пятница, 28 декабря 2012 г.

Что год грядущий нам готовит

Как известно, конец года - это такая пора, когда принято оценивать все что произошло за прошедший год и делать прогнозы на год грядущий. 

Анализируя большое количество информационных каналов по информационной безопасности, я решил сделать небольшую подборку всех предсказаний, которые так или иначе появились за последнее время:

Корпорация Symantec опубликовала прогноз тенденций в мире кибербезопасности на 2013 г.  Компания ожидает рост направленных атак, мобильных угроз и киберконфликтов. 

Компания Imperva определила 5 ключевых трендов в области информационной безопасности на 2013 г. Прогнозируется рост угроз класса APT, усиление проявлений хактивизма, и расширение использования облачных технологий для осуществления хакерских атак.

Компания Sophos определила 13 основных трендов на предстоящий год. Среди прочего выделяется рост мобильных угроз, а также распространение вредоносных тулкитов. 

Компания Lookut опубликовала прогнозы относительно развития угроз мобильной безопасности. Предсказывается рост мобильного спама и вредоносного кода, предназначенного для хищения денежных средств.

Компания Fortinet озвучила свои предположения относительно развития угроз в 2013 году. Среди основных выделяются APT, мобильный вредоносный код и рост ботнетов.

Если говорить о России, то пока свои прогнозы на будущий год озвучил только Алексей Лукацкий.

О своих собственных прогнозах на 2013 год напишу в следующем сообщении.

Всех с наступающими  !  Хорошего отдыха !

четверг, 20 декабря 2012 г.

На меня повесили ИБ в банке

Это как мне кажется довольно классическая ситуация. Думаю немало коллег с ней столкнулось.  

Буквально вчера получил сообщение следующего содержания (текст сохранен в оригинале):

Добрый вечер! Решил обратиться квам как специалисту по ИБ, дело втом что меня поставили на направление Иб в банке, до меня был специалист усилиями которого сообщили в цб что принимают стандарт после он растварился :), теперь вопросы мне задают :)) Подскажите счего начать внедрять стандарт ЦБ ??? где может подсматреть что в какой последовательности делать какие документы создавать или орг мероприятия :( понимаю что куча всего придёться делать но хоть по этапно подсоветуйте как поскольку отдел рисков тоже меня начал рапиливать :( хелппп. заранее огромное спс.

Навскидку я готов порекомендовать следующее:

1) Прочитайте все документы, относящиеся к Комплексу СТО БР, ну или хотя бы те, которые являются стандартами (в названии аббревиатура СТО, а не РС). Документы есть как минимум на сайте АБИСС.

2) Компания ЛЕТА выпустила неплохую методичку относительно внедрения стандарта, в ней как раз описано что и в какой последовательности надо делать. Скачать ее можно тут.

3) Советую обратить внимание на автоматизированный инструментарий, который позволит упростить выполнение ряда задач. В качестве примера ISM Revision

Эта же компания разместила на своем сайте инструмент экспресс-оценки, так что если нужно быстро понять на каком вы уровне, то пожалуйста. Инструмент бесплатный.

4) Если возникает вопрос о том какие технические решения сейчас предлагаются на рынке, то рекомендую ISM:МАРКЕТ

5) Ну и конечно почитайте форумы. Как минимум на bankir.ru. Ну и на том же ISM:Маркете.

Давайте поможем коллеге ! Кто еще чем полезным может поделиться (прошу в комменты) ?

среда, 19 декабря 2012 г.

Хакер против директора столовой

Вообще это довольно старая тема (лет 6 ей точно), но что-то вспомнилось и решил разместить:


День первый 

Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc|<, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!" 

День второй 

Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?" 

День пятый 

Хакер приходит в столовую, насыпает во все солонки сильное слабительное. Триста человек пострадало в битве за единственный на всю столовку общественный сортир, директора три месяца таскают по судам и в конце концов оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?". 

День 96-ой 

Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают. 

День 97-ой 

Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно. 

День 188-ой 

Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную. 

День 190-ый 

Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc|<, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки. 

День 193-ый 

Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени. 

День 194-ый 

В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc|< пишет позмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез. 

День 196-ый 

Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров. 

День 200-ый 

Посетители столовой с ужасом находят, что чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.


P.S.  Про наших регуляторов, интересно, нет ничего подобного ?  Может быть кто-то уже сочинил...   :)

пятница, 14 декабря 2012 г.

Чтиво на выходные

(IN)SECURE номер 35

What makes security awareness training successful?
Review - Incapsula: Enterprise-grade website security
Five questions for Microsoft's Worldwide Chief Security Advisor
Computer forensic examiners are from Mars, attorneys are from Venus
In the field: RSA Conference 2012 Europe
A mobile environment security assessment
Hack In The Box CEO on the information security landscape
In the field: IRISSCERT Cybercrime Conference 2012
Comply or die: The importance of a business-centric approach to compliance
Hackers can get in when systems are off: The risks of lights out management
It's just the guest wireless network... right?

Скачать можно по ссылке.

вторник, 11 декабря 2012 г.

Слияния и поглощения на рынке MDM и не только


На днях стало известно, что компания Citrix решила купить компанию Zenprise, одного из лидеров рынка MDM-решений (ссылка на cnews).

В общем-то стандартная сделка на рынке слияний и поглощений, которая отражает две давно наметившиеся тенденции:
  • мобилизация бизнеса и растущий спрос на технологии управления и защиты мобильных устройств
  • поглощение крупными ИТ-компаниями небольших ИБ-компаний, для того, чтобы включить их технологии в свои разработки.
Лично для меня это подтверждение моих личных предположений о том, что в не очень отдаленном будущем рынка самостоятельных ИБ-решений практически не останется и мы будем иметь дело с ИТ-сервисами/приложениями, включающими встроенную безопасность как одну из составных частей.

Возьмем совсем недавние примеры: 

Компания Intel приобрела полный пакет акций компании McAfee. Предполагалось, что за счет этого продукты McAfee получат уникальное технологическое лидерство благодаря симбиозу программной и аппаратной защиты. К сожалению пока что никакого прорыва не наблюдается, поживем увидим.

Компания Arcsight в 2010 году была куплена компанией HP.  И здесь поначалу как раз таки наоборот было опасение, что продукт вообще прекратит свое дальнейшее развитие. Этого к счастью не случилось, но в квадрате Gartner по решениям SIEM в 2012 году Arcsight (который ранее был безоговорочным лидером) потеснили решения от IBM и McAfee. 

Кстати разработка IBM это по сути решение от компании Q1 Labs, которую IBM купил в 2011 г.

Рынок MDM решений в ближайшее время ждет очень серьезная перетряска, на мой взгляд, и Citrix тут совсем не пионер. Ранее SAP приобрела компанию Sybase, бывшую лидером на рынке MDM решений, а сейчас еще и присматривается к Mobile Iron. 

Я также не исключаю, что в ближайшее время мы увидим какой-то ответ в этой области от компании VMware, основного конкурента Citrix.  

вторник, 4 декабря 2012 г.

Биржа ИБ-вакансий на ISM:МАРКЕТ

Начиная с сегодняшней недели на ismmarket.ru начинает работу новый раздел "Биржа труда".  В этом разделе будут размещаться вакансии для специалистов по информационной безопасности, собранные по России, Украине, Казахстану и Белоруссии. 

Кроме того в данном разделе любая компания может совершенно бесплатно (!) разместить свои вакансии (перекиньте эту ссылку вашим кадровикам, коллеги). 

Еще разок хочу всех поблагодарить за конструктивные советы, критику и похвалу.  Нам это очень помогает, ресурс растет и развивается и идей с каждым днем все больше и больше :)

понедельник, 3 декабря 2012 г.

Взгляд реалиста...

Коллеги, много интересных событий случилось в уходящем году на ниве информационной безопасности.  Главным образом, конечно, событий законодательных.  Но не все еще закончилось. Если верить заявлениям ФСТЭК и ФСБ, то в декабре мы можем увидеть проекты последних элементов в большом пазле под названием "Законодательство о персональных данных".  

Долго и мучительно складывался этот пазл. И лично я не жду ничего хорошего от предстоящих документов. Постановление Правительства № 1119 лично я считаю откровенно неудачным, и хотя большинство моих коллег считают что вся суть в конечном итоге будет определена в подзаконных документах, которые готовят ФСТЭК и ФСБ и что именно там нужно приложить усилия общественности и подключив коллективный разум сделать так, чтобы защита персональных данных у нас была "как в лучших домах Лондона".  Я поясню, почему я считаю это утопией.

Конечно это только моя точка зрения, я как и любой человек могу ошибаться, благо только чтобы проверить это не надо будет долго ждать. Всего лишь несколько месяцев.

Мысль 1-я. Как известно любой человек (а также и людская группа) совершают какие-либо действия по причине наличия некой мотивации (желания избежать боли или получения выгоды). Какой скажите пожалуйста резон представителям ФСТЭК или ФСБ слушать неких "экспертов по ИБ" и что-то править в документах?  Никакой ! Премии за это не полагается, а лишний геморрой нажить можно.  Задача этих людей - выполнить задачу, которую поставило Правительство, все !  Ну и (для галочки) создать видимость общественного обсуждения (для чего и просят писать на адреса вроде fsb@fsb.ru). 

Все прекрасно понимают, что эти документы не смогут создать никакого общественного резонанса, что люди не выйдут на улицу и проч. (не тот масштаб). А значит можно спокойно наплевать на всех и ничего не будет.  Напишем как сможем и поставим галочку, что задача исполнена. 

Да что там говорить, у нас же действительно даже общности никакой нет, которой можно было бы давить на регуляторов. Все заняты своими делами, никто не готов "высовываться" ради всеобщего блага. Немногочисленные блогеры это конечно лучше чем ничего, но объективно это... ни о чем.  Ассоциации....  эх.. напишу о них, но не сейчас. 

Кстати много говорилось о том, что вот поднялось общественное мнение и проекты Постановлений Правительства про уровни и требования полностью переписали. Хехе.. Давайте дождемся проектов подзаконных актов, думаю что после этого многие удивятся как (на самом деле) мало изменился смысл по сравнению с изначальной версией.

Мысль 2-я. Во многих книгах по бизнесу когда говорят о производственных конфликтах и отладке бизнес-процессов пишут такую вещь: "проблема не может быть решена на том же уровне, на котором она была создана".

Попытка воздействовать на регуляторов, направляя им свои замечания или просто дискутируя с ними через конференции или кулуарные беседы, это не более чем попытка решения проблемы даже не на том же уровне, где она создалась, а даже с уровня ниже. А значит можно сразу сказать, что такая попытка обречена на провал..  Решать такую проблему надо с уровня Федерального закона и (соответственно) Государственной думы.  Есть в Думе депутаты, готовые впрягаться в эту тему ? Думаю уже нет.  А министр Никифоров занят другими проблемами, видимо ему нет дела до законодательства о персональных данных в частности и нормативного регулирования защиты информации вообще.

Вот такие вот мысли, коллеги. Так что не стоит обольщаться..... проекты документов окажутся откровенно ужасными и править их никто не будет. 

Но.. ясно одно, нежизнеспособная схема не может существовать долго.  Думаю многие из вас знают что делают в коммерческой организации если подразделение по безопасности начинает мешать бизнесу.  На невыполнимые требования либо забивают, либо их отменяют, либо вообще нафиг разгоняют/рефомируют подразделение по безопасности, создавшее проблемы бизнесу.

Аналогичный сценарий я вижу и с требованиями по защите персональных данных. Либо ввиду невозможности их исполнения на них просто "забьют" (сейчас же забивают на то, что у нас в государственных системах используется несертифицированная SSL-криптография), либо эти требования начнут мешать "большим дядькам делать бизнес" и тогда они запустят процесс по "модернизации законодательства", либо реформа/смена поколений в федеральных службах приведет к тому, что придут новые люди и начнут менять требования. 

Так что все будет хорошо, но только (в текущей политической и общественной конструкции) к сожалению не благодаря нам....