Что год грядущий нам готовит

Как известно, конец года - это такая пора, когда принято оценивать все что произошло за прошедший год и делать прогнозы на год грядущий. 

Анализируя большое количество информационных каналов по информационной безопасности, я решил сделать небольшую подборку всех предсказаний, которые так или иначе появились за последнее время:

Корпорация Symantec опубликовала прогноз тенденций в мире кибербезопасности на 2013 г.  Компания ожидает рост направленных атак, мобильных угроз и киберконфликтов. 

Компания Imperva определила 5 ключевых трендов в области информационной безопасности на 2013 г. Прогнозируется рост угроз класса APT, усиление проявлений хактивизма, и расширение использования облачных технологий для осуществления хакерских атак.

Компания Sophos определила 13 основных трендов на предстоящий год. Среди прочего выделяется рост мобильных угроз, а также распространение вредоносных тулкитов. 

Компания Lookut опубликовала прогнозы относительно развития угроз мобильной безопасности. Предсказывается рост мобильного спама и вредоносного кода, предназначенного для хищения денежных средств.

Компания Fortinet озвучила свои предположения относительно развития угроз в 2013 году. Среди основных выделяются APT, мобильный вредоносный код и рост ботнетов.

Если говорить о России, то пока свои прогнозы на будущий год озвучил только Алексей Лукацкий.

О своих собственных прогнозах на 2013 год напишу в следующем сообщении.

Всех с наступающими  !  Хорошего отдыха !

На меня повесили ИБ в банке

Это как мне кажется довольно классическая ситуация. Думаю немало коллег с ней столкнулось.  

Буквально вчера получил сообщение следующего содержания (текст сохранен в оригинале):

Добрый вечер! Решил обратиться квам как специалисту по ИБ, дело втом что меня поставили на направление Иб в банке, до меня был специалист усилиями которого сообщили в цб что принимают стандарт после он растварился :), теперь вопросы мне задают :)) Подскажите счего начать внедрять стандарт ЦБ ??? где может подсматреть что в какой последовательности делать какие документы создавать или орг мероприятия :( понимаю что куча всего придёться делать но хоть по этапно подсоветуйте как поскольку отдел рисков тоже меня начал рапиливать :( хелппп. заранее огромное спс.

Навскидку я готов порекомендовать следующее:

1) Прочитайте все документы, относящиеся к Комплексу СТО БР, ну или хотя бы те, которые являются стандартами (в названии аббревиатура СТО, а не РС). Документы есть как минимум на сайте АБИСС.

2) Компания ЛЕТА выпустила неплохую методичку относительно внедрения стандарта, в ней как раз описано что и в какой последовательности надо делать. Скачать ее можно тут.

3) Советую обратить внимание на автоматизированный инструментарий, который позволит упростить выполнение ряда задач. В качестве примера ISM Revision. 

Эта же компания разместила на своем сайте инструмент экспресс-оценки, так что если нужно быстро понять на каком вы уровне, то пожалуйста. Инструмент бесплатный.

4) Если возникает вопрос о том какие технические решения сейчас предлагаются на рынке, то рекомендую ISM:МАРКЕТ

5) Ну и конечно почитайте форумы. Как минимум на bankir.ru. Ну и на том же ISM:Маркете.

Давайте поможем коллеге ! Кто еще чем полезным может поделиться (прошу в комменты) ?

Хакер против директора столовой

Вообще это довольно старая тема (лет 6 ей точно), но что-то вспомнилось и решил разместить:

День первый 

Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc|<, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!" 

День второй 

Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?" 

День пятый 

Хакер приходит в столовую, насыпает во все солонки сильное слабительное. Триста человек пострадало в битве за единственный на всю столовку общественный сортир, директора три месяца таскают по судам и в конце концов оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?". 

День 96-ой 

Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают. 

День 97-ой 

Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно. 

День 188-ой 

Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную. 

День 190-ый 

Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc|<, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки. 

День 193-ый 

Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени. 

День 194-ый 

В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc|< пишет позмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез. 

День 196-ый 

Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров. 

День 200-ый 

Посетители столовой с ужасом находят, что чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.

P.S.  Про наших регуляторов, интересно, нет ничего подобного ?  Может быть кто-то уже сочинил...   :)

Чтиво на выходные

(IN)SECURE номер 35

What makes security awareness training successful?
Review - Incapsula: Enterprise-grade website security
Five questions for Microsoft's Worldwide Chief Security Advisor
Computer forensic examiners are from Mars, attorneys are from Venus
In the field: RSA Conference 2012 Europe
A mobile environment security assessment
Hack In The Box CEO on the information security landscape
In the field: IRISSCERT Cybercrime Conference 2012
Comply or die: The importance of a business-centric approach to compliance
Hackers can get in when systems are off: The risks of lights out management
It's just the guest wireless network... right?

Скачать можно по ссылке.

Слияния и поглощения на рынке MDM и не только

На днях стало известно, что компания Citrix решила купить компанию Zenprise, одного из лидеров рынка MDM-решений (ссылка на cnews).

В общем-то стандартная сделка на рынке слияний и поглощений, которая отражает две давно наметившиеся тенденции:

• мобилизация бизнеса и растущий спрос на технологии управления и защиты мобильных устройств
• поглощение крупными ИТ-компаниями небольших ИБ-компаний, для того, чтобы включить их технологии в свои разработки.

Лично для меня это подтверждение моих личных предположений о том, что в не очень отдаленном будущем рынка самостоятельных ИБ-решений практически не останется и мы будем иметь дело с ИТ-сервисами/приложениями, включающими встроенную безопасность как одну из составных частей.

Возьмем совсем недавние примеры: 

Компания Intel приобрела полный пакет акций компании McAfee. Предполагалось, что за счет этого продукты McAfee получат уникальное технологическое лидерство благодаря симбиозу программной и аппаратной защиты. К сожалению пока что никакого прорыва не наблюдается, поживем увидим.

Компания Arcsight в 2010 году была куплена компанией HP.  И здесь поначалу как раз таки наоборот было опасение, что продукт вообще прекратит свое дальнейшее развитие. Этого к счастью не случилось, но в квадрате Gartner по решениям SIEM в 2012 году Arcsight (который ранее был безоговорочным лидером) потеснили решения от IBM и McAfee. 

Кстати разработка IBM это по сути решение от компании Q1 Labs, которую IBM купил в 2011 г.

Рынок MDM решений в ближайшее время ждет очень серьезная перетряска, на мой взгляд, и Citrix тут совсем не пионер. Ранее SAP приобрела компанию Sybase, бывшую лидером на рынке MDM решений, а сейчас еще и присматривается к Mobile Iron. 

Я также не исключаю, что в ближайшее время мы увидим какой-то ответ в этой области от компании VMware, основного конкурента Citrix.  

Биржа ИБ-вакансий на ISM:МАРКЕТ

Начиная с сегодняшней недели на ismmarket.ru начинает работу новый раздел "Биржа труда".  В этом разделе будут размещаться вакансии для специалистов по информационной безопасности, собранные по России, Украине, Казахстану и Белоруссии. 

Кроме того в данном разделе любая компания может совершенно бесплатно (!) разместить свои вакансии (перекиньте эту ссылку вашим кадровикам, коллеги). 

Еще разок хочу всех поблагодарить за конструктивные советы, критику и похвалу.  Нам это очень помогает, ресурс растет и развивается и идей с каждым днем все больше и больше :)

Взгляд реалиста...

Коллеги, много интересных событий случилось в уходящем году на ниве информационной безопасности.  Главным образом, конечно, событий законодательных.  Но не все еще закончилось. Если верить заявлениям ФСТЭК и ФСБ, то в декабре мы можем увидеть проекты последних элементов в большом пазле под названием "Законодательство о персональных данных".  

Долго и мучительно складывался этот пазл. И лично я не жду ничего хорошего от предстоящих документов. Постановление Правительства № 1119 лично я считаю откровенно неудачным, и хотя большинство моих коллег считают что вся суть в конечном итоге будет определена в подзаконных документах, которые готовят ФСТЭК и ФСБ и что именно там нужно приложить усилия общественности и подключив коллективный разум сделать так, чтобы защита персональных данных у нас была "как в лучших домах Лондона".  Я поясню, почему я считаю это утопией.

Конечно это только моя точка зрения, я как и любой человек могу ошибаться, благо только чтобы проверить это не надо будет долго ждать. Всего лишь несколько месяцев.

Мысль 1-я. Как известно любой человек (а также и людская группа) совершают какие-либо действия по причине наличия некой мотивации (желания избежать боли или получения выгоды). Какой скажите пожалуйста резон представителям ФСТЭК или ФСБ слушать неких "экспертов по ИБ" и что-то править в документах?  Никакой ! Премии за это не полагается, а лишний геморрой нажить можно.  Задача этих людей - выполнить задачу, которую поставило Правительство, все !  Ну и (для галочки) создать видимость общественного обсуждения (для чего и просят писать на адреса вроде fsb@fsb.ru). 

Все прекрасно понимают, что эти документы не смогут создать никакого общественного резонанса, что люди не выйдут на улицу и проч. (не тот масштаб). А значит можно спокойно наплевать на всех и ничего не будет.  Напишем как сможем и поставим галочку, что задача исполнена. 

Да что там говорить, у нас же действительно даже общности никакой нет, которой можно было бы давить на регуляторов. Все заняты своими делами, никто не готов "высовываться" ради всеобщего блага. Немногочисленные блогеры это конечно лучше чем ничего, но объективно это... ни о чем.  Ассоциации....  эх.. напишу о них, но не сейчас. 

Кстати много говорилось о том, что вот поднялось общественное мнение и проекты Постановлений Правительства про уровни и требования полностью переписали. Хехе.. Давайте дождемся проектов подзаконных актов, думаю что после этого многие удивятся как (на самом деле) мало изменился смысл по сравнению с изначальной версией.

Мысль 2-я. Во многих книгах по бизнесу когда говорят о производственных конфликтах и отладке бизнес-процессов пишут такую вещь: "проблема не может быть решена на том же уровне, на котором она была создана".

Попытка воздействовать на регуляторов, направляя им свои замечания или просто дискутируя с ними через конференции или кулуарные беседы, это не более чем попытка решения проблемы даже не на том же уровне, где она создалась, а даже с уровня ниже. А значит можно сразу сказать, что такая попытка обречена на провал..  Решать такую проблему надо с уровня Федерального закона и (соответственно) Государственной думы.  Есть в Думе депутаты, готовые впрягаться в эту тему ? Думаю уже нет.  А министр Никифоров занят другими проблемами, видимо ему нет дела до законодательства о персональных данных в частности и нормативного регулирования защиты информации вообще.

Вот такие вот мысли, коллеги. Так что не стоит обольщаться..... проекты документов окажутся откровенно ужасными и править их никто не будет. 

Но.. ясно одно, нежизнеспособная схема не может существовать долго.  Думаю многие из вас знают что делают в коммерческой организации если подразделение по безопасности начинает мешать бизнесу.  На невыполнимые требования либо забивают, либо их отменяют, либо вообще нафиг разгоняют/рефомируют подразделение по безопасности, создавшее проблемы бизнесу.

Аналогичный сценарий я вижу и с требованиями по защите персональных данных. Либо ввиду невозможности их исполнения на них просто "забьют" (сейчас же забивают на то, что у нас в государственных системах используется несертифицированная SSL-криптография), либо эти требования начнут мешать "большим дядькам делать бизнес" и тогда они запустят процесс по "модернизации законодательства", либо реформа/смена поколений в федеральных службах приведет к тому, что придут новые люди и начнут менять требования. 

Так что все будет хорошо, но только (в текущей политической и общественной конструкции) к сожалению не благодаря нам....

Безопасность дополненной реальности

Коллеги, ну что, не устали обсуждать тему персональных данных ? :)

Сегодня хочу вам подкинуть чтиво поинтереснее. Я глубоко убежден, что для того, чтобы понимать куда движется отрасль информационной безопасности, нужно просто внимательно следить за тем, куда развиваются информационные технологии (прям, капитан очевидность :) )

И одним из таких перспективных направлений являются технологии дополненной реальности. Для тех, кто не в курсе что это, отправляю на страницу пока еще открытой в России Wikipedia -

Дополненная реальность (англ. augmented reality, AR), — термин, относящийся ко всем проектам, направленным на дополнение реальности любыми виртуальными элементами.

Помимо Google к активной разработке этой технологии уже подключилась корпорация Microsoft, так что лично у меня не осталось никаких сомнений, что этой технологии быть, причем уже в скором будущем.

Но когда мы говорим про слежение за современными тенденциями, то тут (к сожалению) у многих моих коллег возникает естественный барьер - незнание английского языка. И хотя я всем и советую активно изучать этот язык, если есть желание быть в курсе последних тенденций, но у всех свои возможности, жизненные ситуации и даже принципы :).

И так удачно получилось, что после запуска ISM:МАРКЕТ мне удалось познакомиться с Евгением Бартовым из Бюро технических переводов Альянс ПРО.

И сегодня мы запускаем новую рубрику, в которой будут публиковаться переводы наиболее интересных и полезных (с нашей токи зрения) западных публикаций, любезно подготовленные Альянс ПРО.

Встречайте первую статью -

Преступные, зловредные и неожиданные области применения дополненной реальности

Статья эта появилась в последнем номере журнала (IN)SECURE. Крайне рекомендую ее прочитать, очень интересно, особенно когда начинает примерять это к реальности и понимать насколько все это действительно вполне реально.

Кстати, предлагаю обсудить эту публикацию - прошу сюда

P.S. Обратите внимание, что статью написали студенты, выпускники и преподаватели одной из Военных академий США. Интересно, а наши военные ИБ-спецы могут похвастаться таким уровнем продвинутости ?

Календарь мероприятий ИБ в формате ical

Коллеги, приятная новость ! Теперь следить за конференциями по ИБ стало еще проще. 

По просьбе одного из пользователей, зарегистрировавшихся на ISM:МАРКЕТ мы добавили возможность выгрузить все мероприятия или какое-то конкретное мероприятие в файл формата ical, который далее можно импортировать в Календарь Outlook, Google Calendar или любой другой клиент, который вы используете для ведения календаря.

Для того, чтобы выгрузить файл в формате ical нажмите на соответствующую иконку в списке мероприятий или в описании конкретного мероприятия.

Список мероприятий тут.

Пятничная инфографика - кто и как следит за нами в сети

Основная часть под катом

Постановление правительства № 1119

Понимаю, что уже не новость, уже многие высказались и обсудили, но добавлю пожалуй немного от себя:

Во-первых какие мнения мы уже имеем:

• Алексей Лукацкий одним из первых сообщил общественности о выходе нового постановления, а также опубликовал пост, в котором расписал основные моменты и изменения, которые вошли (и не вошли) в итоговый документ. Порадовало предложение Алексея ко всему подходить "творчески" в части работы с данным документом.

• Довольно подробный анализ в своем блоге опубликовал Андрей Прозоров. В посте приведены наглядные таблички соотношения уровней и угроз, а также уровней и требований по защите.

• Своей таблицей, а также мнением относительно вопроса обязательности наличия контроллируемой зоны поделился Евгений Шауро.

Итак, если посмотреть глобально, то на самом деле те два проекта, которые мы уже успели обсудить, просто были слиты в один документ, а также требования о применении средств СЗИ, прошедших процедуру оценки соответствия, перевели на 4-ый уровень, так что 

Поздравляю вас всех коллеги !  Теперь мы единственная страна, в которой защищают даже общедоступные данные ! 

Что касается трактовки и подходов, то на самом деле свой взгляд на модель, предложенную в документах, я уже высказал в своем посте тут, добавить пока больше нечего (ждем подзаконников), кроме следующих выводов, которые не совсем относятся к теме вышедшего постановления:

1. Вывод первый: регуляторы ни к кому лицом не поворачивались и гнут свою линию, слушать они никого не хотят и не будут ибо не барское это дело холопам слово давать ! 

Кстати, никого не смутило, что указанный документ не прошел ни проверку в Минюсте ни проверку в Минэкономразвития ?  Может конечно по бумагам и прошли, но вот на сайтах этих ведомств они не появлялись, я следил.  Есть еще вопросы ?

2. Вывод второй:  никаких инструментов для репрессий у регуляторов ИБ нет, все их потуги рассыпаются в первом же суде (за доказательствами прошу к Алексею Волкову), так что может пора перестать боятся ?

3. Вывод третий:  делать конечно с этим всем что-то надо, только усердствовать особо не стоит, того глядишь снова что-то поменяют.

4. Вывод четвертый: никто в России реальной безопасностью персональных данных как не занимался так и не будет заниматься. В ответ на невнятные документы операторы ответят либо игнором, либо махинациями с моделями угроз.  Печально, хотя и ожидаемо....

5.  Вывод пятый:  Может быть нам всем пора заняться реальным делом ?  Каждому на своем месте и тогда будет у нас порядок.  

Дайджесты возвращаются !

Коллеги, все мы помним замечательные дайджесты ИБ, которые публиковал в своем блоге Дмитрий Орлов. К сожалению последний из них увидел свет почти год назад - 20 ноября 2011 г.

Но как в известном фильме "иногда они возвращаются" :)

С сегодняшнего дня интернет-ресурс ISM:МАРКЕТ начинает выпуск еженедельных дайджестов по теме информационной безопасности. Все самое полезное и интересное с российских и зарубежных сайтов по информационной безопасности (блоги, статьи, законодательство, инциденты, полезная литература). 

И вот собственно наш первенец - Дайджест ИБ за 22-28 октября 2012 года

Подписывайтесь, если не хотите пропустить новый выпуск. 

Иду на ZeroNights

Сегодня получил от Ильи Медведовского приглашение на ZeroNights, чему очень рад, т.к. в прошлом году не был и очень интересно посетить это мероприятие. В этом году оно, кстати, проходит в Москве. 

Более подробная информация о конференции тут. 

P.S. А вообще полный список ИБ-шных и около-ИБ-шных мероприятий есть здесь. Стараемся держать его в актуальном состоянии. 

Вебинар LETA на тему применения систем DLP

Компания LETA приглашает принять участие в вебинаре на тему: 

Практика применения систем предотвращения утечки конфиденциальной информации (DLP) на примере продуктов компаний Symantec и Falcongaze

Вебинар пройдет 24 октября, с 11-00 до 13-00

Длительность: 60-90 минут.

Зарегистрироваться на мероприятие можно по ссылке - http://my.comdi.com/event/78685/

Докладчики: Руководитель отдела DLP – Сметанев Игорь, эксперты по внедрению DLP: Дашков Алексей, Барышев Сергей.

Программа вебинара: 

• Проблемы и задачи, которые можно решить с помощью DLP-систем
• Комплексный подход к построению системы защиты от утечек
• Кейс. Предотвращение утечки конфиденциальной информации с помощью Symantec DLP
• Кейс. Расследование инцидентов с помощью Falcongaze SecureTower

Участие в мероприятии бесплатное, предварительная регистрация обязательна! Количество мест ограничено!

Про RSS, контент и взаимодействие с потребителями

В рамках работы над проектом ISM:МАРКЕТ сделал для себя несколько наблюдений, которыми и хотел бы поделиться. В первую очередь данный пост адресоват представителями различных компаний, действующих на рынке ИБ. 

RSS.  На сайтах многих компаний новостные ленты (т.е. раздел Новости) не сопровождается RSS-фидом. Уважаемые, вы думаете, что кто-то будет специально регулярно посещать ваш сайт в надежде узнать последние новости вашей компании ?  Если вы Apple или Microsoft, то возможно, в противном случае нет.  Поэтому уж добавьте на свой сайт RSS, делается это за 5 минут, а те, кто действительно захочет быть в курсе ваших новостей, получит такую возможность. 

Лично я уже не могу себе представить свою работу без RSS. Информационный поток сейчас настолько широк, что без каких-то механизмов агрегации и фильтрации информации обойтись просто невозможно. 

Хотя раньше на собеседованиях (сейчас уже почти не провожу) я встречал немалое количество людей, которые на вопрос "пользуетесь ли вы RSS ?" отвечали "нет", что было неудивительно, т.к. на вопрос "а какие профильные сайты вы посещаете/читаете ?" в лучшем случае говорили Секлаб. 

Контент. На сайтах многих западных (крупных) компаний, которые на различных мероприятиях говорят о важности для них российского рынка, напрочь отсутствует нормальный контент на русском языке, либо он датируется прошлым-позапрошлым годом. Сделать русский перевод хотя бы брошюр по ключевым продуктам сейчас стоит копейки. Ну и опять же новостная лента с последней новостью за 2011 г. выглядит печально.

Интеграторы. К сожалению большинство компаний либо вообще не указывает те технологические решения, по которым обладает компетенцией, либо указывает такой список, что понятно, что для такой компании (я сейчас не говорю про КРОК и других крупных интеграторов, хотя даже они объективно не владеют опытом по всему что есть на рынке) просто нереально иметь грамотных, опытных инженеров по всем этим темам (банально денег не хватит).  Я понимаю что это такой ход, чтобы завлечь на свой сайт как можно больше народу, но лично я (это конечно же исключительной мой взгляд на вещи) больше готов довериться той компании, по сайту которой я понимаю что они хорошо знают определенные решения, уже съели на них собаку и выполняя проект у меня не будут сами удивляться тому, как работает внедренный ими продукт. 

Всем хорошей трудовой недели ! :)

Обещанный эксклюзив - ISM:МАРКЕТ

Коллеги, как и обещал. Делюсь с вами эсклюзивом.  Почти 8 месяцев этого года ушло на создание проекта, в котором принял участие и я, и информацией о котором я хотел бы сегодня поделиться. 

Проект получил название  ISM:МАРКЕТ (доступен по адресу http://ismmarket.ru). Это уникальный онлайн-ресурс, который позволит легко ориентироваться в многообразии различных решений, услуг и компаний, работающих на рынке информационной безопасности. 

На сайте вы сможете узнать какие решения в настоящий момент продаются в России под те или иные задачи, посмотреть отзывы о данных продуктах других пользователей, оставить свои отзывы,  а также узнать то, какие компании имеют экспертизу по тем или иным решениям/услугам. 

Сейчас ресурс находится в beta-стадии, т.е. конечно же не все еще возможные продукты и компании добавлены, но работа проведена немаленькая и надеюсь вы ее оцените. Впереди еще масса идей, ресурс планируется активно развивать.

Уверен, что этот сайт окажется для вас полезным, особенно в свете приближающейся поры планирования проектов на следующий год.

Если же вы представляете компанию-интегратора или производителя средств защиты, то для вас это сайт - уникальный шанс заявить о себе и своих возможностях. 

Присоединяйтесь !  - http://ismmarket.ru

Вебинар компании LETA по вопросу соблюдения требований по защите информации в НПС

Компания LETA приглашает Вас принять участие в вебинаре на тему «Защита информации в национальной платежной системе» который пройдет 10 октября, с 11-00 до 13-00

Длительность: 60-90 минут.

Зарегистрироваться на мероприятие можно по ссылке - http://my.comdi.com/event/76844/

Докладчики: Эксперты компании ЛЕТА по вопросам информационной безопасности в кредитно-финансовой сфере: Бурцев Игорь, Малюшкин Константин.

 Программа вебинара: 

• Основные нормы и структура национальной платежной системы (НПС).
• Требования законодательства и документов Банка России по защите информации в национальной платежной системе. Применимость требований к различным категориям субъектов НПС.
• Контроль за соблюдением требований к защите информации в НПС.
• Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС.
• Сравнение требований информационной безопасности Положения Банка России № 382-П и стандарта Банка России СТО БР ИББС-1.0-2010. Общие и дифференцированные требования.
• Реализация требований нормативных документов по защите информации в НПС в организациях–субъектах НПС. Практические моменты.

Участие в мероприятии бесплатное, предварительная регистрация обязательна! 

Количество мест ограничено!

Марафон конференций

Всем привет ! 

За последние 2 недели я побывал сразу на 4 конференциях. Началось все с DLP Russia, потом был Инфосек, затем конференция Yandex и завершилось все вчера Инфобезом (хотя эта конференция еще продолжается сегодня). Так что делюсь впечатлениями, основанными на сравнении.

DLP Russia оказалось довольно "живым" мероприятием, хотя данная конференция и имеет довольно традиционный формат, т.е. наличие зала со стендами производителей и интеграторов и несколько секций с докладами. Думаю что здесь сказывается (пока) эффект новизны, а также то, что спрос на рынке DLP не угасает, а последними заявлениями регуляторов даже подогревается (напомню, что ФСТЭК готовит методические документы по DLP). Кроме того, организаторы данного мероприятия серьезно активизировались, стали развивать сообщество DLP-эксперт, и такой информационный фон идет только на пользу. 

Конференция Yandex меня поразила количеством людей (гиков если быть точнее), а также тем, что я еще больше укрепился во мнении, что проводить чисто ИБ-конференции, т.е. обсуждать технологии и подходы обеспечения безопасности без рассмотрения вопросов информтехнологий, к которым эта защита будет применяться просто неправильно.  Рынок ИБ сам по себе не может и не должен существовать особняком. И тут я плавно перехожу к тем конференциям, которые как раз таки символизируют обособленность ИБ-рынка. 

Infosecurity и Инфобез. Мероприятия умирают, об этом не говорит только ленивый. Я сам склонен дать этим конференциям еще максимум года 2 жизни. По итогам общения с некоторыми экспонентами я понимаю, что они на следующий год уже скорее всего участвовать не будут. 

На Инфобез я забежал буквально на 1,5 часа, чтобы принять участие в так называемой блоггер-панели, которую организовал Михаил Емельянников. Лично мне очень понравился такой формат секции. Удалось создать атмосферу живого диалога и исключить чтение заученных и от того довольно скучных, порой, презентаций.  

На этом все.  Всем хороших выходных !  

Немного интриги :)  На следующей неделе ждите от меня сюрприз, презентую вам проект, работа над которым велась последние пол года.  

Беспечность в социальных сетях может дорогого стоить !

Возможно это не особо какая новость, но на такие вещи никогда не лишне еще разок обратить внимание. 

Многие знают, что на сайте ВКонтакте вместе с сообщениями можно пересылать фото и документы.

Дальше - интересней.

Если зайти в меню "Документы" http://vk.com/docs и в строке поиска вбить такие слова, как "пароли", "Резюме", "Паспорт", "password" и другие то можно увидеть отправленные пользователями личные документы - такие, например, как логины - пароли Яндекс денег и webmoney, пароли карточек, СМС коды и так далее.

В связи с этим хотелось бы предостеречь пользователей от пересылки подобных документов через социальные сети, тем более в незашифрованном виде!

Новый номер журнала (IN)SECURE

Вышел 35-ый номер журнала (IN)SECURE. В этом номере:

• Administrative scripting with Nmap 
• Information security in Europe with ENISA
• Executive Director Prof. Udo Helmbrecht 
• Unintended, malicious and evil applications of augmented reality 
• The enemy at the gate 
• Top five hurdles to security and compliance in industrial control systems 
• How to monitor the blind spots in your IT system: Logging versus auditing 
• DBI aid reverse engineering: Pinpointing interesting code 
• The importance of data normalization in IPS 

Скачать журнал можно здесь

Постановления Правительства по защите ПДн: смешанные чувства

В минувшую субботу на сайте ФСБ появились проекты Постановлений правительства, определяющих уровни и требования по обеспечению безопасности персональных данных в ИСПДн (ссылка).

Несколько общих замечаний:

• мы пожалуй единственная страна в мире, в которой предлагается обязать защищать (!) общедоступные персональные данные.  Браво ! 
• только в нашей стране, согласно этим документам,  могут существовать персональные данные у юридического лица (улыбнуло). 

Самое интересное, что в этот раз мнение по отношению к этим документам у экспертов оказалось полярным. От явно негативного - Алексей Волков,  до сдержанно позитивного - Алексей Лукацкий, Сергей Борисов.

Я не готов присоединиться ни к положительным, ни к резко отрицательным отзывам. Мое мнение - "недолет". Т.е. конечно же эти документы лучше чем, те что были, но из них совершенно непонятно к чему все в конечно итоге придет (к жестким или гибким требованиям). И это как раз и вызывает опасения. Сейчас поясню почему.

Вот как выглядит схема определения уровней и требований по новым проектам:

Т.е. алгоритм следующий:

1) Сперва определяем актуальные для ИСПДн угрозы (как определять пока не понятно, это будет описано в документах ФСТЭК и ФСБ, хотя вот тут на самом деле и будет заложена вся система того какие уровни получит большинство ИСПДн в стране).

2) Далее, поняв какие угрозы актуальны, нам необходимо понять к каким типам они относятся, а если говорить еще проще, надо понять есть ли среди актуальных угрозы, относящиеся к недокументированным возможностям в ОС или прикладном ПО. Т.е. на самом деле все моделирование должно свестить к простому вопросу: есть угроза наличия НДВ или нет ! 

3) Параллельно нам необходимо определить характеристики ИСПДн: объем обрабатываемых данных, характер обрабатываемых данных.

4) После этого, сложив характеристики ИСПДн и информацию о типах актуальных угроз мы можем определить уровень защищенности ИСПДн и, соответственно, предъявляемые требования. Причем 1 и 2 уровни присваются системам если актуальны угрозы НДВ и 3 и 4, если не актуальны.

Схема вроде более-менее нормальная, но в ее основе лежит именно вопрос моделирования угроз и определения актуальны ли угрозы НДВ или нет. Здесь все будет зависеть от того, какую методику определения актуальных угроз придумают ФСТЭК и ФСБ. 

Если по этой методике угроза НДВ будет актуальна всегда (а по-хорошему такие угрозы никогда нельзя исключать, вспомните периодические скандалы про закладки в оборудовании, которое приходит из Китая), то тогда почти всем светит 1-ый и 2-ой уровень защищенности. А если методика не будет жесткой, то тогда можно будет попытаться большинство ИСПДн перевести на 3-ий или 4-ый уровень, обосновав неактуальность угроз НДВ. 

Кстати, еще немного нарушена логика применения средств защиты. Почему если у меня актуальны угрозы НДВ в операционной системе или прикладном ПО (!)  мне предлагается использовать средства защиты, прошедшие оценку соответствия ?  Они же никак не помогут от этой угрозы, т.е. в самих средствах конечно никаких закладок не будет, но в ОС и прикладном ПО они останутся и после применения таких средств защиты.

И конечно же ФСБ интересуется нашим мнением, которое необходимо направить на адрес fsb@fsb.ru. Ха, как вы думаете кто-то читает эту почту ?  Знаете в Linux системах есть такое виртуальное устройство /dev/null, куда можно отправить все что угодно :) ( кто знает тот поймет о чем я).  Но я свои замечания все же отправлю на этот адрес и призываю всех сделать тоже самое. А еще следить за сайтами МЭРа и Минюста, надеюсь что эти документы также будут выложены на сайтах этих ведомств для проведения экспертизы.

Даешь вебинары ! На этот раз по теме пресловутого 382-П и безопасности в НПС

Думаю все обратили внимание на то, как серьезно возросло количество вебинаров по различым ИБ тематикам за последнее время. Удивительный всплеск при том что еще весной этого года смотреть / слушать было особо нечего. Я считаю это безусловно позитивной тенденцией, т.к. формат вебинара позволяет получать необходимую информацию в комфортной обстановке, без необходимости куда-то ехать.

Сергей Борисов в своем блоге даже начал вести календар вебинаров. Как говорится на любой вкус и цвет всего можно найти.

Вот информация о еще одном вебинаре, который пройдет в ближайшее время: компания ISM SYSTEMS приглашает всех на вебинар, посвященный вопросу проведения оценки соответствия требованиям к обеспечению защиты информации при осуществлении переводов денежных средств в Национальной платежной системе.

Вебинар пройдет 25-го сентября в 11:00 по Московскому времени. Зарегистрироваться на вебинар можно по ссылке -https://attendee.gotowebinar.com/register/3730703771289005824.

Вебинар приурочен к выпуску нового модуля для системы управления информационной безопасностью ISM Revision – NPS Auditor, который позволяет провести оценку соответствия информационной безопасности требованиям Положения ЦБ № 382-П и получить необходимые отчетные документы.

Столкновение взглядов: 2х факторная аутентификация

И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.

Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют.  А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.   

Аргументы "за":

• Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;

• Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);

• Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;

• Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.) 

Аргументы "против":

• Более дорогостоящее решение;

• Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);

• Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?

Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ?  На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.

RISSPA инициировала обсуждение терминологии с ФСТЭК

Для тех, кто не в курсе:   RISSPA приглашает сообщество к обсуждению облачной терминологии ФСТЭК России

Ссылка с подробностями - http://risspa.ru/news/risspa-fstek

На мой взгляд это очень хорошая инициатива. Именно этим и должны по хорошему заниматься отраслевые ассоциации вроде RISSPA, АРСИБ и др.  Немного жаль конечно, что обсуждается далеко не самая жизненно важная тема (по моему личному мнению тема "облачной" безопасности для России далеко не самый острый вопрос в поле информационной безопасности).  Но как говорится лиха беда начало. То, что ответственные органы идут на контакт с профессиональным сообществом, можно только приветствовать. 

Так что посмотрим во что это выльется. Всех специалистов с активной жизненной позицией призываю поучаствовать в этой инициативе.

Вебинар компании LETA по продукту Avanpost

Учитывая возросший интерес к теме IDM со стороны наших Заказчиков, мы решили провести повторный вебинар по продукту Avanpost - первому российскому полнофункциональному IDM решению.

Программа Вебинара:

• Проблематика IDM, обзор решения и опыт внедрения ПК «Avanpost» - Александр Бондаренко, технический директор компании LETA  
   
• Демонстрация возможностей системы ПК «Avanpost», Дмитрий Василевский, технический директор компании Avanpost

ПК «Avanpost 3.0» – система идентификации и управления доступом к информационным ресурсам предприятия (IDM) и управления инфраструктурой открытых ключей (PKI). А так же ПК «Avanpost 3.0» позволяет решать большой спектр других задач, таких как:

• управление инфраструктурой открытых ключей (PKI);
• защита от несанкци-онированного доступа (НСД) ;
• осуществлять контроль действий пользователей;
• построение защищенных VPN-соединений.

В рамках вебинара у Вас будет возможность узнать, какие задачи решает ПК Avanpost и как это работает, увидеть демонстрацию системы, а также услышать о реальных реализованных проектах и итогах работы первых внедрений системы. Мы будем рады видеть Вас на нашем вебинаре и ответить на Ваши вопросы и выслушать Ваше мнение!

Участие в мероприятии бесплатное, предварительная регистрация обязательна!

Зарегистрироваться на вебинар Вы можете: по ссылке http://my.comdi.com/event/72904/,  а также по электронной почте bkomarov@leta.ru

Проблематика защиты мобильных устройств - часть 5

Снова я решил затронуть вопрос безопасности мобильных устройств и сегодня хотелось бы поговорить непосредственно о средствах защиты, существующих на рынке.

Исходя из того, что я писал уже ранее по этой теме, для мобильных устройств в контексте имеющихся рисков в первую очередь актуально внедрение следующих защитных механизмов:

• средства контроля доступа
• средства шифрования устройства
• средства шифрования каналов связи (VPN)
• средства антивирусной защиты
• средства контроля за обращением с информацией (DLP, IRM и т.п.)

Посмотрим что есть в настоящий момент именно с точки зрения бизнес-потребителя. Т.е. нам нужна возможность централизованного развертывания, управления, обновления, мониторинга и пр.

И вот тут сразу же первое огорчение. В настоящий момент еще не существует технологий, позволяющих централизованно установить на мобильное устройство (здесь и далее я понимаю под таковым планшет или смартфон) какое-либо программное обеспечение. Вы можете разослать всем своим пользователям ссылку на программу, находящуюся в App Store или Google Play, и попросить ее установить, но не сможете это сделать за них, как это уже стало привычным для обычных десктопов или ноутбуков. Так что вопросы установки каких-либо агентов, вопросы принудительного обновления программного обеспечения и пр., пока придется выполнять вручную.

Идем дальше. Контроль доступа. И Android и iOS (и, как я предполагаю, Windows 8) содержат функционал блокировки устройства с помощью пароля произвольной длины. Вопрос можно ли этим как-то управлять ? Можно, для этих целей служат системы класса MDM (Mobile Device Management). Такие системы позволяют централизовано управлять параметрами работы мобильных устройств, которые к ней подключены (посредством установки агента на мобильное устройство), и в т.ч. определять необходимость использования и длину пароля. 

Шифрование устройства. Эта функция также по-умолчанию присутствует в  iOS и Android (начиная с версии 2.3.4).  Централизованно включить принудительное шифрование устройства можно также за счет использования MDM системы.

Шифрование каналов связи (VPN). И Android и iOS обладают встроенными VPN-клиентами. Помимо этого есть и сторонние клиенты, например, от компании Cisco. С ГОСТовым шифрованием дела обстоят хуже. Компания Инфотекс выпустила VPN-клиент, но для этого потребуется сделать на устройстве jailbreak, что далеко не всегда приемлемо. С точки зрения централизованного управления, то здесь также в политики MDM системы можно внести параметры VPN-соединений и они автоматически будут применены на всех управляемых устройствах.

Средства антивирусной защиты. Здесь дела пока обстоят несколько хуже. Да, большинство крупных производителей средств антивирусной защиты уже выпустили версии своих продуктов для различных мобильных платформ, НО пока эти продукты ориентированы на конечных потребителей, а не на корпоративных Заказчиков. Т.е. в настоящий момент не существует возможности централизованно устанавливать параметры работы антивирусов, проводить принудительное сканирование, обновление и другие задачи, ставшие уже привычными для администраторов сети.

Средства контроля за обращением с информацией (DLP, IRM и т.п.). В настоящий момент мне известно только 2 продукта, которые могут помочь в борьбе с утечкой конфиденциальной информации через мобильные устройства. Это система DLP от компании Symantec (Symantec Data Loss Prevention for Mobile) и продукт компании Cortado (Cortado Corporate Server), который позволяет ограничить доступ к файлам исключительно на просмотр и исключить возможность пападания файлов с конфиденциальной информацией на мобильное устройство.
Основной проблемой, которую называют производители систем класса DLP, является то, что постоянная работа DLP-агента будет неминуемо сажать батарею устройства и серьезно влиять на время его работы. Решить эту проблему судя по всему пока не получается.  Вот, например, как ее сейчас решает компания Symantec:

Т.е. по сути задача сводится к тому, чтобы весь трафик с мобильного устройства пропускать через корпоративную сеть и на уровне сети уже мониторить трафик и боротья с утечкой.

Вот такая вот картинка, коллеги. Несмотря на бурный рост рынка мобильных устройств, с точки зрения безопасности остается ряд неразрешенных моментов. Пока можно сказать, что начинать решать вопрос обеспечения безопасности мобильных устройств рекомендуется с внедрения системы управления (MDM). Об этих системах и поговорим более подробно в следующий раз.

11 сентября

Сегодня годовщина терактов 11 сентября 2001 г. Безусловно эта тратегия сказалась на многих процессах в мире (в первую очередь, конечно же, политических). Повлияло это событие и на нашу отрасль (хотя конечно же главным образом на американском рынке).  Именно после этого терракта вопросы обеспечения непрерывности деятельности (business continuity planning) снова обрели актуальность. В этом году, кстати, требования к системам управления непрерывностью деятельности были стандартизованы на уровне ISO (ссылка). 

В России требования по наличию планов обеспечения непрерывности деятельности (в т.ч. и в части ИТ) пока являются обязательными только на уровне банковской отрасли.

Итак, вам достался отдел ИБ

[Предупреждение: данный пост не предназначен стать учебником или пошаговой инструкцией. Это всего лишь набор идей, которые могут оказаться полезны.]

Итак, вас взяли на работу на должность руководителя отдела ИБ. С чего начать, на что обратить внимание, о чем не забыть ? Вот парочка идей для начала:

Обсудите с руководством ключевые цели, которые ставятся перед подразделением.  Конечно то, что от вас ожидают лучше всего выяснять еще на этапе собеседования, чтобы потом не было неприятных сюрпризов. Однако уже после выхода на работу основные цели и задачи необходимо повторно обсудить и согласовать с руководством.  Идеальный вариант - согласовать показатели, по которым будет оцениваться ваша работа. Кроме того, такой разговор позволяет получить понимание того, насколько вопросы информационой безопасности важны для жизнедеятельности организации.

 

Пообщайтесь с вашими новыми подчинеными. Во-первых нужно быть готовым к тому, что практически наверняка какая-то часть людей уйдет после вашего назначения. Это естесственный процесс. Причин тому может быть масса, в т.ч. и нереализованные амбиции, и застарелые конфликты/обиды и проч. Но именно поэтому важно пообщаться с каждым из подчиненных индивидуально, понять их пожелания, ожидания, цели. С другой стороны и вам будет полезно понять насколько данный сотрудник подходит вам для решения возложенных на ваше подразделение задач. Возможно с кем-то из этих людей вы сами решите расстаться. Цель в конечном итоге проста - удержать ценных людей и избавиться от бездельников, вам нужна команда, способная добиваться результата.

Развивайте презентационные навыки. Работы по обеспечению ИБ, все эти тонкости законодательства и регуляторных требований далеко не всегда понятны бизнес-руководителям. Именно поэтому навыки объяснять сложные профессиональные тонкости простыми словами, которые способы понять люди, не занимающиеся информационной безопасностю, а также умение грамотно представить задачи и проекты, которые выполняются вашим подразделением,  - это крайне ценный навык. Не стоит им пренебрегать.

На этом пока все, продолжение следует....

О доверии на рынке информационной безопасности

Продолжая тему предыдущего поста, сегодня хотелось бы коснуться вопроса доверия на рынке товаров и услуг по информационной безопасности.

Дело в том, что в настоящий момент, на мой взгляд, у потребителя (заказчика), нуждающегося в решении какой-то своей прикладной задачи за счет закупки какого-то технического средства или консалтинговой услуги нет совершенно никаких механизмов, которое обеспечат его гарантией, что товар или услуга будут качественными и подходящими для решения его задач. Давайте рассмотрим какие механизмы в принципе сейчас существуют:

Сертификация. Почему по моему мнению это не работает я уже писал тут. В дополнение к сказанному добавлю, что сертификация не проверяет качество исполнения продукта и среди сертифицированных СЗИ хватает таких, которые совершенно не приспособлены для нормальной работы в современной ИТ-инфраструктуре, хотя и выполняют все формальные требования. А во-вторых, есть еще один минус, который на самом свойствинен и другим существущим механизмам, это наличие финансовых взаимоотношений между тем, кто выдает сертификат (сертифицирующая лаборатория) и тем, кто его получает. Т.е. в данном случае клиентами таких лабораторий являются не потребители продукта, а его изготовители. А кто платит, тот в конечном итоге ожидает, что получит заветную бумажку. Теряется элемент непредвзятости и независимости (кто бы мне что не говорил, до тех пор пока будут прямые бизнес-взаимоотношения между этими сторонами я не готов поверить в непредвзятость сертификации).

Органы по аккредитации/аудиторы. Что я здесь имею ввиду. Это разного рода внешние аудиторы, к которым можно отнести аудиторов по ISO-сертификации (9001, 27001 и проч.), а также аудиторы внутри определенных сообществ, к примеру, проверяющие по качеству исполнения услуг со стороны PCI Council или НП АБИСС. При том что этот механизм работает, я тем не менее считаю, что наличие финансовых взаимоотношений (компания, получающая сертификат ISO платит тем, кто этот сертификат выдает, а PCI Council и НП АБИСС живет за счет взносов своих членов) и здесь не позволяет судить о полной независимости суждения проверяющего (предполагаю, что меня попытаются переубедить, но пока достойных аргументов я не встречал).

Обзоры и отчеты от независимых лабораторий/агенств. Ну на примере отчетов AV Test можно было посмотреть, что и здесь бывает такое, что спонсорами каких-то исследований выступают компании-разработчики, а значит опять появляется элемент денежных взаимоотношений между оценщиком и оцениваемым.  Но по сравнению с вышеперечисленными механизмами здесь можно сказать, что все же в мире есть примеры независимых лабораторий, но чаще всего они занимаются проверкой и сравнением антивирусов. Отчетов по системам класса IDM или, например, DLP я что-то не припомню.

Есть еще конечно же знаменитые квадранты фирмы Gartner и надо сказать многие на них ориентируются. Единственное, что меня (и не только меня) смущает в этих отчетах, это непрозрачность методики, по которой продукт попадает в тот или иной квадрант. 

Вот выдержка из Wikipedia:

It has been pointed out that the criteria for the Magic Quadrant cater more towards investors and large vendors than towards buyers.   (полный текст)

 

Обмен мнениями среди специалистов. Это уже из разряда неформальных механизмов, но он работает. Думаю многие из нас сейчас когда выбирают себе новый телефон, плазму, выбирают страховую фирму или заказывают какие-нибудь услуги отправляются в интернет и начинают читают отзывы. Кто и как написал эти отзывы причем не всех интересует. 

Такой обмен мнениями в среде безопасников существует, но он довольно скудаен, а кроме того происходит как правило только в форумах и, к сожалению, на таких площадках быстро найти нужную информацию не всегда получается.

Каков же вывод ?  На мой взгляд нашему рынку нехватает независимых органов, которые могли бы как в случае с рейтинговыми агенствами S&P или Moody's на финансовом рынке, оценивать качество продуктов и услуг оставаясь независимыми и не боясь в том числе критиковать и снижать рейтинги компаний, которые делают некачественный продукт или оказывают некачественный сервис.

Такие разные отчеты об эффективности антивирусов

Прослушал вчера вебинар Symantec, посвященный 12-ой версии Symantec Endpoint Protection и в презентации бросился в глаза вот этот слайд:

Отрыв Symantec от других компаний очень серьезный, но это то как раз и смущает.  Я попытался найти отчет, на основании которого был составлен этот слайд. Мне удалось найти только вот это. Отчет, подготовленный компанией AV Test в феврале 2011 года, и что самое интересное "заказанный компанией Symantec".  Ничего более свежего мне найти не удалось.  Если кто-то сможет, поделитесь ссылкой. 

Но с другой стороны если посмотреть на сайте этой же организации и сравнить Symantec SEP с решением, к примеру, Kaspersky Endpoint Security, то получается следующее:

Как видно по позиции "Protection" Symantec несколько отстает. Но суть в конечном итоге не в этом (как известно на вкус и цвет все фломастеры, в смысле антивирусы, отличаются). Суть в том, что эти отчеты натолкнули меня на 2 вопроса:

1) Правильно ли, что компании-разработчики спонсируют тесты, в которых участвуют в т.ч. и их разработки ? Не снижает ли это ценности и уверенности в качестве отчета ?

2) Стоит ли доверять подобным отчетам о сравнении продуктов при выборе антивируса (межсетевого экрана, сканера уязвимостей  и т.д., нужное подчеркнуть). ?

В связи с этим я решил провети небольшой опрос на тему того, чем руководствуетесь вы при выборе того или иного средства защиты. Свои ответы прошу писать в комментарии к этому посту.

P.S. Вот кстати еще один отчет уже другой организации, в котором Symantec почему то нет вообще.

Stonesoft Evader: А насколько прочны ваши межсетевые экраны ?

Некоторое время назад я писал о поездке в Финляндию, которую организовала компания Stonesoft. Помимо всякой развлекухи вроде знакомства с красотами города и игры в хакеров в тестовой лаборатории в рамках данного мероприятия у нас была небольшая лекция от эксперта компании Stonesoft, Olli-Pekka Niemi, по поводу продвинутых техник обхода различных сетевых фильтров (AET). 

В качестве инструмента для моделирования подобных техник коллеги показали нам так называемый Predator. Конечно заполучить его очень хотелось, но нам сказали, что это секретное оружие Stonesoft, которое они никому не дают (ну под тем предлогом, чтобы не в те руки не попало). 

И вот на днях я натыкаюсь на интересный сайт - http://evader.stonesoft.com/.  Ба, да это же тот самый Predator.  

С указанного сайта можно скачать виртуалку, с уже предустановленным инструментарием, которая может использоваться для тестирования возможностей обхода ваших сетевых экранов. В самом простом варианте схема тестирования выглядит следующим образом:

На указанной схеме 1 - это атакующая машина, 2 - цель атаки.  Загруженная с сайта виртуалка может играть роль и атакующего и жерты. Т.е. задача атакующего направить трафик на цель атаки через тестируемое устройство, а виртуалка на целевом узле уже будет определять какие техники обхода оказались успешными. 

Техник там огромное количество, а если учесть, что их можно комбинировать, то вообще получается просто бездна возможных вариантов (конечно же работать будут далеко не все). Вот собственно как выглядит интерфейс системы:

Инструмент просто отличный и с точки зрения реального аудита сетевой безопасности просто крайне необходимый. Рад, что эксперты Stonesoft не зажали разместили его в свободном доступе. 

Удачного вам тестирования, коллеги. Думаю что результаты вас очень удивят.

Firefox для пентестера

Firefox довольно удобный браузер, но благодаря разного рода надстройкам его функционал может быть безгранично расширен. И среди множества надстроек есть немалое количество тех, которые могут пригодится специалистам по аудиту информационной безопасности.

Хочу представить вам, коллеги, проект FireCAT (Firefox Catalog of Auditing exTensions) - ссылка, в рамках которого его участники занимаются сбором и систематизацией полезных надстроек для Firefox. 

Вот лишь некоторые из них:

1) Firebug

Надстройка позволяет детально анализировать все файлы и скрипты загружаемые в браузер. Обязательная вещь при тестировании веб-приложений.

2) Hackbar

Полезная надстройка для проведения атак типа SQL-Injection и XSS. Помимо этого еще содержит функции по кодированию/декодированию URL-ов и др. полезные штуки.

3) Tamper Data

Позволяет просматривать и изменять HTTP/HTTPS-заголовки и параметры POST-запросов "на лету"

4) OSVDB

Поиск по базе Open Source Vulnerability Database

5) Packet Storm search plugin

Поиск по базе эксплоитов "Packet Storm"

6) Offsec Exploit-db Search

Поиск по базе эксплоитов Exploit-db

7) Cookie Watcher

Просмотр кукисов веб-сайта

8) XSS Me

Надстройка для тестирования на XSS-уязвимости

9) SQL Inject Me

Надстройка для тестирования на  SQL-Injection

10) Wappalyzer

Определение технологий и приложений, которые используются на исследуемом веб-сайте

11) Javascript Deobfuscator

Деобфускатор JavaScript-кода

12) FoxyProxy

Продвинутый инструмент для переключения между прокси-серверами

13) CryptoFox

Инструмент шифровки/дешифровки для взлома MD5-паролей

14) WorldIP

Сетевые инструменты для определения IP-адреса, физического размещения веб-сервера, выполнения команд Ping,Traceroute,RDNS,AS etc.

15) Default Passwords

Поиск по базе дефолтных паролей на CIRT.net

Отпуск

Ваш покорный слуга отбыл на 2 недели в отпуск, так что до 20 августа от меня никаких новых сообщений не будет.

А пока в тему поста поделюсь небольшой ссылкой на инструмент по аудиту, но только не ИБ-шному, а личностному энергетическому: http://theenergyproject.com/tools.

Взял я эту ссылку из книжки "То, как мы работаем, - не работает", которую сейчас читаю.

Всем, кто интересуется тем, насколько он эффективно расходует и восполняет личную энергию предлагаю воспользоваться материалами по указанным ссылкам.

Вакансии в компании ЛЕТА

Предыдущее мое объявление о работенке на август оказалось очень удачным и я получил достаточно большое количество запросов от желающих  поэтому я решил еще немного поэксплуатировать свой блог с целью поиска персонала.  

Сегодня речь пойдет о вакансии на должность инженера по системам защиты информации (профиль: системы класса IDM), которая открыта в компании ЛЕТА. 

Обязанности:

• Выполнение работ по проектам:
• Проектирование Решения
• Развертывание Решения
• Разработка правил и политик Системы
• Ведение проектной документации.
• Проведение пресейл активностей
• Технические консультации менеджеров по продажам.

Требования к кандидату:

• Знание основ построения ИТ-Инфраструтуры предприятия
• Опыт работы с продуктами Microsoft: Windows Server 2003; ISA Server 2004/2006; Exchange Server 2003/2007; SQL Server 2000/2005
• Знание технологий: VPN; Microsoft Cluster Service; Microsoft Active Directory

Желательные навыки и знания:

• Опыт развертывания ИТ-Инфраструтуры с нуля
• Опыт администрирования Linux-системам
• Опыт работы с оборудованием: Cisco; Check Point; HP; IBM; DELL;

Главными конкурентными преимуществами будут являться:

• Хорошие знания одного или нескольких основных решений IAM – Identity and Access Management, IdM – Identity Management: Oracle, Sun, IBM Tivoli, Novell.
• Опыт внедрения одной из следующих систем: AvanPost IAM, Aladdin TMS, Aladdin NetLogon, Indeed-ID ESSO, Oracle IAM, Oracle SSO.

Условия работы в Компании LETA:

• Работа в Москве, в офисе недалеко от м.Текстильщики
• Возможны командировки, но не частые
• Заработная плата обсуждается индивидуально (оклад + проектные премии)
• Перспективы профессионального и карьерного роста
• Молодой и дружный коллектив
• Медицинская страховка со стоматологией
• Корпоративная мобильная связь

График работы - понедельник-пятница, с 9.30 до 18.00.

Все, кто заинтересовался, могут направить свое резюме на адрес:  omakarenko (соб@ка) leta.ru

Письма в редакцию. О взломе почты.

Как это не парадоксально, но одним из самых популярных сообщений в моем блоге (т.е сообщений, собравших максимум просмотров) является моя заметка, посвященная тому, какие методы используют взломщики электронной почты (ссылка). 

Мне периодически даже приходят сообщения с предложением либо взломать чью-то почту, либо разместить у себя в блоге рекламу сервиса по взлому электронной почты :)  Такие сообщения, естественно остаются без ответа.  Но бывает и по-другому.

Вот какое сообщение я недавно получил от одного из пользователей (письмо публикую специально по двум причинам, во-первых для обсуждения поднятых вопросов публично, во-вторых потому, что отправитель сообщения видимо указал не правильный адрес электронной почты и поэтому направить ему свой ответ я не смог):

Добрый день, Александр.С интересом прочитал вашу заметку о взломе почты. Вы, правда, описываете, один частный случай. А бывают и другие частные случаи.
Мне необходимо завести электронную почту для работы с платежными системами (PerfectMoney, Payza и т. д.) на стационарном компьютере (с проводным подключением интернета VPN).
При изучении этого вопроса (выбора наиболее защищенной почты) обнаружил не только Ваш блог, но и огромное количество ресурсов, предлагающих "взлом" за небольшие деньги (сопоставимые со стоимостью переустановки операционной системы - !) большинства web-почт:
http://nova.rambler.ru/search?query=взлом+электронной+почтыЯ понимаю, что часть таких предложений - заведомое мошенничество, когда после выплаты аванса заказчик получает письмо якобы со "взломанного" ящика, отправляет оставшуюся сумму платежа, но никакого пароля уже в обмен не получает. Но есть и множества таких, которые предлагают в качестве доказательства полученного доступа снимок экрана почтового ящика "жертвы" или данные из почтового ящика (часть контактов из адресной книги, текст "контрольного" письма и т. п.) 
Судя по этим фактам, небольшому количеству нареканий на такие сервисы и частые взломы почтовых ящиков моих знакомых, которые вдумчиво относились к соблюдению норм безопасности, сложилось представление, что сегодня получить доступ к любой web-почте стало настолько же несложно, как и переустановить windows.
Подтверждением подозрения стала ситуация у знакомого, счёт которого в международной платежной системе обнулили, запросив смену пароля. Каким образом обошли очень сложные ответы на 2 секретных вопроса и как узнали пароль к почте - остается непонятным (в почту вошли с первого раза судя по login log), так как человек пользуется виртуальной клавиатурой и лицензионным антивирусом ежедневно сканирует всю систему; cache, cookies броузера (FireFox 14) вычищает после каждого сеанса связи с почтовым сервером и платежной системой. Пользуется динамическим IP и делает winsock reset.после каждой сессии. Пароль к почте, разумеется, нигде на носителях не хранится и очень нетривиальный. Варианты "социальной инженерии", фишинга и пр. методы на малоопытного пользователя тоже не подходят...
В связи с этим прошу Вас как специалиста посоветовать (в форме ответа на 4 вопроса для облегчения задачи и экономии времени):
1). К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная:
предоставляемая провайдером
web-почта (gmail.com, mail.com, yahoo.com и т. п.)
почта, предоставленная хост-провайдером для сайта.
2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).
3). Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.
4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?
Заранее вам благодарен, желаю успехов,
Олег.

А вот собственно мой ответ:

Олег, здравствуйте !

Отвечаю на Ваши вопросы:

1) К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная: предоставляемая провайдером web-почта (gmail.com, mail.com, yahoo.com и т. п.) почта, предоставленная хост-провайдером для сайта.

Не готов сравнивать провайдеров. Я бы рекомендовал Gmail по причине того, что он предоставляет возможность подключения по шифрованному каналу для получения и отправки почты.

2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).

Никак это не решает проблему. В первую очередь надо понимать шифруется ли сам канал связи, по которому передаётся пароль доступа (особенно если вы пользуетесь, например, в дороге каким-нибудь бесплатным wifi-ем) и кукисы, которые используются после авторизации. Если вы говорите о защите от кейлоггера, то это конечно может помочь, но возможно что в вашем случае вирус просто дождется авторизации в почте и после этого запустит определённые действия (например, смену пароля)

3) Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.

Нет, так как уже давно созданы вирусы которые воруют пароль, набранный на виртуальной клавиатуре, просто делая скриншоты при каждом нажатии на виртуальную клавишу.

4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?

Не совсем понимаю зачем Вы вообще используете прокси ? Прячетесь от кого-то ?


А что порекомендуете Олегу вы, коллеги ?