Дайджест новостей по ИБ за 11 - 25 марта 2016 г.

Блоги:

Сергей Борисов попытался выяснить, с какой периодичностью нужно проводить анализ защищенности и что именно проверять.

7 мифов кибербезопасности корпораций от Александра Бодрика.

Валерий Естехин размышлял на тему предложений рынка труда на позицию "специалист по ИБ".

Андрей Прозоров анонсировал запуск вебинаров "Спроси эксперта".

Алексей Лукацкий рассказал о фишках с RSAC; ответил на вопрос "Сколько надо тратить на ИБ от ИТ-бюджета?".

Владимир Матвийчук затронул тему претензий, связанных с оценкой внутренним аудитом текущих рисков.

 

Статьи:

Обзор инцидентов безопасности за 7-13 марта, 16-29 марта 2016г.

Обзор кибератак за 1 – 15 февраля 2016 (англ.).

Аудит СКЗИ и криптоключей.

Недостатки сервисов автоматической генерации комплекта внутренних документов организации по защите персональных данных.

Методы защиты от программ-вымогателей (ransomware).

Будет ли безопасен сэлфи вместо пароля при оплате банковской картой.

Буква Κʻ/ĸ (U+0138, Kra) может использоваться для регистрации фишинговых сайтов.

ЦБ обновил список официальных адресов банковских сайтов.

ЦБ наносит ответный удар, или как технически остановить эпидемию кибератак.

Исследователи сумели взломать управляющий сервер шифровальщика Radamant.

ЦРУ разыскало ядерные объекты на Урале по фото в советской прессе.

Эволюция вредоносного ПО, нацеленного на аккаунты и ресурсы платформы Steam.

Рекомендации по защите учетной записи в Steam.

FTP over SSL (FTPS) в Windows Server 2012 R2.

Применение средств автоматизации Open Source Intelligence (OSINT): SpiderFoot, Intrigue-core, Geotweet.

FakeCERT атакует.

Тестирование на проникновение систем непрерывной интеграции: Jenkins и TeamCity.

TOP-3 менеджеров паролей для Linux (англ.).

Итоги Pwn2Own 2016.

Как специалисты по безопасности ловили киберпреступников на ТВ.

APT-атаки под фальшивым флагом.

Перевод OWASP Testing Guide. часть 2.4, часть 2.5.

Контроль привилегированных пользователей (PUM) — обзор мирового и российского рынка.

Журналы:

Information Security №1/2016. Тема номера: "Защита автоматизированных систем управления технологических процессов".

!Безопасность Деловой Информации #13. Влияние ИБ на качество бизнеса.

Документы:
CIS Apple iOS 9 Benchmark v1.0.0 - руководство по установке безопасных настроек для Apple iOS 9 (англ.). Источник: CIS.
Preserving Social Media - отчет по методам сохранения материалов из социальных сетей. Автор: Сара Дей Томсон (Sara Day Thomson) (см. краткий обзор от Натальи Храмцовской).

QNX Security Architecture - статья посвящена обзору архитектуры QNX (Blackberry 10) и её функциям безопасности. Автор: Alex Plaskett

Buhtrap: эволюция целенаправленных атак на банки - отчет о деятельности преступной группы Buhtrap, атакующей банки России и Украины. Источник: Group-IB.

Законодательство:

Доклад об осуществлении ФСТЭК России в 2015 году государственного контроля в соответствующих сферах деятельности и об эффективности такого контроля.

Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных. Автор: Роскомнадзор.

Программное обеспечение/сервисы:

Nmap 7.10 - сканер безопасности

Аналитика:

Статистика кибератак за февраль 2016. Источник: Hackmageddon.com.

Ресурсы:

Мастер-класс "Как самостоятельно провести анализ вредоносного файла/активности?" от Алексея Лукацкого.

 EY Cyber Club - подкаст об ИТ-рисках и кибербезопасности. Ведущая - Екатерина Старостина. Тема превого подкаста: "Практика и реалии актуальных трендов ИБ в крупных финансовых организациях".

Второй сезон серии вебинаров по кибербезопасности АСУ ТП.

Презентация и  видео с вебинара "Спроси эксперта про IdM.

Материалы с "OWASP Russia Meetup".