вторник, 28 июня 2016 г.

10 непреложных законов администрирования ИБ информационных систем

Более восьми лет назад Скотт Калп из Microsoft опубликовал два идеологических документа, которые до сих пор активно обсуждаются специалистами ИБ. Эти документы получили название «10 непреложных законов администрирования безопасности информационных систем» и «10 непреложных законов безопасности», которые теперь часто упоминаются во вступительной части соответствующих учебных программ в университетах США. 

Защита корпоративной сети средствами L2 оборудования Cisco

Перед администраторами сети часто ставят задачи обеспечения информационной безопасности. В большинстве случаев для решения этих задач используются межсетевые экраны, системы обнаружения вторжений IPS\IDS. Однако, не все понимают, что безопасность можно обеспечить и на L2 стандартными средствами коммутаторов (switch). В данной статье рассказ пойдет о нескольких возможных атаках на сетевое оборудование, защититься от которых поможет правильная конфигурация коммутаторов

воскресенье, 26 июня 2016 г.

Безопасность в Санкт-Петербурге на NeoQUEST-2016

Вот. и началось лето, дорогие друзья! Время отпусков, отдыха и пляжей. Провести время совмещая приятное и полезное можно будет в Санкт-Петербурге , где пройдет «очная ставка» NeoQUEST-2016 — увлекательное мероприятие для всех, кто занимается или хотел бы заниматься информационной безопасностью.

пятница, 24 июня 2016 г.

Банк России выступает за Обязательную сертификацию специалистов ИБ

Недавно стала известность новость о том, что главный финансовый институт в лице Центрального Банка России планируют в скором времени ужесточить требования к специалистам в области информационной безопасности и ввести обязательную сертификацию.

Борьба с терроризмом: удар по приватности мессенджеров и социальных сетей

Госдума 24 июня 2016 года приняла резонансный пакет новых антитеррористических законов, которые среди прочего включают  обязанность операторов связи, в том числе популярных месенджеров и социальных сетей хранить информацию о фактах разговоров и переписки пользователей с сохранением всех материалов беседы. Напомним, ранее уже существовал подобный федеральный закон, но касался он только операторов мобильной связи и распространялся на звонки и переписку СМС используя только мобильную сеть.

вторник, 14 июня 2016 г.

Безопасность АСУ ТП: последние тренды и изменения (june 2016)

В настоящей статье в виде презентации будут рассмотрены вопросы касательно последних событий на рынке кибербезопасности промышленных сетей: законодательство, инциденты, направления развития и др. с учетом изменений от конца 2015 года до начала лета 2016 года

воскресенье, 12 июня 2016 г.

Безопасность в ГОС органах: повышение квалификации кадров

Последнее время среди регуляторов, в частности ФСТЭК активно поднимается тема повышения квалификации и аттестации сотрудников в области информационной безопасности занятых в государственных органах. И это не спроста. Ведь неуклонно растет количество государственных ИС, что требует не несомненно и повышение компетенции в области ИБ. Но чем это обернется для специалистов? Вопрос пока остается открытым. А пока мы знакомимся с новым ПП-399 и делаем соответствующие выводы.

суббота, 11 июня 2016 г.

Пен-тест или Аудит безопасности: не очевидное сравнение

Тестирование на проникновение (анг. penetration testing) часто ассоциируют с проведением аудита информационной безопасности для компьютерных систем. Кто то считает эти термины синонимами, другие же специалисты видят в них совершенно разные определения. В итоге все это приводит лишь к путанице. Сегодня в статье мы попытаемся навести порядок и расставить все по своим местам.

Digital forensics: профессиональный инструментарий DEFT 8

DEFT Linux - давно зарекомендовавший себя и довольно известный в узком кругу инструмент профессионального криминалиста по расследованию компьютерных инцидентов. Начинка дистрибутива предназначена для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. По мимо Linux-платформы разработана версия и для Windows-систем с пакетом дополнений DART 2 (Digital Advanced Response Toolkit), включающий более 200 утилит.

воскресенье, 5 июня 2016 г.

Топ-10 OWASP: веб, гаджеты и облака (таблица)

В одной из прошлых статей мы уже вели небольшой рассказ о проекте OWASP и кратко касались ТОП-10 рейтинга веб-уязвимостей. Однако, веб-угрозы это не единственный на сегодня тренд. Порой более интереснее становится тема безопасности мобильных приложений, гаджетов, устройств IoT, а так же все более набирающих популярность облачных вычислений. И вот сегодня представляем вашему вниманию объединенную таблицу ТОП 10 уязвимостей по Web, Mobile и Cloud

суббота, 4 июня 2016 г.

ГОСТ 19: пишем документацию правильно

При проектировании различных систем ИТ, инфраструктуры или систем информационной безопасности, не смотря на явное разграничение для многих менеджеров, не подкованых в технической части, остается "секретом за семья печатями" отличие процессов разработки документации по ГОСТ 34 и ГОСТ 19. В нескольких прошлых статьях мы уже касались описания ГОСТ 34 (разработка АС). Сегодня же хотелось уделить внимание родственному ГОСТ 19 направленному на разработку ПО

пятница, 3 июня 2016 г.

Кибербезопасность банковской сферы на базе ЦБ

Как последовало из заявления Дмитрия Медведева сделанного на совещании по вопросу об информационной безопасности в кредитно-финансовой сфере России, будет создан Контур противодействия кибератакамисформированный на базе антихакерского подразделения ЦБ

Безопасность HTTPS: взгляд профессионала

Продолжаем рассматривать вопрос безопасности HTTPS-трафика. Напомним, ранее в одной из статей мы уже рассказывали и показывали на практике о том как можно успешно в корпоративной среде перехватить и расшифровать защищенный трафик. В продолжении же темы поговорим о базовых моментах функционирования защищенного HTTPS. И так читаем!

Перехват и расшифровка HTTPS-трафика

Сегодня все современные web-сервисы успешно перешли на использование защищенного HTTPS-протокола. Однако с приходом конфиденциальности для пользователей у компаний стремящихся контролировать рабочее время работников да и просто других параноиков прибавилось головной боли. Но и тут все оказалось не так однозначно. Нашлись методы перехвата и расшифровки данного трафика в корпоративной среде, о чем и пойдет речь в сегодняшней публикации.

Мифы о SOC (презентация)

Тема SOC в последнее время становится все актуальнее. В прошлых публикация мы уже рассказывали про центр мониторинга на государственном уровне ГосСОПКА и ЦБэшный FinCERT. Не секрет, что и ведущие компании в сфере Информационной безопасности так же создают в своих недрах фирменные SOC'и и даже более того выходят на внешний рынок с этой услугой. Вместе с тем множатся и очередные мифы. Сегодняшний публикация будет представлена в виде презентации по некоторым мифам современных SOC'ов.

Механизмы безопасности в Linux: краткий ликбез

В одной из прошлых статей мы рассматривали общие советы по безопасности Linux-систем. Сегодня же в статье  мы проведем краткий экскурс в наиболее распространенные средства, связанные с безопасностью Linux. Информация предоставлена в весьма сжатом виде, и если какое-то средство вас заинтересует, можно пройтись в интернете по интересующим темам и прочитать более подробно. 

Проверка на прочность специалиста QA

В одной из прошлых статей мы уже рассказывали об основах процесса Тестирования ПО. Тогда вопросы касались больше теоретических основ и кратко методологии проведения тестов. И тему эту начали не спроста. На рынке труда сегодня кроме программистов весьма большой спрос на и тестировщиков. Именно они помогают выпустить качественный продукт.  Сегодня в публикации мы поговорим о том как лучше подготовиться к собеседованиям на позиции специалиста по тестированию.

Open Source: битва за безопасность

Споры использования СПО для Enterprise инфраструктуры идут очень давно и до сих пор не утихают. Это уже давно удел избранных перешедший в разряд священных войн и дебатов на форумах. Однако, вопрос более чем интересный. И если раньше споры шли относительно  ИТ инфраструктуры то сегодня встает вопрос о месте OpenSource для решений по безопасности.

Сертификация PCI DSS: часто задаваемые вопросы

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

Безопасность Windows: аудит безопасности с помощью PowerShell

Недавно на Хабре нашел интересную статью. по использованию функционала Windows PowerShell в целях проведения аудита безопасности выполняемого обычными скриптами с использование стандартного лога системы. Не сказать, что решение "золотое", но однако в практике может пригодиться. Что же давайте более подробно рассмотрим как это работает.

четверг, 2 июня 2016 г.

Основы QA или немного о Тестирование ПО

Тестирование, термин имеющий прямое отношение к циклу разработки ПО, а так же к некоторым другим  смежным  с ИТ  областями деятельности. На западе тестирование более известно под другим названием QA (англ. Quality Assurance), что часто воспринимается синонимами, но по факту  таковыми не является. Сегодня в статье, мы попробуем простыми сновали рассказать о Тестировании ПО и объяснить основные моменты технологического процесса тестирования.

Мониторинг безопасности с помощью Zabbix

Споры об использовании открытого ПО (OpenSource) в задачах обеспечения безопасности идут очень давно. Как и у сторонников так и у противников этой идеи накопится неопровержимый запас аргументов в свою защиту. Однако, не смотря на это существуют зарекомендовавшие себя инструменты, которые хорошо подходят для целей ИБ. Таким примером может послужить использование системы мониторинга Zabbix. В предлагаемой сегодня вашему вниманию статье мы поближе познакомимся в этой системой.

Безопасность Linux в простых советах

В сегодняшней публикации мы коснемся в общем понимании основ безопасности Linuxx-систем. Речь скорее пойдет об общих принципах построения защищенной системы чем нежели написанию конкретных конфигов и настройки тех или иных сервисов. Материал не претендует на полному и абсолютную истинность. Однако, указанные советы несомненно будут полезными при эскизном проектировании ИБ, а также могут послужить как отправные точки для написания различного рода внутренних регламентов и политик безопасности.

Будни Информационной Безопасности 2016: Сибирь

Компания ИнфоТеКС, ведущий отечественный разработчик программно-аппаратных решений в сфере информационной безопасности, запускает цикл региональных конференций «Будни информационной безопасности: Сибирь 2016». Конференции пройдут в шести городах Сибири.

среда, 1 июня 2016 г.

Моделирование угроз ПДн по новому (v2016)

Алексей Лукацкий, известный эксперт ИБ, на одном из форумов директоров ИБ представил свежую публикацию на тему Моделирование угроз ПДн, с чем и предлагаем вам сегодня ознакомиться. Во внимание приятны последние изменения законодательства и и практический опыт моделирования от самого Алексея.

Управление К МВД РФ: страж в сфере компьютерных преступлений

В недрах Министерства Внутренних Дел России сформировано специальное управление призванное расследовать преступления сфере компьютерных технологий получившее  не замысловатое название Управление «К». В отличии, к примеру от других государственных органов как ФСБ и ФСТЭК, Управление занимается расследованием только гражданских дел. В народе «К» часто ассоциируют в деятельностью по борьбе с пиратством,  а так же расследований мошеннических действий с использованием вредного ПО, подделки пластиковых карт, незаконных игровых автоматов и т.д. Однако, это не все чем призвано заниматься Управление, перечень компетенций которой несколько шире. В сегодняшней статье мы более подробно что именно подпадает под юрисдикцию «К»  и какая за это предусмотрена ответственность.

Центр специальных разработок Министерства обороны


В одной из прошлых публикаций мы уже касались актуальный сегодня темы - создании специальных кибервосйк РФ. Однако, как оказалось, это не единственная структура в недрах военного ведовства привязанная обеспечивать информационную безопасность страны. Еще одна структура Минобороны по сей день проводит набор специалистов по информационной безопасности, умеющих анализировать хакерское ПО и декодировать телекоммуникационные протоколы. Это структура - Центр специальных разработок Министерства обороны.