суббота, 30 июля 2016 г.

Классификация информационных активов: взгляд со стороны ИБ

Классификация информационных активов (ИА)  это  важнейший процесс не только для обеспечения ИБ, но так же и построения управляемой ИТ-инфраструктуры всей компании. Классификация позволяет получить ключевые метрики для используемой информации - ценность, степень влияния на бизнес-процессы, требования к обеспечению т.д.  От качества выполненной классификации во многом зависит то как будет защищаться и обрабатываться информация. Более того, многие нормативные стандарты требует проведения обязательной инвентаризации и классификации ИА. Однако, какой либо единой процедуры на этот счет не существует. В сегодняшнем материалы мы попытаемся систематизировать имеющийся опыт по методике классификации ИА, а так же рассмотрим общие подходы существующие на сегодняшний день

пятница, 29 июля 2016 г.

Pokemon GO: от массовой истерии до проблем с безопасностью

Игра Pokemon GO вышедшая в начале июля и ставшая хитом породила настоящую истерию среди пользователей мобильных устройств. Пользователи перемещаются по городу с включенной геолокацией и используя технологии дополненной реальности  ловят вириальных монстров. Не смотря на то, что старт официальных продаж в России еще не объявлен, приложение устанавливается из не легитимных источников, и все больше и больше пользователей включаются в гонку за карманными монстрами. Этим ажиотажем воспользовались и  злоумышленники, которые используют все доступные им способы и виды мошенничества. 

четверг, 28 июля 2016 г.

Отзыв о книге: Пол Андер. Прыгай выше головы

Однажды в мои руки попала книжка Прыгай выше головы автора Пола Ардера. Как говорилось в описании о издателя гуру рекламного бизнеса делится своими идеями и концептами позволившие ее автору добиться высот в карьере и раскрыть его деловой и творческий потенциал. Не смотря на это, прочитав всю книжку, я бы даже сказал брошюру, исходя из ее небольшого объема и карманного размера, я сделал для себя ценные выводы. Они мало относятся к маркетингу, а скорее к мотивации и стратегическому мышлению. Книга сдержит большое количество афоризмов и личных мыслей автора, которые окажутся весьма полезными как для формирования мышления лидера так и и для тех кто еще ищет свой путь.

понедельник, 25 июля 2016 г.

Планирование ИТ-бюджета: основные моменты и особенности

Формирование ИТ бюджета это одна из ключевых  и не всегда простых задач для руководителя ИТ-отдела От эффективности спланированного бюджета во многом зависит как работа сотрудников так и  эксплуатации всей аппаратно-программной ИТ-инфраструктуры. Поэтому первостепенную роль занимают вопросы грамотного планирования затрат, выявление эффективного порога вложений, соотнесения их со стратегическими целями бизнеса. Об этих и некоторых других вопросах и пойдет речь в сегодняшней публикации.

суббота, 23 июля 2016 г.

Концепция безопасности BYOD в корпоративной среде

Как правило в больших компаниях с распределенной сетью офисов, представительств и филиалов, где работают сотни, а то и тысячи человек стала актуальна концепция BYOD (Bring Your Own Device) основанная на использовании персональных гаджетов для работы внутри корпоративной сети компании. Безусловно, это эффективно и весьма комфортно для сотрудников. Однако, обратной стороной медали становится вопрос обеспечения безопасности корпоративного периметра.
В сегодняшней публикации мы рассмотрим в целом концепцию BYOD, основные риски иcпользования персональных устройств в корпоративной сети, а так общую стратегию обеспечения защиты.

четверг, 21 июля 2016 г.

ФСБ отменяет обязательную сертификацию «гражданского шифрования»

В ранних публикациях мы уже освещали проблемы и последствия связанные с принятием пакета законов Яровой получивших широкий резонанс в обществе. Так некоторые поправки внесенные в законодательные акты Российской Федерации по сути ставили крест на использовании средств «гражданского шифрования» - популярных мессенджеров и социальных сетей. И вот, на этой недели 18 июля 2016г ФСБ официально прокомментировало сложившуюся ситуацию и опубликовало извещение отменяющее обязательную сертификацию СКЗИ для обмена электронными сообщениями в сети Интернет.

вторник, 19 июля 2016 г.

Око большого брата: система СОРМ в Российский Федерации

Статьи 23 и 24 Конституции России гарантируют любому гражданину неприкосновенность частной жизни, право на личную и семейную тайну. Законом так же охраняется тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. А любой несанкционированный сбор информации о частной жизни карается законом. Однако, там же содержится и очень важная оговорка - ограничение продекларированных выше прав допускается только на основании судебного решения. Это ограничение использующийся при провидении оперативно-розыскных мероприятий проводимых органами правопорядка и специальными органами обеспечивающих государственную безопасность. После нашумевших разоблачений Эдварда Сноудона о системе тотальной служки американскими спец службами за совими гражаднами и парнеров по Евросоюзу стало известно о таких программах как PRISM, X-Keyscore, Carnivore и Tempora
В России же для целей обеспечения ОРД спроектирован свой специальный комплекс СОРМ, речь о котором и пойдет в сегодняшнем материале.

Банк России регламентирует оказание услуг аутсорсинга ИБ

В начале прошлого месяца Банк России выложил в публичный доступ проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности». Сам документ по сути является еще драфтом, получить его можно с официально сайта Технического Комитета 122. А до 31 августа 2016г для зарегистрированных пользователей доступен сервис обсуждения и гол сования. 
Но интересна эта тема скорее другим - главный регулятор банковский сектора наконец-то обратил внимание на аутсорсинг ИБ, который в последнее время все больше и больше набирает популярность

Безопасность СУБД: BD Hacking с помощью Metasploit

Компания Pentestit предоставили вниманию широкой публике нескольку интересных видео с демонстрацией эксплуатации различных уязвимостей в популярных СУБД: Oracle, MS SQL Server, MongoDB, MySQL и даже в неприметной Firebird. Видео конечно же не является универсальным гидом по всем векторам атак на СУБД, но не весьма увлекательно и доступно раскрывает основные нюансы сетевых атак, а так же причины появления уязвимостей и методы их практической эксплуатации на резальных системах! 
Так что, смотрим, изучаем, делаем выводы и конечно же защищаем свои базы дынных!

воскресенье, 17 июля 2016 г.

Защита от DDoS: от маршрутизатора до провайдера

По многочисленным исследованиям DDoS-атаки по прежнему держатся в топ-рейтинге позиций самых распространенных векторов атак на компьютерные системы. И с каждым годом они становится все более изощренее и мощнее. Более того, организация «отказа в обслуживании» стала обычной коммерческой услугой, которая активно продается на черном рынке хакеров. В виду этого сохраняется актуальность вопроса обеспечения защиты от DDoS-атак. В сегодняшнем материале мы попытались систематизировать методы и технологии позволяющие эффективно бороться с сетевыми атаками от хоста и корпоративного сервера до оборудования расположенного на площадке у провайдера

Безопасность Android: взгляд внутрь

Несомненно Android сегодня является самой распространённой в мире мобильной системой. Грамотный маркетинг, широкий ассортимент, гибкое ценообразование и поддержка платформы со стороны внушительного числа ИТ-гигантов и производителей стали одними из главных факторов успеха этой ОС и позволили системе занять лидирующее положение на рынке. Но, как и любая другая система, Android, к сожалению, не может быть полностью безопасной, так как разработчики никогда не смогут создать идеальный код. А популярность платформы привлекает все больше злоумышленников готовых использовать уязвимости системы в корнистых целях. 
В сегодняшнем материале в мы более подробно рассмотрим, основные угрозы, механизмы защиты Android и конечно же дадим общие рекомендации по обеспечению безопасности смартфонов и гаджетов.

суббота, 16 июля 2016 г.

Гид по Kali Linux: тестирование на проникновение

Представляем вашему вниманию полный Гид по Kali Linux: тестирование на проникновение, книгу пригодную для использования как новичками так и уже опытными администраторами и экспертами ИБ для целей проведения аудита безопасности ИТ-инфраструктуры. Книга состоит из 8 частей, в которые входят 62 главы с подробным описанием используемых инструментов и методики тестирования. 
Книга является систематизированным сборником, включающим переводы англоязычных ресурсов, книг и веб-сайтов посвященных теме penetration testing и собственного опыта авторов.

пятница, 15 июля 2016 г.

Создание юридически значимого режима Коммерческой Тайны

Федеральный Закон 98-ФЗ О коммерческой тайне позволяет собственнику защищать свои ценные сведения в режиме коммерческой тайны. Однако, для создания юридически значимого режима КТ на предприятии руководству необходимо выполнить ряд примененных условий, которые позволят в случае необходимости законно отстаивать свои интересы в суде. Многие небольшие компании часто ошибаются здесь, как правило они решают проблему внедрением только технических средств пренебрегая нормативным регламентированием данного процесса. В результате работника разгласившего КТ практически невозможно привлечь к ответственности, а тем более взыскать понесенный ущерб. Поэтому сначала необходимо декларирование процессов защиты КТ, создание юридических предпосылок, а потом уже техническая реализация.

Защита Программного Обеспечения: правила написания безопасного кода

Уязвимости системного и прикладного Программного Обеспечения (ПО) стабильно и уже долгое время занимают лидирующие строки в рейтинге кибер-угроз. Не смотря на совершенствование инструментов разработки, созданию новых подходов к проектированию и программированию, непрерывно растет сложность задач, а следовательно и написанного кода. Это в свою очередь ведет к увеличению риска появления критических ошибок в ПО. Для обеспечения безопасности кода пользуются современные технологии проверки - статический и динамический анализ, ручная инспекция, Fuzz testing и другие. Но сегодня в публикации речь пойдет не об инструментальных средствах, а о концепции проектирования и написания  безопасного кода, которые мы собрали из различных источников и собственного опыта.

Закон Яровой ставит «гражданское шифрование» вне закона

Недавние нововведения в федеральное законодательство, известные как «пакет законов Яровой» в скором времени смогут принести обычными пользователям ряд проблем и сложностей связанных с использованием месседжеров, где применяется шифрование сеанса связи. На сегодняшний день действующее законодательство требует сертификации приложений (проще говоря передачи ключей шифрования в гос органы), а за использование несертифицированных программ грозит штраф от 3 до 5 тыс. рублей. Ранее в правительстве РФ поступала информации о запрете использования мессенджеров иностранного производства для госслужащих. А также, с подобной инициативой запрета частного шифрования выступали и в ряде стран Евросоюза после терактов в Париже.

вторник, 12 июля 2016 г.

Аутсорсинг ИБ: взгляд внутрь

Рынок Аутсорс-услуг сегодня активно закрепился в бизнес-среде отечественных и зарубежных компаний. Услугами аутсорса пользуются не только маленькие фирмы, но и компании среднего размера, крупные поставщики и заказчики.  Ни кого уже не удивишь деятельностью отданной на аутсорсинг: бухгалтерские услуги, юридическое сопровождение, логистика, администрирование ИТ-инфраструктуры. Пришел черед  и услуг информационной безопасности, которые  тоже стали представляться как сервис. В сегодняшней статье, мы постараемся заглянуть вглубь понятия "Аутсорсинг", рассмотреть специфику в свете ИБ и конечно обсудить щепетильный вопрос - "безопасно"ли передавать безопасность?

воскресенье, 10 июля 2016 г.

Несколько слов о NIST

Сегодня хотелось бы бегло пробежаться по серии специальных изданий документов посвященных информационной безопасности от американского института NIST. В целом блок документов получил название NIST Special Publications 800 Series. Кратко рассмотрим их комплектность и содержание.

пятница, 8 июля 2016 г.

Аудит безопасности ИТ-инфраструктуры предприятия: стратегия тестирования и основные моменты

Компании всерьез заинтересованные в обеспечении собственной информационной безопасности для формирования правильной стратегии в отношении управления рисками и уязвимостями ИБ ставят своей первоочередной задачей проведение Аудита (оценки) внутренней ИТ-инфраструктуры. Существует достаточное количество методик и международных стандартов детально описывающих и регламентирующих эту процедуру. Но не смотря на это в каждом отдельном случае в зависимости от заказчика, экспертной группы, сроков, подзадач проведения аудита возможны его вариации. Сегодня в публикации мы касаемся только технической стороны вопроса, акцентируемся на основных этапах и ключевых моментах.

четверг, 7 июля 2016 г.

Безопасность Windows Server: общие рекомендации

В серии прошлых публикаций посвященных безопасности серверных платформ мы неоднократно рассказали о GNU Linux, его механизмах и средствах защиты. Сегодня очередь дошла и до «золотого стандарта» - платформы Microsoft Windows Server. В сегодняшней статье будут обзорно собраны общие рекомендации и технологии применимые для повышения уровня безопасности Windows Server 

понедельник, 4 июля 2016 г.

Стажировка в Positive Technologies 2016: шанс для студентов

Компания Positive Technologies объявило конкурс на прохождение летней стажировки в своем главном офисе. Напомним, компания Positive Technologies довольно давно известна в России, а так же на мировом рынке, регулярно организует различные мероприятия, т.к. сотрудничество с ведущими ВУЗами в рамках образовательной программы Positive Education, делимся наработками в рамках программы бесплатных вебинаров и выступаем организаторами одной из самых ярких «хакерских» конференций Европы Positive Hack Days.