понедельник, 4 июля 2011 г.

Дайджест ИБ за 27 июня - 03 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Отличный пост Ригеля "Десять ключей к сертификации по ISO 27001". Автор делится практическими рекомендациями по подготовке и прохождению сертификации по ISO 27001: 1) читайте стандарт в оригинале; 2) не перегружайте себя информацией, чтобы не запутаться - достаточно серии ISO 27xxx; 3) для понимания отдельных требований можно поискать параллели в ISO 9xxx; 4) правильно выбирайте область сертификации; 5) прежде чем выходить на сертификацию, нужно пройти хотя бы один цикл PDCA; 6) для каждого "контрола" нужны документальные свидетельства, как и для СМИБ в целом; 7) в первую очередь запускайте цикл, непосредственно связанный с требованиями 27001; 8) перечень необходимых аудиторам документов берите из 27001 и 27002; 9) требуйте предсертификационный аудит; 10) не перевыполняйте план, не увлекайтесь лучшими практиками - вам нужна адаптированная под вашу организацию СМИБ, которую вы сможете потом реально эксплуатировать.
Лучшие посты из англоязычных блогов по ИБ 
  • Пост David Maynor "Согласитесь, безопасность проиграла на этот раз", в котором Дэвид рассматривает вопрос влияния недавних подвигов хакерских сообществ, типа LulzSec, на безопасность. Многие (особенно вендоры) считают, что их деятельность окажет положительное влияние - компании уделят больше внимания безопасности, будут выделять на нее больше средств. Однако Дэвид согласен с такими выводами лишь отчасти. Он говорит о том, что компании, тратившие на безопасность огромные деньги, попались на элементарных уязвимостях - SQL-инъекциях и паролях по умолчанию. Какая же польза была от огромных затрат?! Дэвид считает, что пока не изменится менталитет руководства компаний в отношении безопасности, никакие затраты не позволят обеспечить реальную безопасность.
  • Пост Johannes Ullrich "Все сети уязвимы?". Йоханнес также обращается к теме недавних громких атак, но рассматривает их под несколько иным углом. Он считает, что предотвращение абсолютно всех нарушений безопасности не является целью обеспечения ИБ. Цель ИБ - снижение рисков до приемлемого уровня. Только при таком подходе обеспечение ИБ является решаемой задачей. Как можно снизить риск? Риск можно снизить, уменьшив вероятность (частоту) его реализации - т.е. внедрив защитные меры, а также уменьшив величину потенциального ущерба. В любом случае, бизнес строится на доверии и задачей ИБ является укрепление доверия к системам компании со стороны ее клиентов и партнеров.
  • Пост Lenny Zeltser "4 совета по правильному написанию Пояснительной записки (Executive Summary) в Отчете по результатам оценки безопасности". Ленни говорит о том, что большая часть аудитории, для которой предназначается такой отчет, не будет читать его целиком, а ограничится только первой страницей. Поэтому очень важно, чтобы на первой странице было краткое резюме всего отчета, а именно - Пояснительная записка. При этом она должна: 1) иметь смысл и быть понятной для нетехнической аудитории - не перегружайте ее техническими деталями; 2) быть связанной с деятельностью компании, иметь значение для бизнеса - ссылайтесь на бизнес-процессы, показатели деятельности, риски, обязательства; 3) быть краткой - не более 1 страницы; 3) быть конкретной - делайте конкретные заявления и указывайте цифры, вместо слов "некоторые", "многие" и т.п.
  • В своем следующем посте "6 качеств хорошего Отчета по результатам оценки безопасности", Ленни дает рекомендации по написанию самого Отчета. Он говорит о том, что даже отлично сделанная работа может быть загублена плохо написанным отчетом. Чтобы этого не произошло, соблюдайте следующие правила. Отчет должен: 1) начинаться с правильно написанного резюме (пояснительной записки) (см. выше); 2) давать содержательный анализ, а не просто отчет инструмента оценки (например, сканера безопасности); 3) содержать все необходимые цифры для обоснования выводов; 4) содержать описание методологии оценки и границ оценки; 5) выглядеть профессионально, не содержать орфографических ошибок и опечаток; 6) быть структурирован, разделен на логические разделы.
Интересные статьи и заметки по менеджменту, коммуникациям
Законодательство
Стандарты, руководства, лучшие практики, исследования
  • MITRE опубликовала новый отчет "2011 CWE/SANS Топ 25 наиболее опасных ошибок в программном обеспечении". Ошибки разделены на три категории: небезопасное взаимодействие между компонентами, опасное управление ресурсами, недостатки в защите. Ошибки все те же - SQL-инъекции, инъекции команд ОС, переполнение буфера, XSS, проблемы аутентификации и авторизации, жесткое указание в коде реквизитов доступа, хранение критичных данных без шифрования и т.д.
  • Министерство внутренней безопасности США провело исследование в ходе которого они разбросали на парковке одного из государственных учреждений флешки и компакт-диски, причем некоторые из них имели логотип этого учреждения, а некоторые - нет. В результате исследования было установлено, что сотрудники этого учреждения подключили к своим компьютерам 60% найденных носителей информации без логотипа их учреждения и 90% - с логотипом. При этом нужно отметить, что в этом учреждении регулярно проводились обучения сотрудников по вопросам ИБ, возможным угрозам, с примерами их проявлений. Исследование еще раз показало, что человеческие ошибки являются одной из самых больших угроз ИБ.
Новости
  • Symantec выпустила документ "Окно в безопасность мобильных устройств" (на английском). В документе рассматриваются вопросы безопасности мобильных операционных систем Google Android и Apple iOS. Хотя обе операционные системы являются достаточно современными и были разработаны с учетом современных угроз безопасности, все же значительное внимание в них уделено вопросам удобства использования, что привело к определенным компромиссам. В документе достаточно подробно рассмотрены модели безопасности, лежащие в основе обоих платформ, проанализирована их подверженность различным типам атак.
  • Появился интересный сайт для проверки устойчивости к социальной инженерии ;-). Сайт "Is Your Credit Card Stolen?" предлагает вам узнать, не были ли украдены реквизиты вашей банковской карты. Для этого на сайте нужно ввести номер карты, срок действия и имя держателя карты. Если пользователь не заметил подвоха, и ввел все эти данные, он попадает на страницу, которая поясняет, что он стал жертвой социальной инженерии. Владельцы сайта уверяют, что никакой информации о картах они не собирают. За ссылку спасибо Дмитрию Евтееву.
  • Руководство Citibank признало, что в результате недавней атаки, хакерам удалось похитить 2,7 млн. долларов США со счетов 3400 клиентов банка. Банк возместит убытки клиентов.
  • Обнаружен новый руткит Popureb, для удаления которого требуется переустановить Windows, либо  восстановить MBR при помощи диска восстановления.
Инциденты за неделю
  • Появился второй троян, направленный на электронную валюту bitcoin. Только если первый троян просто воровал кошельки пользователей, новый ворует их компьютерные ресурсы. После заражения компьютера этим троянов, в нем запускается процесс, начинающий генерировать монеты bitcoin для создателя трояна. Однако создателя трояна на этот раз постигла неудача - его аккаунт почти сразу вызвал подозрения администрации и был заблокирован.

Комментариев нет: