пятница, 20 мая 2016 г.

Краткий Гид по теории ИБ, уязвимостям и основным атакам

Ведя свою преподавательскую деятельность в одном из ВУЗов, не смотря на то, что работал только с выпускниками и старшими курсами, я заметил, что моим будущим коллегам зачастую не хватает системного взгляд на безопасность. И тогда зародилась у меня идея создания некоторого пособия или справочника, который бы кратко, ясно и четко доносил для будущих выпускников самое важное.  И вот, представляю вашему вниманию краткий Гид по различным вопросам ИБ: теория, уязвимости, основные атаки, методы защиты и т.п. изложенный простым и доступным языком. Безусловно мы не претендуем на полноту изложения или истинность в последней инстанции. Скорее позиционируем как обзор связанный с ИБ-шной темой. Как и писал ранее, будет он полезен прежде всего студентам, систематизирующим свои знания, всем тем, кто готовится на идти собеседования, ну и быть, может, тем, кто просто интересуется вопросами безопасности, но не является при том профессионалом.

среда, 18 мая 2016 г.

Эволюция InfoWatch: система для прослушивания корпоративных мобильных телефонов

В недавнее время СМИ облетела новость о том, что Компания InfoWatch, принадлежащая Наталье Касперской, предложила работодателям механизм перехвата, анализа и прослушивания телефонов сотрудников в офисах. Это вызвало широкий резонанс в кругах экспертов ИБ, правозащитников и простых обывателей внимательно следящими за новостями в сфере ИТ. Так же появилась новость, что в Госдуме назвали систему, разработанную компанией Касперской, неконституционной.

вторник, 17 мая 2016 г.

Средства Защиты Информации: набор "ДО" и "После"

В одной из  прошлых статей мы писали про то как с помощью социальной инженерии и человеческого фактора можно осуществить успешную атаку на корпоративную сеть крупной компании выполнил все этапы убийственной цепочки (kill chain). Не смотря на то что в копании принята политика формационной безопасности и применяются различные СЗИ - межсетевые экраны, антивирусы, прокси сервера и т.д. А что же тогда  с теми кто вообще не использует СЗИ? Они более уязвимы? Сегодня речь пойдет о том как же найти оптимальный состав СЗИ необходимый именно  вам.

понедельник, 16 мая 2016 г.

Как взламывают корпоративные сети (презентация и видео)

На одной из конференций Security Day компании CTI был проведен интересный эксперимент доказывающий каким образом можно выполнять убийственную цепочку (kill chain) и проникнуть внутрь хорошо защищенной корпоративной сети.

суббота, 14 мая 2016 г.

Поиск работы в сфере ИБ: ошибки конкурсантов

Поиск новой работы всегда ответственное мероприятие. Тем боле  в наше время кризисов и нестабильности. Хотя зачастую бывает, что рынок переполнен от предложений соискателей, но все таки найти достойного специалиста становится порой задачкой не простой. Другие же конкурсанты напротив имеют высокую квалификацию, активно проявляют себя в поиске, но так и не могут получить соответствующую им должность. Конечно причин на то может быть великое множество, но таки существенно оказывает влияние резюме, которые они составляют и оправляют потенциальному работодателю. Сегодня мы разберем типичные ошибки  соискателей на вакансии связанные с Информационной безопасностью.

суббота, 7 мая 2016 г.

Oracle: Check List по безопасности

Обеспечение безопасности работы СУБД и конфиденциальности обрабатываемой в ней информации не менее важные задачи чем, например, обеспечение производительности или отказоустойчивости системы. Наиболее популярной и мощной в промышленном использование СУБД на сегодня является Oracle DataBase. Хотя по безопасности Oracle написано  множество  книг и посвящено других материалов, тем менее хотелось бы сделать некий шаблон безопасности или чек-лист по которому можно было быстро набросать эскиз политики безопасности или провести экспресс-аудит.

пятница, 6 мая 2016 г.

Balanced Scorecard - карта для руководителя

Одна из важнейших функций Руководителя отдела или Топ-менеджера компании это принятие своевременного правильного управленческого решения относительно стратегического развития своего направления  или компании в целом. Для этого часто нужно получить исходную информацию в очень сжатом, но в тоже время достоверном и достаточном объеме для анализа и выбора правильного решения. В теории менеджмента для этих целей писпольузется Сбалансированная система показателей (ССП) или Balanced ScoreCard (BSC), речь о которой и пойдет в сегодняшней публикации.

четверг, 5 мая 2016 г.

Размышления о PDCA (Цикл Деминга)

Мы уже не раз слышали о Цикле Деминга и о том как эту схему нужно применять в менеджменте процессов ИБ. И вот недавно читая русскоязычное блог-сообщество наткнулся на еще одну интересную статью посвященную  данному вопросу. Интерес вызвал то, что публиковал ее наш коллега, специалист по безопасности, а сама схема была взята им из свеже переведенного на русский язык compliance по управлению бизнес-процессами. Возможно это свежий взгляд на привычные вещи. 

KPI: теория оценки эффективности

KPI (англ. Key Performance Indicators) или как более понятное в русском написании как КПЭ (ключевые показатели эффективности) система индикаторов являющаяся важнейшим инструментом оценки результатов хозяйственной отделенности. Система пользуется как для определения эффективности всего предприятий так и показателей деятельности отдельно взятого подразделения, отдела, службы или сотрудника. Сначала в западных компаниях, а сейчас уже и у нас KPI часто ложится в основу формирования заработной платы топ-менеджмента, распределения годовых премии, различных стимулирующих выплат и бонусов. Поэтому очень важно понимать как формируются KPI показатели. В сегодняшней статье  мы как раз и коснемся таковых основ.

10 эффективных приемов манипулирования в деловом общении

В одной из предыдущих публикаций мы уже касались методики эффективного делового общения. Но если раньше речь больше относилась к расшифровке невербальных и неосознанных реакций, правильном их толковании - мимики, поз и жестов, то в продолжении темы сегодня мы расскажем об эффективных приемах манипулирования в процессе деловой общения. Это простые и действенные приемы хорошо известные в психологии. Конечно же они вам не гарантируют успех в абсолютно любой сделке. Но, как инструмент увеличивающий вашу симпатию со стороны собеседника вполне подойдут.

Сводная таблица - Сертифицированные средства защиты информации

Сегодня представляю вашему вниманию сводную таблицу  по сертифицированным СЗИ.  Это по сути реестр отечественных и зарубежных продуктов ИБ прошедших необходимые проверки и имеющих соответствующие сертификаты ФСБ и ФСТЭК. Не смотря на то, что реестр имеет некоторую давность, СЗИ указанные в нем по прежнему актуальны, ведь пополнение списка происходит всегда с некоторым запозданием. А полную версию всех СЗИ, актуальных уже не поддерживаемых, можно найти на официальном сайте ФСТЭК.

среда, 4 мая 2016 г.

Web-уязвимости: краткий ликбез

Web-безопасность последние годы остается в тренде. Все больше новостей мы можем слышать о взломе сайтов крупных финансовых компаний, ИТ-гигантов рынка таких как Sony, и даже сайтов ведомств США. Однако, что бы разбираться в web-безопасности нужно по мимо теории ИБ не плохо разбираться еще и в клиент-серверном взаимодействии, знать несколько общепринятых языков программирования и отлично понимать работу различных баз данных. Конечно, нужно помнить, что часто взломы становятся не только благодаря стараниям злоумышленников, но и в виду возникновения некоторых недекларированных возможностей ПО или не преднамеренно допущенных ошибок при написании софта. О чем очень кратко мы и поговорим в сегодняшней публикации.

Бюджетирование на предприятии: краткий очерк

Бюджетирование - крайне важный и очень значимые элемент грамотного финансового управления любого предприятия или проекта. Бюджетирование обеспечивает прозрачность формирования финансовых результатов, возможность превентивных действий в случае выявления неблагоприятных тенденций, способствует поиску оптимальных альтернативных вариантов развития, и в целом определяет рост и дальнейшее развитие любого дела. В сегодняшней статье, больше с точки рения Бухгалтерского учета и Контроллинга, мы разберем общие черты процесса Бюджетирования и остановимся на важных моментах выбора ПО для автоматизации этой деятельности.

вторник, 3 мая 2016 г.

Деловое общение - позы, жесты и мимика

Для ведения переговоров, подписания контракта, привлечение нового стратегического партнера или клиента умение правильно общаться и вести себя зачастую бывает более ценнее чем нежели профессиональные знания и компетенции. Ведь процесс переговоров - это прежде всего процесс коммуникации между людьми. И, как было это не было хорошо или плохо, в этом процессе есть доля неформальных событий и симпатий, которые при грамотном управлении могут склонить чашу весов в вашу пользу. Одним из таких инструментов является умение читать позы, мимику и жесты собеседника, видеть, что за ними скрыто. Помните, если в разговоре, что то можно утаить или исказить, то как правило невербальное повдение не контролируются сознанием собеседника и выдают все его "секреты"


понедельник, 2 мая 2016 г.

SIEM: ответы на часто задаваемые вопросы

Многие крупные компании, да и те, что поменьше, уже долгое время используют SIEM-системы в качестве одного из наиболее распространенных инструментов обеспечения информационной безопасности. Однако, часто можно слышать от людей, в том числе офицеров безопасности, что SIEM-система работает в режиме 24\7 и таким образом защищает их периметр! Это режет слух, ведь SIEM даже исходя из названия это прежде всего управление событиями ИБ, а потом все остальное. Для внесения ясности в данный вопрос возникла идея написать статью.  В добавок читая не неделе Хабр я наткнулся на интересную публикацию по схожей тематике. Результаты этих трудов предстаем вам в сегодняшней публикации.

Malware не ускользнет: самостоятельный анализ вредоносного кода


Анализ любого вредоносного кода требует специфических знаний отладки, машинных команд ассемблера, знания внутреннего устройства аппаратной и программной платформы. Это хлеб для вирусных аналитиков, ревеср-инженеров и  исследователей exploit-паков и т.д.. Именно благодаря им в базы антивирусного ПО добавляются новые сигнатуры и производителями выпускаются пачти закрывающие найденные уязвимости в ПО. Однако, как показала практика, разобраться в азах этого анализа возможно даже человеку не связанному напрямую с этой деятельность. Вы спросите - Как? Этому и посвящена наша сегодняшняя статья.


воскресенье, 1 мая 2016 г.

Шпаргалка по таблице классов защищенности АС (РД ГТК России)

Руководящие документы (РД) ГосТехКомиссии России, организации ныне преобразованной во ФСТЭК,  не смотря на год их выпуска до сих актуальны и используются в деле по защите информации. Они занимают роль национальных оценочных стандартов. В свое время качестве стратегического направления ГосТеКкомиссия России выбрала ориентацию на "Общие критерии", из логики которых и рождались в дальнейшим РД и и до сих пор издается стек документов ГОСТ ИСО МЭК.