта "Обратная связь", теперь там можно посмотреть ВУЗы, которые уже присоединились к проекту, а также расписание ближайших лекций, которые будут читаться в этих ВУЗах.

Ближайшая лекция состоится 21.10.2011 в Конференцзале библиотеки МИЭТа.

среда, 5 октября 2011 г.

Инфобез 2011 - первые впечатления

Побывал сегодня "набегом" на открывшейся выставке-конференции "Инфобез". Честно говоря особой разницы между этой конференцией и Infosecurity я не почувствовал. Народу было не много (хотя возможно это связано с тем, что я пришел уже под конец рабочего дня), количество стендов даже чуть меньше чем на Infosec'е.

В конце дня был так называемый "Октоберфест", тот самый, которым человек-бутерброд заманивал всех на входе в парк Сокольники на прошлой неделе. Заключался он в том, что организаторы разливали бесплатное пиво, раздавая под закуску крендельки. Вообще идея мне эта понравилась, правда мне кажется, что надо было это делать не в конце, а как минимум в середине дня :) Так и посетители расслабятся и дискуссии будут интереснее.

Чем меня в этом году больше привлекает Инфобез, так это своей конференционной программой. Заявлено довольно много интересных докладов. Завтра (05.10.2011) будет Банковский день с массой презентаций по самым разным тематикам (ДБО, фрод, СТО БР и проч.). Думаю именно завтрашний день - это тот день, когда стоит посетить Инфобез.

воскресенье, 2 октября 2011 г.

Столкновение взглядов: DLP – внедрять или нет

Споры в среде безопасников случаются часто J. Но когда этот спор конструктивный, а не базарная перебранка, то как правило есть шанс, что из него родится что-то стоящее. В качестве темы для сегодняшнего спора я предлагаю DLP.

Технология DLP не так уж и нова, на моей памяти ее активное распространение началось около 5 лет назад. Инициатором была компания Infowatch, а затем уже в Россию пришли крупные западные вендоры – Symantec (купив Vontu), Websense, McAfee. И с тех пор не утихают споры о том, надо или не надо внедрять систему DLP.

Аргументы «за»:

- возможность контролировать информацию, передаваемую по внешним каналам, а также на сменные носители или печатающие устройства;

- легко показать результаты работы службы ИБ руководству; вот, установили систему, нашли столько-то нарушителей, вот ТАКАЯ важная информация у нас уходит и прочее;

- в случае внедрения стандарта PCI DSS есть возможность контролировать наличие критичной информации только в области аудита;

- ну и еще ряд приятных мелочей вроде красивых графиков, центрального архива переписки с возможностью поиска и проч.

Аргументы «против»:

- неоправданно дорого;

- я знаю сотню способов обойти всю эту фильтрацию, так что все это фигня;

- проблемы юридической чистоты такого мониторинга в свете наличия неотъемлемых конституционных прав на тайну личной переписки.

Мое мнение: против систем класса DLP работает их же название – системы контроля (защиты от) утечки информации. Название получается слишком многообещающим, да и сейлз-блок производителей периодически преподносит это решение как панацею от множества бед. Все это рождает неоднозначное отношение, т.к. заявленные ожидания от решения на деле не реализуются.

К тому же клиенты, купившие DLP, предполагают, что все что нужно – это установить систему (Next Next) и все, мы защищены от утечки информации. На деле так, конечно же, не происходит, и у покупателей наступает разочарование, которым они начинают делиться с окружающими.

НО, если бы мне довелось в роли менеджера по информационной безопасности принимать решение о том, внедрять или не внедрять DLP, то я бы склонялся к тому, чтобы внедрять (конечно же ориентируясь на бизнес-потребности моей организации), но внедрять не просто DLP, а целый комплекс мер, в котором DLP было бы одним из ключевых решений, но далеко не единственным.

Давайте спорить, коллеги.