Данная лекция посвящена исключительно метрикам информационной безопасности, которые представляют собой красивый количественный способ измерить реальную эффективность безопасности на Вашей сетевой инфраструктуре.
Подробно описаны виды метрик ИБ, приведено множество примеров и описано, зачем эти метрики нужны. Примеры практической пользы от их использования.
Подробнее читайте на моём блоге http://inforsec.ru/
Данная лекция посвящена исключительно метрикам информационной безопасности, которые представляют собой красивый количественный способ измерить реальную эффективность безопасности на Вашей сетевой инфраструктуре.
Подробно описаны виды метрик ИБ, приведено множество примеров и описано, зачем эти метрики нужны. Примеры практической пользы от их использования.
Подробнее читайте на моём блоге http://inforsec.ru/
Последняя лекция из моего основного курса посвящена вопросам анализа рисков и управления рисками информационной безопасности. Начинается всё с повторения материала по построению модели угроз ИБ. Далее проводится связь модели угроз с рисками ИБ. После этого идёт описание методов анализа рисков: количественная и экспертная, даются преимущества и недостатки каждой. Определяется понятие ущерба, а также приводится виды ущербов на реальных примерах.
В основной части описывается общий алгоритм анализа рисков, а также стратегии управления рисками:
Принятие риска.
Уменьшение риска.
Уклонение от риска.
Перенаправление риска.
Далее приведён процесс реагирования на инциденты ИБ, которые также весьма важны в повседневной IT-практике.
Подробности на http://inforsec.ru/
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
В четвёртой лекции определено понятие жизненной цикли системы защиты информации, описана его значимость на примерах из практики. Проведено сравнение жизненного цикла ИС с жизненным циклом СЗИ. Далее идёт подробное описание каждого из этапов.
В частности, подробн описан процесс обследование объекта защиты: исследование его IT-инфраструктуры и бизнес-структуры. Приведены конкретные бизнес-факторы, влияющие на эффективность работы предприятия и их связи с задачами и методами ИБ. Приведено множество реальных примеров.
Далее идёт процесс выбора приоритетной задачи защиты и принципы принятия таких решений.
Дано понятие политики информационной безопасности, а также цели и задачи, решаемые данными документами. Описаны административный, процедрный и програмно-технический уровни политики ИБ.
Далее идёт описание базовых принципов этапа выбора элементов СЗИ.
Подробнее читайте на моём блоке inforsec.ru
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
Вычисление, визуализация
и анализ метрик защищенности защищенности
для мониторинга мониторинга безопасности безопасности
и управления управления инцидентами инцидентами
в SIEM-системах
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Что такое и почему важна информационная безопасность?Александр Лысяк
Вступительная лекция, в которой описываются основные понятия из области информационной безопасности, решаемые там задачи, а также дан ответ на очень важный вопрос: почему вообще стоит заниматься защитой информации? Какая реальная практическая польза на реальных примерах из нашей жизни.
Кроме того, в лекции описаны базовые свойства систем защиты информации, жизненный цикл процессов ИБ (СЗИ), а также способы исследования бизнес-структуры объекта защиты. Вы узнаете, что такое доступность, целостность, конфиденциальность, аутентичность и многие другие понятия. Поймёте, какие бывают виды и источники угроз.
Последняя лекция из моего основного курса посвящена вопросам анализа рисков и управления рисками информационной безопасности. Начинается всё с повторения материала по построению модели угроз ИБ. Далее проводится связь модели угроз с рисками ИБ. После этого идёт описание методов анализа рисков: количественная и экспертная, даются преимущества и недостатки каждой. Определяется понятие ущерба, а также приводится виды ущербов на реальных примерах.
В основной части описывается общий алгоритм анализа рисков, а также стратегии управления рисками:
Принятие риска.
Уменьшение риска.
Уклонение от риска.
Перенаправление риска.
Далее приведён процесс реагирования на инциденты ИБ, которые также весьма важны в повседневной IT-практике.
Подробности на http://inforsec.ru/
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
В четвёртой лекции определено понятие жизненной цикли системы защиты информации, описана его значимость на примерах из практики. Проведено сравнение жизненного цикла ИС с жизненным циклом СЗИ. Далее идёт подробное описание каждого из этапов.
В частности, подробн описан процесс обследование объекта защиты: исследование его IT-инфраструктуры и бизнес-структуры. Приведены конкретные бизнес-факторы, влияющие на эффективность работы предприятия и их связи с задачами и методами ИБ. Приведено множество реальных примеров.
Далее идёт процесс выбора приоритетной задачи защиты и принципы принятия таких решений.
Дано понятие политики информационной безопасности, а также цели и задачи, решаемые данными документами. Описаны административный, процедрный и програмно-технический уровни политики ИБ.
Далее идёт описание базовых принципов этапа выбора элементов СЗИ.
Подробнее читайте на моём блоке inforsec.ru
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
Вычисление, визуализация
и анализ метрик защищенности защищенности
для мониторинга мониторинга безопасности безопасности
и управления управления инцидентами инцидентами
в SIEM-системах
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Что такое и почему важна информационная безопасность?Александр Лысяк
Вступительная лекция, в которой описываются основные понятия из области информационной безопасности, решаемые там задачи, а также дан ответ на очень важный вопрос: почему вообще стоит заниматься защитой информации? Какая реальная практическая польза на реальных примерах из нашей жизни.
Кроме того, в лекции описаны базовые свойства систем защиты информации, жизненный цикл процессов ИБ (СЗИ), а также способы исследования бизнес-структуры объекта защиты. Вы узнаете, что такое доступность, целостность, конфиденциальность, аутентичность и многие другие понятия. Поймёте, какие бывают виды и источники угроз.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение
F5 Secure Web Gateway Services.
Добро пожаловать в очередной выпуск ежемесячного сборника материалов, который является вашим универсальным ресурсом для получения информации о самых последних разработках, аналитических материалах и лучших практиках в постоянно развивающейся области безопасности. В этом выпуске мы подготовили разнообразную подборку статей, новостей и результатов исследований, рассчитанных как на профессионалов, так и на обычных любителей. Цель нашего дайджеста - сделать наш контент интересным и доступным. Приятного чтения
(https://boosty.to/chronicles_security + ссылки на источник внутри документа)
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
Готова ли ваша организация к отражению атак? Не тратьте время на обдумывание стратегии защиты. Приведенная ниже таблица поможет вам защититься от этих атак.
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
3-ий контроль из набора мер CIS Critical Security Controls 6-ой версии - что это такое, зачем это нужно, как реализовать и контролировать. Пример реализации на базе решений Kaspersky, MaxPatrol и Request Tracker. Пример использования Request Tracker для учёта информационных активов.
Презентация продукта Web Application Firewall (WAF) от одного из "пионеров" и нынешнего лидера* отрасли (*по версии квадранта Gartner для WAF от 2014 года)
Russian presentation of WAF solution from the leader of the market (*according to Gartner MG from 2014).
Поиск уязвимостей в программах с помощью анализаторов кодаTatyanazaxarova
В настоящее время разработано большое количество инструментальных средств, предназначенных для автоматизации поиска уязвимостей программ. В данной статье будут рассмотрены некоторые из них.
Safety and Security of Web-applications (Document)
1. Экономический университет – Варна
КУРСОВАЯ РАБОТА
по дисциплине «Безопасность и защита Microsoft сетей и приложений»
Защита и безопасность веб-приложений
Студент А.Н. Долганов
Руководитель Стефан Дражев
Болгария, Варна
2015
2. УЯЗВИМЫЕ МЕСТА В ЗАЩИТЕ ВЕБ-ПРИЛОЖЕНИЙ
Популярность Web-приложений и постоянные проблемы, связанные с
их защитой, привели к появлению целой индустрии, работающей, прежде
всего, над вопросами защиты Web, а также над проблемами методологий
открытых исходников и технических описаний как потенциальных средств
атаки и защиты. В частности, организация Open Source Web Application
Security Project (OWASP) постоянно работает в области безопасности Web-
приложений и публикует непрерывно обновляемый список из 10 наиболее
распространенных уязвимых мест в защите. В приведенном ниже списке
перечислены 10 таких уязвимых мест:
1. Неподтвержденный ввод данных
Информация из запросов не подтверждается перед использованием в
Web-приложении. Хакеры могут использовать эти дефекты для атаки
внутренних компонентов системы через Web-приложение.
2. Управление взломанным доступом
Не существует ограничений на доступ аутентифицированных
пользователей. Злоумышленники могут использовать эти слабые места для
получения доступа к учетным записям других пользователей и просмотра
важных файлов или применения неавторизованных функций.
3. Управление аутентификацией и сессией
Мандаты доступа и сессионные маркеры не защищены надлежащим
образом. Злоумышленники, взламывая пароли, ключи, фрагменты
сессионных данных и другие маркеры, могут обойти ограничения
аутентификации и войти в систему под видом других пользователей.
3. 4. Межсайтовые сценарии (Cross-site scripting)
Web-приложение может использоваться как механизм для перенесения
атаки на браузер конечного пользователя. Злоумышленник может определить
сессионный маркер конечного пользователя, атаковать локальную машину
или заменить содержимое для неопытного пользователя.
5. Переполнение буфера
В некоторых языках программирования компоненты Web-приложения,
не подтверждающие соответствующим образом ввод данных, могут
использоваться злоумышленниками для получения контроля над процессом.
Эти компоненты могут содержать Common Gateway Interface (CGI),
библиотеки, драйверы и серверные компоненты Web-приложений. Атаки,
связанные с переполнением буфера, не распространены в ASP.NET, однако с
технической точки зрения они являются слабыми местами методов
подтверждения ввода данных.
6. Вложение программного кода
Web-приложения передают параметры при получении доступа к
внешним системам или локальной операционной системе. Если
злоумышленник может внедрить в данные параметры свои команды, то
внешняя система выполнит эти команды от имени Web-приложения.
Злонамеренные вложения кода используют слабые места в подтверждении
ввода данных.
7. Неправильная обработка ошибок
Неправильно обрабатываются ошибочные условия, возникающие во
время выполнения стандартных операций. Если злоумышленник вызовет
ошибки, которые Web-приложение не в состоянии обработать, он сможет
4. получить подробную информацию о системе, отключить службы, вызвать
сбой механизмов зашиты сервера.
8. Незащищенное хранилище
Для защиты информации и учетных записей Web-приложения часто
используют функции криптографии. Такие функции и код для их интеграции
довольно сложно запрограммировать должным образом, что приводит к
ослаблению защиты.
9. Отказ в обслуживании приложения
Если злоумышленники полностью используют ресурсы Web-
приложения, то законные пользователи не могут получить доступ к нему.
Кроме того, злоумышленники могут блокировать учетные записи
пользователей и даже вызвать аварийный сбой всего приложения.
10. Незащищенное управление конфигурацией
Наличие жестких стандартов конфигурации сервера очень важно для
защиты Web-приложения. Многие опции конфигурации серверов влияют на
защиту и требуют настройки.
5. ОСНОВНЫЕ ПРИНЦИПЫ ВЫЖИВАНИЯ
Решая различные специфические проблемы, всегда следует помнить об
основных принципах проектирования и реализации приложений. Эти
принципы не зависят от технологий и применяются к каждой части системы.
1. Защита
Защита является столь же важной характеристикой приложения, как и
производительность или, скажем, пользовательские интерфейсы. Функции
защиты проектируются согласно определенным требованиям. Это означает,
что защита и тестирование защитных функций внедряются во время
жизненного цикла разработки приложения.
В реализации защитных функций приложения наиболее важно
определить потенциальные проблемы безопасности и уязвимые места,
нуждающиеся в защите. Весьма эффективным методом решения этих
проблем является моделирование угроз. После профилактического
моделирования реализация контрмер представляет чисто механическую
задачу. Для визуализации доступа к приложениям и генерирования ситуаций
вместе со списком возможных атак и контрмер можно применить инструмент
Microsoft Threat Analysis and Modeling (http://msdn.microsoft.com/security/se-
curecode/threatmodeling/acetm/). Следует помнить, что обеспечение и
тестирование защиты требуют времени и денежных затрат, что обязательно
необходимо учитывать при управлении проектом.
Кроме того, на некоторых стадиях цикла разработок для проведения
испытаний на проникновение целесообразно использовать программное
обеспечение от независимых производителей.
2. Использование минимальных привилегий
Всегда проектируйте свои приложения так, чтобы они корректно
работали со стандартными учетными записями. Использование учетных
6. записей с высокими привилегиями для запуска Web-приложений считается
плохим тоном программирования. Ведь Web-приложения являются
непосредственными мишенями для атак, и при захвате контроля над
приложением злоумышленник обычно получает такие же привилегии, с
какими было запущено приложение. Вам вряд ли понравится, если хакер
сразу получит привилегии Administrator или System.
Довольно часто возникают ситуации, когда для работы с различными
частями приложения требуется использовать разные привилегии. Однако вы
можете разделять эти части и запускать их в отдельных процессах с
использованием определенного коммуникационного канала между
интерфейсной частью и кодом. Данный метод является более безопасным,
чем запуск целого приложения с высокими привилегиями.
3. Предупреждение, обнаружение и реагирование
Система защиты складывается не только из контрмер (то есть одной
только защиты). В нее следует еще добавить механизмы для обнаружения
атак и внедрить стратегию реагирования.
4. Создание уровней защиты
Обычно Web-приложение является последней преградой между
пользователями (или злоумышленниками) и внутренними ресурсами, такими,
например, как корпоративная база данных. Вам следует обязательно
продумать защиту внутренних систем.
Хорошим примером того, как можно подтвердить ввод данных,
является работа некоторых встроенных служб ASP.NET, предназначенных
для фильтрации злонамеренных данных. Однако в этом случае всегда
следует применять дополнительные функции подтверждения ввода данных, а
также задавать ограничения ввода в базы данных, используя типы данных,
ограничения по длине и т. д.
7. 5. Некорректный ввод данных
При компиляции приложения неизвестно, какие данные будут в него
вводиться. Во время работы приложение получает данные из различных
источников, в том числе от пользователей из баз данных и файлов
конфигурации. Если приложение полагается на корректность функций ввода
данных, вам следует обеспечить гарантии того, что ввод некорректных
данных не вызовет сбоя в работе приложения независимо от источника этих
данных.
6. Виды отказов
Обычно разработчики основное внимание уделяют функциональности.
Злоумышленники же больше интересуются состояниями ошибок.
Вспомните, сколько было протестировано в процентном соотношении
обработчиков ошибок и блоков catch в вашем последнем проекте? Больше
пятидесяти процентов? Очень сложно полностью протестировать каждое
состояние ошибки. Тестирование элементов в комбинации с областью
действия кода обеспечивает эффективный метод автоматизации испытаний и
уменьшает вероятность того, что вы забудете выполнить какой-то важный
тест или проверить условие.
Следует внимательно относиться к каждому проявлению ошибки и
предоставлять информацию о ней пользователям. Сообщения об ошибках
могут быть представлены пользователям в виде каких-то общих фраз, но для
себя всегда нужно записывать в журнал подробную информацию об ошибке.
7. Отказы в обслуживании
По традиции атаки DoS (Denial of Service) являются сетевыми. Тем не
менее вы также можете невольно стать инициаторами таких атак в своих
приложениях. Типичные примеры атак DoS — автоматические блокировки
неудачных попыток регистрации, особенно когда не обеспечен механизм
8. автоматического снятия блокировок. Примером может служить и хранение
данных и сессионном состоянии ASP.NET для каждого анонимного
подключения. Злоумышленник может легко создать множество подключений
к сайту (хотя бы путем использования вымышленных IP-адресов), чтобы
вызвать переполнение памяти.
8. Настройки защиты по умолчанию
Если вы создаете приложение, которое будет инсталлироваться
другими пользователями, постарайтесь протестировать настройки защиты по
умолчанию. Вы должны иметь в килу, что позиция защиты будет гораздо
сильнее, если тот, кто устанавливает приложение, выберет новый пароль
вместо используемого по умолчанию. Если ваше приложение содержит
опциональные разделы, не инсталлируйте их по умолчанию, поскольку они
могут быть не так тщательно протестированы в отличие от
функциональности ядра - в таком случае они станут невыполняемыми
участками программы на сервере.
9. Использование криптографии
Один из наиболее распространенных мифов о защите заключается в
нелепых сказках о том, что криптографии гарантирует безопасность. Фраза
"У нас все защищено, потому что зашифровано" у опытного взломщика
может вызвать смех. Сама по себе криптография не обеспечивает защиты —
ее всегда следует использовать в комбинации с другими факторами.
Например, необходимо учитывать следующее:
какой алгоритм используется для криптографии;
как генерируются ключи;
используются ли пароли с низкой энтропией;
как хранятся и передаются пароли;
как часто изменяются пароли.
9. 10. Использование брандмауэра
Брандмауэры – это средства, препятствующие проникновению в
разделы сети, доступ к которым запрещен. Ваши приложения должны быть
доступны только для избранных. Так чем же может помочь брандмауэр в
защите приложения?
Брандмауэры могут снизить фронт атак на уровне серверов и сетей,
однако не разрешают проблем, связанных с защитой приложений.
Несмотря на то, что никаких новых типов атак Web-приложений в
последнее время открыто не было, настораживает сам факт возможности
таких атак. Перемещение приложений из внутренних селей в Интернет
всегда привлекает внимание злоумышленников, которые пытаются найти
уязвимые места в коде. Поэтому следует больше уделять внимания защите
таких приложений. Всегда следуйте главным принципам, перечисленным в
этой главе, и применяйте их в своей работе.
10. ПРОЕКТИРОВАНИЕ ВЕБ-ПРИЛОЖЕНИЙ
Веб-трафик и веб-приложения — тесно связанные вещи: если
приложение написано неправильно, его можно легко взломать. Безопасное
приложение — это не результат защиты внешними средствами: оно
появляется как результат правильного подхода к написанию кода. Если
приложение разработано группой разрозненных программистов, часть
которых находится в Индии, часть — в Китае и так далее, то высока
вероятность, что вопросы безопасности не решаются в комплексе с самого
начального этапа, и на выходе приложение будет представлять собой шаткую
конструкцию.
Как оценить правильность написания приложения? Единственный на
текущий момент способ — это сделать тест (например, скан), который
показывает все слабые и уязвимые места в приложении: где не шифруются
пароли, где возможны атаки cross-site scripting и т. д.
Серьезные ошибки веб-приложений — это оставшиеся уязвимости в
программном обеспечении. Причиной таких ошибок могут стать
использование слишком больших привилегий, неправильная реализация
шифрования, неудача в проверке входных и выходных данных, слабое
управление сессиями, неудачное исправление ошибок и проч. Неправильная
работа софта обычно происходит по причине недостаточных практик
разработки, где безопасность не является неотъемлемой частью цикла
разработки программного обеспечения. Хорошие практики
программирования значительно снижают количество уязвимостей,
порождаемых ошибками человека.
Способ, которым веб-приложение проектируется и разрабатывается,
влияет на его доступность, безопасность и на неприкосновенность данных.
Эксперты рекомендуют сервис-провайдерам, разработчикам и поставщикам
программного обеспечения, а также компаниям и клиентам, использующим
веб-приложения, относить вопросы безопасности к категории наивысшего
11. приоритета, в том числе с точки зрения законодательных и регуляторных
норм.
О безопасности веб-приложений специалисты советуют заботиться еще
на стадии проектирования, разработки, интеграции — и на протяжении всего
жизненного цикла приложения. «Безопасность должна стать
интегрированным компонентом приложения, а не добавляться в конце цикла
разработки, — считает Михаил Кондрашин. — За рамками проектирования и
реализации безопасность веб-приложения должна быть протестирована и
проверена перед тем, как оно запускается в продуктивный цикл или
развивается».
Если приложение написано бездумно, то ничто не мешает
пользователю написать, например, какой-нибудь хитрый запрос на
авторизацию, который всегда будет пропускать злоумышленника: ему даже
не потребуется где-то украсть пароль доступа. Это классический запрос SQL
Injection, с помощью которого можно удалить или даже выкачать всю базу.