Данная лекция посвящена исключительно метрикам информационной безопасности, которые представляют собой красивый количественный способ измерить реальную эффективность безопасности на Вашей сетевой инфраструктуре.
Подробно описаны виды метрик ИБ, приведено множество примеров и описано, зачем эти метрики нужны. Примеры практической пользы от их использования.
Подробнее читайте на моём блоге http://inforsec.ru/
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
Вычисление, визуализация
и анализ метрик защищенности защищенности
для мониторинга мониторинга безопасности безопасности
и управления управления инцидентами инцидентами
в SIEM-системах
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации
Данная лекция посвящена исключительно метрикам информационной безопасности, которые представляют собой красивый количественный способ измерить реальную эффективность безопасности на Вашей сетевой инфраструктуре.
Подробно описаны виды метрик ИБ, приведено множество примеров и описано, зачем эти метрики нужны. Примеры практической пользы от их использования.
Подробнее читайте на моём блоге http://inforsec.ru/
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
Вычисление, визуализация
и анализ метрик защищенности защищенности
для мониторинга мониторинга безопасности безопасности
и управления управления инцидентами инцидентами
в SIEM-системах
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации
Последняя лекция из моего основного курса посвящена вопросам анализа рисков и управления рисками информационной безопасности. Начинается всё с повторения материала по построению модели угроз ИБ. Далее проводится связь модели угроз с рисками ИБ. После этого идёт описание методов анализа рисков: количественная и экспертная, даются преимущества и недостатки каждой. Определяется понятие ущерба, а также приводится виды ущербов на реальных примерах.
В основной части описывается общий алгоритм анализа рисков, а также стратегии управления рисками:
Принятие риска.
Уменьшение риска.
Уклонение от риска.
Перенаправление риска.
Далее приведён процесс реагирования на инциденты ИБ, которые также весьма важны в повседневной IT-практике.
Подробности на http://inforsec.ru/
Система анализа уязвимостей программных продуктовUNETA
Тема доклада: "Система анализа уязвимостей программных продуктов". Докладчик: Александр Белобородов (.Net, Silverlight developer at DCT).
В данном докладе мы поговорим о способах поиска уязвимостей в программных продуктах. Как известно, одним из способов поиска уязвимостей является использование сканеров безопасности, основанных на выполнении так называемых тестов на проникновение. В данном случае потребуется составление специальных тестов либо покупка уже существующих сканеров безопасности. Другим подходом является использование информации из общедоступных баз данных уязвимостей (БДУ). В докладе мы рассмотрим наиболее популярные из них, поговорим о том, как информация может применяться для построения сканеров безопасности на основе информации об уязвимостях из общедоступных источников. Также, в докладе мы коснёмся разработанного инструментального средства для анализа информации из различных БДУ. В данный момент проект разработки сканера уязвимостей является частью исследовательской работы, проводимой студентами и сотрудниками кафедры компьютерных систем и сетей Национального аэрокосмического университета им. Н.Е. Жуковского "ХАИ" (www.khai.edu). Целью доклада является привлечение потенциальных заказчиков и заинтересованных разработчиков-исследователей к созданию данного сканера уязвимостей. Применяться данная система может администраторами компьютерных систем для поиска узвимостей в используемых программных продуктах без запуска тестов на проникновение.
В четвёртой лекции определено понятие жизненной цикли системы защиты информации, описана его значимость на примерах из практики. Проведено сравнение жизненного цикла ИС с жизненным циклом СЗИ. Далее идёт подробное описание каждого из этапов.
В частности, подробн описан процесс обследование объекта защиты: исследование его IT-инфраструктуры и бизнес-структуры. Приведены конкретные бизнес-факторы, влияющие на эффективность работы предприятия и их связи с задачами и методами ИБ. Приведено множество реальных примеров.
Далее идёт процесс выбора приоритетной задачи защиты и принципы принятия таких решений.
Дано понятие политики информационной безопасности, а также цели и задачи, решаемые данными документами. Описаны административный, процедрный и програмно-технический уровни политики ИБ.
Далее идёт описание базовых принципов этапа выбора элементов СЗИ.
Подробнее читайте на моём блоке inforsec.ru
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
DLP 007: три элемента мобильной безопасностиInfoWatch
BYOD или контролируемый периметр? Мобильность сотрудников с возможностью эффективно работать в любое время и в любом месте или защита от утечек конфиденциальных данных через смартфоны и планшеты? Непростой выбор, правда?
Но бизнес и безопасность не терпят компромиссов, а значит новая миссия агента DLP 007 – обеспечить трехстороннюю защиту корпоративных данных в концепции BYOD!
Последняя лекция из моего основного курса посвящена вопросам анализа рисков и управления рисками информационной безопасности. Начинается всё с повторения материала по построению модели угроз ИБ. Далее проводится связь модели угроз с рисками ИБ. После этого идёт описание методов анализа рисков: количественная и экспертная, даются преимущества и недостатки каждой. Определяется понятие ущерба, а также приводится виды ущербов на реальных примерах.
В основной части описывается общий алгоритм анализа рисков, а также стратегии управления рисками:
Принятие риска.
Уменьшение риска.
Уклонение от риска.
Перенаправление риска.
Далее приведён процесс реагирования на инциденты ИБ, которые также весьма важны в повседневной IT-практике.
Подробности на http://inforsec.ru/
Система анализа уязвимостей программных продуктовUNETA
Тема доклада: "Система анализа уязвимостей программных продуктов". Докладчик: Александр Белобородов (.Net, Silverlight developer at DCT).
В данном докладе мы поговорим о способах поиска уязвимостей в программных продуктах. Как известно, одним из способов поиска уязвимостей является использование сканеров безопасности, основанных на выполнении так называемых тестов на проникновение. В данном случае потребуется составление специальных тестов либо покупка уже существующих сканеров безопасности. Другим подходом является использование информации из общедоступных баз данных уязвимостей (БДУ). В докладе мы рассмотрим наиболее популярные из них, поговорим о том, как информация может применяться для построения сканеров безопасности на основе информации об уязвимостях из общедоступных источников. Также, в докладе мы коснёмся разработанного инструментального средства для анализа информации из различных БДУ. В данный момент проект разработки сканера уязвимостей является частью исследовательской работы, проводимой студентами и сотрудниками кафедры компьютерных систем и сетей Национального аэрокосмического университета им. Н.Е. Жуковского "ХАИ" (www.khai.edu). Целью доклада является привлечение потенциальных заказчиков и заинтересованных разработчиков-исследователей к созданию данного сканера уязвимостей. Применяться данная система может администраторами компьютерных систем для поиска узвимостей в используемых программных продуктах без запуска тестов на проникновение.
В четвёртой лекции определено понятие жизненной цикли системы защиты информации, описана его значимость на примерах из практики. Проведено сравнение жизненного цикла ИС с жизненным циклом СЗИ. Далее идёт подробное описание каждого из этапов.
В частности, подробн описан процесс обследование объекта защиты: исследование его IT-инфраструктуры и бизнес-структуры. Приведены конкретные бизнес-факторы, влияющие на эффективность работы предприятия и их связи с задачами и методами ИБ. Приведено множество реальных примеров.
Далее идёт процесс выбора приоритетной задачи защиты и принципы принятия таких решений.
Дано понятие политики информационной безопасности, а также цели и задачи, решаемые данными документами. Описаны административный, процедрный и програмно-технический уровни политики ИБ.
Далее идёт описание базовых принципов этапа выбора элементов СЗИ.
Подробнее читайте на моём блоке inforsec.ru
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
DLP 007: три элемента мобильной безопасностиInfoWatch
BYOD или контролируемый периметр? Мобильность сотрудников с возможностью эффективно работать в любое время и в любом месте или защита от утечек конфиденциальных данных через смартфоны и планшеты? Непростой выбор, правда?
Но бизнес и безопасность не терпят компромиссов, а значит новая миссия агента DLP 007 – обеспечить трехстороннюю защиту корпоративных данных в концепции BYOD!
Веб-уязвимости и безопасность данных:
- Почему важно понимать основы веб-разработки несмотря на стремительное развитие технологий
- Клиент-серверные взаимодействия и уязвимости HTTP протокола
- Как найти веб-уязвимости, а также самые распространенные ошибки веб-приложений
- Способы защиты данных и пользователей
- Использование man-in-the-middle, и почему нельзя доверять публичным Wi-Fi точкам доступа
Видео запись доклада https://www.youtube.com/watch?v=w0kMtXAQiaY
Примеры кода https://goo.gl/9DJI5c
Wi-Fi Protected Setup - Pixie Dust Attack. An offline bruteforce attack that leaves certain routers vulnerable. Works for Boardcom and Ralink chipset based Wi-Fi routers.
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
Тарас Иващенко, Яндекс
Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.
Тема доклада
Сканирование уязвимостей со вкусом Яндекса.
Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.
- Out of box: базовые настройки современных роутеров?
- Почему на коробке написано 300Mb/s а реальная скорость около 140Mb/s?
- Сколько роутеру нужно антенн?
- Несколько способов борьбы с соседями;
- Шифрование, скрывать имя сети или нет?
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Выбор информационных систем. Журнал Управление компанией, Июль, 2004 г.
Вопрос о выборе и внедрении информационной системы на предприятии активно обсуждается не один год, однако часто компании, относясь к IT-решениям, как к панацее, тратят значительные средства, которые впоследствии не окупаются. Предлагаемая статья представляет собой обобщение опыта, полученного в результате нескольких проектов по выбору и внедрению информационных систем в различных компаниях.
Решения HP для обеспечения информационной безопасностиКРОК
Более чем 20-летний опыт КРОК и лучшие технологии HP легли в основу единственного в России Центра решений HP по информационной безопасности (HP Solutions Center Security). Центр представляет собой лабораторию с функционирующими в реальных условиях системами, которые интегрированы как между собой, так и с базовой инфраструктурой.
Подробнее на http://www.croc.ru/promo/hpsc/?&tab=ES
The presentation for my talk at the "Ukraine and the Challenges of International Law: Annexation, Aggression, Cyber Warfare" conference hosted at the Cambridge University
В начале проведения теста аудитор не располагает информацией о внутреннем устройстве тестируемой системы и не имеет к ней прав доступа. Она представляется ему «черным ящиком». Сбор информации о системе осуществляется через воздействие на вход системы и фиксацию результатов воздействия на ее выходе. Этот метод помогает выявить неизвестные уязвимости, но он не гарантирует, что все возможные уязвимости будут найдены и протестированы. ВАРИАНТ «БЕЛЫЙ ЯЩИК» Владелец системы предварительно предоставляет аудитору информацию о внутреннем устройстве системы и права доступа к необходимым для тестирования ресурсам. Далее тест проводится исходя из этой информации. Этот метод гарантирует, что все возможные векторы атаки будут протестированы. ВАРИАНТ «СЕРЫЙ ЯЩИК» Серый ящик является комбинацией двух методов, описанных выше. В случае проведения теста по варианту «Серый ящик», владелец системы может сообщить аудитору часть информации и(или) частично дать доступ к ресурсам системы.
Шаг 1 – Приоритезация действий На основе уровней риска ,полученных в рез-те оценки рисков (отчет за основу) – приоритезируем дальнейшие действия. При выделении ресурсов для уменьшения рисков наивысший приоритет дается рискам с неприемлемо высокими рейтингами (т.е. очень высокими (критическими) и высокими уровнями). Эти пары уязвимостей и угроз требуют немедленных коррективных действий для защиты информации банка и его функционирования. Результат – Рейтинг действий от высокого приоритета к низкому Шаг 2 – Оценка рекомендованных мероприятий по защите информации Мероприятия, рекомендованные в отчете по рискам могут не соответствовать параметрам или режимам работы отдельных ИТ систем или функциональных подразделений. На данном этапе анализируется осуществимость (совместимость и испытания реальными пользователями), а также эффективность (степень защиты и уменьшения риска) рекомендованных мероприятий. Результат – Список осуществимых мероприятий Шаг 3 – Анализ затрат и выгод Для оказания помощи менеджерам в процессе принятия ими решений и с целью идентификации экономически эффективных мероприятий проводится анализ затрат и выгод. (более детально об этом в Модуле 3)
Поддержка - главные мероприятия безопасности и лежат в основе большинства видов деятельности в области информационной безопасности. Превентивные – фокусируются на предотвращении использования брешей в безопасности. Обнаружение и восстановление – мероприятия, которые относятся к обнаружению брешей в системах безопасности и на восстановлении систем до обороноспособного уровня.