понедельник, 19 сентября 2016 г.

Дайджест новостей по ИБ за 9-16 сентября 2016 г.

Блоги:
Алексей Лукацкий порекомендовал выстраивать процесс управления уязвимостями и патчами.

Николай Казанцев сформировал перечень мер по защите коммутационного оборудования, включающий угрозы, меры защиты и примеры конфигураций.

Статьи:
Преступления в банковской сфере 30 августа - 12 сентября 2016.

Обзор кибератак за 16 - 31 августа 2016 г. от hackmageddon (англ.).

Уязвимости «умного города» и рекомендации по защите.


Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе.

Немного о ARM Security Extensions (aka ARM TrustZone).


Обзор популярных сертификатов безопасности, которые помогут подняться по карьерной лестнице (англ.).

Брайан Кребс разоблачил хакерскую группировку vDos и стал жертвой DDoS-атак.

Обзор "PDUG Picnic 2016" — неформальной тусовки для разработчиков.

Обзор "r2con 2016" (англ.).


Особенности использования машинного обучения при защите от DDoS-атак.

Социальная инженерия на практике: "Заксобрание — не самое безопасное место, а проходной двор".

Как работает современный веб-фишинг.


Рекомендации по защите сайтов на Wordpress (англ.).

Документы:
CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy - распространенные ошибки при настройке Content Security Policy (CSP).

Законодательство:
Информационное сообщение ФСТЭК России от 12 сентября 2016 г. N 240/24/4278 "Об утверждении методических документов, содержащих профили защиты межсетевых экранов".

Программное обеспечение/сервисы:
Обновились утилиты из набора Windows Sysinternals.

Ресурсы:
Видео с "BSides Augusta 2016".

вторник, 13 сентября 2016 г.

Дайджест новостей по ИБ за 26 августа - 9 сентября 2016 г.


Блоги:
Ксения Шудрова взяла интервью у ведущего эксперта по управлению документацией компании «Электронные Офисные Системы» Натальи Храмцовской.

Статьи:


Обзор уязвимостей за 19-26 августа от US-CERT (англ.). 

ЦБ и Росфинмониторинг запустят механизм обмена данными с банками и НФО.


Атака SWEET32: Исследователи обнаружили новый способ взлома шифров 3DES и Blowfish.


Визуализация атак, аномалий и нарушений информационной безопасности с помощью OpenGraphiti.

"Лаборатория Касперского" намерена запустить CERT для промышленных предприятий.

Как достичь рейтинга А+ для SSL-сертификата на вашем сайте, и другие аспекты безопасности хостинга.

Удаленное управление компьютерами с помощь LiteManager.


Функциональная безопасность – старшая сестра информационной безопасности: часть 1, часть 2.

Компания AMD анонсировала выпуск новой технологии защиты памяти виртуальных машин гипервизора под названием Secure Encrypted Virtualization (SEV).

Журналы:

Документы:
OUCH! Электронная почта: что нужно делать и чего делать не стоит – сентябрьский выпуск ежемесячника по информационной безопасности для пользователей (англ.). Источник: SANS.


Биография сетевого периметра в картинках - результаты оценки уровня защищенности 10 организаций в 2014-2015 годах. Источник: Positive Technologies

ГОСТ Р ИСО/МЭК 27038-2016 "Информационные технологии. Методы обеспечения безопасности. Требования и методы электронного цензурирования". Настоящий стандарт устанавливает требования к методам, используемым для выполнения электронного цензурирования электронных документов, а также требования к программным инструментам для цензурирования и к методам тестирования, позволющим убедиться в том, что электронное цензурирование было выполнено надлежащим образом.

Программное обеспечение/сервисы:
Kali Linux 2016.2 - Linux-дистрибутив, содержащий утилиты для проведения тестирования на проникновение (см. краткий обзор).

L0phtCrack - инструмент для аудита и взлома паролей (см. краткий обзор).

Wireshark 2.2.0 - анализатор сетевых протоколов.

Аналитика:
Веб-угрозы за август 2016 по статистике веб-сканера ReScan.pro.


Ресурсы:
Презентации с "HITB GSEC 2016".