воскресенье, 17 апреля 2011 г.

Дайджест ИБ за 11-17 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, лучшие практики, обзоры
  • Новости
  • Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ
  • Презентация Алексея Лукацкого "Риски использования социальных сетей". Алексей сделал всеобъемлющий обзор современных интернет-угроз в контексте использования социальных сетей сотрудниками компаний (и не только).
  • Перевод статьи Dan Tynan "7 грязных трюков консультантов", в которой Дэн рассказывает о приемах, применяемых некоторыми консультантами, чтобы выудить побольше денег со своих заказчиков, снизить себестоимость проектов, выиграть тендеры и т.д. Для России тема не менее актуальна. За перевод спасибо Александру Бондаренко.
  • Перевод поста Derek Newton "Dropbox уязвим изначально?". Дерек исследовал способ аутентификации в клиентском приложении Dropbox и выяснил, что для аутентификации используется только значение host_id, которое присваивается компьютеру при первом подключении и никогда больше не меняется. Получив значение host_id злоумышленник может получить доступ к чужим файлам в Dropbox незаметно для их владельца. За перевод спасибо Владимиру.
  • Запись вебинара Владимира Чугунова "К вам пришла проверка. Что делать?". Часть 1. Часть 2. Речь в вебинаре идет о проверках по вопросам персональных данных, но данные в нем рекомендации, в принципе, применимы и в других случаях проверок государственными службами. За ссылки спасибо Евгению Цареву.
  • Интересная заметка Николая Федотова "Пальцы второго сорта" о рисках использования биометрии (отпечатков пальцев), если одни и те же пальцы будут использоваться одновременно для "серьезных" (типа банкомата) и "несерьезных" (типа двери в гостинице) систем.
  • Пост Дмитрия Евтеева "Безопасность ERP-систем". Дмитрий обращает внимание на проблемы, связанные со встроенными учетными записями и паролями "по умолчанию" в системе SAP
  • Статья Ильи Медведовского "PA-DSS vs разработчики, или ожидает ли российские банки эпидемия взломов", в которой Илья дает негативный прогноз в отношении повышения безопасности приложений в ближайшем будущем, даже для приложений, на которые распространяются требования PA-DSS. "Зачем разработчику тратить свои деньги на безопасность, если их решения покупают и так?", задает риторический вопрос Илья.
Лучшие посты из англоязычных блогов по ИБ
  • Компания Trusteer провела эксперимент, который показал, что обучение пользователей не может защитить их от атак социальной инженерии. Экспериментаторы отобрали группу хорошо осведомленных в вопросах безопасности участников социальной сети LinkedIn, изучили их контакты, а потом направили им по электронной почте сообщения, очень похожие на те уведомления, которые они постоянно получают от LinkedIn. Ссылки в сообщениях вели на специальный веб-сайт. В результате 68% перешли по этим ссылкам. Остальные 32% либо не видели сообщения, либо не заинтересовались им... Trusteer делает вывод, что упор в организации защиты от таких атак следует делать все-таки на технические средства.
  • Пост Lenny Zeltser "Может ли соответствие требованиям регуляторов поощрять слабую безопасность?". Ленни высказывает интересную мысль, что компании могут "прикрываться" формальным соответствием, чтобы оправдать недостаточный уровень безопасности. Если инцидент все же произошел, такая компания может свести к минимуму общественный резонанс и число исков, показывая документ о соответствии предъявляемым к ней требованиям (например, PCI DSS).
Интересные статьи и заметки по менеджменту, коммуникациям
  • Книга Славы Панкратова "Черная книга менеджера". Не пожалейте час времени, книга - MUST READ. Отлично прочищает мозги в вопросах взаимоотношений с руководством, работы с подчиненными, собственной мотивации. Правда в книге речь идет об ИТ, но к ИБ это применимо ни чуть не меньше. Кстати, автор рассылает книгу бесплатно всем желающим.
  • Статья Фаины Филиной "Банк на попечении", в которой рассказано о передаче на аутсорсинг отдельных процессов кредитных организаций. Указаны основные "за" и "против" такого решения, рассмотрены возникающие при этом риски.
Стандарты, лучшие практики, обзоры:
  • Open Group выпустила новую версию стандарта "Модель зрелости системы управления ИБ" (O-ISM3) (на английском), который позволяет определять приоритеты, оптимизировать затраты на ИБ, постоянно совершенствовать СУИБ с помощью определенных в стандарте метрик. Здесь - небольшой обзор.
Новости
Инциденты за неделю
  • Хакеры взломали сервера WordPress, получили административный (root) доступ к ним. Скомпрометированы личные данные и пароли пользователей, а также аутентификационные данные от различных внешних сервисов. Владелец блогохостинга рекомендует всем пользователям WordPress срочно сменить пароли. Интересно, что в тот же день год назад WordPress также был взломан.

Комментариев нет: