понедельник, 20 апреля 2015 г.

Дайджест новостей по ИБ за 10 – 17 апреля 2015 гг.



Блоги:
Сергей Борисов провел сравнение документов по обезличиванию ПДн: NIST Draft NISTIR 8053 «De-Identification of Personally Identifiable Information» и Методических рекомендаций по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Наталья Храмцовская привела пример незнания ведомствами в сфере образования законодательных норм, связанных с обработкой персональных данных.

Алексей Лукацкий выяснял, с какой периодичностью необходимо проводить аудит индустриальных сетей на предмет безопасности.

Джабраил Матиев сделал подборку литературы на тему безопасности в банках.

Игорь Агурьянов затронул тему иллюзии безопасности.

Статьи:

Использование API социальных сетей для сбора информации о пользователях.

Обзор сервиса капчи «Некапча Mail.Ru».

Подборка сайтов с уязвимыми сервисами для повышения хакерских навяков (англ.).


Десять рекомендаций от Check Point Software, которые помогут сделать систему информационной безопасности эффективной.

Создание программы по борьбе с внутренними угрозами в организации: предотвращение, обнаружение и реагирование (часть 7, англ.).


Введение в межсайтовое выполнение сценариев (XSS): история, факты, способы защиты (англ.).


Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями.

Снова вспомнили про уязвимость «Redirect To SMB», способную передавать учётные данные пользователя злоумышленнику.

В сетевом стеке HTTP.sys для серверных Windows обнаружена критичная уязвимость, из-за которой HTTP.sys неправильно обрабатывает специальным образом составленные HTTP-запросы, вызывая DoS или удалённое исполнение кода.

Microsoft опубликовала отчет о правительственных запросах данных пользователей за второе полугодие 2014 г.

Документы:
Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures (PCI DSS) v3.1
– в документе приведены 12 требований стандарта и описаны соответствующие процедуры проведения оценки соответствия данному
стандарту (англ.). Автор: PCI Security Standards Council.

Информация о несанкционированных операциях, совершенных с использованием устройств мобильной связи – рекомендации Банка России для минимизации рисков хищения денежных средств при осуществлении переводов денежных средств с использованием устройств мобильной связи. Источник: ЦБ РФ.

Информация о вводе в действие рекомендаций в области стандартизации Банка России. С 1 мая 2015 вводятся в действие рекомендации РС БР ИББС-2.8-2015 и РС БР ИББС-2.7-2015. Источник: ЦБ РФ.

2015 Dell Security Annual Threat Reportотчет о распространенных атаках, которые наблюдались Dell SonicWALL Threat Research Team в 2014 году. Источник: Dell.

Программное обеспечение/сервисы:
OWASP ZAP 2.4.0 - утилита для проведения тестирования на проникновение веб-приложений.

Samurai Web Testing Framework 3.1 – Linux-дистрибутив для тестирования на проникновение.

XSSYA 2.0 – XSS-сканер

Аналитика:


Мероприятия:

Ресурсы:
Видео с BSides Nashville 2015.

Презентация Алексея Лукацкого «Как обосновать затраты на ИБ?».

Открытая безопасность #39 – подкаст об информационной безопасности автомобилей.

Комментариев нет:

Отправить комментарий