Блог Александра Дорофеева

2010-01-31T20:36:00.000+03:00

В прошедшую пятницу принял участие в семинаре по тестированию на проникновение. Отстаивал свою точку зрения, что тестирование на проникновение в современном варианте – средство для эффективного поиска максимального количества уязвимостей при контролируемых рисках нарушения доступности систем, а не демонстрация руководству нескольких уязвимостей для увеличения бюджета на информационную безопасность...

Читать далее>>

Александр Дорофеев (c)

Сервис, сервис и еще раз сервис

2010-01-02T17:14:00.002+03:00

Натолкнулся в Интернете на выступления Джона Шоула, автора книги «Первоклассный сервис как конкурентное преимущество». Джон Шоул очень интересно рассказывает о том, как компании должны работать с клиентами, чтобы они возвращались вновь и вновь и рекомендовали нас своим друзьям. Некоторые выступления с переводом на русский язык можно найти на сайте Джона Шоула. ... Читать далее>>

Александр Дорофеев (c)

Канал ИБ от Google

2010-01-01T22:54:00.003+03:00

Прошлый октябрь в США был месяцем по повышению осведомленности в области ИБ и Google запустил свой канал на YouTube, посвященный данной теме... Читать далее

Александр Дорофеев (c)

Защита персональных данных: нормативные документы

2009-12-30T14:37:00.007+03:00

Решил открыть рубрику «Персональные данные» в своем блоге. В ней будут публиковаться заметки, посвященные самой актуальной теме 2009-2010 гг. Постараюсь придерживаться формата: вопросы-ответы.

Какие приняты нормативные документы в области защиты персональных данных и где их можно найти?

Ответ:

Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных»

Федеральный закон № 197-ФЗ от 30 декабря 2001 г. «Трудовой кодекс Российской Федерации»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Постановление Правительства РФ № 781 от 17 ноября 2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

....

Читать далее>>

Александр Дорофеев (c)

Перенос блога на www.adorofeev.ru

2009-12-30T13:13:00.003+03:00

Дорогие друзья! Поздравляю вас от всей души с наступающим Новым Годом! Желаю исполнения ваших самых заветных желаний! Счастья, любви и удачи!

Мой блог переезжает на новый адрес www.adorofeev.ru. До встречи на новом месте!

Александр Дорофеев (c)

Ubuntu: заметки восторженного пользователя

2009-12-14T19:12:00.002+03:00

Некоторое время назад столкнулся с вирусом-вымогателем на своем домашнем компьютере. Он заблокировал выход в интернет и требовал отправить платную СМС на короткий номер для получения кода для разблокировки.

С вирусом справился подручными средствами, но неприятный осадок остался. Даже позвонил оператору мобильной связи, чтобы сообщить, что короткий номер используется в мошеннических целях, но девушка из контактного центра меня вежливо отшила, сказав, что компания-оператор не имеет никакого отношения к коротким номерам и не в силах что-либо предпринять.

Тут я вспомнил, про операционную систему Linux, на сегодняшний день, свободную от подобных вирусов, и решил попробовать ее в качестве системы для домашнего компьютера.

Мое первое знакомство с Linux'ом состоялось лет 7 назад, тогда для того, чтоб его установить требовалось умение пользоваться утилитами командой строки, понимать, как задается размер SWAP-раздела, и куда это раздел лучше всего поместить на своем жестком диске и т.п. После установки, пользователь получал систему, в которой, как минимум, не работал звук (требовалось еще найти и установить драйвер для звуковой карты) и не всегда получалось добиться полноценной работы с русским языком. Прикладные программы под Linux сильно уступали по функционалу своим Windows-аналогам. Для того, чтобы установить программу нужно было терпеливо искать и устанавливать все необходимые для ее работы пакеты. В ходе установки зачастую приходилось еще и проводить перекомпиляцию программы. В общем, Linux тогда был совершенно бесполезным для конечных пользователей - он требовал от них глубоких технических познаний, а в ответ ничего толкового не предоставлял. Я помню, что в то время, было очень круто держать у себя на полке книгу «Ядро Linux в комментариях.» :)

В 2004-2008 годах я использовал Linux, когда нужно было воспользоваться сканером Nessus (поначалу бесплатной была только версия под Linux) и когда нужны были различные хакерские утилиты (использовался Backtrack).

Теперь же я решил попробовать Linux в качестве системы для домашнего компьютера. Посмотрел, какой дистрибутив сейчас самый популярный, понял что это Ubuntu, скачал и начал устанавливать. Как ни странно, установка на IBM ThinkPad T42 прошла без сбоев и довольно быстро (и даже на русском языке). Набирать команды в командной строке не пришлось вовсе.

Графический интерфейс системы ничем не уступает интерфейсу того же Windows XP и, на мой взгляд, даже более интуитивно понятен.

Относительно прикладных программ — я нашел либо версии тех же программ, что я использую под Windows, либо очень качественные альтернативные продукты. В общем, теперь , работая в Ubuntu, я использую Mozilla Firefox и Google Chrome для web-серфинга, программу Empathy для обмена мгновенными сообщениями по Google Talk, Mozilla Thunderbird в качестве клиента электронной почты и календаря, Skype — для живого общения, OpenOffice — для работы с текстовыми документами, презентациями и таблицами, OpenProj — для создания графиков для управления проектами, Deluge BitTorrent — в качестве torrent-клиента, Gimp — для обработки фотографий, VLC- для просмотра видео-файлов.

Хочу отметить, что современный Linux значительно продвинулся в плане инсталляции программ и обновлений. В Ubuntu есть менеджер обновлений, который периодически предлагает «накатить» выпущенные обновления. При установке программ, необходимые пакеты ищутся самостоятельно системой в онлайн-репозиториях. Так же Ubuntu без проблем распознал мой принтер.

В общем, установив Ubuntu на свой домашний компьютер, я получил весь необходимый мне функционал. Похоже самым серьезным недостатком Linux остается только ее имидж системы для технарей, хотя на сегодняшний момент это уже не так.

Александр Дорофеев (c)

Особенности корпоративной переписки

2009-10-04T12:56:00.003+04:00

Все мы умеем пользоваться электронной почтой и многие знают, как вести деловую переписку (по крайней мере данному вопросу посвящено очень много книг). В тоже время почему никто рассматривает, такую интересную область, как различные виды манипуляций в ходе переписки. Как правило, если сотрудники начинают активно пользоваться подобными приемами, это означает, что вместо того, чтобы работать они занимаются перекидыванием ответственности (“картошки”) за что-либо и в целом тормозят наше дело.

В данной заметке я хочу рассмотреть наиболее распространенные приемы, используемые сотрудниками компаний в процессе своей работы и приведу контрприемы, которые на деле показали свою эффективность.

Динамо

Самый распространенный прием, заключающийся в молчании в ответ на письмо. Контрприемом является прием "Пинок", который заключается в форварде того же письма с возможным добавлением в копию руководителя адресата и других заинтересованных товарищей.

Избыток информации

Вы задаете вопрос, подразумевающий короткий или даже однозначный ответ. В ответ же получаете длинное письмо, где написано, все что угодно, но прямого ответа на ваш вопрос нет. В общем, вы спросили: “Который час?”, а Вам ответили: “У меня часы Rado.”
Контрприемами являются прием "Уточнение" или "Подведение итогов". В случае “уточнения” мы задаем уточняющие вопросы, вынуждающие собеседника по переписке ответить прямо на наш вопрос. А в случае “подведения итогов” мы сами формулируем ответ на наш вопрос (в удобном для нас виде) и добиваемся его подтверждения.

Вывод дискуссии за пределы переписки

Менеджеры, бегающие от ответственности, не любят давать конкретных ответов в переписке, и очень часто натыкаясь на письмо с конкретным вопросом, дают ответ уже устно, дабы в случае чего сказать: “ты меня не так понял - я имел в виду совсем другое”. Контрприемом в таких случаях является прием "Подведение итогов", когда мы закрепляем ответ в виде письма. Оно, как правило, начинается со слов: “как мы обсуждали”, “как мы договорились” и т.д.

Использование дисклеймеров

Если в письме встречаются фразы: “по моему мнению”, “я думаю”, “мне кажется”, “вроде бы” и т.п., то получатель письма сразу должен проанализировать сообщение на предмет того, не хочет ли автор заставить нас увидеть желаемое, но далекое от реальности. Контрприем – уточнение и еще раз уточнение.

Минимум информации

Прием заключается в том, что автор сообщения пытается добиться принятия выгодного ему решения, сообщая нам только часть информации. Контрприемом является “Уточнение”. Одной из разновидностей приема является "Использование жаргонизмов", в рамках которого используется сленг непонятный для получателя письма.

Третий лишний

В переписке изначально участвуют три или более сторон. В процессе заинтересованным лицом одна из сторон убирается из копии, и тем самым лишается доступа к информации.
Контрприем заключается в постоянном контроле того, на чьей стороне “картошка” и если "картошка" на чужой стороне, то необходимо четко понимать, когда она должна быть возвращена или перенаправлена.

Александр Дорофеев (c)

Управление проектами

2009-10-01T22:29:00.002+04:00

Александр Дорофеев (c)

Делать людей лучше

2009-09-30T19:06:00.001+04:00

Народная поговорка гласит “Добро никогда не остается безнаказанным”, звучит очень цинично, но если посмотреть внимательнее, то здравое зерно в ней есть. Многие менеджеры, особенно начинающие, стараются быть добрыми и хорошими по отношению ко всем: к руководству, к коллегам, а также к подчиненным. Самое главное, чтобы доброта к подчиненным не вылилась в то, что менеджер начинает выполнять их работу и они потихоньку начинают садиться ему на шею. В таких условиях сотрудники не решают поставленные перед ними задачи, а грузят менеджера своими проблемами, причем зачастую не относящимися к делу.

Представьте, что вы пришли в ресторан быстрого питания и заказали чизбургер и кофе (поставили задачу). Продавец вместо того, чтобы взять с полки бутерброд и налить вам кофе, начинает вам задавать вопросы, подобные следующим: “Возьмете ли Вы бутерброд, если он упадет на пол в процессе транспортировки с полки на прилавок? Как вы хотите, чтобы я держал стаканчик в ходе наполнения его кофе? Что мне делать, если сейчас внезапно отключат электроэнергию? И тому подобное.” Вместо того, чтобы выполнить ваш заказ (решить вашу задачу) вас вовлекают в какие-то внутренние процессы, которыми вы никогда не управляли и не хотите управлять, грузят вас не вашими проблемами.

На мой взгляд, менеджер должен добиваться от своих подчиненных того, чтобы они с ним говорили на языке решений, а не проблем. Нужно стремиться делать не добро людям, а делать их самих немного лучше. Хорошую иллюстрацию этому я нашел в одной из книг психолога Михаила Литвака.

К психологу обратилась женщина с тем, что у нее не ладятся отношения с сыном. Сын-школьник сидит полностью на шее мамы (она его кормит, одевает, стирает его одежду и т.п.) и при этом он ей регулярно грубит. Психолог дал следующий совет: попробуйте не стирать ему рубашки, а иногда и не готовить ужин. Мальчишка походил в грязной рубашке несколько дней, после чего пришел к маме с требованием постирать, мать отказала в его просьбе. Ему пришлось научиться стирать свои вещи самостоятельно. Аналогичная вещь произошла с приготовлением пищи. Парень научился самостоятельно себя обслуживать и уважать труд и время своей матери. Отношения улучшились.

Менеджер должен уметь быть жестким и развивать своих подчиненных, делая при этом не всегда приятные для них вещи.

Александр Дорофеев (c)

Портрет лидера

2009-09-26T13:59:00.003+04:00

Наступила осень и я очередной год рассказываю студентам об управлении информационной безопасностью, рассказываю о стандартах ISO 27001, ISO 27002, ISO 27005, о том, как разработать разумные документы системы управления информационной безопасностью, о различных видах аудита ИБ и т.д. и т.п. Самое интересное, что на самом деле это довольно технические вещи. Если наш менеджер по информационной безопасности в совершенстве знает все эти области и не представляет себе, что такое реальный менеджмент, то у него ничего толкового построить в компании не получится.

Что же такое “менеджмент”?

Хороший учебник для студентов программы “MBA” нам скажет следующее: менеджмент – это эффективное и производительное достижение целей организации посредством планирования, организации, лидерства (руководства) и контроля организационных ресурсов.

Психологический портрет лидера

В этой заметке хочу рассмотреть такую функцию управления как лидерство. Данной теме посвящена масса книг и тренингов. Все карьеристы (в позитивном значении) стараются воспитать в себе лидера. На мой взгляд, тема лидерства очень неплохо раскрыта в фильме-тренинге Радислава Гандапаса: “Харизма лидера в бизнесе” .

Автор тренинга приводит интересный набор различий в поведении и взглядах нелидеров и лидеров (далее буду использовать термины “ведомые” и “рулевые”, Радислав Гандапас использует “инопланетяне” – “земляне”).

Страсть к халяве и желание платить за все

Рулевые платят за все. Бесплатное их отпугивает и унижает. Ведомые любят халяву и ради нее готовы пойти на многое. “Купи 10 бутылок колы, собери 10 крышек и получи китайские часы за бесплатно” – это для ведомых. На рекламе, нацеленной на рулевых вы никогда не увидите слов “бесплатно”, “недорого”, “даром” и т.п.

Мораль и целесообразность

Для ведомых создается некий набор ограничений, правил, который часто называется моралью. У каждой группы людей есть своя мораль. Одна мораль у преступных элементов, другая у религиозных экстремистов и т.д. Что разрешено в одной системе ограничений, запрещено в другой. Рулевые мыслят немного по-другому, они каждый раз оценивают насколько их действия способствуют достижению цели.

"Хорошо сейчас - плохо потом" и "плохо сейчас - хорошо потом"

Ведомые живут сегодняшним днем, для них самое главное, чтобы сегодня у них было все хорошо, а что будет завтра – не важно. Рулевые загоняют себя в сложное положение сейчас для того, чтобы получить какие-то блага потом. Рулевые пойдут учиться в сложный вуз, устроятся в компанию, где тяжело работать, но зато можно получить ценный опыт, ведомые выберут “халявный” вуз, где можно не учиться, найдут себе “ненапряжную” работу, не предусматривающую какого-либо развития и т.п.

Стратегия избегания – стратегия достижения

Ведомые руководствуются в своей жизни стратегией избегания – например, они работают, чтобы их не уволили, рулевые действуют для достижения какой-либо цели.

Желание брать – желание дать

Цели ведомых всегда определены в терминах “брать”, а цели рулевых в терминах “дать”.

Рабство – Ответственность

Ведомые любят загонять себя в ситуацию, когда от них ничего не зависит и они за что не отвечают. Рулевые загоняют себя в ситуацию, когда вся ответственность лежит на них.

Зачем менеджеру по информационной безопасности быть лидером?

Любой менеджер должен обладать лидерскими качествами. Так как, если человек по своей сути является “ведомым”, то он не сможет внести позитивные изменения в жизнь компании. Все его начинания останутся жить только на бумаге в его рабочем столе и он будет бесполезен.

Александр Дорофеев (c)

ИБ и кризис

2009-08-27T19:52:00.003+04:00

В прошлом октябре начался кризис. Все почувствовали приближение проблем, но в отношении ИБ многие говорили о том, что компании найдут деньги на ИБ даже во время кризиса. Некоторые специалисты по кадрам предрекали, что специалисты по информационной безопасности будут чуть ли не самыми востребованными. Сами специалисты указывали на то, что риски ИБ в ходе кризиса будут только расти.

Сейчас в последние дни холодного лета 2009-го можно попробовать начать подводить итоги.

Компании, в которых понимание процесса обеспечения ИБ заключалось в установке и поддержании в рабочем состоянии антивирусной системы, не перешли в разряд организаций, желающих иметь полноценную систему управления информационной безопасностью, но от антивирусов тоже не стали отказываться, и многие компании, специализирующиеся на выпуске антивирусного ПО даже заявляли о росте продаж.
В некоторых компаниях специалисты по информационной безопасности были сокращены, а их функции были переданы в ИТ или службу безопасности. Правда, большого количества безработных квалифицированных кадров тоже не наблюдается, так в списке из 57 человек, который выдается по запросу “CISSP” на сайте “Мой круг”, только 7 ищут работу.
Большого количества вакансий менеджерского уровня в области ИБ на рынке труда не наблюдается. Некоторые компании ищут специалистов по ИБ начального уровня (как правило, это интеграторы, которым нужны рабочие руки на проектах по персональным данным).
Темой года бесспорно стала “защита персональных данных”, но и в отношении их у компаний разные точки зрения. Многие заняли выжидательную позицию, так как увидели большие затраты на исполнение всех требований, да еще появились сомнения, а будет ли все работать, после того, как системы будут обвешены всевозможными сертифицированными продуктами. Не повезло только крупным компаниям, безусловным лидерам своих рынков, которые точно понимают, что к ним придут первыми и на них ресурсов у регулирующих органов хватит.

Делать какие-то прогнозы сейчас полнейшее безумие, так все зависит от того, куда наша экономика вырулит, а этого никто не знает. По моим наблюдениям, все лето многие только и занимались разглядыванием позитивных намеков на начало восстановления в различных статистических отчетах и при этом стали чаще обсуждать то, что кризис то, похоже, наш родной, доморощенный, а международный кризис – являлся только спусковым крючком. В общем, поживем – увидим.

P.S.

В начале лета менеджеры компаний-ретейлеров собрались для обсуждения стратегии развития компаний в ходе кризиса. Выступление Дмитрия Потапенко было самым ярким и запоминающимся: http://www.youtube.com/watch?v=ypGxclHjieE

Александр Дорофеев (c)

Блоги, как инструмент политической борьбы

2009-08-24T18:46:00.001+04:00

В последнее время блоги становятся настоящими средствами массовой информации, и по всей видимости, станут одним из серьезных инструментов в грядущей политической борьбе (2011, 2012), а для защиты данного инструмента, политическим игрокам придется познакомиться с основами ИБ.

Месяц назад в Казахстане блоги приравняли к СМИ (см. http://www.lenta.ru/news/2009/07/11/smi/) Теперь владелец блога может быть привлечен к уголовной ответственности. В России уже тоже думают о регулировании Интернета (http://www.nr2.ru/technology/228935.html).

Интересно, что некоторым блоггерам удается включить свою аудиторию в борьбу за правое/левое дело (см. статью “Виртуальные митинг, демонстрация, революция” в "Новой газете") . Многие слышали и о Михаиле Афанасьеве, который использовал свой блог для привлечения внимания общественности к ситуации вокруг спасения сотрудников Саяно-Шушенской ГЭС (http://rukhakasia.livejournal.com/8476.html)

С некоторыми блоггерами борятся с помощью атак типа “отказ в обслуживании”.В начале августа атаке подвергся Twitter, LiveJournal и YouTube (http://www.securitylab.ru/news/383384.php). Причину атаки связывают с Осетино-Грузинским конфликтом. Интересно, что и год назад некоторые сайты также подвергались DDoS-атакам из-за данного конфликта (см. http://www.grani.ru/Politics/Russia/m.139854.html)

Я думаю, наши политические игроки должны заранее подумать о грядущей информационной борьбе и предпринять ряд простых мер: обзавестись сетью дружественных блогов (так как одного сайта партии будет явно не достаточно и, скорее всего, он перестанет работать благодаря конкурентам задолго до выборов) и научиться использовать цифровую подпись для того, чтобы читатели имели возможность убедиться в правильном источнике перепечатанного сообщения.

Интересно, как будет называться позиция специалиста по ИБ в какой-нибудь партии? :)

Александр Дорофеев (c)

Скайп

2009-08-04T11:31:00.003+04:00

На прошлой неделе одной из самых обсуждаемых в Интернете тем было сообщение о планах РСПП подготовить поправки к закону, затрагивающие сферу IP-телефонии. У операторов связи вызывает беспокойство перетекания голосового трафика из платных сетей связи в бесплатный Интернет. Саму новость от РСПП можно прочитать здесь, также можно ознакомиться с презентациями от представителей операторов связи: http://www.rspp.ru/Attachment.aspx?Id=10470 и http://www.rspp.ru/Attachment.aspx?Id=10471

Одной из причин, по которой следует регулировать VoIP было названа невозможность устанавливать оборудование СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий) для контроля переговоров.

Довольно быстро появился довольно нецензурный видео-ответ на данную инициативу от Евгения Шестакова и Андрея Бочарова под названием “Гитлер и Скайп”:

Защищенный Skype

Похоже, что в Skype, действительно используется криптография, затрудняющая перехват переговоров пользователей (Skype опубликовал статью относительно своей защищенности:
http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf)
Немецкая полиция жаловалась о трудностях с перехватом голосового трафика, передающегося через Skype (http://www.reuters.com/article/technologyNews/idUSL21173920071122).

Где не любят Skype

Сайт Skype блокируется в Объединенных Арабских Эмиратах и Омане. Интернет наполнен слухами о том, что на ближнем востоке нелюбовь к Skype вызвана прежде всего тем, что он переходит дорогу местным государственным монополиям в области связи.

CALEA

Skype принадлежит американской компании eBay, а в США есть Communications Assistance for Law Enforcement Act, который обязывает телекоммуникационные компании, в том числе и те, которые занимаются IP-телефонией вносить изменения в ПО, устанавливать специальное аппаратное и программное обеспечение, которые позволяет спецслужбам США при необходимости перехватывать переговоры пользователей. Компании, попадающие под действие акта, должны были привести свои системы и оборудование в соответствие требованиям акта к 14 мая 2007 года.

Безопасность Интернет-переговоров

На мой взгляд, самым доступным и очевидным решением для организации защищенного канала связи является использование opensource VPN и VoIP сервисов. Так одними из самых популярных бесплатных VPN-решений являются: OpenVPN, FreeS/WAN и VoIP-решений: Asterisk и FreeSwitch.

Также можно использовать Zfone от автора PGP Филиппа Циммермана, который может работать с тем же Asterisk. В этом случае (если вы, конечно, доверяете решению от автора PGP) вам не нужно будет использовать свой VPN для шифрования трафика.

Александр Дорофеев (c)

Интересный способ продвижения услуг по тестированию на проникновение

2009-07-27T13:23:00.000+04:00

Сейчас тестирование на проникновение становится довольно распространенной услугой и компании ее предоставляющие начинают биться за клиентов при этом используя довольно интересные способы продвижения своих услуг.

Так есть компании, которые занимаются тем, что отыскивают сайты, содержащие уязвимости, демонстрируют их использование и публикуют соответствующие статьи на различных Интернет-ресурсах, нанося при этом ущерб имиджу своим “потенциальным клиентам”. При этом, как правило, атакованная сторона даже не оповещается о том, что были найдены уязвимости на ее ресурсе: лишь на сайте “пентестеров” есть обращение, наподобие следующего: “если вы нашли в списке взломанных сайтов свой, то обратитесь к нам и мы ваc защитим”.

Довольно интересный подход. Я думаю, что подобная реклама скорее отпугнет клиентов, заинтересованных в собственном аудите информационной безопасности, но зато может привлечь клиентов, заинтересованных в проведении хакерских атак против своих конкурентов. Недаром, на английском языке тестировщиков на проникновение называют “ethical hackers”, подразумевая наличие этики. Также получение многих профессиональных статусов в области ИБ и аудита (например, CISSP, CISA) возможно только в том случае, если специалист согласен следовать определенным этическим нормам, запрещающим в частности наносить вред своими действиями.

Александр Дорофеев (c)

Социальные и психологические технологии хакеров

2009-07-14T23:58:00.005+04:00

При фразе “социальная инженерия”, многие из нас представляют хакера, звонящего в офис и просящего сообщить пользователя свой пароль. Так ли на самом деле примитивны технологии, используемые социальными хакерами? Давайте посмотрим, какие методики доступны для осуществления “социального взлома”.

Начну с описания подобного взлома, взятого из книги Виктора Суворова “Аквариум”:

Постановка задачи перед курсантом (социальным хакером):

“Объект: Мытищинский ракетный завод. Задача: найти подходящего человека и завербовать его. Цель первая: получить практику настоящей вербовки. Цель вторая: выявить возможные пути, которые вражеская разведка может использовать для вербовки наших людей на объектах особой важности.

Ограничения. Первое - во времени: можно использовать для вербовки только свое личное время, выходные дни и отпуска, никакого особого времени на проведение вербовки не отпускается; второе - финансовое: можно расходовать только свои личные деньги, сколько угодно, хоть все, ни копейки государственных денег не выделяется.”

Теория:

“Теория вербовки говорит, что вначале нужно найти заданный объект. Это нетрудно. Мытищи-городок небольшой, а в нем огромный завод. Проволока колючая на роликах. Ночью завод залит морем слепящего света. Псы караульные тявкают за забором. Тут сомнений быть не может. А еще у завода соответствующее имя должно быть. Если на воротах написано, что это завод тракторной электроаппаратуры, то это может означать, что кроме военной продукции завод выпускает что-то и для тракторов, но если название ничего не выражает: "Уралмаш", "Ленинская кузница", "Серп и молот" - тут сомнения отбрасывайте в сторону: военный завод без всяких посторонних примесей. Второе правило вербовки говорит, что через забор лезть не надо. Люди из завода сами выходят. Они идут в библиотеки, в спортзалы, в рестораны, в пивные. Вокруг крупного завода должен быть район, где живут многие рабочие, где есть школы для их детей и детские сады. Где-то есть поликлиника, туристическая база, зона отдыха и т. п. Все это надо найти.

Третий закон вербовки гласит, что не нужно вербовать директора или главного инженера - их секретарши вербуются легче, а знают совсем не меньше, чем их начальники. Но вот беда, условия учебно-боевой вербовки запрещают нам вербовать женщин. За рубежом - пожалуйста, во время тренировок - нет. Нужно найти чертежника, оператора электронной машины, хранителя секретных документов, копировальщика и пр.”

“Фильмы про шпионов показывают офицера разведки в блеске остроумия и красноречия. Доводы шпиона неотразимы, и жертва соглашается на его предложение. Это и есть брехня. В жизни все наоборот. Четвертый закон вербовки говорит, что у каждого человека в голове есть блестящие идеи, и каждый человек страдает в жизни больше всего оттого, что его никто не слушает. Самая большая проблема в жизни для каждого человека - найти себе слушателя. Но это невозможно сделать, так как все остальные люди заняты тем же самым - поиском слушателей для себя, и потому у них просто нет времени слушать чужие бредовые идеи…”

“Пятый закон вербовки - это закон клубники. Я люблю клубнику. Я люблю ловить рыбу. Но если рыбу я буду кормить клубникой, то не поймаю ни одной. Рыбу надо кормить тем, что она любит, - червями. Если ты хочешь стать другом кому-то, - не говори о клубнике, которую ты любишь. Говори о червяках, которых любит он.”

Установление контакта:

“Они шли в библиотеку. Нет, это не секретная библиотека. Секретная внутри завода. Это обычная библиотека. И вход туда всем разрешен. Вот и я с группой затесался. Молоденькой библиотекарше за прилавком подмигнул, она мне улыбнулась, и я уже у книжных полок.

Теперь я роюсь в книгах и внимательно смотрю за тем, кто чем интересуется. Мне нужен контакт. Вот рыжий очкастый перебирает научную фантастику. Хорошо. Подождем его. Вот он отошел к другой полке, к третьей...

- Извините, - шепчу я на ухо, - а где тут научная фантастика?

- Да вон там.

- Да где же?

- Идите сюда, покажу.

Хороший контакт у меня получился только на третий вечер.

- Что-нибудь про космонавтов? Про Циолковского?

- Да это вот тут.

- Где?

- Идите сюда, покажу.”

Развитие:

“В библиотеке нельзя говорить громко, да и вообще разговаривать не принято. Поэтому я слушал его на заснеженной поляне в лесу, где мы катались на лыжах. В кинотеатре, в который мы ходили смотреть "Укрощение огня", в маленьком кафе, где мы пили пиво.”

"Взлом":

“Мы сидим в грязной пивной, и я говорю своему другу о том, что бороводородное топливо никогда применяться не будет. Не знаю почему, но он думает, что я работаю в 4-м цехе завода.

Я ему этого никогда не говорил, да и не мог говорить, ибо не знаю, что такое 4-й цех.

Он долго испытующе смотрит на меня:

- Это у вас там, в четвертом, так думают. Знаю я вас, перестраховщиков. Токсичность и взрывоопасность... Это так. Но какие энергетические возможности! Вы там об этом подумали? Токсичность можно снизить, у нас этим 2-й цех занимается. Поверь мне, будет успех, и тогда перед нами необъятные горизонты...”

Отличная работа разведчика, но это лишь описание из художественной книги, пусть даже основанной на реальных событиях. Какие же сейчас доступны "формализованные" методики, которыми могут воспользоваться современные социальные хакеры? На мой взгляд, их стоит разделить на две группы – ориентированные на использование логики и хитрости и психологические техники.

Первая группа технологий существует давно, но наибольшее развитие, на мой взгляд, получает в настоящее время. Родоначальниками направления являются Сунь Цзы и Николо Макиавелли. Первый описал применение социальных технологий в военном искусстве, второй - в политике. Хорошими современными книгами по данной теме являются:

“Искусство управленческой борьбы”, Владимир Тарасов;
“Игры, в которые играют менеджеры”, Игорь Зорин;
“Стратагемы - стратегии войны, манипуляции, обмана”, А.И. Воеводин.

Основой технологии является разработка некоего управляемого сценария (стратагемы), позволяющего достигнуть своей цели.

Приведу цитату, иллюстрирующий применение стратагемы, из книги Владимира Тарасова “ Искусство управленческой борьбы”

“Специалист по подавлению забастовок

В начале XX века на фабрике, расположенной в маленьком поселке, произошла забастовка. Дело было зимой. Предприниматель оказался в затруднении: все три возможных решения его по той или иной причине не устраивали.

Пойти навстречу требованиям бастующих. Они выйдут на работу, но выполнение их требований обойдется недешево. И где гарантия, что их аппетиты не возрастут и они снова не забастуют?

Не идти на встречу их требованиям.3ахотя т есть - рано или поздно выйдут на работу. Однако убытки от простоя фабрики, штрафы за срыв поставок и потеря в имидже окажутся слишком велики.

Вызвать полицию, чтобы повязали и увезли зачинщиков забастовки. Остальные испугаются и выйдут на работу. Но кто сеет ветер, пожнет бурю. Кто поручится, что его собственный дом вскоре не запылает?!

Вариант со штрейкбрехерами даже не рассматривался: их неоткуда было взять! Предприниматель решил обрати ться за помощью и пригласил специалиста по

подавлению забастовок. Специалист приехал, погулял по поселку, подышал морозным воздухом и посоветовал: "Если рабочие не хотят работа ть, пусть хотя бы фабрика работает! Пошлите с утра пару человек, пусть зажгут свет, затопят котлы, чтобы окна сияли и дым из трубы валил! А то уж больно унылая картина!" Так и сделали. Рабочие не поняли, что же там на фабрике происходит. Кто- то пошел посмотре ть. И исчез. Второй пошел узнать, куда девался первый, и тоже исчез. А что увидел рабочий, когда пришел на фабрику? Ничего особенного. Просто это было, как праздник. Нечто неожиданное и приятное. Прошелся по двору, прошелся по фабрике. И уж, конечно, - к своему рабочему месту. Осмотрел, все ли на месте, все ли в порядке. Погладил рукоятки станка, попробовал включить. Тело сразу все само вспомнило. Почувствовал, как приятно работа ть... Один за другим рабочие потянулись в ворота фабрики и молча приступили к работе. Забастовка окончилась.”

Что же касается психологических техник, подходящих для использования социальными хакерами, то в их главе стоит нейро-лингвистическое программирование (NLP). Включает в себя массу приемов, мастерское владение которыми, позволит получить любую информацию от практически любого человека. В основе лежит эриксоновский гипноз. Хорошее описание NLP можно найти в различных книгах Сергея Горина. Также интересные психологические приемы можно найти в книгах по социальной психологии и транзактному анализу.

Враждебное применение социальных технологий и психологических приемов в отношении людей, имеющих доступ к важной информации и рычагам управления в компании, может привести к серьезным последствиям для бизнеса. От таких приемов нельзя защититься с помощью программного или аппаратного обеспечения - необходимо повышать осведомленность наших сотрудников в данном вопросе. На мой взгляд, более менее серьезная программа повышения осведомленности в области информационной безопасности должна предусматривать и проведение соответствующего обучения, по крайней мере, для руководства компании.

Александр Дорофеев (c)

Информационная безопасность в Великобритании

2009-07-10T15:30:00.003+04:00

Попался на глаза отчет с результатами исследования по информационной безопасности, проведенного в Великобритании коллегами из компании PricewaterhouseCoopers по заказу Department for Business, Enterprise & Regulatory Reform.

Основные результаты исследования:

99% компаний осуществляют резервное копирование критичных данных;
98% компаний используют средства выявления шпионского ПО;
97% компаний осуществляют фильтрацию электронной почты в целях борьбы со спамом;
95% компаний проверяют сообщения электронной почты на наличие вирусов;
94% компаний используют шифрование для защиты беспроводных сетей;
55% компаний имеют формализованную политику информационной безопасности;
40% компаний имеют программу повышения осведомленности сотрудников в области информационной безопасности;
11% компаний внедрили ISO 27001;
13% компаний обнаружили факты внешнего вторжения в свою сеть;
9% компаний столкнулись с тем, что их клиенты подверглись фишинг-атакам;
9% компаний столкнулись с фактами “кражи личности” (identity theft) клиентов;
6% компаний сообщили о том, что они выявляли факты утечки конфиденциальной информации;
10% сайтов электронной коммерции не шифруют данные о кредитных карточках клиентов;
21% компаний тратят на ИБ менее 1% от бюджета ИТ;
35% компаний не ограничивают использование мессенджеров;
48% компаний не тестировали планы восстановления деятельности в 2008 году;
52% компаний не проводят формальной оценки рисков информационной безопасности;
67% компаний не используют мер по предотвращению утечки данных через носители информации;
78% компаний, которые столкнулись с фактом кражи компьютеров, не внедрили средств шифрования жестких дисков;
79% компаний не ознакомились с содержанием таких стандартов по ИБ как ISO 27001/27002.
84% компаний не осуществляют контроль исходящей почты на наличие конфиденциальных сведений.

Александр Дорофеев (c)

О консультантах

2009-07-04T18:40:00.005+04:00

Эту заметку начну с лучшего, на мой взгляд, анекдота о консультантах.

“Высоко в горах чабан пасет отару овец. Вдруг видит клубы пыли - к нему подъезжает крутой джип, из которого выходит молодой человек. Он одет в дорогой черный костюм, белую рубашку и темный галстук, на плече висит ноутбук. Молодой человек подходит к чабану и предлагает:

- Хочешь, я скажу, сколько у тебя в отаре голов, но за это ты мне отдашь одну ОВЦУ?

Чабан соглашается, молодой человек достает ноутбук, загружает Excel, получает фотографию со спутника данной местности, находит в Интернет данные о среднем количестве овец на квадратный метр при выпасе в горах, что-то долго вычисляет и, наконец, сообщает: "325”.

- Правильно, - отвечает чабан: Иди, бери.

Молодой человек бросается к отаре и после непродолжительной, но бурной схватки запихивает сопротивляющееся животное в багажник своего джипа и собирается уезжать. В этот момент его останавливает чабан:

- Хочешь, теперь я скажу кто ты и если отгадаю, то ты вернешь животное?

- Давай!

- Консультант!

- Как ты догадался?!

- Во-первых, ты явился, когда тебя не звали. Во-вторых, ты сказал мне то, что я и без тебя знаю. И, в-третьих, ты ничего не знаешь о моем бизнесе – верни мою собаку.”

Сегодня стало очень модно критиковать консалтинговые компании на различных конференциях, в статьях и блогах.

Навскидку могу назвать следующие основные претензии к консультантам со стороны заказчиков:

желание продать “лучшие практики”, которые не всегда лучшие
слабое представление о бизнесе клиента
готовность взяться за любую работу
молодость
недостаточный опыт
высокая стоимость услуг
и т.д

Критиковать – легко, и по большому счету, конечно, виноваты консультанты, которые не смогли правильно управлять ожиданиями своих клиентов. Тем не менее, нельзя забывать и о второй стороне - заказчике, который тоже может совершать ошибки.

Давайте посмотрим, зачем, вообще, компании могут понадобиться внешние консультанты. Ответ “требуется квалифицированная помощь” является правильным, но, к сожалению, не единственным.

Внешняя компания-консультант может быть привлечена для достижения политических целей в ходе внутренней корпоративной борьбы. Например, в крупной компании есть две группировки, которые борятся за влияние в компании. Одна нанимает компанию “с именем”, которая проводит независимый аудит в границы которого попадают проекты конкурирующей группировки. Отчет проходит несколько циклов согласования с заказчиком (нанявшей группировкой) и оказывается на столе у топ-менеджера. Руководителю компании "независимо" и "объективно" третья сторона (как правило, это компания, в силу своей известности уважаемая топ-менеджером) объясняет, что деятельность одной группы очень вредна для бизнеса компании, и подталкивает к решению, выгодному для заказавшей данный отчет группы.

Третьей причиной привлечения сторонних специалистов может оказаться банальное желание получить откат. Углубляться в данную тему не хочу, кому интересно, воспользуйтесь следующим запросом Google: “откаты в ИТ”.

Соответственно есть и консалтинговые компании, и компании-интеграторы, ориентированные на удовлетворение различных потребностей. Поэтому заказчику для того чтобы получить то, что он в действительности хочет, необходимо хорошо ориентироваться на рынке и стараться не обращаться к поставщикам услуг с “непрофильными” запросами, и случаев взаимного непонимания будет намного меньше.

На мой взгляд, финансовый кризис приведет к тому, что заказчики будут заинтересованы прежде всего в качественной работе, а консультанты и интеграторы, в свою очередь, поднимут уровень своих услуг на встречу потребностям клиентов.

Александр Дорофеев (c)

Осознание важности ИБ

2009-07-02T21:37:00.005+04:00

Свою заметку хочу начать с цитаты из книги Алекса Экслера Omert@. Руководство по защите компьютерной информации для больших боссов":

“Ну да, ну да, я в курсе, что ты – большой босс. Что ты не делаешь сам те вещи, которые другие могут сделать за тебя, получив за это деньги. Поэтому ты не моешь свою машину, не ходишь сам по магазинам (за исключением бутиков и ювелирок), не моешь пол и не протираешь пыль на рабочем столе. Однако даже ты знаешь, что есть вещи, которые за тебя не сделает никто.

Например, ты же не будешь платить деньги другим людям за то, чтобы они занимались любовью с твоей женой, правильно? Да, я знаю, что это дело интимное, а такое не доверишь посторонним. Но почему ты думаешь, что защита твоей собственной информации – любой, деловой или личной – это менее интимное дело?

Увы, друг мой, защита твоей информации - или хотя бы четкое понимание того, что это такое и как подобная защита должна строиться, - это ТВОЕ ЛИЧНОЕ ДЕЛО! Не Cosa Nostra (хотя твои проблемы могут стать и Нашим Делом тоже), а Cosa Roba – Твое Дело!

Разумеется, тебе не хочется вникать во все эти тонкости. Ты считаешь, что такой Большой Парень, как ты, для того и зарабатывает деньги, чтобы позволить себе заниматься только Большими Проблемами. В этом, конечно, есть определенная логика, однако безопасность твоей информации – это и есть Большая Проблема, уверяю тебя.”

К сожалению, на текущий момент, до всеобщего осознания необходимости реальной защиты информации нашими менеджерами еще далеко. Или недалеко?

Понятно, что сейчас кризис, и многие компании сократили свои затраты на все, что только можно, и информационную безопасность данная участь не обошла стороной. На самом деле все дело в оценке рисков, а руководители компаний и владельцы бизнеса, как правило, умеют это делать на достойном уровне.

Много ли руководителей, которые понимают, что в случае внешнего или внутреннего взлома и последующей потери информации бизнесу будет нанесен существенный ущерб?

Ответ: "Не очень много." И не потому, что они мало знают об ИТ и рисках информационной безопасности. Просто специфика многих российских компаний такова, что основным конкурентным преимуществом компании являются правильные связи ее владельцев, а не технологические “но-хау”, требующие серьезной защиты от конкурентов.

Однако, стоит отметить, что число менеджеров, понимающих важность ИБ постоянно растет, как и число компаний, у которых есть информация, которую нужно защищать. Посмотрите, несколько лет назад ИБ занимались только администраторы только потому, что это интересно, а сейчас даже в компаниях среднего размера появляются выделенные специалисты по защите информации.

Я думаю, что через некоторое время интерес к реальной защите информации очень сильно вырастет. На мой взгляд, это произойдет тогда, когда широко обсуждаемые бот-сети будут использоваться не только для проведения DDoS атак на внешние Web-серверы компаний, но и на внутреннюю инфраструктуру. Вы только представьте ситуацию, когда можно будет “выключить” на пару дней компанию за несколько сотен долларов.

Предпосылки к такому использованию бот-сетей уже видны невооруженным глазом. В своей заметке, посвященной вирусу Conficker, я обращал внимание читателя на то, что вирус действует как хакер: использует уязвимости в ПО, подбирает пароли, защищает систему от взлома со стороны “конкурентов”, скрывает свои следы и т.д и т.д.

На мой взгляд, следующим шагом развития подобного ПО будет появление функционала, наподобие следующего:

Инвентаризация ресурсов с целью выявления наиболее критичных серверов. Технически это легко реализуется с помощью простого анализа результатов сканирования портов. Не трудно оценить критичность сервера с открытыми портами, характерными для СУБД Oracle или SAP R/3.
Функционал фрэймворка для запуска эксплойтов. Например, вирус, определив перечень критичных серверов, начинает определять существующие уязвимости, после чего подгружаются соответствующие эксплойты, и осуществляется взлом сервера.
Возможность проведения атаки ARP-poisoning для перехвата паролей или их хэшей для последующего взлома.
Коммуникация с внешним ресурсом, позволяющим получить пароль по его хеш-значению за короткое время.

Сценарий оказания криминальной услуги может быть следующим.

Создается глобальная сеть зараженных компьютеров.
Клиенты на соответствующих сайтах вводят названия компаний и оплачивают услуги злоумышленников.
Выделяются соответствующие сегменты бот-сети, размещенные в сетях компаний-жертв.
По команде компьютеры-зомби блокируют работу критичных серверов, внутренние каналы забиваются вредоносным трафиком, ИТ-инфраструктура перестает поддерживать бизнес-процессы, они останавливаются и компания теряет деньги. В какой ущерб обернется двухдневный простой крупного банка?

Таким образом, скорее всего, появится реальное информационное оружие, которое будет доступно также как сейчас бот-сети для проведения DDOS-атак.

К сожалению, финансовый кризис только ускорит процесс создания подобного оружия, так как, сейчас многие квалифицированные специалисты оказываются незанятыми, а подобная криминальная деятельность сулит сверхдоходы.

Чтобы противостоять подобной угрозе компаниям придется не только регулярно обновлять антивирусное ПО, но и придется внедрять эффективные процессы управления информационной безопасностью, которые смогут обеспечить постоянный и адекватный уровень защиты на техническом уровне.

Александр Дорофеев (c)

Интерес к хакерам и их технологиям

2009-06-30T07:59:00.005+04:00

Похоже, мир осознает важность защиты своих информационных ресурсов от атак хакеров и в Великобритании и США уже открыто создаются подразделения по борьбе с кибератаками (см. например http://inopress.ru/article/29Jun2009/guardian/cyber.html).

В России же пока можно увидеть возрастающий интерес к технологиям хакеров со стороны обычных граждан: абсолютное количество запросов "как стать хакером?" в период октябрь 2008 - май 2009 довольно сильно возросло, судя по статистике Яндекс.

Сложно оценивать причину роста такого интереса, но можно предположить, что определенный вклад в него был привнесен желанием сотрудников насолить своему

работодателю, закручивающему гайки во время кризиса.

Интересно также, что может найти человек, решивший встать на путь хакера. Это прежде всего:

Руководства различной степени адекватности.
Сборники на компакт-дисках, содержащие программное обеспечение для взломщиков (стоимость ~ 1000 рублей)
Ссылки на печатные книги, наподобие “Как стать хакером: Интелектуальное руководство по хакингу и фрикингу.”
Предложения по взлому ящиков электронной почты и сайтов.

В общем, при желании, человек сможет найти то, что ему нужно для реализации своих замыслов, правда столкнется с людьми, желающими на его интересе заробатотать, продав ему бесплатные утилиты за 1000 рублей.

Александр Дорофеев (c)

Планы по обеспечению непрерывности бизнеса

2009-06-25T00:55:00.003+04:00

В своей заметке Обеспечение непрерывности бизнеса и восстановление после сбоев я рассказывал о практическом подходе к построению системы управления непрерывностью бизнеса и обещал отдельно написать о документах, разрабатываемых в ходе планирования.
Сначала опишу некоторые общие моменты планов, а затем перейду к специфике.

Общее для всех планов

В планах мы закрепляем принятые на этапе планирования решения относительно того, кто и что будет делать в ходе кризисной ситуации. Это делается для того, чтобы минимизировать временные потери в ходе восстановления.

Вспомните кадры событий 11-го сентября в башнях-близнецах в Нью-Йорке. Кто-то без лишней паники спускался к выходу, а кто-то ждал разрешения своего удаленного начальства. Мы тратим время на планирование для того, чтобы не тратить его на неразумные действия в ходе самой кризисной ситуации.

Также для нас очень важна скорость передачи информации. Для этого в планы включаются схемы оповещения и вся необходимая контактная информация. Практика показывает, что, лицо, принимающее ключевые решения, в момент кризиса, как правило, находится в отпуске или у дамы сердца. В таких случаях первоочередной становится поиск человека, знающего номер мобильного телефона этого менеджера.

Специфика

Политика обеспечения непрерывности бизнеса компании

Политика, как правило, отвечает на следующие простые вопросы:

Для чего BCP/DRP нужно компании?
На каких направлениях деятельности компании система управления непрерывностью бизнеса будет концентрироваться?
Как разграничены зоны ответственности по обеспечению непрерывности бизнеса?
Какими принципами компания будет руководствоваться в ходе построения системы управления непрерывностью бизнеса?

Общий план обеспечения непрерывности бизнеса и восстановления после сбоев

В плане описываются выбранные наиболее серьезные риски/сценарии (потеря офиса, потеря датацентра и т.д.) и стратегии восстановления (перенос процессов в другой офис, удаленная работа и т.д.). Описываются задачи команд восстановления и определяется их состав (команда оценки ситуации, административная команда, команда обеспечения физической безопасности и т.д.).

План действий антикризисного комитета

Данный план определяет действия высшего руководства компании. Как правило, план определяет новые зоны ответственности руководителей компании в ходе кризиса, так как в идеале развесистый орган исполнительной власти компании на время кризиса должен трансформироваться в небольшую оперативную группу управления.

План, как правило, отвечает на следующие вопросы:

Кто и как финансирует процесс восстановления?
Кто делает публичные заявления?
Кто контролирует ход работ по восстановлению?
Кто отвечает за взаимодействие с третьими сторонами?
Где будет работать антикризисный комитет в ходе кризиса (в случае, если офис не доступен)?
и т.д и т.д.

План PR-отдела по реагированию на кризис

План содержит описание специфичных действий PR-отдела, заранее подготовленные тексты сообщений, контактную информацию журналистов. Наверное, многие видели, как слаженно работают специалисты по связям с общественностью авиакомпаний в случае крушения авиалайнера: почти мгновенно появляются взвешенные заявления от руководства компании, начинает свою работу выделенный для несчастливого рейса сайт, на котором публикуется важная информация (имена пассажиров, новости и т.д.).

Заметил интересную деталь. В PR-планах, подготовленных западными специалистами, очень часто можно найти советы по ведению открытого диалога со СМИ. В российской практике подобная стратегия выбирается редко, а иногда используется даже постановка в основных СМИ “блока” на передаваемую информацию.

План HR-отдела по реагированию на кризис

Как правило, план содержит описание действий по реализации двух основных функций отдела кадров в ходе кризисной ситуации – оповещение сотрудников и их семей и взаимодействие со страховыми компаниями.

Планы обеспечения непрерывности деятельности бизнес-подразделений

Планы обеспечения непрерывности деятельности критичных бизнес-подразделений, как правило, содержат описание угроз, которые могут прервать бизнес-процессы и описание действий сотрудников в случае их реализации.

Большую ценность планов представляют альтернативные процедуры, позволяющие выполнять бизнес-процесс альтернативным способом. Например, сотрудники банковского колл-центра, отвечающие за блокировку карт, должны четко знать, как можно заблокировать карту через VISA, в случае недоступности внутренней банковской системы.

Важная роль в системе документации по обеспечению непрерывности бизнеса отведена и ИТ-планам, но о них я напишу в одной из следующих заметок.

Александр Дорофеев (c)

Защита персональных данных: извлекаем максимум пользы для компании

2009-06-21T18:36:00.001+04:00

Сейчас многие компании активно приводят свои системы обработки персональных данных в соответствие российскому законодательству и часто можно услышать мнение о том, что федеральный закон и “четверокнижие” не продуманные, и что вся эта активность - всего лишь хорошая возможность заработать деньги, предоставленная компаниям-лицензиарам. Многие отмечают то, что формальное соответствие требованиям закона не означает реальную защищенность персональных данных, например, из-за того, что сертифицированные средства защиты уступают несертифицированным аналогам по качеству и функциональности.

Лично я убежден в том, что если компания осознает необходимость построения эффективной системы управления информационной безопасностью, то реализация проекта по приведению системы защиты в соответствие требованиям законодательства будет использована для повышения эффективности СУИБ.

Так, в ходе предпроектного исследования можно провести инвентаризацию всех информационных ресурсов, а не только тех, которые задействованы в процессах обработки персональных данных. Можно провести полноценную классификацию корпоративной информации и сформировать внутренние требования по защите данных разной степени критичности (относительно персональных данных будем считать, что государство нам помогло, сделав это за нас).

В ходе разработки частной модели угроз мы можем концепцию расширить и внедрить в своей компании процесс управления рисками информационной безопасности. Базовая модель угроз от ФСТЭК и международный стандарт ISO 27005 могут послужить хорошей отправной точкой для этого.

Наше законодательство не предъявляет четких требований к внутренним нормативным документам, но их все равно необходимо разрабатывать, так как понятно, что без работающего процесса ничего не получится. Также наличие регламентирующих документов проверяется контролирующими органами. Почему бы в ходе проекта не разработать политики и процедуры, вписывающиеся в систему управления информационной безопасностью и соответствующие лучшим мировым практикам, закрепленным в таких стандартах, как ISO 27001 и ISO 27002?

Александр Дорофеев (c)

Акт Сарбейнса-Оксли и информационные технологии

2009-06-17T14:14:00.008+04:00

Компаниям, чьи акции продаются на Нью-Йоркской фондовой бирже (NYSE), необходимо соответствовать требованиям акта Сарбейнса-Оксли. Сегодня многие вендоры программного и аппаратного обеспечения говорят о том, что их решения соответствуют требованиям данного акта. Предлагаю разобраться в том, что за требования предъявляет акт Сарбейнса-Оксли к ИТ, и как им можно соответствовать.

История вопроса

Акт Сарбейнса-Оксли был принят в 2002 году после нашумевших скандалов с компаниями Enron, Worldcom и некоторыми другими. Напомню, что в случае с Enron, компания готовила мошенническую отчетность, которую смело подписывали аудиторы из компании “Артур Андерсен”. Для аудиторов история закончилась плохо – компании “Артур Андерсен” больше нет, а ее практики в разных странах разбежались по другим компаниям теперь уже "большой четверки". Акт определяет требования как к аудиторам, так и к компаниям, чьи акции продаются на американской фондовой бирже. Так, например, компания из "большой четверки" не может оказывать определенные консалтинговые услуги своим клиентам по финансовому аудиту, так как потом не сможе независимо оценивать результаты своей же работы.

Параграф 404

Когда речь заходит о требованиях акта к ИТ все вспоминают 404-й параграф документа. Давайте посмотрим на текст оригинала повнимательнее:

"SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.

(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall—

(1) state the responsibility of management for establishing

and maintaining an adequate internal control structure and

procedures for financial reporting; and

(2) contain an assessment, as of the end of the most recent

fiscal year of the issuer, of the effectiveness of the internal

control structure and procedures of the issuer for financial

reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING.—With

respect to the internal control assessment required by subsection

(a), each registered public accounting firm that prepares or issues

the audit report for the issuer shall attest to, and report on, the

assessment made by the management of the issuer. An attestation

made under this subsection shall be made in accordance with standards

for attestation engagements issued or adopted by the Board.

Any such attestation shall not be the subject of a separate engagement."

Не буду переводить полностью, скажу лишь, что аббревиатура “ИТ” в тексте параграфа даже не встречается. Фактически акт требует от компании создать систему внутреннего контроля за процессами формирования финансовой отчетности и регулярно тестировать ее эффективность и готовить соответствующие отчеты с результатами тестирования. И все.

Откуда же берутся требования к ИТ?

Разбираемся дальше. Фактически акт требует создать контроли (контрмеры) в процессах формирования финансовой отчетности, минимизирующие риски ее искажения. Такие контроли могут быть как ручными (например, подпись руководителя на приказе перед тем как чем-то будет дан ход), так и прикладными в информационных системах (например, замена подписи в виде галочки в соответствующей форме). К прикладным контролям также часто относят функционал систем расчета каких-либо цифр, попадающих, в конечном счете, в финансовую отчетность.

Для того, чтобы этим прикладным контролям можно было доверять нужны эффективные общие ИТ-контроли.

Общие ИТ-контроли для SOX

Фактически, когда мы говорим о соответствии ИТ-контролей требованиям акта Сарбейнса-Оксли, мы подразумеваем, что контроли соответствуют пониманию аудиторов из "большой четверки" о том, какие общие ИТ-контроли должны функционировать в компании. Благодаря такой организации, как ISACA понимание аудиторов из "большой четверки" было формально закреплено в документе IT Control Objectives for Sarbanes-Oxley 2nd Edition (для скачивания потребуется регистрация на сайте ассоциации). В документе есть матрица с иллюстративными контролями, которая по сути представляет собой сильно усеченную версию Cobit. Основными ИТ-процессами, которые должны быть на достойном уровне, являются: процесс внесения изменений в информационные системы, процессы управления информационной безопасностью, процесс управления конфигурациями и т.д. В этом же документе есть иллюстративные прикладные контроли, которые также могут быть полезными.

Как выполнить требования SOX (аудиторов из BIG4) к ИТ?

Алгоритм следующий:

Определить какие информационные системы и поддерживающая их ИТ-инфраструктура задействованы в процессах формирования финансовой отчетности. На этом этапе также очень важно пообщаться со своими аудиторами и добиться одинакового понимания этого вопроса.
Провести оценку ИТ-рисков для выбранных систем и определиться с контролями по их минимизации. Очень рекомендую использовать перечень контролей из обсуждавшегося выше документа “IT Control Objectives for Sarbanes-Oxley 2nd Edition.”. Особое внимание должно быть уделено контролям, связанным с внесением изменений и управлением доступом.
Формализовать выбранные контроли в виде политик и процедур. Воплотить их в жизнь.
Определить подход к тестированию контролей. Проводить периодическое тестирование контролей с формальным отчетом на выходе.

Вместо заключения

Таким образом, привести ИТ в соответствие требованиям акта Сарбейнса-Оксли не сложно: алгоритмы понятны, доступно хорошее руководство от ISACA. Заявления же вендоров о том, что их продукты, соответствуют требованиям SOX 404 являются всего лишь рекламным трюком.

Александр Дорофеев (c)

Обеспечение непрерывности бизнеса и восстановление после сбоев

2009-06-10T17:05:00.002+04:00

Сегодня многие компании начинают задумываться о планировании непрерывности бизнеса (Business Continuity Planning) и восстановлении после сбоев (Disaster Recovery Planning). Эффективная система управления непрерывностью бизнеса позволит минимизировать денежные потери в случае реализации угрозы прерывания бизнеса. Банковским же организациям необходимо выполнять требования Положения 242-П "Об организации внутреннего контроля". В настоящей заметке я рассмотрю основные этапы создания эффективной системы управления непрерывностью бизнеса и ее организационную структуру.

Как создается система управления непрерывностью бизнеса?

У каждой компании свой путь к эффективной системы управления непрерывностью бизнеса, который зависит от вида деятельности, размера организации, корпоративной культуры и многих других факторов. Рассмотрим основные шаги проекта по внедрению

полноценной системы управления непрерывностью бизнеса.

Шаг 1. Оценка рисков

Первым шагом на пути к обеспечению непрерывности бизнеса является создание в компании процесса по идентификации угроз, которые могут оказать столь негативное влияние на бизнес компании.

Перечень угроз для каждой компании будет индивидуальным, но некоторые угрозы будут актуальны для многих компаний.

Приведу примеры некоторых угроз:

недоступность офиса;
недоступность датацентра;
массовое отравление персонала;
и т.д.

После идентификации угроз, проводится оценка рисков (как правило, с помощью наиболее понятного и удобного способа и в результате мы получаем ТОП N рисков, с которыми нужно бороться в первую очередь.

Шаг 2. Оценка влияния прерываний на бизнес и определение требований

На этом шаге решается несколько задач, но разбивать его на отдельные шаги, как правило, нецелесообразно.

Задачами данного этапа являются:

определение последствий прерывания процессов;
выявление критичных бизнес-процессов;
выявление взаимозависимости процессов;
определение информационных систем, поддерживающих критичные бизнес-процессы;
определение требований бизнеса к целевому времени восстановления системы (RTO – Recovery Time Objective) и целевой точки восстановления (RPO – Recovery Point Objective);
определение требований к ресурсам, необходимым для минимального поддержания функционирования процессов (персонал, рабочие станции).

Замечание из практики

Очень часто руководители бизнес-подразделений пытаются завысить критичность процессов своего подразделения. Для того чтобы получить адекватную оценку критичности бизнес-процессов необходимо получить подтверждения оценок от руководителей более высокого уровня.

Также в ходе данного этапа формируются списки критичных сотрудников (20% тех, кто делает 80% работы), что также сталкивается с сопротивлением со стороны руководителей подразделений по понятным причинам.

Шаг 3. Оценка текущего состояния

После того, как мы поняли, какие бизнес-процессы для нас являются критичными и определили требования к информационным системам, необходимо определить, насколько эти требования выполнимы в текущих условиях.

На данном шаге мы получаем информацию о существующих проблемах, что позволит нам в ходе непосредственного планирования определить, какие решения нужно принять для выполнения требований бизнеса.

Шаг 4. Разработка нормативной документации системы управления непрерыностью бизнеса

Для того чтобы наша система управления непрерывностью бизнеса заработала, необходима разработка ряда нормативных документов. На мой взгляд, набор документации по BCP для крупной компании должен содержать:

Политику обеспечения непрерывности бизнеса;
План действий антикризисного комитета;
План PR-отдела по реагированию на кризис;
План HR-отдела по реагированию на кризис;
Планы обеспечения непрерывности деятельности бизнес-подразделений;
План восстановления ИТ после сбоев;
Инструкции по восстановлению информационных систем;
Общий план обеспечения непрерывности бизнеса и восстановления после сбоев;
Схемы рассадки персонала

Детально содержание данных документов я рассмотрю в одной из следующих своих заметок.

Шаг 5. Внедрение контрмер

Для повышения устойчивости компании принимают различные решения:

договариваются с соседями по бизнес-центру о предоставлении площадей в случае кризисной ситуации;
территориально разносят подразделения;
выбирают один из офисов в качестве резервной площадки;
строят или арендуют резервные датацентры;
и т.д и т.д.

В зависимости от требований к целевому времени восстановления может появиться необходимость внедрения различных технических решений, либо настройки существующих в соответствии с требованиями бизнеса.

Обеспечить необходимый уровень устойчивости к сбоям и скорейшее восстановление нам помогут:

кластерные решения;
виртуализация;
системы резервного копирования;
сети хранения данных;
территориальное разнесение серверов;
резервные каналы связи.

Сотрудники должны изучить разработанные планы и знать, что им делать в случае кризисной ситуации.

Шаг 6. Тестирование

После того, как мы определились с угрозами прерывания нашего бизнеса и приняли и внедрили в жизнь соответствующие контрмеры, нам необходимо проверить, насколько все то что мы создали, позволит нам противостоять угрозам в действительности. Для этого необходимо тестирование эффективности принятых мер.

Бывают различные виды тестирования. Можно тестировать только планы, тогда сотрудники собираются в одном помещении и имитируют выполнение действий, которые они бы предприняли в соответствии с планами, а можно устроить боевое тестирование – отозвать партию продукции, остановить работу “боевого” сервера и т.п. Объем и вид тестирования выбираются, исходя из необходимости проверить работоспособность решения/плана и не нанести ущерб бизнесу.

Организационная структура

Для того, чтобы непрерывность бизнеса обеспечивалась, необходимо иметь соответствующую организационную структуру.

В ходе обычного функционирования компании, как правило, выделяется человек (очень редко отдел), который отвечает за поддержание работоспособности системы управления непрерывностью бизнеса (обновление документации, результатов анализа рисков и т.п.). Такого человека часто называют менеджером по обеспечению непрерывности бизнеса. В каждом критичном бизнес-подразделении также назначается координатор, ответственный за поддержание актуальными планов подразделений.

В случае возникновения кризисной ситуации созывается антикризисный комитет, который берет управление компанией на себя для сокращения времени реакции. Для восстановления деятельности создаются специальные команды восстановления, которые и подчиняются антикризисному комитету.

Замечание из практики

Цель создания антикризисного комитета понятна: в случае кризисной ситуации очень важна малая скорость реакции, и поэтому необходимо сосредоточивание власти у довольно малой группы руководителей. Таким образом, если обычно компания управляется десятью директорами, то в случае кризисной ситуации, управление может осуществляться 2-3-мя топ-менеджерами. Понятно, что здесь появляются политические вопросы, в которые консультанты не любят вмешиваться, и иногда антикризисный комитет просто полностью дублирует исполнительный орган управления компании, что, на мой взгляд, не оправдано.

Продолжение следует.

Александр Дорофеев (c)

Документы по информационной безопасности

2009-05-28T19:17:00.006+04:00

Одной из важнейших составляющих эффективной системы управления информационной безопасностью является набор работающих политик и процедур. Зачем они нужны? Как отличить хороший документ от плохого? Как шутят консультанты и интеграторы? Об этом в данной заметке

Зачем нужны документы?

В основном, для того чтобы у всех было одинаковое понимание о том, что, когда, как и кто должен делать для защиты информации (дополнительно см. Политики и процедуры по информационной безопасности).

Есть ли универсальные документы?

Универсальных документов нет. В маленькой компании хватит инструкции для конечного пользователя, а в транснациональном холдинге потребуется целая структура взаимосвязанных документов.

Как оценить качество политики/процедуры?

Перечислю признаки плохих документов:

Большой объем (для политики > 3 страниц, а для процедуры > 15);
Плохая ориентированность на аудиторию. Например, в документе, ориентированном на ИТ-специалистов, рассказывается о том, что такое “конфиденциальность”, “целостность” и “доступность”, а в документе, ориентированном на всех сотрудников компании, авторы смело оперируют такими понятиями, как “правила межсетевого экранирования” и “система обнаружения вторжений”;
Мутность документа. Если из документа не понятно, как распределяются обязанности, в чем заключается процедура, какие результаты на выходе, как осуществляется контроль, какая периодичность выполнения процедуры и т.п., то единственная польза такого документа заключается в его наличии. Такие документы могут доставаться с пыльной полки раз год для аудиторов.

Таким образом, хороший документ – ясный, краткий и ориентирован на конкретную группу пользователей.

Курьезы из практики

За свою практику я просмотрел достаточно много политик информационной безопасности и две политики мне запомнились своей оригинальностью.

Один документ входил в состав комплекта, поставляемого на компакт-диске одним из игроков российского рынка информационной безопасности. Не знаю почему, но высокоуровневая политика информационной безопасности включала в себя схему сети. Другая политика представляла собой документ объемом в 50 страниц и тянула на хорошее вузовское пособие по информационной безопасности – она содержала описание математических моделей злоумышленника.

Разработка документов по информационной безопасности как бизнес

Практически любая компания, работающая на рынке информационной безопасности, предлагает услуги по разработке политик и процедур информационной безопасности. Вещь полезная для клиента, но необходимо помнить, что в ходе такого проекта нужно быть постоянно в контакте с консультантами, чтобы на выходе не получить неработающие “лучшие практики”. Только вовлечение сотрудников клиента и предоставление необходимой информации о существующих в компании процессах позволят создать комплект документов, подходящих компании.

Полезный проект: SecurityPolicy.ru

В своей заметке Информационная безопасность за бесплатно я упоминал о проекте института SANs по разработке политик информационной безопасности. Недавно узнал о российском проекте SecurityPolicy.ru. Портал уже содержит серьезный набор документов, и надеюсь, что благодаря общим усилиям специалистов по информационной безопасности, он станет хорошим источником шаблонов документов для построения эффективных систем управления информационной безопасностью в российских компаниях.

Наш вклад

Наша компания также поддерживает публикацию полезных шаблонов документов и сегодня на нашем сайте появился шаблон Положения о применимости контрмер ISO 27001 (Statement of applicability). Данное положение необходимо для прохождения сертификации по ISO 27001, так как именно оно (в заполненном, конечно, виде) определяет границы системы управления информационной безопасности в терминах контрмер ISO 27001.

Дополнительно по теме

Александр Дорофеев (c)

Опять privacy

2009-05-24T00:43:00.003+04:00

Две интересные ссылки в тему "privacy":

Сайт, демонстрирующий возможность получения информации о посещаемых интернет-ресурсах: ru.startpanic.com
ЖЖ-сообщество, обсуждающее интересные фотографии из социальных сетей: http://community.livejournal.com/shkola_urodov/

Александр Дорофеев (c)

Повышение осведомленности сотрудников в области информационной безопасности

2009-05-23T17:14:00.005+04:00

Как известно, человек является самым слабым звеном в обеспечении информационной безопасности. Именно люди выбирают слабые пароли, разглашают конфиденциальную информацию в разговорах с друзьями, из любопытства открывают вложения, содержащие вирусы. Для того чтобы таких инцидентов в жизни компании происходило как можно меньше внедряется программа повышения осведомленности сотрудников в области информационной безопасности (Security Awareness Program).

Обучение сотрудников в области информационной безопасности может принимать различные формы: от устного инструктажа нового сотрудника ИТ-специалистом до постоянного обучения с помощью системы дистанционного обучения и регулярных проверок уровня осведомленности.

Что же должно входить в эффективную программу повышения осведомленности сотрудников в области информационной безопасности?

Обучение

Обучение сотрудников основам информационной безопасности очень часто включают в первоначальное обучение новых сотрудников. Целью такого обучения является обучить пользователей выполнению базовых правил информационной безопасности. С такого тренинга новый сотрудник уходит с некоторым запасом знаний о том, чего нельзя делать, и пониманием того, как найти необходимую информацию в случае необходимости.

Понятно, что в начале своей карьеры в нашей компании у нового сотрудника есть более важные заботы, чем внимательное изучение существующих политик и процедур по информационной безопасности. Поэтому необходимо регулярное обучение сотрудников в области информационной безопасности.

Обучение можно проводить “вживую” – собирать сотрудников, проводить презентации, проводить тестирование знаний и т.п. Это возможно в том случае, если сотрудников у нас не очень много, либо достаточно ресурсов - персонала в службе безопасности или финансовых средств для оплаты услуг сторонней компании.

В современных кризисных условиях все большую актуальность приобретает дистанционное обучение. Для сотрудников компании разрабатывается курс по информационной безопасности и размещается во внутренней системе дистанционного обучения. Сейчас доступно большое количество систем дистанционного обучения с открытым исходным кодом, поэтому компании даже не придется тратиться на закупку дополнительного программного обеспечения. Современные технологии позволяют сделать обучение интересным, интерактивным и мультимедийным.

Что же касается содержания курса, то, на мой взгляд, базовый курс должен включать следующий перечень разделов, приведенный на странице сайта нашей компании “Разработка и внедрение курсов дистанционного обучения“.

Если интересно посмотреть вживую на работу системы дистанционного обучения, присылайте свой запрос на адрес info@atlantco.ru и мы вам вышлем логин и пароль для доступа к демо-версии (конкурентам просьба не беспокоиться ;) )

Рассылка

Нам не только нужно обучать своих сотрудников, но и постоянно информировать относительно актуальных угроз информационной безопасности. Для этого, как правило, периодически рассылаются письма, содержащие новости о последних компьютерных преступлениях, вирусных атаках и описание действий, выполнение которых требуется от пользователя в случае реализации угрозы. Иногда рассылаются выдержки из политик и рекомендации.

Примеры таких писем можно найти в блоге нашего проекта “Security Awareness Letters”.

Плакаты

Мы можем постоянно напоминать своим сотрудникам о важности информационной безопасности посредством различных плакатов. В Интернете можно найти довольно интересные креативные образцы агитпродукции, наподобие следующего: Пароли подобны нижнему белью

Руководство по разработке и использованию агитационных материалов.

Видео

Очень часто в качестве элемента программы повышения осведомленности выступает обучающий видеофильм, в котором наглядно представлены возможные угрозы и методы защиты от них.

Компания может купить уже готовую видеопродукцию, заказать съемку фильма с участием профессиональных актеров, а также снять фильм самостоятельно силами своих сотрудников. Последний вариант, на мой взгляд, наиболее интересный, так как в процесс вовлекаются сотрудники, да и фильм с участием коллег смотрится намного интереснее.

В YouTube можно найти примеры видео-роликов по информационной безопасности:

Также смотрите мои посты:

Слабые пароли

Думай перед публикацией своих материалов в Интернет

Игры

Для привлечения внимания пользователей могут использоваться различные онлайн-игры, размещенные в интранет.

Пример антифишинговой онлайн-игры.

День/неделя повышения осведомленности

Внедрение программы очень часто начинается со дня или недели, посвященной повышению осведомленности в области информационной безопасности (Security Awareness Day/Week). В ходе мероприятия проводятся обучающие семинары, раздаются ручки, “флэшки” с агитационными надписями и т.п., вывешиваются плакаты, устраиваются конкурсы. Если вы разработали программу повышения осведомленности в области информационной безопасности, то лучшим стартом для нее будет проведение подобного мероприятия. И не забывайте поощрять победителей конкурсов.

Регулярная проверка уровня осведомленности

Нужно не только обучать сотрудников, но и проверять, насколько мы это делаем эффективно. Для этого мы можем периодически устраивать проверки, такие как:
рассылка электронных сообщений с просьбами пройти по сомнительной ссылке, сообщить свой пароль и т.д. Конечно, в нашем случае сомнительная ссылка будет вести на страницу нашего портала с курсом дистанционного обучения. Анализируя статистику по количеству сотрудников, прошедших по ссылке или сообщивших свой пароль, можно будет судить об эффективности наших мероприятий. Также не стоит забывать о тестировании знаний сотрудников с помощью системы дистанционного обучения.

Конечно же, самым объективным показателем для оценки эффективности нашей программы повышения осведомленности сотрудников остается уровень инцидентов информационной безопасности до внедрения программы и после.

Методологии

“Построение программы повышения осведомленности и обучения в области информационной безопасности” Публикация Национального института стандартов США

“Повышение осведомленности в области ИБ: Лучшие практики защиты вашей компании” Tim Wulgaert.

Toolkit от Microsoft

Компания Microsoft выпустила свой toolkit для разработки программы повышения осведомленности сотрудников. В нем содержатся материалы, которые вам помогут обосновать необходимость программы (если конечно, это нужно), интересные видеоролики, шаблоны плакатов, презентации и прочие материалы.

Александр Дорофеев (c)

Простой способ выбрать сложный пароль

2009-05-20T09:33:00.002+04:00

Во многих компаниях одной из серьзнейших проблем, связанных с информационной

безопасностью, является использование сотрудниками простых паролей. Предлагаю

Вашему вниманию простой алгоритм формирования достаточно сложных паролей:

Password

View more presentations from adorofeev.

Дополнительно по теме:

Александр Дорофеев (c)

Информационная безопасность за бесплатно

2009-05-19T19:05:00.005+04:00

Кризис. Все стараются аккуратно тратить свои деньги, в том числе и на информационную безопасность. У многих возникает вопрос: "Можно ли защитить себя от различных угроз информационной безопасности и при этом не потратить ни копейки?"

В информационной безопасности есть три важных составляющих: процессы, технологии и люди. Попробуем найти бесплатные решения для всех трех составляющих:

Процессы

Обеспечение информационной безопасности начинается с постановки процессов. Мы определяем обязанности по обеспечению ИБ и назначаем ответственных.

Сейчас при построении системы управления информационной безопасностью используются такие стандарты, как ISO 27001, ISO 27002, ISO 27005. Копии данных стандартов стоят денег. Мы же хотим получить все за 0 копеек и при этом на законных основаниях. В этом случае нам поможет свободно распространяемый стандарт ISF The standard of good practice

Разобравшись с тем, какие процессы управления информационной безопасностью нам нужны, мы начинаем поиск шаблонов политик и процедур. Хороший набор шаблонов политик на английском представлен на сайте института SANS: The SANS Security Policy Project, также некоторые компании публикуют шаблоны документов на своих сайтах. Так, наша компания опубликовала шаблоны следующих политик:

В общем, вооружившись Google, знанием английского языка и текстовым редактором, можно подготовить дизайн системы управления информационной безопасностью. После чего эту систему останется только воплотить в жизнь.

Технологии

Разобравшись с тем, какие угрозы актуальны для нашей компании, мы хотим внедрить свободно распространяемые программные решения.

Из чего же мы можем выбирать?

Персональное антивирусное ПО

Антивирусное ПО для почтовых серверов

Clam Antivirus

Anti-spam решения

Персональные межсетевые экраны

Comodo Firewall

Системы межсетевого экранирования

VPN

OpenVPN

Система обнаружения вторжений

Snort

Также необходимо помнить, что современные операционные системы, системы управления базами данных и многие приложения обладают встроенными механизмами безопасности, грамотная настройка которых позволяет серьезно повысить уровень защищенности компании.

Люди

Нам необходимо повышать осведомленность сотрудников в области информационной безопасности. Как это сделать, и какого плана материалы должны быть нами разработаны, можно посмотреть по следующим ссылкам:

Дополнительно на YouTube можно найти массу познавательных видеороликов, наподобие тех, что приведены в следующих моих заметках:

Бесплатный аудит информационной безопасности

После того, как мы внедрили организационные и технические меры, мы можем провести и бесплатный аудит информационной безопасности. Для этого нам доступны:

Опросники для аудита настроек безопасности

Системы сканирования на наличие уязвимостей

Nessus (бесплатный для домашнего использования)
OpenVAS

Загрузочные диски Linux для аудита информационной безопасности

Заключение

Таким образом, при желании можно найти массу бесплатных решений по информационной безопасности. Единственное на чем не получится сэкономить, так как это на оплате труда специалистов, которые будут все это внедрять в жизнь компании, а затем осуществлять поддержку.

Александр Дорофеев (c)

Тестирование на проникновение

2009-05-16T15:26:00.004+04:00

Одним из наиболее распространенных видов аудита информационной безопасности является тестирование на проникновение.

В чем оно заключается? Зачем оно необходимо? Какие виды тестирования на проникновение бывают? Какие используются методологии и программные средства для проведения тестов?

Что такое тестирование на проникновение?

Тестирование на проникновение представляет собой набор мероприятий по выявлению уязвимостей информационных ресурсов. Сразу хочу отметить, что тестирование на проникновение не является демонстрацией возможности использования одной единственной уязвимости, позволяющей проникнуть в сеть компании. Целью тестирования является выявление максимально возможного количества реальных брешей в системе защиты.

Почему тестирование на проникновение дает более качественные результаты, чем простое сканирование на наличие уязвимостей?

Сканирование на наличие уязвимостей является одним из этапов тестирования на проникновение. Одно сканирование не позволяет адекватно оценить степень опасности уязвимости, так как сканер ничего не знает о критичности информационного ресурса, также сканер не сможет определить опасную комбинацию на первый взгляд не опасных уязвимостей. Например, в сетевой папке, открытой для чтения всем пользователям домена хранятся образы операционных систем. Сканер покажет только наличие такой папки, а аудитор, проведя анализ содержимого папки, извлечет из образа файл с хэшами паролей и, скорее всего, сможет взломать пароль локального администратора, тем самым продемонстрировав серьезнейшую уязвимость в корпоративной сети.

Зачем необходимо тестирование на проникновение?

Тестирование на проникновение позволяет получить достаточно объективную оценку уровня защищенности корпоративной сети.

Виды тестирования на проникновение

Внутреннее тестирование на проникновение

В ходе внутреннего тестирования на проникновение имитируется попытка взлома корпоративных информационных систем из внутренней сети. Целью аудитора является получение доступа к системам или к определенной информации. На своем сайте мы описали основные этапы внутреннего тестирования на проникновение и привели ссылки на часть используемых программных средств.

Сценарий успешного проникновения в ходе внутреннего тестирования может выглядеть следующим образом:

Аудиторы начинают тестирование с ИТ-инфраструктуры и “прощупывают” контроллер домена.
Выясняется, что контроллер домена позволяет получить перечень учетных записей пользователей через нулевую сессию или анонимный доступ к LDAP.
Аудиторы запускают проверку использования самых распространенных паролей и находят административную учетную запись с паролем “administrator”.
С помощью учетной записи администратора получают хэши паролей всех пользователей домена и осуществляют их взлом.
Далее идет поиск конфиденциальной информации на рабочих станциях пользователей и попытки проникнуть в другие системы, используя те же самые пароли.

Очень часто в ходе внутреннего тестирования на проникновение проводится тестирование защищенности беспроводной сети.

Внешнее тестирование на проникновение

В ходе внешнего тестирования на проникновения аудитор выступает в роли внешнего злоумышленника пытающегося проникнуть в сеть компании из сети Интернет. Как правило, на начальном этапе аудитор ничего не знает о компании, кроме ее названия. На нашем сайте приведено описание основных этапов внешнего тестирования на проникновение.

Возможный сценарий успешного проникновения в ходе внешнего тестирования:

В ходе сканирования на наличие уязвимостей аудиторы обнаруживают уязвимую версию ftp-сервера.
Использование уязвимости позволяет получить удаленную командную строку с правами администратора.
Получив доступ сначала в демилитаризованную зону, а потом и во внутренний сегмент сети, аудиторы применяют подход внутреннего тестирования на проникновение.

В ходе внешнего тестирования аудиторы часто проводят анализ защищенности Web-приложений.

Тестирование на проникновение с использованием методов социальной инженерии

В ходе тестирования на проникновение с использованием методов социальной инженерии аудитор пытается получить конфиденциальную информацию от пользователей, используя слабости человеческой натуры.

Возможный сценарий подобного тестирования на проникновение:

Аудиторы обнаружили Интернет-портал, используемый для предоставления удаленного доступа к внутренним ресурсам. Выбирается вариант тестирования с применением фишинг-атаки.
Из социальных сетей, таких как Linedin и Мой круг извлекаются данные о сотрудниках компании: имя и должность. Формируется перечень адресов электронной почты.
Устанавливается web-сервер, на котором размещается форма для смены пароля, требующая ввода старого пароля. Дизайн страницы совпадает с дизайном портала.
Сотрудникам бизнес-подразделений высылается письмо с просьбой пройти по ссылке и сменить пароль. Сообщение отсылается от имени определенного ИТ-специалиста, а в качестве адреса отправителя используется какой-либо несуществующий адрес, например itsupport@название_компании.ru Письмо подготавливается в html-формате, который позволяет скрыть некрасивый IP-адрес сервера аудиторов за красивой ссылкой на реальный сервер.
В случае успеха аудиторы получают пароли пользователей и отмечают в своем отчете еще один недостаток.

В ходе тестирования выявляются наиболее вероятные сценарии проникновения. На основе тестирования, включающего автоматизированный и ручной поиск уязвимостей, формируется полный перечень обнаруженных брешей.

Некоторые приемы тестирования

Для наглядности привожу ссылки на некоторые приемы, используемые в ходе тестирования на проникновение.

Методологии

В данном разделе дан краткий обзор наиболее полезных методологий по проведению тестирования на проникновение.

Information Systems Security Assessment Framework (ISSAF)

Методология содержит детальное описание процессов тестирования, включая практические приемы работы с различными утилитами. Рассматривается тестирование межсетевых экранов, антивирусных систем, беспроводных сетей, операционных систем, баз данных и т.д. Методология рассчитана на непосредственных исполнителей.

Ссылка: http://www.oissg.org/information-systems-security-assessment-framework-issaf.html

NIST 800-42 Guideline on Network Security Testing

Уровень детализации меньше, чем в предыдущем документе. Особое внимание уделено процессу организации тестирования в компании. Документ рассчитан на ИТ-менеджеров и непосредственных исполнителей.

Ссылка: http://csrc.nist.gov/publications/nistpubs/800-42/NIST-SP800-42.pdf

Open Source Security Testing Methodology Manual (OSSTMM)

Помимо описания процессов тестирования приведены полезные шаблоны документов, которые можно использовать при документировании результатов.

Ссылка: http://www.isecom.org

OWASP Testing Guide

Руководство содержит детальное описание процесса тестирования защищенности Web-приложений. Документ рассчитан, прежде всего, на непосредственных исполнителей.

Ссылка: http://www.owasp.org

Wireless Penetration Testing Framework

Схема тестирования защищенности беспроводных сетей с описанием конкретных команд. Рассчитана на непосредственных исполнителей.

Ссылка: http://wirelessdefence.org

Отчет с результатами тестирования на проникновение

По результатам тестирования готовится отчет, который, как правило, содержит:

краткое резюме для руководства;
описание границ тестирования и проведенных проверок,
скриншоты, подтверждающие наличие уязвимостей, факта проникновения;
описание обнаруженных уязвимостей;
описание рисков информационной безопасности, связанных с обнаруженными уязвимостями;
рекомендации по устранению уязвимостей.

Пример отчета по тестированию на проникновение

Программные средства для проведения тестирования на проникновение

В ходе тестирования на проникновение, как правило, используются свободно распространяемые программные средства.

На мой взгляд, самым лучшим сборником подобных утилит, является Linux Live CD Backtrack

Самым популярным доступным сканером уязвимостей остается Nessus

Литература

Лучше всего приемы тестирования на проникновение описаны в следующих книгах, которые без труда можно найти в книжных магазинах:

“Секреты хакеров. Безопасность Microsoft Windows Server 2003” — готовые решения, Джоел Скембрей, Стюарт Мак-Клар; 512 стр., с ил.; 2004, 3 кв.; Вильямс
“Секреты хакеров. Безопасность сетей - готовые решения”, 4-е издание, Стюарт Мак-Клар, Джоэл Скембрей, Джордж Курц; 656 стр., с ил.; 2004, 2 кв.; Вильямс
“Секреты хакеров. Безопасность Linux — готовые решения”, 2-е издание, Брайан Хатч, Джеймс Ли, Джордж Курц; 704 стр., с ил.; 2004, 1 кв.; Вильямс
“Секреты хакеров. Безопасность Web-приложений” — готовые решения, Джоел Скембрей, Майк Шема, Йен-Минг Чен, Дэвид Вонг; 384 стр., с ил.; 2003, 1 кв.; Вильямс

Следующие книги также являются очень полезными, но пока доступны только на английском языке:

No Tech Hacking: A Guide to Social Engineering, Dumpster Diving and Shoulder Surfing, Johnny Long;
Google Hacking for penetration testers, Johnny Long;
Nessus Network Auditing, Russ Rogers;
The web application hacker's handbook, Dafydd Stuttard, Marcus Pinto

Александр Дорофеев (c)

Уничтожение данных на жестких дисках

2009-05-10T13:58:00.002+04:00

Многие сталкиваются с проблемой уничтожения данных на жестких дисках. Это проблема возникает, как правило, в двух случаях:

необходимо исключить возможность утечки данных, записанных на жесткие диски, использование которых в организации прекращается.
необходимо исключить возможность утечки актуальной финансовой информации о деятельности компании посторонним лицам.

В первом случае очень важно качество уничтожения, а во втором очень важна скорость.

Рассмотрим, какие варианты решения данных задач есть у современных компаний.

Уничтожение данных программным способом

Алгоритмы надежного уничтожения данных программным способом базируются на нескольких циклах записи в область данных. Чем больше циклов, тем сложнее восстановить данные по остаточной намагниченности краевых областей дисковых дорожек.

Существует множество алгоритмов уничтожения данных, из которых наиболее известными являются:

алгоритм, описанный в американском стандарте DoD 5220.22-M
алгориты, описанные в руководстве NAVSO P-5239-26
алгоритм Брюса Шнайера
алгоритм Питера Гутмана

Недостатком программного уничтожения является небольшая скорость и то, что риск восстановления данных все равно остается.

Физическое уничтожение данных

Физически данные могут быть уничтожены либо изменением структуры намагниченности магнитного слоя, либо физическим уничтожением носителя информации.

В первом случае, часто используются импульсные намагничивающие установки. Стоимость таких установок колеблется от одной до нескольких тысяч долларов. Как правило, такие установки поставляются вместе с модулями позволяющими активировать их действие в случае несанкционированного доступа в помещение, нажатия на специальную "тревожную" кнопку, поступления смс-сообщения на специально отведенный номер и т.д.

Во втором случаем диск может быть уничтожен механически с помощью пресса или шреддера, также диск может быть уничтожен с помощью химически агрессивной среды или термическим нагревом.

Таким образом, компании могут использовать различные решения в своей деятельности:

для уничтожения некритичных данных - специальное программное обеспечение;
для уничтожения критичных данных - физическое уничтожение (например, с помощью пресса или шреддера)
для защиты же от возможной внезапной утечки - импульсные намагничивающие установки

Видео по теме:

Работа шреддера

Работа пресса

Уничтожение диска с помощью кислоты и термитной смеси

Александр Дорофеев (c)

Слабые пароли

2009-05-01T21:36:00.008+04:00

Слабые пароли являются одной из серьезнейших проблем информационной безопасности.

Я уже писал о том, какие пароли любят использовать пользователи (Подбор паролей) и о том, как современные вирусы проникают в системы, подбирая легко угадываемые пароли (Conficker: вирус-хакер).

Наткнулся на короткий видео-ролик, посвященный этой же теме. Часть паролей российскими пользователями конечно же не используются ("letmein", "monkey" и "myspace1"), но в остальном интересно убедиться в том, что наши пользователи

мыслят также как и английские и американские.

Александр Дорофеев (c)

Кибер-преступления

2009-05-01T18:34:00.004+04:00

Компания Verizon опубликовала отчет об утечках данных в 2008 году. Отчет затрагивает 90 подтвержденных компаниями взломах, результатом которых стала компрометация 285 миллионов записей. В исследование попали только случаи, расследование которых осуществлялось сотрудниками компании. Таким образом, сразу стоит отметить, что отчет отражает практический опыт одной компании.

Рассмотрим наиболее интересные моменты отчета.

Интересные цифры

В 74% случаев атаковавшие были внешними злоумышленниками;
67% случаев стали возможны, благодаря грубейшим ошибкам;
В 38% использовалось вредоносное ПО;
87% случаев можно было избежать, внедрив элементарные меры.

Киберпреступники используют все более интеллектуальные способы кражи информации

Авторы приводят интересные новости с рынка киберпреступности. Так, например, в 2008 году резко упала цена на копии магнитных полос кредитных карт: в середине 2007 года за каждую копию платили от 10 до 16 USD, а в 2008 всего 50 центов. Сегодня злоумышленники уже нацелены в большей степени на получение не только данных кредитной карты, позволяющих изготовить ее копию, но и на PIN-коды, знание которых позволяет снимать деньги через банкомат. При этом меняются способы атак злоумышленников, если раньше они устанавливали видеокамеры рядом с банкоматами и специальные накладки на их клавиатуры, то сейчас появляются вирусы, позволяющие хакерам получать PIN-коды непосредственно из банкоматов (см. http://www.bit-tech.net/news/bits/2009/03/19/atm-malware-discovered/1).

Кого атакуют?

Две трети от общего количества утечек данных пришлось на компании, работающие в сфере розничной торговли и финансовых услуг.

Откуда атакуют?

Хотя авторы признают, что очень ненадежно полагаться на информацию об IP-адресах источников атак, они приводят данные, в соответствии с которыми большинство атак происходит из стран Восточной Европы и Восточной Азии.

Как взламывают?

Наиболее эффективными способами проникновения по наблюдениям авторов являются:

Неавторизованный доступ в системы с использованием паролей по умолчанию и групповых учетных записей;
SQL-инъекция;
Использование ошибок в конфигурации списков контроля доступа;
Неавторизованный доступ с помощью украденных паролей.

Какая информация представляет наибольший интерес для хакеров?

Данные платежных карт;
Персональные данные;
Пароли;
Номера банковских счетов;
Интеллектуальная собственность;
Корпоративная финансовая информация.

Александр Дорофеев (c)

Думай перед публикацией своих материалов в Интернет

2009-04-26T13:30:00.007+04:00

В последнее время многие завели блог, стали публиковать свои фотографии в Интернет, зачастую забывая, что опубликованное может остаться в сети навсегда. Это заставляет нас быть более внимательными и осторожными. На эту тему следующий короткий ролик:

Александр Дорофеев (c)

Оффтопик: об экспертах

2009-04-25T23:25:00.002+04:00

Когда мы обращаемся за помощью к эсперту (неважно какому), мы не обладаем той полнотой информации,какой обладает он. В лучшем случае мы можем описать нашу проблему. Разобравшись в проблеме, эксперт предлагает решение, выбирая одну из следующих стратегий:

Стратегия N1. Клиент ничего не понимает, поэтому надо с него поднять максимум денег, продав как можно более дорогое решение его проблемы, а может даже и не его проблемы.

Стратегия N2. Помочь клиенту разобраться, в чем его проблема заключается, и найти оптимальное для него решение.

Удивительно, но сейчас очень часто встречаются эксперты, постоянно выбирающие стратегию N1. Это просто поразительно! Ведь эта стратегия абсолютно невыгодна для бизнеса. Клиент рано или поздно поймет, что его обманули. Он больше никогда не обратиться за помощью к такому эксперту. Он расскажет своим родственникам, друзьям, коллегам и партнерам, все, что думает об этом эксперте. Экспертам, выбирающим эту стратегию, приходится снова и снова искать клиента, сталкиваясь с возрастающими трудностями из-за негативного имиджа и уповать лишь на то, что Россия - страна большая.

Так, например, обстоит дело с юридической помощью в вопросах регистрации юридических лиц, внесением изменений в уставные документы. На многих сайтах компаний, предлагающих данный вид услуг, происходит запугивание потенциальных клиентов сложностью процесса. На практике же многие подобные услуги заключаются в заполнении

стандартной формы заявления и отстаивании в очередях в госучреждениях.

Хорошо, что есть много экспертов, выбравших стратегию N2. К таким специалистам приятно обращаться снова и снова.

Александр Дорофеев (c)

Скрытые данные в JPEG-файлах

2009-04-23T18:05:00.007+04:00

Многие знают, что в файлах формата JPEG могут содержаться не только данные изображения, но и служебные данные, которые могут представлять интерес для любопытных глаз. Какие данные могут быть в вашей фотографии и как их убрать?

Обычно из служебных данных можно узнать следующее:

модель фотокамеры;
дату и время создания фотографии;
настройки фотоаппарата во время съемки.

Иногда в служебных файлах можно встретить информацию о координатах места, где была сделана фотография, а иногда даже серийный номер фотоаппарата.

Для того, чтобы посмотреть какие служебные данные оставляет ваш фотоаппарат, можно воспользоваться бесплатной утилитой PhotoMe, а для того, быстро убрать все лишние данные вам поможет утилита командной строки jhead с помощью команды jhead -purejpg [имя файла].

Так выглядит сырой файл со служебными данными:

и файл, очищенный с помощью утилиты jhead.

Александр Дорофеев (c)

АУДИТ ИБ: за что платит компания?

2009-04-16T18:01:00.006+04:00

Какие виды аудита ИБ бывают? На что обратить внимание при выборе подрядчика? С какими проблемами можно столкнуться в ходе проведения аудита ИТ-инфраструктуры? Об этом в моей статье в журнале "Информационная безопасность" (38-я страница или переход по ссылке "АУДИТ: за что платит компания?" на обложке электронного журнала)

Александр Дорофеев (c)

Определяем, какие “флэшки” подключали к компьютеру

2009-04-16T17:41:00.006+04:00

Ситуация: Произошел “слив” информации и мы знаем, что кто-то из наших специалистов банально подключил свой usb-накопитель к рабочей станции/серверу и скопировал важные для нас данные. Как уменьшить количество подозреваемых лиц?

Решение: Windows сохраняет информацию об устройствах, которые когда-либо подключались к компьютеру, в своем реестре, и эта информация включает в себя серийный номер накопителя. Быстро определить перечень “флэшек”, которые подключали к компьютеру, можно с помощью бесплатной утилиты USBDeview , скриншот экрана которой представлен ниже. Как видно, для некоторых устройств есть записи о времени подключения/отключения:

Дополнительно по теме “расследование компьютерных преступлений”:

Александр Дорофеев (c)

Защита печатных документов

2009-04-12T12:22:00.005+04:00

Сейчас много говорится о методах защиты информации, многие из которых сфокусированы на защите электронных данных. В то же время данные рано или поздно распечатываются и оказывается на бумаге. Институт Ponemon провел исследование, в ходе которого 77 % опрошенных сообщили, что менее половины всех документов, содержащих конфиденциальную информацию компании, уничтожается с помощью шредера.

Дополнительно исследование выявило что:

наиболее “интересными” департаментами для кражи печатных документов являются: Департамент по работе с персоналом, Бухгалтерия, ИТ-департамент и Департамент продаж.
наиболее привлекательными печатными документами являются: документы, содержащие персональную информацию сотрудников и клиентов, отчеты управленческого учета, бюджеты, маркетинговые планы, планы продаж, финансовая отчетность и финансовые прогнозы.
самые опасные места для печатных документов: мусорные корзины, принтеры и рабочие столы.

Как компания может защититься от подобной угрозы?

Возможные меры довольно очевидны:

провести классификацию данных;
разработать и внедрить процедуры по работе с классифицированной информацией;
провести обучение сотрудников о правилах работы с классифицированными документами;
установить шредеры (или коробки для сбора документов) в легкодоступных для сотрудников местах;
внедрить регулярные процедуры мониторинга выполнения процедур по работе с документами (например, еженедельный осмотр рабочих столов, принтеров).

В заключение немного о шредерах

Шредеры бывают разные, и есть специальные стандарты, определяющие уровни надежности уничтожения печатных документов. Так европейский стандарт DIN 32757 определяет 5 классов (от DIN1 до DIN5). Чем ниже класс, тем больше шансов у злоумышленника восстановить документ. Красивые картинки с изображениями того, что получается на выходе устройств разных классов, можно посмотреть здесь. Хочу отметить, что злоумышленнику не обязательно приходится вручную восстанавливать разрезанные документы, так на рынке доступно программное обеспечение, автоматизирующее этот нелегкий процесс (например, Unshredder). Таким образом, компании лучше еще подумать, о том, что для уничтожения документов различной степени конфиденциальности нужно использовать шредеры различных классов.

Александр Дорофеев (c)

Хакером может стать каждый

2009-04-10T01:39:00.004+04:00

Выступал на семинаре ассоциации специалистов по информационной безопасности RISSPA

с презентацией на тему: "Тестирование на проникновение: насколько защищены ваши корпоративные системы?" Выкладываю материалы своей презентации.

Penetration testing

View more presentations from adorofeev.

Одним из моих тезисов был: "Хакером может быть каждый" и в доказательство

этого я привел сделанную мной запись использования Metasploit для получения несанкционированного интерактивного доступа к рабочему столу удаленной

системы. Сегодня для запуска многих эксплойтов необходимо лишь умение пользоваться

мышкой:

Александр Дорофеев (c)

Conficker: вирус-хакер

2009-04-08T02:18:00.003+04:00

Conficker, он же Downup, он же Downadup, он же Kidо – опасный вирус, поразивший по некоторым оценкам уже несколько миллионов компьютеров во всем мире. Компания Microsoft пообещала 250,000 $ за информацию о его создателях. Интересны методы, используемые вирусом. Они напоминают действия реальных злоумышленников в ходе проникновения в корпоративные сети.

Так типичным сценарием проникновения является следующая последовательность действий:

1. идентификация цели

2. поиск уязвимостей

3. проникновение (эксплуатация уязвимостей)

4. выполнение поставленной задачи

5. сокрытие следов.

Шаг 1. Идентификация цели

Целью вируса является заражение большого количества компьютеров, поэтому в нем заложен специальный алгоритм генерации доменных имен и IP-адресов компьютеров-целей.

Шаг 2. Поиск уязвимостей

Для своего распространения вирус использует не только уязвимости в сетевых службах ( MS08-067), но и слабые пароли учетных записей Windows (полный список паролей можно посмотреть здесь. Думаю, что многие увидят свои любимые пароли.

Шаг 3. Проникновение

Вирус проникает через уязвимость MS08-067, либо через ADMIN$/IPC$ (в случае успешного подбора пароля), после чего создает DLL-файл со своим кодом в папках System32, Program files или временных папках пользователя. Время создания устанавливается таким же, как и kernel32.dll. Также вирус помещает свою копию на USB-носитель и вносит необходимые для его запуска изменения в autorun.inf.

Шаг 4. Выполнение поставленной задачи

Это самый интересный пункт, так как в вирусе реализована логика peer-to-peer клиента, и он может запускать любые программы, отправленные на исполнение его создателями. Интересно, что такие посылки подписываются с помощью цифровой подписи. Дополнительно в вирусе реализована защита от попытки провести дизассемблирование кода такой посылки в ходе исполнения – в случае запущенного программы-отладчика, процесс “убивается”.

Шаг 5. Сокрытие следов

Вирус предпринимает следующие шаги для сокрытия своей деятельности и затруднения борьбы с ним:

“убивает” работу антивирусов (в “черном” списке вируса 23 таких продукта),
блокирует запросы к Интернет-ресурсам, содержащим обновления антивирусов и прочие утилиты, которые могут быть использованы во вред вирусу;
останавливает службу автоматического обновления Windows;
устанавливает псевдо-патч, не позволяющий использовать уязвимость другим вирусам или злоумышленникам.

Интересный факт

В Conficker’е используются современные криптографические алгоритмы, такие как RC4, RSA и MD-6. MD-6 был опубликован в конце прошлого года и спустя несколько недель был реализован в вирусе. Криптографические протоколы используются вирусом для того, чтобы исключить возможность перехвата управления зараженными машинами. Высокий уровень квалификации создателей вируса не оставляет сомнения.

Что дальше?

Самое интересное, скорее всего, нас ждет впереди. Вирус позволяет запускать любой исполняемый код на зараженном компьютере. Остается только догадываться для чего будет использована такая громадная сеть зараженных машин. Может для DDOS-атак, а может быть для массовой кражи конфиденциальной или персональной информации.

Заключение

Как отчаянный оптимист, попытаюсь найти положительный момент в этой ситуации. Думаю, что компании, в которых не налажен процесс управления уязвимостями, и в которых не проводится регулярный аудит информационной безопасности, извлекут соответствующие уроки и станут заниматься информационной безопасностью всерьез и во время финансового кризиса. Другого выбора нет, либо компания проводит регулярное тестирование защищенности и закрывает обнаруженные бреши, либо ее "проверяет" такой вирус, как Conficker. Один антивирус от подобной угрозы, к сожалению, не спасет.

Детальная техническая информация о вирусе: http://mtc.sri.com/Conficker/

Александр Дорофеев (c)

Методы социальных хакеров: подглядывание

2009-04-05T21:36:00.004+04:00

Иногда, для того чтобы проникнуть в корпоративную сеть компании, не нужно использовать такие сложные технические приемы, как NTLM-инъекция, достаточно лишь просто подглядеть пароль пользователя. Так в ходе одного проекта мне удалось сфотографировать с помощью телефона наклейки “post it” с записанными паролями секретарей и впоследствии полученная информация значительно облегчила тестирование на проникновение в корпоративную сеть изнутри. Фотография была примерно такой (взято с сайта http://stanbiron.com):

Так и реальный злоумышленник сможет увидеть, какой вы используете пароль, просто подойдя к вам со включенной видеокамерой в мобильном телефоне в тот момент, когда вы вводите свое имя и пароль.

Подобная угроза актуальна и за пределами офиса. Сейчас во многих общественных местах появился доступ в Интернет через Wi-Fi, и все больше людей пользуется предоставленной возможностью удаленно подключиться к корпоративной сети и поработать. В таких местах они и могут стать жертвами подглядывающих злоумышленников. О том, в какой компании работает жертва, можно судить по наклейкам на ноутбуке или чемодане (некоторые приклеивают свои визитные карточки), либо по заставке на экране (корпорации любят, когда на рабочем столе пользователей красуется фирменный логотип). Также анализ фотографии экрана может очень многое рассказать, так можно увидеть имя учетной записи для доступа, например, к gmail или системе обмена сообщениями. Зная название компании, подсмотрев имя учетной записи пользователя и пароль для удаленного доступа, поверьте, можно многое сделать.

Защититься от подобной угрозы достаточно просто:

создавайте физические барьеры, затрудняющие визуальный съем критичной информации;
не работайте с критичной информацией в общественных местах, если же приходится, то садитесь спиной к стене :)
используйте специальные защитные экраны, не позволяющие видеть содержимое экрана, если вы только не напротив него (notebook privacy filter);
не наклеивайте на ваш ноутбук, сумку, чемодан наклейки с именем вашей компании. Оставьте фирменные футболки, кепки, рюкзаки и пакеты для своих клиентов и корпоративных пикников :)
не используйте заставки с логотипами компании;

Александр Дорофеев (c)

Нюансы сканирования на наличие уязвимостей

2009-03-31T21:25:00.007+04:00

Многие знают, что сканеры защищенности позволяют выявить большинство известных уязвимостей в сетевых приложениях. Как правило, сканеры используются для тестирования на возможность несанкционированного проникновения и для проведения регулярного контроля появления новых уязвимостей. Для решения этих двух задач специалисты их по-разному конфигурируют. В первом случае сканирование практически всегда осуществляется без использования учетной записи администратора, так как именно ее и пытаются “заполучить” аудиторы, а во втором случае ее использование обязательно для получения более надежных и качественных результатов. Дело в том, что в первом случае сканер определяет открытые сетевые порты, версии служб и запускает различные проверки, а во втором, он просто удаленно подключается к реестру (в случае Windows) и получает список установленных патчей операционной системы, по которому он и определяет наличие той или иной уязвимости.

Проведем эксперимент. Будем сканировать машину под управлением Windows XP с помощью сканера Nessus с паролем администратора и без него (политика – Default scan policy).

Сканирование без учетной записи администратора

Как видно из следующего скриншота сканер смог найти всего 5 опасных уязвимостей:

Сканирование c учетной записью администратора

Как видно из следующего скриншота сканер смог найти почти в 20 раз больше опасных уязвимостей, целых 176:

Сканирование c учетной записью администратора и с выключенной службой удаленного доступа к реестру

Снова 5 уязвимостей:

Вывод

Если хотим получить наиболее полную информацию об имеющихся уязвимостях, необходимо осуществлять сканирование с административной учетной записью.

Александр Дорофеев (c)

Насколько опасен WEP?

2009-03-30T19:42:00.011+04:00

Казалось бы уже несколько лет назад все убедились в том, что использовать

протокол WEP для защиты беспроводных сетей небезопасно. Однако, в своей

практике я постоянно сталкиваюсь с тем, что этот протокол все еще используется,

а самое интересное, что он широко используется не только у нас, но и в США, Англии, Франции. Так по результатам исследований, проведенных компанией RSA (http://www.rsa.com/node.aspx?id=3268) в Лондоне WEP активирован на 44% точках беспроводного доступа, выявленных в ходе исследования, в Нью-Йорке и Париже это соответственно 48% и 24%. Просто удивительно!!!

Давайте убедимся в простоте взлома WEP, с тем чтобы его никогда не использовать в своих сетях.

Итак, воспользуемся любимым средством аудитора информационной безопасности - Backtrack 4.0 и сетевой картой 3Com 3CRPAG175B (используется чипсет Atheros).

Для целей тестирования я специально настроил использование протокола WEP на тестовой точке доступа.

Шаг. 1. Идентификация сети

Идентифицировать мою уязвимую сеть мне помогло программное обеспечение kismet

(правда, для того чтобы оно заработало с моей сетевой картой, мне пришлось немного изменить конфигурационный файл kismet.conf, задав параметр source следующим образом: source=madwifi_g,wifi0,Atheros).

Из скриншота видно, что используется WEP, также можно видеть идентификатор сети ESSID, BSSID и используемый канал.

Шаг 2. Перехват векторов инициализации

После того как мы идентифицировали нашу сеть, выходим из kismet.

Устанавливаем нашу сетевую карту в режим мониторинга для нашего канала с

помощью команды airmon-ng и запускаем сниффер airodump-ng с указанием того,

что нам нужны векторы инициализации.

airodump-ng -w /mnt/flash/wepdata --ivs --channel 1 ath0

и ждем некоторое время:

Если ждать не хотим, то можем вызвать рассылку векторов

проведя "Arp-request replay" с помощью утилиты aireplay-ng.

Шаг 3. Взлом пароля WEP

По идее, необходимо собрать 300-500 тысяч векторов инициализации,

но у меня получилось взломать ключ WEP, имея всего 78 тысяч векторов:

Команда: aircrack-ng -s файл_с_векторами

Время: несколько секунд.

Выводы

Мы с вами убедились, как можно взломать пароль WEP за три простейших шага.

Это под силу любому человеку, умеющему пользоваться Google и способному вставить загрузочный диск Linux в CD-ROM своего ноутбука.

Не используйте WEP!

Александр Дорофеев (c)

Материалы тренинга "Аудит информационной безопасности". Часть третья. Аудит с применением методов социальной инженерии. Анализ настроек безопасности.

2009-03-26T21:08:00.004+03:00

Новая партия материалов тренинга:

Аудит с применением методов социальной инженерии

View more presentations from adorofeev.

Анализ настроек безопасности систем

View more presentations from adorofeev.

Александр Дорофеев (c)

Материалы тренинга "Аудит информационной безопасности". Часть вторая. Аудит системы управления информационной безопасностью

2009-03-22T19:47:00.002+03:00

Аудит СУИБ

View more presentations from adorofeev.

Александр Дорофеев (c)

Минимизация рисков информационной безопасности во время кризиса

2009-03-20T12:18:00.005+03:00

Вчера выступал на конференции с презентацией на тему "Минимизация рисков информационной безопасности во время кризиса". Cлушателям очень понравилось

написание слова "кризис" на китайском языке :)

Минимизация рисков информационной безопасности во время кризиса

View more presentations from adorofeev.

Александр Дорофеев (c)

Материалы тренинга "Аудит информационной безопасности". Часть первая.

2009-03-18T14:59:00.008+03:00

Периодически провожу тренинги по аудиту информационной безопасности для ИТ-специалистов и слушатели часто просят выложить презентации.

Итак, вот первые презентации:

Основные термины и понятия информационной безопасности

View more presentations from adorofeev.

Краткий обзор международных стандартов по управлению информационной безопасностью

View more presentations from adorofeev.

Александр Дорофеев (c)

Какой набор документов необходим для прохождения сертификации на соответствие ISO 27001? Часть первая.

2009-03-16T15:08:00.006+03:00

Давайте разберемся, какие документы необходимо предоставить аудиторам, проводящим сертификационный аудит системы управления информационной безопасностью. Часть требований к документации приведена в секции 4.3.1 стандарта ISO 27001:2005 (о них мы как раз мы будем говорить в первой части), а часть ”размазана” по тексту стандарта (о них я напишу во второй части).

В секции 4.3.1 стандарта ISO 27001:2005 представлен следующий перечень документов:

Политика системы управления информационной безопасностью;
Границы системы управления информационной безопасностью;
Процедуры и меры по минимизации рисков информационной безопасности, поддерживающие СУИБ
Методологию оценки рисков информационной безопасности;
Отчет с результатами оценки рисков информационной безопасности;
План по управлению рисками;
Документированные процедуры, необходимые для планирования, функционирования и контроля процессов информационной безопасности, а также описание процесса оценки эффективности мер по минимизации рисков информационной безопасности;
Свидетельства функционирования мер (записи);
Положение о применимости контролей.

Итак, начнем.

Относительно политики информационной безопасности я очень подробно писал в своей заметке “Политика информационной безопасности”.

Документ, описывающий границы системы управления информационной безопасностью, очень важен, так как позволяет грамотно определить, какие бизнес-процессы, подразделения и информационные ресурсы покрываются нашей системой управления информационной безопасностью. Некоторые компании выбирают всего один-два бизнес-процесса для внедрения требований стандарта ISO 27001:2005 и прохождения сертификации. Например, компания “Лукойл-Информ” выбрала процесс поддержки и сопровождения системы управления персоналом на базе модуля Human Resources SAP R/3 (подробнее см. статью на CNews "Лукойл-Информ" получила новый сертификат"), а компания ”Металлоинвест” - процесс консолидации финансовой отчетности (подробнее см. публикацию на сайте компании: http://www.metallinvest.ru/rus/newspage.aspx?id=191)

Под процедурами и мерами по минимизации рисков информационной безопасности, поддерживающие СУИБ, понимаются всевозможные политики, процедуры, стандарты, cоставляющие основную часть нормативной документации системы управления информационной безопасностью. Будет очень полезно, если в каждом из этих документов будет указание на покрываемые документом конртмеры из ISO 27001:2005, это сильно облегчит жизнь при внедрении требований стандарта и в ходе аудита.

Методология оценки рисков должна содержать описание уровней рисков и определять критерии принятия рисков. Также следует отметить, что очень хорошо, если нам удалось внедрить продуманную методологию, которую не нужно будет менять каждый год. Следование одной методологии оценки рисков из года в год позволит нам получать сравнимые результаты.

В плане по управлению рисками мы определяем, что мы будем делать с тем или иным риском информационной безопасности. Как известно, мы можем любой риск мы можем принять, передать и минимизировать (подробнее см. пост в моей блог-книге ”Что можно делать с рисками информационной безопасности”

Помимо упоминавшихся выше политик, процедур и стандартов для функционирования системы управления информационной безопасности требуются рабочие положения об отделах, должностные инструкции, планы по внедрению мер по минимизации рисков информационной безопасности, планы по проведению проверок эффективности внедренных мер. Стандарт четко говорит, что компании необходимо определиться с тем, как будет оцениваться эффективность функционирования той или иной контрмеры.

Очень хорошо, когда процедура информационной безопасности содержат раздел, посвященный контролю процесса со стороны менеджмента.

Проведение аудита и осуществление контроля со стороны менеджмента невозможно без так называемых свидетельства функционирования мер или записей (в оригинале – ”records”). Под это понятие попадают утвержденные заявки на предоставление доступа, журналы систем, отчеты, подготовленные в ходе выполнения процедур и т.п. Данные свидетельства должны храниться и быть защищенными от несанкционированных изменений. Лучше, если в каждой процедуре будет соответствующий раздел, определяющий, что является "свидетельством" для данного контроля.

В положении о применимости мы указываем, какие контрмеры по минимизации рисков информационной безопасности из ISO 27001:2005 мы внедряем, а какие нет. В случае, если отмечаем, что контрмера не применима, то мы этому должны дать разумное обоснование.

Помимо рассмотренных документов стандарт ISO 27001:2005 требует еще ряд формализованных докуметнов. О них мы поговорим во следующей части.

Продолжение следует…

Александр Дорофеев (c)

Управление документацией системы управления информационной безопасностью: требования ISO 27001:2005

2009-03-15T00:51:00.003+03:00

Если внимательно читать стандарт по управлению информационной безопасностью ISO 27001:2005, то можно натолкнуться на требования по контролю документации системы управления информационной безопасностью (раздел 4.3.2). Стандарт требует формализации процесса управления документацией СУИБ. Компания, желающая должна определить каким образом политики и процедуры по информационной безопасности будут проходить утверждение, как они будут пересматриваться, как будут регистрироваться изменения в документах, и как они будут распространяться. Так же не стоит забывать, что зачастую документам системы управления информационной безопасностью в компаниях присваивается гриф “Конфиденциально” и документы СУИБ должны храниться, передаваться и уничтожаться в соответствии с процедурами по работе с классифицированной информацией.

Возникает вопрос: как обеспечить выполнение данного требования? Хорошо если в компании уже работают процессы документооборота и можно использовать имеющиеся процедуры. А если нет? В этом случае нам необходимо разработать и внедрить процесс управления документацией СУИБ.

Давайте разберемся, какой может быть структура документа, формализующий процесс, и что он должен содержать.

Во-первых, мы должны определиться со структурой документации системы управления информационной безопасностью. Мне больше всего нравится “классический” вариант: политика-процедура-стандарт плюс положения об отделах и должностные инструкции. Я подробно писал об этой структуре в своей заметке: http://adorofeev.blogspot.com/2009/02/blog-post_08.html.

Во-вторых, мы должны определиться с такими обязательными реквизитами документа СУИБ как:

- версия документа;

- код документа;

- таблица с именами и должностями тех, кто разработал, согласовал и утвердил документ.

- дата вступления документа в силу;

- перечень мер ISO 27001:2005, которые формализованы в документе;

В-третьих, мы должны определить требования к содержанию документов в зависимости от их типов. Например, процедура может содержать следующие разделы:

- история изменений документа;

- цель документа;

- область применения;

- перечень используемых сокращений;

- связанные документы;

- описание процедуры;

- описание обязанностей;

- описание свидетельств для целей аудита.

В-четвертых, наш документ должен содержать:

- правила формирования кода документа и его версии;

- описание процедуры утверждения документации СУИБ;

- описание процедуры согласования документации СУИБ;

- описание процедуры внесения изменений документации СУИБ;

И, наконец, мы должны включить в него необходимые ссылки на документацию по классификации данных.

Александр Дорофеев (с)

Тестирование на проникновение Windows 2003 Server. Часть 2. Попытка получить списки пользователей.

2009-03-14T17:07:00.014+03:00

Итак, продолжаем наш тест на проникновение, описание которого было начато в моей заметке http://adorofeev.blogspot.com/2009/03/windows-2003-server-1.html. Хотя моим основным инструментом является Backtrack 4, я решил рассматривать в ходе описания тестирования и утилиты под Windows, так как некоторые средства взлома Windows работают только под Windows. К тому же многиеWindows-утилиты более дружественные для пользователей :).

Одной из интересных уязвимостей Windows является раcкрытие информации об учетных записях любому пользователю через, так называемое, нулевое соединение (“null session”), которое не требует ввода имени пользователя и пароля. Наличие этой уязвимости в Windows 2003 Server определяется значением ключа реестра “HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM”: если его значение установлено равным 0, то уязвимость есть, если 1 - то нет.

Итак, вводим команду, устанавливающую нулевую сессию:

net use \\10.140.170.1\ipc$ "" /user: ""

Нулевая сессия установлена:

После установления нулевой сессии удобнее всего получать и анализировать информацию о пользователяхчерез с помощью бесплатной утилиты Dumpsec (www.somarsoft.com). Но, к сожалению (на самом деле, к счастью), настройка Windows 2003 Server по умолчанию не позволяет нам так легко получить список пользователей, и мы видим пустой экран:

Также мы можем убедиться, что получить список пользователей не получается с помощью Linux-утилиты rpcclient и ее команды “enumdomusers”:

Для злоумышленника есть еще один способ получить информацию о зарегистрированных пользователях.

Как известно, каждому пользователю Windows присвоен уникальный числовой идентификатор SID (Security IDentifier). SID имеет постоянную часть, которая уникальна для инсталляции или домена, и переменную часть RID (Relative IDentifier), которая изменяется от пользователя к пользователю. У локального администратора значение RID равно 500. Windows 2003 может позволить нам получить перечень пользователей по известным SID, в случае если в политике безопасности не заблокирована опция: “Network access: Allow anonymous SID/Name translation”. По умолчанию эта опция установлена в “enabled”.

Получить SID можно с помощью все той же утилиты rpcclient или с помощью утилиты SAU (www.lcpsoft.com). Правда, во втором случае нужно будет угадать имя учетной записи администратора (в ходе тестирований на проникновение сталкиваюсь с тем, что все больше администраторов меняют имя учетной записи локального администратора).

Начнем с утилиты rpcclient, которая входит в Backtrack 4. Мы набираем следующую команду:

rpcclient -c 'lsaquery' 10.140.170.1 - U ""

Вводим пустой пароль и получаем SID домена:

С помощью той же утилиты, но уже, введя команду lookupsids и добавив к нашему идентификатору RID администратора видим, что система разглашает нам имена пользователей:

Написав небольшой скрипт, который будет увеличивать значение RID, мы сможем без труда получить перечень всех пользователей домена.

Теперь вернемся к нашим дружественным Windows-утилитам :). С помощью программы SAU мы сначала получаем SID домена, а затем осуществляем перебор идентификаторов пользователей и в итоге получаем их полный список:

Таким образом, мы смогли получить список пользователей домена, теперь нам требуется получить их пароли.

Продолжение следует....

Александр Дорофеев (с)

Тестирование на проникновение Windows 2003 Server. Часть 1. Сканирование портов.

2009-03-09T14:21:00.007+03:00

Настоящей заметкой хочу открыть цикл статей по практике тестирования на возможность несанкционированного проникновения.

В качестве цели выбран сервер под управлением Windows 2003 Server с достаточным количеством неустановленных патчей для того, чтобы наша атака осталась успешной. :)

В качестве основного инструмента аудитора я выбрал Backtrack 4 (загрузочный диск Linux, http://remote-exploit.org), как среду, содержащую наиболее полный набор всевозможных “хакерских” утилит, таких как:

cканеры сетевых портов;
утилиты для определения версий сетевого программного обеспечения;
утилиты подбора паролей для различных сетевых служб;
утилиты взлома хэшей паролей;
сетевые снифферы;
наборы экскплойтов;

Итак, приступим. Так как цель для нас уже известна, мы начинаем со сканирования сетевых портов.

На мой взгляд, самым лучшим сканером портов на сегодняшний день является Nmap (http://nmap.org/download.html), который разработчики Backtrack любезно включили в свою систему.

Наши действия:

1. Устанавливаем IP-адрес для своей станции аудитора:

ifconfig eth0 10.140.170.2/24

2. Запускаем сканирование портов следующей командой:

nmap -sS -sV -O -oN /root/Desktop/nmap.out -vv 10.140.170.1

Поясню выбранные ключи:

-sS – проводим TCP-SYN сканирование, данное сканирование труднее обнаружить и оно осуществляется быстрее, так как соединение с портом полностью не открывается;

-sV – определяем версии сетевых служб;

-O – пытаемся определить версию операционной системы;

-oN – сохраняем результаты сканирования в обычном текстовом формате nmap;

-vv – заставляем nmap рассказывать нам о ходе сканирования.

Хочу отметить, что мы явно не задали перечень портов для сканирования, в этом случае сканируются те порты, которые известны nmap (все типовые порты попадают в этот список).

Замечание. Мы использовали опцию -oN, которая позволяет получить результаты в читаемом виде, но в случае большого количества сетевых узлов проводить анализ больших текстовых файлов затруднительно. В таких случаях используют опцию –oX, которая позволяет сохранить результаты сканирования в XML-формате, удобном для импорта данных в Excel и в СУБД. Подробнее можно прочитать здесь: http://nmap.org/man/ru/man-output.html

3. Анализируем полученные результаты сканирования:

# Nmap 4.68 scan initiated Mon Mar 9 08:30:04 2009 as: nmap -sS -sV -O -oN /root/Desktop/nmap.out -vv 10.140.170.1

Initiating OS detection (try #1) against 10.140.170.1

Retrying OS detection (try #2) against 10.140.170.1

Retrying OS detection (try #3) against 10.140.170.1

Retrying OS detection (try #4) against 10.140.170.1

Retrying OS detection (try #5) against 10.140.170.1

Scanned at 2009-03-09 08:30:04 EDT for 69s

Interesting ports on 10.140.170.1:

Not shown: 1703 closed ports

PORT STATE SERVICE VERSION

53/tcp open domain Microsoft DNS

88/tcp open tcpwrapped

135/tcp open msrpc Microsoft Windows RPC

139/tcp open netbios-ssn

389/tcp open ldap

445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds

464/tcp open tcpwrapped

593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0

636/tcp open tcpwrapped

1025/tcp open msrpc Microsoft Windows RPC

1026/tcp open msrpc Microsoft Windows RPC

1521/tcp open oracle-tns Oracle TNS Listener

3268/tcp open ldap

3269/tcp open tcpwrapped

MAC Address: 00:03:0D:0D:EE:43 (Uniwill Computer)

No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

TCP/IP fingerprint:

Итак, из результатов сканирования можно сделать следующие выводы:

Перед нами Windows 2003 server (мы конечно это знали и раньше :));
Самые уязвимые порты Windows 135,139 и 445 нам доступны;
Сервер выполняет функции DNS и LDAP-каталога, следовательно, это, скорее всего контроллер домена;
На сервере установлена база данных Oracle.

4. Планирование атаки. Нашими следующими шагами будут:

попытка получения списков пользователей через SMB или LDAP;
попытка подобрать пароли администратора и других пользователей;
анализ на наличие уязвимостей, которые могут вести к выполнению произвольного кода;
проверка наличия паролей по умолчанию для базы данных Oracle.

Продолжение следует...

Александр Дорофеев (с)

Информационная безопасность: зачем она вообще нужна?

2009-03-06T10:38:00.003+03:00

Как-то, принимая экзамен по информационной безопасности (помогал своему другу-преподавателю в Бауманке) у студентки-старшекурсницы, я задал простой вопрос: “Зачем нужна информационная безопасность в компании?”

Вопрос ее сначала поставил в тупик, а дальше я услышал фразу из книг по информационной безопасности для технарей, о том, что она нужна для обеспечения конфиденциальности, целостности и доступности данных. После ряда наводящих вопросов я наконец-то услышал цели информационной безопасности:

Минимизация денежных потерь от реализации угроз информационной безопасности.
Соответствие требованиям регулирующих органов.
Улучшение имиджа компании в глазах клиентов и партнеров.

На мой взгляд, это основные цели информационной безопасности, о которых не стоит никогда забывать, ни руководству, ни службе информационной безопасности, ни ИТ-специалистам, ни обычным сотрудникам.

Расследование факта утечки данных: анализ usb-накопителя

2009-03-04T13:28:00.009+03:00

Давайте рассмотрим следующую ситуацию: в компании завелся сотрудник, которого вы подозреваете в том, что он регулярно “сливает” конфиденциальную информацию. Например, вы вычислили его с помощью методики, описанной в моем посте “Как поймать хакера?”. Вы уверены в том, что сотрудник копирует конфиденциальные данные на свой usb-накопитель и вам необходимо доказать, что конфиденциальные данные покидали компанию именно на его usb-накопителе. Дополнительно вы хотите установить, какие еще данные сотрудник вынес на своей "флэшке".

Пускай, наш злоумышленник совершал следующие операции:

4 января 2009 скопировал на накопитель файлы: Workstation Security Policy.doc, Acceptable_Encryption_Policy.doc, Acceptable_Use_Policy.doc. После того, как он скопировал данные на свой домашний компьютер, данные были удалены командой Windows “delete”.
4 февраля 2009 скопировал файлы Application_Service_Providers.doc, Audit_Policy.doc. Файлы также были удалены.
4 марта 2009 скопировал файлы DB_Credentials_Policy.doc,DMZ_Lab_Security_Policy.doc. Файлы были удалены, как только сотрудник заметил приближающегося представителя службы безопасности.

Какие действия предпримем для того, чтобы во всем разобраться?

Шаг 1. После того, как USB-накопитель, был изъят у подозреваемого, мы создаем его образ, который в последствии и будем анализировать. Для этого мы используем программу AccessData FTK Imager (http://www.accessdata.com/downloads.html).

Шаг 2. Получаем хэш-значения для того, чтобы можно было доказать, что никаких изменений в снятый образ не вносилось.

Шаг 3. Загружаем полученный образ в тот же AccessData FTK imager и просматриваем содержимое файловой системы. В нашем случае нам повезло – хотя файлы и были удалены, физически они остались на накопителе и мы видим все удаленные файлы.

Шаг 4. При необходимости восстанавливаем любой из данных файлов.

Таким образом, мы смогли минимальными усилиями получить доказательства копирования конфиденциальной информации.

В дальнейших постах я рассмотрю более сложные приемы работы по расследованию инцидентов.

Александр Дорофеев (с)

Аудит информационной безопасности

2009-02-28T19:20:00.009+03:00

Аудит (проверка) – это систематический, независимый и документированный процесс, получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (проверки).

Для чего нужен аудит информационной безопасности?

Аудит информационной безопасности в первую очередь нужен для того, чтобы понять уровень защищенности компании перед лицом внешних и внутренних угроз информационной безопасности.

Выды аудита информационной безопасности

Можно выделить следующие виды аудита информационной безопасности:

Аудит системы управления информационной безопасности;
Аудит информационной безопасности с использованием методов социальной инженерии;
Аудит безопасности ИТ-инфраструктуры.

Аудит системы управления информационной безопасностью

Аудит системы управления информационной безопасностью (СУИБ) сфокусирован на аудите процессов обеспечения информационной безопасности.

Аудит проходит в два этапа:

Этап 1. Проверка адекватности документации системы управления информационной безопасностью. Аудиторы анализируют принятую в компании методологию оценки рисков информационной безопасности, результаты оценки рисков, с перечнем мер минимизации рисков из стандарта ISO 27002, которые компания решила внедрить. Проверяется насколько существующие политики и процедуры соответствуют целям выбранных мер.
Этап 2. Тестирование эффективности мер минимизации рисков информационной безопасности.

В качестве примера можно рассмотреть оценку эффективности процедуры предоставления доступа к информационной системе компании. Аудиторы выбирают, как правило, случайным образом, учетные записи пользователей, и проверяют наличие заявок на предоставление доступа, а также наличие свидетельств их авторизации непосредственным руководителем пользователя, владельцем системы, сотрудником отдела информационной безопасности. В отделе кадров запрашивается список уволенных пользователей и проверяется то, что их учетные записи были своевременно заблокированы.

Следует отметить, что компания может пройти сертификационный аудит на соответствие требованиям стандарта ISO 27001 и получить общепризнанный сертификат.

Аудит информационной безопасности с использованием методов социальной инженерии

Данный вид аудита позволит определить насколько компания может противодействовать самым коварным атакам злоумышленников, направленным на человеческие слабости.

Общий подход основан на получении конфиденциальной информации обманным путем.

Аудиторы собирают информацию о сотрудниках компании в социальных сетях (www.moikrug.ru, www.linkedin.com), блогах и т.п. Затем специалисты связываются с сотрудниками по электронной почте или телефону и, используя полученную информацию, пытаются получить конфиденциальные данные.

Аудит безопасности ИТ-инфраструктуры

Эффективные процессы управления информационной безопасности не гарантируют отсутствия уязвимостей, которыми могут воспользоваться внешние и внутренние злоумышленники.

Аудит безопасности ИТ-инфраструктуры заключаетя в комбинации следующих проверок технического уровня:

• Тестирование на проникновение;

• Сканирование на наличие уязвимостей;

• Анализ настроек безопасности.

Тестирование на проникновение

Тестирование на проникновение представляет собой имитацию действий реальных злоумышленников. По сути, существует всего два этапа, которые повторяются итерационно – идентификация уязвимостей и их последующее использование для проникновения в системы.

В ходе тестирования используются специальные программные средства и различные методики взлома, наподобие описанных мною в следующих постах:

Поисковик для хакеров http://adorofeev.blogspot.com/2009/02/blog-post_22.html
Атака с использованием NTLM-инъекции (см. http://adorofeev.blogspot.com/2009/02/ntlm.html)
Подбор паролей (см. http://adorofeev.blogspot.com/2009/02/blog-post_03.html)

В результате успешного проникновения мы получаем список наиболее опасных уязвимостей, которые реально могут быть использованы злоумышленниками для взлома корпоративных систем.

Сканирование уязвимостей

Сканирование уязвимостей является наиболее распространенным аудитом информационной безопасности технического уровня. Сканирование проводится с помощью специального программного обеспечения, например такого, как сканер Nessus (www.nessus.org), которое отчасти имитирует действия злоумышленника. Сначала определяются функционирующие на узле сетевые сервисы, а затем по базе уязвимостей сканера осуществлятся поиск информации о брешах в защите, характерных для данного приложения. Иногда сканер отправляет специально подготовленные сетевые запросы и в зависимости от ответа определяет наличие уязвимости.

Анализ настроек безопасности

Анализ настроек безопасности наиболее простой и безопасный способ выявления уязвимостей технического уровня. Анализ заключается в сверке текущих настроек безопасности корпоративных систем, систем управления базами данных, операционных систем, активного сетевого оборудования с рекомендованными вендорами и экспертами по информационной безопасности. Для проведения данного вида аудита зачастую используются специальные проверочные листы (checklists), подобные тем, что доступны на сайтах NIST (http://checklists.nist.gov/), SANS (http://checklists.nist.gov/), Center for Internet Security (http://www.cisecurity.org/). Никаких активных действий, которые могут привести к нарушению работы систем, не проводится.

Вместо заключения

Хороший аудит информационной безопасности - это тот аудит, в котором задействованы квалифицированные и независимые специалисты.

В случае, если аудит проводится специалистом, который участвовал в работах по конфигурации систем или в разработке нормативных документов, то есть вероятность,

что он не захочет сообщать об обнаруженных уязвимостях, которые стали возможны

"благодаря" его оплошности.

Александр Дорофеев (с)