пятница, 29 ноября 2013 г.

Новости ИБ за 22 - 29 ноября 2013 года



Блоги:


Статьи:

Эксперты «Лаборатории Касперского» опубликовали исследование вредоносного ПО VKCrаsh.exe и Neverquest.

Должностное лицо привлекли к административной ответственности за неправомерный отказ работнику организации в предоставлении информации, касающейся обработки его персональных данных.

Совершение административного правонарушения за непредставление в государственный орган информацию, необходимую Управлению для реализации его полномочий по ведению реестра операторов, осуществляющих обработку персональных данных.


Обзор Preliminary Cybersecurity Framework.

ФСБ рекомендует чиновникам перейти на отечественные сервисы электронной почты.

SANS подготовил сборник полезных ресурсов по разработке эксплойтов: методология, утилиты, ссылки (англ.).

Установка и настройка сканера уязвимостей OpenVAS.


Мероприятия:
Открытый конкурс научно-исследовательских работ, посвященных анализу криптографических качеств хэш-функции ГОСТ Р 34.11-2012.

ФСТЭК России предлагает рассмотреть проект методического документа «Меры по защите информации в государственных информационных системах» и направить предложения и замечанию по нему до 20 декабря 2013 г.

Ресурсы:
Noise Security Bit #2 [ZeroNights Edition]. Выпуск посвящен конференциям ZeroNights и PoC.


Учебный курс по эффективному лечению ОС Windows от вредоносных программ. Автор: VirusInfo.

пятница, 22 ноября 2013 г.

Новости ИБ за 1 - 22 ноября 2013 года



Блоги:

Сергей Борисов провел сравнительный анализ сканеров безопасности: MaxPatrol, QualysGuard, OUTSCAN и HIAB.

Алексей Комаров сравнил скорость и сложность применения парольной защиты при частой и редком разблокировании компьютера.

Статьи:



Криминалистическое исследование sim-карт: структура файловой системы, безопасность, программы (англ.).

Основные классы уязвимостей гипервизора VMware vSphere и возможные пути защиты от их эксплуатации.

SANS подготовил сборник полезных ресурсов по тестированию на проникновение: программы, блоги и твиттеры пентестеров.

Как потерпеть неудачу, когда тебя назначили руководителем службы ИБ за 8 простых шагов?

Обзор онлайн-сервисов для DDoS-тестирования (нагрузочного тестирования).

Журналы:

Документы:
Отчет «Мобильная безопасность: от риска к выручке» - рассматриваются угрозы, которые представляет для бизнеса повсеместное распространение мобильных устройств, и возможности, которые это распространение открывает. Источник: КПМГ.

Hierarchy of Cybersecurity Needs. В отчете отражен аналог пирамиды потребностей по Маслоу для пользователей Интернета, который взят за основу при обеспечении кибербезопасности государства. Источник: Microsoft.

Руководство по анализу безопасности платформы SAP NetWeaver ABAP. В данном документе представлен детальный анализ самой распространенной платформы для бизнес-приложений. Авторы: Александр Поляков, Кирилл Никитенков.

20 критичных механизмов безопасности для эффективной защиты от киберугроз. Перевод документа «Twenty Critical Security Controls for Effective Cyber Defense».


Стандарты финансовых операций. Унифицированные форматы электронных сообщений и бизнес процессы, применяемые для управления денежными средствами – проект национального стандарта РФ, предназначенный для унификации сообщений, применяемых для Управления денежными средствами.  Источник: Национальный платежный совет.

Ответы  на  вопросы,  связанные  с  применением  отдельных  норм Федерального  закона  от  27.06.2011  № 161-ФЗ  «О  национальной платежной  системе»,  Положения  Банка  России  от  24.12.2004  № 266-П «Об  эмиссии  платежных  карт  и  об  операциях,  совершаемых  с  их
использованием»  и  Положения  Банка  России  от  16.07.2012  № 385-П  «О правилах  ведения  бухгалтерского  учета  в  кредитных  организациях, расположенных на территории Российской Федерации». 

Application Security Guide For CISOs. В документе изложена информация по обоснованию затрат на безопасность приложений, управлению рисками безопасности приложений, созданию, поддержанию и улучшению программы безопасности приложений и пр. Автор: OWASP.

Законодательство:
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666 "Об утверждении критериев оценки материалов и (или) информации, необходимых для принятия решений Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой Российской Федерации по контролю за оборотом наркотиков, Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека о включении доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет", а также сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие запрещенную информацию, в единую автоматизированную информационную систему "Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено".

Программное обеспечение:
EMET 4.1 - это служебная программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении.

WebSurgery - набор инструментов для тестирования безопасности интернет-приложений.

САНТИ – открытый бесплатный веб-антивирус (см. обзор).

Аналитика:



Статистика кибератак за октябрь 2013г. (англ.). Источник: Hackmageddon.com.

Спам в третьем квартале 2013г. Источник: Лаборатория Касперского.



Мероприятия:
Олимпиада по компьютерной криминалистике от Group-IB. Результаты исследования принимаются до 23 декабря 2013г.

Ресурсы:
Видеолекции от команды PentestIT, в которых продемонстрированы различные методики тестирования на проникновение (penetration testing).

Записи выступлений с Passwords^13 (Passwordscon), проходившей 30-31 июля 2013г. в Лас Вегасе.

Noise Security Bit Podcast (noisebit). В первом выпуске речь об Intercepter-NG, а так же эксклюзивная история об Эдварде Сноудэне.


Презентации с IV международной конференции «Защита персональных данных».

пятница, 1 ноября 2013 г.

Новости ИБ за 25 октября – 1 ноября 2013 года



Блоги:

Сергей Борисов рассмотрел перспективы использования Google-glass в сфере информационной безопасности, а Алексей Лукацкий – риски, связанные с использованием данных устройств.

Арбитражный спор, связанный с несанкционированным списанием денежных средств с расчетного счета клиента через систему ДБО.

Статьи:
Цифровая криминалистика: обнаружение редактирования фотографий с помощью метода «Error Level Analysis» (англ.).


Национальный платежный совет (НПС) намерен создать и легализовать единую негосударственную межбанковскую базу данных о потенциальных мошенниках.



Три банковских сайта были заражены по схожему принципу заражения сайта PHP.NET.


Журналы: 


Документы: 
Microsoft Security Intelligence Report Volume 15 – отчет об уязвимостях и вредоносном ПО за первое полугодие 2013 года. 

Законодательство:
Приказ Федеральной службы государственной статистики (Росстат) от 20 августа 2013 г. N 329 г. «О перечне персональных данных, обрабатываемых в Федеральной службе государственной статистики в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций». Данный документ можно использовать как шаблон.

Программное обеспечение:
Lynis v1.3.1 – утилита для аудита безопасности в системах Unix / Linux.

Аналитика:
50 самых опасных хостов. Сентябрь 2013. Источники: Group-IB, HostExploit.

Статистика уязвимостей веб-приложений 2012 - данный отчет содержит обзорную статистику уязвимостей веб-приложений, полученную в ходе работ по анализу защищенности, выполненных экспертами компании Positive Technologies в 2012 году (см. краткий обзор).


Ресурсы: