Записки пен-тестера или мини подборочка профильных статей с канала w2hack

Друзья, сегодня хочу поделиться с вами профильной мини подборочкой материалов с моего авторского telegram паблика w2hack для всех тех кто занимается практикой пен-теста или тестированием на проникновение. Это список самых читаемых за последнее время статей по указанной теме

Аутсорсинг ИБ: взгляд внутрь

Рынок Аутсорс-услуг сегодня активно закрепился в бизнес-среде отечественных и зарубежных компаний. Услугами аутсорса пользуются не только маленькие фирмы, но и компании среднего размера, крупные поставщики и заказчики.  Ни кого уже не удивишь деятельностью отданной на аутсорсинг: бухгалтерские услуги, юридическое сопровождение, логистика, администрирование ИТ-инфраструктуры. Пришел черед  и услуг информационной безопасности, которые  тоже стали представляться как сервис. В сегодняшней статье, мы постараемся заглянуть вглубь понятия "Аутсорсинг", рассмотреть специфику в свете ИБ и конечно обсудить щепетильный вопрос - "безопасно"ли передавать безопасность?

Безопасность Windows Server: общие рекомендации

В серии прошлых публикаций посвященных безопасности серверных платформ мы неоднократно рассказали о GNU Linux, его механизмах и средствах защиты. Сегодня очередь дошла и до «золотого стандарта» - платформы Microsoft Windows Server. В сегодняшней статье будут обзорно собраны общие рекомендации и технологии применимые для повышения уровня безопасности Windows Server 

10 непреложных законов администрирования ИБ информационных систем

Более восьми лет назад Скотт Калп из Microsoft опубликовал два идеологических документа, которые до сих пор активно обсуждаются специалистами ИБ. Эти документы получили название «10 непреложных законов администрирования безопасности информационных систем» и «10 непреложных законов безопасности», которые теперь часто упоминаются во вступительной части соответствующих учебных программ в университетах США. 

Защита корпоративной сети средствами L2 оборудования Cisco

Перед администраторами сети часто ставят задачи обеспечения информационной безопасности. В большинстве случаев для решения этих задач используются межсетевые экраны, системы обнаружения вторжений IPS\IDS. Однако, не все понимают, что безопасность можно обеспечить и на L2 стандартными средствами коммутаторов (switch). В данной статье рассказ пойдет о нескольких возможных атаках на сетевое оборудование, защититься от которых поможет правильная конфигурация коммутаторов

Digital forensics: профессиональный инструментарий DEFT 8

DEFT Linux - давно зарекомендовавший себя и довольно известный в узком кругу инструмент профессионального криминалиста по расследованию компьютерных инцидентов. Начинка дистрибутива предназначена для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. По мимо Linux-платформы разработана версия и для Windows-систем с пакетом дополнений DART 2 (Digital Advanced Response Toolkit), включающий более 200 утилит.

Топ-10 OWASP: веб, гаджеты и облака (таблица)

В одной из прошлых статей мы уже вели небольшой рассказ о проекте OWASP и кратко касались ТОП-10 рейтинга веб-уязвимостей. Однако, веб-угрозы это не единственный на сегодня тренд. Порой более интереснее становится тема безопасности мобильных приложений, гаджетов, устройств IoT, а так же все более набирающих популярность облачных вычислений. И вот сегодня представляем вашему вниманию объединенную таблицу ТОП 10 уязвимостей по Web, Mobile и Cloud

Перехват и расшифровка HTTPS-трафика

Сегодня все современные web-сервисы успешно перешли на использование защищенного HTTPS-протокола. Однако с приходом конфиденциальности для пользователей у компаний стремящихся контролировать рабочее время работников да и просто других параноиков прибавилось головной боли. Но и тут все оказалось не так однозначно. Нашлись методы перехвата и расшифровки данного трафика в корпоративной среде, о чем и пойдет речь в сегодняшней публикации.

Безопасность Windows: аудит безопасности с помощью PowerShell

Недавно на Хабре нашел интересную статью. по использованию функционала Windows PowerShell в целях проведения аудита безопасности выполняемого обычными скриптами с использование стандартного лога системы. Не сказать, что решение "золотое", но однако в практике может пригодиться. Что же давайте более подробно рассмотрим как это работает.

Эволюция InfoWatch: система для прослушивания корпоративных мобильных телефонов

В недавнее время СМИ облетела новость о том, что Компания InfoWatch, принадлежащая Наталье Касперской, предложила работодателям механизм перехвата, анализа и прослушивания телефонов сотрудников в офисах. Это вызвало широкий резонанс в кругах экспертов ИБ, правозащитников и простых обывателей внимательно следящими за новостями в сфере ИТ. Так же появилась новость, что в Госдуме назвали систему, разработанную компанией Касперской, неконституционной.

Средства Защиты Информации: набор "ДО" и "После"

В одной из  прошлых статей мы писали про то как с помощью социальной инженерии и человеческого фактора можно осуществить успешную атаку на корпоративную сеть крупной компании выполнил все этапы убийственной цепочки (kill chain). Не смотря на то что в копании принята политика формационной безопасности и применяются различные СЗИ - межсетевые экраны, антивирусы, прокси сервера и т.д. А что же тогда  с теми кто вообще не использует СЗИ? Они более уязвимы? Сегодня речь пойдет о том как же найти оптимальный состав СЗИ необходимый именно  вам.

Oracle: Check List по безопасности

Обеспечение безопасности работы СУБД и конфиденциальности обрабатываемой в ней информации не менее важные задачи чем, например, обеспечение производительности или отказоустойчивости системы. Наиболее популярной и мощной в промышленном использование СУБД на сегодня является Oracle DataBase. Хотя по безопасности Oracle написано  множество  книг и посвящено других материалов, тем менее хотелось бы сделать некий шаблон безопасности или чек-лист по которому можно было быстро набросать эскиз политики безопасности или провести экспресс-аудит.

Сводная таблица - Сертифицированные средства защиты информации

Сегодня представляю вашему вниманию сводную таблицу  по сертифицированным СЗИ.  Это по сути реестр отечественных и зарубежных продуктов ИБ прошедших необходимые проверки и имеющих соответствующие сертификаты ФСБ и ФСТЭК. Не смотря на то, что реестр имеет некоторую давность, СЗИ указанные в нем по прежнему актуальны, ведь пополнение списка происходит всегда с некоторым запозданием. А полную версию всех СЗИ, актуальных уже не поддерживаемых, можно найти на официальном сайте ФСТЭК.

SIEM: ответы на часто задаваемые вопросы

Многие крупные компании, да и те, что поменьше, уже долгое время используют SIEM-системы в качестве одного из наиболее распространенных инструментов обеспечения информационной безопасности. Однако, часто можно слышать от людей, в том числе офицеров безопасности, что SIEM-система работает в режиме 24\7 и таким образом защищает их периметр! Это режет слух, ведь SIEM даже исходя из названия это прежде всего управление событиями ИБ, а потом все остальное. Для внесения ясности в данный вопрос возникла идея написать статью.  В добавок читая не неделе Хабр я наткнулся на интересную публикацию по схожей тематике. Результаты этих трудов предстаем вам в сегодняшней публикации.

Malware не ускользнет: самостоятельный анализ вредоносного кода

Анализ любого вредоносного кода требует специфических знаний отладки, машинных команд ассемблера, знания внутреннего устройства аппаратной и программной платформы. Это хлеб для вирусных аналитиков, ревеср-инженеров и  исследователей exploit-паков и т.д.. Именно благодаря им в базы антивирусного ПО добавляются новые сигнатуры и производителями выпускаются пачти закрывающие найденные уязвимости в ПО. Однако, как показала практика, разобраться в азах этого анализа возможно даже человеку не связанному напрямую с этой деятельность. Вы спросите - Как? Этому и посвящена наша сегодняшняя статья.

Шпаргалка по таблице классов защищенности АС (РД ГТК России)

Руководящие документы (РД) ГосТехКомиссии России, организации ныне преобразованной во ФСТЭК,  не смотря на год их выпуска до сих актуальны и используются в деле по защите информации. Они занимают роль национальных оценочных стандартов. В свое время качестве стратегического направления ГосТеКкомиссия России выбрала ориентацию на "Общие критерии", из логики которых и рождались в дальнейшим РД и и до сих пор издается стек документов ГОСТ ИСО МЭК.

Курс по настройке СЗИ DallasLock 8 (видео)

Продолжая тему видео курсов по настройке СЗИ от НСД сегодня вашему вниманию предлагаем обратить внимание на продукт DallasLock 8 отечественной компании разработка «Конфидент». Решение может применяться как для защиты защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно.

Курс по настройке СЗИ SecretNet 7 (видео)

Представлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.