Новости ИБ за 1 - 22 ноября 2013 года

Блоги:

Обзор кибератак за 16-31 октября 2013г. (англ.).

Сергей Борисов провел сравнительный анализ сканеров безопасности: MaxPatrol, QualysGuard, OUTSCAN и HIAB.

Алексей Комаров сравнил скорость и сложность применения парольной защиты при частой и редком разблокировании компьютера.

Статьи:

Извлечение данных из поврежденных мобильных устройств.

Основные методы атак на онлайн-банкинг (англ.).

Подборка ссылок на утилиты для пентестинга, форензики и хакинга (англ.).

Криминалистическое исследование sim-карт: структура файловой системы, безопасность, программы (англ.).

Основные классы уязвимостей гипервизора VMware vSphere и возможные пути защиты от их эксплуатации.

SANS подготовил сборник полезных ресурсов по тестированию на проникновение: программы, блоги и твиттеры пентестеров.

Как потерпеть неудачу, когда тебя назначили руководителем службы ИБ за 8 простых шагов?

Обзор онлайн-сервисов для DDoS-тестирования (нагрузочного тестирования).

Журналы:

Information Security/Информационная безопасность #5/2013.

Документы:

Отчет «Мобильная безопасность: от риска к выручке» - рассматриваются угрозы, которые представляет для бизнеса повсеместное распространение мобильных устройств, и возможности, которые это распространение открывает. Источник: КПМГ.

Hierarchy of Cybersecurity Needs. В отчете отражен аналог пирамиды потребностей по Маслоу для пользователей Интернета, который взят за основу при обеспечении кибербезопасности государства. Источник: Microsoft.

Руководство по анализу безопасности платформы SAP NetWeaver ABAP. В данном документе представлен детальный анализ самой распространенной платформы для бизнес-приложений. Авторы: Александр Поляков, Кирилл Никитенков.

20 критичных механизмов безопасности для эффективной защиты от киберугроз. Перевод документа «Twenty Critical Security Controls for Effective Cyber Defense».

Отчет «Безопасность информации в корпоративных информационных системах. Внутренние угрозы». Источник: аналитический Центр InfoWatch.

Стандарты финансовых операций. Унифицированные форматы электронных сообщений и бизнес процессы, применяемые для управления денежными средствами – проект национального стандарта РФ, предназначенный для унификации сообщений, применяемых для Управления денежными средствами.  Источник: Национальный платежный совет.

Ответы  на  вопросы,  связанные  с  применением  отдельных  норм Федерального  закона  от  27.06.2011  № 161-ФЗ  «О  национальной платежной  системе»,  Положения  Банка  России  от  24.12.2004  № 266-П «Об  эмиссии  платежных  карт  и  об  операциях,  совершаемых  с  их

использованием»  и  Положения  Банка  России  от  16.07.2012  № 385-П  «О правилах  ведения  бухгалтерского  учета  в  кредитных  организациях, расположенных на территории Российской Федерации». 

Application Security Guide For CISOs. В документе изложена информация по обоснованию затрат на безопасность приложений, управлению рисками безопасности приложений, созданию, поддержанию и улучшению программы безопасности приложений и пр. Автор: OWASP.

Законодательство:

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666 "Об утверждении критериев оценки материалов и (или) информации, необходимых для принятия решений Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой Российской Федерации по контролю за оборотом наркотиков, Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека о включении доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет", а также сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие запрещенную информацию, в единую автоматизированную информационную систему "Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено".

Программное обеспечение:

EMET 4.1 - это служебная программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении.

WebSurgery - набор инструментов для тестирования безопасности интернет-приложений.

САНТИ – открытый бесплатный веб-антивирус (см. обзор).

Аналитика:

Обзор вирусной активности в октябре 2013 года. Источник: Dr.Web.

Мобильные угрозы в октябре 2013 года. Источник: Dr.Web.

Обзор информационных угроз октября 2013 года. Источник: ESET.

Статистика кибератак за октябрь 2013г. (англ.). Источник: Hackmageddon.com.

Спам в третьем квартале 2013г. Источник: Лаборатория Касперского.

Развитие информационных угроз в третьем квартале 2013 года. Источник: Лаборатория Касперского.

Инциденты информационной безопасности в России за 3 квартал 2013 года. Источник: LETA.

Мероприятия:

Олимпиада по компьютерной криминалистике от Group-IB. Результаты исследования принимаются до 23 декабря 2013г.

Ресурсы:

Видеолекции от команды PentestIT, в которых продемонстрированы различные методики тестирования на проникновение (penetration testing).

Записи выступлений с Passwords^13 (Passwordscon), проходившей 30-31 июля 2013г. в Лас Вегасе.

Noise Security Bit Podcast (noisebit). В первом выпуске речь об Intercepter-NG, а так же эксклюзивная история об Эдварде Сноудэне.

Материалы с ZeroNight 2013.

Презентации с IV международной конференции «Защита персональных данных».