Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Обзор рынка ИБ с 12 по 31 июля (Выпуск 6)

Регуляторы. Законодательство.

Правительство РФ 10 июля опубликовало постановление ПП-584, в котором определён перечень государственных систем, доступ к которым предоставляется с помощью «Единой системы идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА). Фактически авторизоваться нужно во все системы, кроме доступа к правовой информации, получения сведений об окружающей среде, информации о деятельности органов власти и данных, собираемых общественными фондами, такими как библиотеки, музеи и архивы. Впрочем, этот список может быть расширен другими нормативными актами.

Свершилось то, чего ждали уже давно - 23 июля Президент РФ подписал ФЗ-251 "О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков". Это закон о создании мегарегулятора, которым стал Центробанк - он получил право регулировать не только кредитные организации и участников НПС, но также и множество других от бюро кредитных историй до сельскохозяйственных кредитных потребительских кооперативов. С точки зрения ИБ-специалистов это может сильно увеличить объемы работ по приведению информационных систем в соответствие, например, с требованиями СТО ИББР.

Новости безопасности

Компания Infowatch выпустила новую версию своего флагманского продукта InfoWatch Traffic Monitor Enterprise. В версии 4.1 основной упор был сделан на производительности, контроле протокола HTTPS и сервисов печати. Впрочем, как уверяет в своём блоге Вадим Федоров, в этом продукте есть также и контроль телефонных переговоров.

Компания Cisco приобретает разработчика IPS-системы с открытым кодом Snort и антивируса ClamAV компанию Sourcefire, которую ранее не смогли купить Check Point и Barracuda Networks. Стоимость сделки указывается в размере 2,7 млрд. долл.

Инциденты и утечки

Завершено расследование "самой большой кражи данных за всю историю" - именно так дело названо в пресс-релизе министерства Юстиции США. В результате хакерских атак было украдено 160 млн. номеров кредитных карт, что принесло убытки в сотни млн. долл. Кража была совершена четырьмя гражданами РФ и одним украинцем по предварительному сговору. Причем трое из обвиняемых всё ещё находятся на свободе. Двух арестованных хакеров подвела тяга к путешествиям.

Хакер Джек Барнаби, который планировал опубликовать сведения о взломе кардиостимуляторов, неожиданно умер за несколько дней до своего доклада на конференции Black Hat. Он планировал рассказать о найденной им уязвимости в кардиостимуляторах, которая позволяла убить пациента с помощью высоковольтного разряды, причём для этого достаточно было подойти к пациенту ближе, чем на 9 метров. Также можно было запрограммировать устройство на заражение других аналогичных устройств в зоне достигаемый. Полиция проводит расследование обстоятельств смерти Барнаби.

Аналитика и тренды

Компания NQ Mobile объявила результаты исследования заражённости мобильных устройств вредоносным программным обеспечением. По данным компании в первом полугодии 2013 года лидером по заражению мобильных устройств является Китай, где 31,7% устройств заражено вредоносами. На втором же месте находится Россия с долей 17,2%, на третьей - Индия с долей 10,4%. При этом компания выявила 21 млн. зараженных устройств.

Организация SANS Institute обнародовала результаты исследования с названием «Безопасность и конфиденциальность при работе служб поддержки», в процессе которого было опрошено 900 ИТ-специалистов со всего мира. В результате, было отмечено, что большинство респондентов - 69% - считают, что наиболее серьёзной угрозой безопасности при работе служб технической поддержки является социальная инженерия. В то же время почти 27% специалистов признали, что их политика безопасности для службы техподдержки не очень эффективна.

Вокруг света

Исследователи компании Microsoft опубликовали документ, в котором описали свою активность в течении финансового года компании по устранению ошибок в своих продуктах. Ознакомиться с этим документом полезно тем, кто стремиться построить собственную систему разработки безопасного программного обеспечения. В нём описаны и программы поиска и исправления ошибок, и конкурсы на поиск уязвимостей в разрабатываемых продуктах, и разрабатываемые компанией инструменты для создания безопасных кодов.

Компания Sucuri Security, которая имеет несколько интернет-ловушек в том числе и с установленным на них движком WordPress, опубликовала эпизод с атакой на такую ловушку со стороны группы туннистских хактивистов Fayzoun. Атака была предпринята на консоль администрирования с перебором пароля администратора. Подробности атаки, а также рекомендации по защите от подобных атак можно найти в посте компании.

Статьи и выступления экспертов

Сергей Гордейчик в своём блоге подробно обсудил тему преднамеренных закладок в программное обеспечение и методов их обнаружения. Конечно, подобные закладки можно сделать очень похожими на ошибки типа SQL-инъекций, однако для злоумышленника эффективнее делать их привязанными к бизнес-логике, ибо автоматическими средствами такие закладки не выявляются.

На Хабре была опубликована переводная статья про устройство HTTPS. Она полезна для понимая механизмов шифрования и аутентификации при использовании этого протокола, а также объясняет особенности управления сертификатами. Предназначена она в основном для веб-разраотчиков.

Посты в блогах

Михаил Емельянников подробно разобрал в своём блоге последствия скандала с проектом PRISM. В качестве примера он разобрал Германию, однако все соображения актуальны и для российского малого бизнеса, имеющего свои промышленные секреты. Очевидно одно, что разглашение сведений о проекте, скорее всего, поможет активно развивать независимую криптографию и связанные с ней программное обеспечение и услуги.

Игорь Хайров в своём блоге напомнил о проблеме, которая появится у всей отрасли ИБ с 1 сентября 2013 года - учебные заведения лишаться возможности выдавать дипломы государственного образца, которые требуются для соблюдения требования ФЗ-152 "О персональных данных". Остался один месяц - ещё есть вохможность успеть и получить требуемый диплом. Причём совсем не обязательно получать сам диплом в августе - достаточно начать учиться по специальности.

Игорь Агурьянов в своём блоге обсудил технические возможности по защите от "тёмного" администратора, который является одним из наиболее опасных злоумышленников. Впрочем, в обсуждении почему-то не указаны специальные продукты, которые разделяют полномочия для администратора и службы ИБ - такие продукты есть, причём даже в виде прогрммно-аппаратных комплексов.

Что посетить?

Определилась дата проведения V Международной конференции по информационной безопасности в сфере электронной торговли, которая проводится в Йошкар-Оле. В этом году она пройдёт с 4 по 6 сентября.

Что почитать?

Статья про новый стандарт шифрования РФ, который имеет код 34.11-2012 и кодовое название Стрибог была опубликована на Хабре. Новый российский стандарт был принят в прошлом году и определяет алгоритм формирования криптографической хеш-функции. В статье также приводится пример реализации нового алгоритма на C#.

Институт ISACA опубликовал рекомендации по управлению отношениями с поставщиками, которые входят в набор рекомендаций COBIT 5. Институт также предлагает набор веб-сервисов, которые помогают в реализации предложенным им рекомендаций.

Оцените материал:
Total votes: 61
Поделиться:
 
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.