пятница, 26 апреля 2013 г.

Пятничная инфографика: ТОП-10 самых громких взломов !

ТОП-10 самых громких взломов за последние годы.   Картинка под катом (осторожно, трафик).


среда, 24 апреля 2013 г.

Сравнение WAF решений

Эксперты из компании Zero Science Lab подготовили сравнение 3х WAF решений:  2х облачных сервисов - Incapsula и CloudFlare,  а также бесплатного mod_security. 


По результатам, как говорится, no comments....

Разочаровал CloudFlare, если верить отчету, то их система - это вообще большая дыра. 

четверг, 18 апреля 2013 г.

Обзор Центрального Банка по инцидентам информационной безопасности

Ознакомился с обзором ЦБ, подготовленным по результатам сбора отчетности в 2012 г. по форме 0403203.


Вообще надо сказать появление подобной статистики это уже огромный шаг вперед по сравнению с ее полным отсутствием ранее. Но все же есть в обзоре вещи которые лично меня смутили.

Во-первых, статистика отчетности. Почти 90% отчитавшихся не выявили ни одного инцидента, из оставшихся почти половина сообщила только об одном инциденте. 



На мой взгляд это говорит о том, что либо информация об инцидентах замалчивается (что более вероятно), либо для служб безопасности банков они проходят незамеченными. Говорю я так на основании того, что множество экспертов за последние годы отмечало рост кибер-преступности, хищений в ДБО и даже ходили разговоры об угрозе устойчивости банковской системы. А тут, раз, и вроде как только около 10% банков сталкиваются с инцидентами. Странно...

Во-вторых, смутила разбивка по типам инцидентов


Согласно статистике львиную долю инцидентов составляют переводы денежных средств лицами, не обладающими правом распоряжения этими денежными средствами. А вот, например, воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, всего 6%, т.е в 7 раз меньше. Если я правильно понимаю, то ко второму типу относятся инциденты подмены платежных поручений - один из основных способов атаки на юрлиц в настоящий момент. 

Получается что чаще всего пытаются украсть деньги за счет кражи данных банковских карт (номер, пин, CVV), либо самих карточек, либо паролей доступа к системе ДБО ? Или тут есть пересечение ? К какому типу относится инцидент при котором злоумышленник, используя вредоносный код, получает удаленный доступ к компьютеру бухгалтера и проводит несанкционированную транзакцию через банк-клиент ?  Вроде и вредоносный код используется, и платежное поручение не искажается, а просто создается новое преступником, не имеющим полномочия его создавать. 

Ну и в-третьих, статистика по объектам воздействия. Тут вообще все непонятно. 


В моем представлении автоматизированные системы, используемые для осуществления переводов денежных средств, это сочетание программного обеспечения и СВТ (если под этим понимать аппаратное обеспечение), и почему эти объекты разделены на 3 пункта я не очень понял. Если кто-то может пояснить, напишите в комментариях. 

Кстати, в новой форме отчетности, которая должна быть скоро принята и которая анонсировалась в конце прошлого года, все стало более структурировано и понятно, так что в будущем думаю что вопросов к статистике будет меньше. 

В завершение, снимаю шляпу перед коллегами из ЦБ, которые запустили работу по сбору информации об инцидентах информационной безопасности. Думаю, что механизмы контроля за корректностью отчетности ЦБ будет дальше совершенствовать (и может быть ужесточать), чтобы отчетность не превратилась в профанацию.

пятница, 12 апреля 2013 г.

Исследование рынка ИБ в России

Данный пост навеян мыслями, родившимися по результатам ознакомления с Исследованием рынка ИБ, подготовленным Женей Царевым сотоварищи. 

Я не буду разбирать это исследование по косточкам, ругать или хвалить его. Думаю что и критики и похвалы коллеги получили уже достаточно ... и скорее всего еще получат :)

В конечном счете любое исследование это всегда некое приближение к реальности ведь точных цифр по рынку все равно не знает никто. Насколько точным получилось это приближение можно дискутировать. В любом случае есть ощущение, что оно ближе к реальности чем отчеты того же IDC. 

Довелось мне тут на партнерской встрече с крупным западным вендором посмотреть исследование российского рынка от IDC. Яркая зарисовка: в этом исследовании в сегменте систем анализа уязвимостей Positive Technologies не было вообще ! Как вам ? 

И само исследование и разразившаяся вокруг него дискуссия навели меня на следующие мысли:

1) Рынок ИБ в России дозрел до необходимости наличия аналитики и независимой оценки его состояния. Осознание есть, потребность есть, нормальной оценки пока нет.

2) Главной проблемой всех исследований рынка ИБ в России была и пока остается субъективность и порой предвзятость авторов таких исследований. Я знаком со всеми авторами исследования (кроме одного), знаю где они работают (хотя вот в отчете об этом не сказано. почему ?) И с сожалением констатирую, что не всем удалось сохранить "холодность слога", проскакивают эмоции и похвала своей компании.

3) Любое качественное исследование - это титаническая работа, которая должна стоить денег. Обсуждаемое исследование делалось на чистом энтузиазме, но я убежден что на нем одном далеко не уедешь. Качественная вещь должна стоить денег ! Только так можно обеспечить достойный результат. Поэтому все же у исследований должен быть либо спонсор (но тут в зависимости от спонсора опять может возникнуть конфликт интересов), либо потребитель, готовый за него платить (отчеты Gartner, IDC и проч. стоят денег и это нормально)

В качестве итога скажу, что я бы оценил это Исследование скорее как набор мнений экспертов, с которым лично мне было интересно ознакомиться. С чем-то я согласен, с чем-то категорически нет.  Значит будет о чем поговорить при встрече :)

четверг, 11 апреля 2013 г.

Полезные инструменты для реального тестирования безопасности ИТ-инфраструктуры

Если говорить о проведении реального, практического тестирования ИТ-инфраструктуры на защищенность, то в этом вопросе "техническая мысль" за последние годы продвинулась очень далеко.  Автоматизация приходит на помощь специалистам по информационной безопасности и  под автоматизацией я понимаю не только и не столько сканеры уязвимостей, а массу других дополнительных инструментов. 

В этом посте я хотел бы поделиться некоторыми свежими ссылками на инструменты, которые могут пригодится в работе. 

Для начала теория.  Для тех, кто любит получать информацию в виде удобных майнд-карт, то вот здесь - http://www.amanhardikar.com/mindmaps.html можно найти несколько карт по разным категориям тестирования. 

Еще одна карта с перечнем уязвимых веб-приложений, на которых можно тренировать навыки есть тут - http://www.amanhardikar.com/mindmaps/Practice.html (ее почему-то не видно в общем списке)

Если в рамках аудита перед вами стоит задача оценить стойкость используемых сотрудниками паролей, то в этом вопросе может помочь замечательный облачный сервис Cloudcracker - https://www.cloudcracker.com/

Ну и конечно же нельзя обойти вниманием специальные дистрибутивы, содержащие широкий набор различных утилит для проверки на прочность вашей сети. 

Безусловным лидером (с точки зрения известности и аудитории пользователей) конечно же является Backtrack, который недавно был переименован в Kali Linux - http://www.kali.org/.  Интересной вещью является то, что этот дистрибутив уже активно портируется на мобильные устройства (планшетники и телефоны). 

Но не Backtrack'ом единым как говорится. Еще я бы выделил следующие дистрибутивы:

Samurai Web Testing Framework (ссылка) - этот дистрибутив содержит широкий набор инструментов, предназначенных для выявления уязвимостей в веб-приложениях. 

DEFT Linux (ссылка) - этот дистрибутив предназначен в первую очередь для проведения расследований (forensic investigation).

Network Security Toolkit (ссылка) - данный дистрибутив содержит утилиты, которые в первую очередь направлены на анализ состояния сети и выявления сетевых уязвимостей и атак. 

пятница, 5 апреля 2013 г.

Отчет компании Trustwave по безопасности

Компания Trustwave опубликовала отчет

2013 TRUSTWAVE GLOBAL SECURITY REPORT

в котором в общем-то традиционной для себя манере представила ключевые тенденции, которые удалось выявить в ходе проведения пен-тестов, участия в расследовании кибер-преступлений, отражении веб-атак и проч. Отчет очень интересный и довольно объемный (79 страниц). 

Основные выводы, которые делают авторы отчета:
  • Ритейл снова под ударом!  Почти 45% всех проведенных расследований кибер-преступлений связаны с атаками на ритейлеров. 
  • Взлом веб-приложения стал основным вектором атаки на организации. Это относится в первую очередь конечно же к организациям, которые занимаются электронной коммерцией. 
  • Количество вредоносного кода под мобильные платформы за год выросло на 400%
  • Время выявления инцидента возросло и в настоящий момент составляет в среднем 210 дней. Т.е в среднем с момента взлома до его обнаружения проходит более полу года. 
  • Объем спама в общем почтовом потоке сокращается и в настоящий момент составляет около 75%
  • Даже базовые меры безопасности по-прежнему внедрены и работают далеко не во всех организациях. Пароль Password1 по-прежнему остается одним из самых популярных паролей, выявляемых в ходе проведения аудитов и пен-тестов.