Прогнозы и мнения экспертов на 2017 год: что ждет отрасль ИБ

И вот, дорогие друзья, 2016 год планомерно подходит к своему завершению, все готовятся к новогодним праздникам, закупают подарки, компании подводят финансовые итоги своей детальности, эксперты оценивают чем запомнится нам этот год. Итоги 2016 года мы подели в одной из прошлых публикаций, а сегодня мы сконцентрируем своем внимание на то, что ждет отрасль ИБ в новом приходящем 2017 году. Представлением вашему вниманию свежую подборку докладов и экспертных мнений  с прогнозами и  трендами

Подводим итоги года: свежие отчеты за 2016 год

По традиции к концу года принято подводить итоги. Еще не ушедший, но планомерно двигающийся к своему завершению 2016 год нас радовал и разочаровывал, удивлял и дарил сюрпризы, был очень разным, и безусловно оставил значимый след в отрасли ИБ. За это время в мире произошло много событий: атаки на республиканскую партию США, взлом и публикация документов антидопингового агенства, увеличение числа вымогателей и шифровальщиков, рост мощности DDoS-атак,  новые законодательные инициативы Банка России, Думы VII созыва, и, конечно же отечественных  регуляторов. Сегодня в публикации мы познакомим вам с некоторыми отчетами в области информационной безопасности по итогам 2016 года

Обзор законодательных инициатив в области ИБ на конец 2016 года

Крайний месяц уходящего года оказался весьма насыщен на законодательные инициативы и принятые документы относящиеся к информационной безопасности. Это и поправки к ФЗ-149, которые были анонсированы еще весной, и законопроект по безопасности КИИ, который так долго ждали и который должен стать вехой в отрасли, качественно обновленная и принятая в декабре Доктрина ИБ, а так новый стандарт ЦБ РФ по процедурам сбора и анализа технических данных при реагировании на инциденты, связанные с безопасностью

Обзор ресурсов по теме reverse [malware] engineering

В сегодняшней публикации хотим поделится ресурсами, ссылками, обзорами и рекомендациями по изучению матчасти  в деле реверс инжениринга программного обеспечения,  в частности с уклоном на реверсинг малвари. Все собранные материалы базируются исключительно на собственном опыте и не претендует на исчерпывающую полноту. Надеемся, эта подборка станет полезной всем тем, кто только решается или уже сделал свои первые самостоятельные шаги в этом не легким делом.

Все чем мне запомнился SOC Forum 2016

16 ноября 2016 года состоялось крупное событие в области ИБ, всероссийский форум SOC-Forum v2.0, посвященном практике противодействия кибератакам и построению современных центров мониторинга ИБ. На мероприятии с докладами выступили большое количество спикеров, такие эксперты как Алексей Лукацкий, Андрей Прозоров, а так же официальные представители со стороны регуляторов: ФСБ России, ФСТЭК, ЦБ РФ. Довольного много было сказано о текущем положении дел в России, нормативном регулирование в сфере ИБ, планов Банка России и ФСТЭК относительно ведомственных SOC-центров, а так же о теории и практике построения SOC.

В сегодняшней статье мы хотим собрать и отразить наиболее значимые факты и выводы, которые прозвучали на данном мероприятии, а так же отразить ключевые моменты прошедших сессий

Небольшая подборка чек-листов для ИТ-аудитора

Чек-листы (англ. check list), пожалуй один из самых ходовых инструментов в повседневной работе ИТ-аудитора. Они позволяют более полноценно сосредоточиться на рассматриваемой теме,  эффективно провести интервью или подготовиться к выполнению стандартной формализованной процедуры. Сегодня в публикации мы предложим вашему вниманию подборку из нескольких чек-листов с которыми автор работал  в процессе своей практики

Скрипты выгрузки всех пользователей из MS Active Directory

Одной из стандартных процедур проведения аудита ITGC для каталога Active Directory является получение выгрузки всех пользователей домена. На основании полученных данных далее формируются процедуры тестирования, к примеру изучение списка администраторов или выявление пользователей с истекшим паролем.  Наиболее эффективным для формирования такой выгрузки будет использование стандартного интерфейса PowerShell, примеры которого мы и рассмотрим в данной статье

8 декабря пройдет международная конференция Skolkovo Cyberday 2016

Фонд «Сколково» и телекоммуникационный гигант Cisco, выступающие в роли организаторов мероприятия, сообщили о том, что 8 декабря 2016 года, в здании «Гиперкуб» наукограда Сколоково пройдет ежегодная международная конференция Skolkovo Cyberday 2016. На мероприятие будут приглашены ведущие эксперты информационной безопасности, представители органов государственной власти, сотовых операторов, банки, платежные системы, digital-агентства, авторы стартапов в области ИБ, инвестиционные и корпоративные фонды, профильные СМИ. 

По мимо этого в рамках конференции пройдет финал уже ранее анонсировнного всероссийского конкурса Skolkovo Cybersecurity Сhallenge v2016,  представлена выставка инновационных решений в ИБ-отрасли, пройдут мастер-классы и будут зачитаны научно-технические доклады

Аналитика по рынку труда IT-специалистов и Информационной безопасности в 2016

В феврале текущего года мы публиковали краткую заметку по аналитике  рынка труда специалистов по информационной безопасности. То исследование быль проведено порталом SuperJob и содержало некое сводное резюме по средним значениям заработной платы в отрасли, требованиям работодателей предъявляемых к кандидатам и описанию собирательного портрета соискателя. И вот в декабре 2016, подводя итоги уходящего года, мы попытались еще раз оценить ситуацию на отечественном рынке труда и обозначить тренды которые возможно будут преобладать в году наступающем.

Positive Hack Days VII пройдет 23-24 мая 2017

Компания PT анонсировала старт подготовки к седьмой международной конференции посвященной вопросам практической безопасности  Positive Hack Days VII, которая пройдет 23 и 24 мая 2017 года в московском центре международной торговли. Уже начат прием заявок Call for Papers для первой волны участников, который продлится до 30 января. По мимо уже сложившегося формата, организаторы конференции обещают новый лейтмотив PHDays — противостояние: враг внутри, битва между хакерами и защитниками в которую вовлечена городская инфраструктура и «умные вещи», а жертвами социальной инженерии окажутся не только участники команд, но и обычные посетители PHDays VII. По мимо этого новшеством является сессия пятиминутных выступлений Spring Hack Tricks, а так же традиционная секция  PHDays VII Young School для начинающих специалистов и молодых исследователей

30 ноября - Международный день защиты информации

30 ноября в западных странах традиционно отмечается Международный день защиты информации. Не смотря на то, что праздник разменивает уже третий десятка лет (с да, да, с 1988 года), в России он отмечается не так давно, и знают о нем довольно узкий круг людей тесно связанных с ИТ-отраслью и Информационной безопасностью. А тем менее, история появления праздника и его ключевая идея весьма красноречиво говорит о том какое значение ИБ имела в пришлом и безусловно имеет в сегодняшнем  дне

Микрофонный эффект и наушники: тотальная слежка или старый забытый трюк

Ученые из Университета Бен-Гуриона, расположенного в Израиле заявили о новом способе, превращающим обычные наушники в микрофон годный для прослушки пользователей и записи разговоров. Как комментирует исследователь, данная проблема является очень серьезной, поскольку даже после удаления из компьютера микрофона, разговоры пользователя все равно могут записываться через наушники. В принципе в этой новости нет ничего нового, в деле промышленного шпионажа дано уже известен "микрофонный эффект", заключающийся  в том, что устройства воспроизведения звуковых колебаний могут при определенных условиях превращаться в устройства записи, т.е. преобразовывать звуковые колебания происходящее во внешней среде. Однако, новшество открытия в том, что даже после отключения микрофона из гнезда компьютера, разговоры пользователя все равно могут записываться.  Исследователи разработали малварь  SPEAKE(a)R, которая использует малоизвестную опцию jack retasking, найденную в чипсетах Realtek

Джентльменский набор функций Excel для ручных тестов ITGC

Очень часто выгрузки различной информации из финансово-значимых ИТ-систем клиента поступают в распоряжение аудиторов в формате Excel-файлов. Поскольку большинство тестов ITGC в таком случае выполняется вручную, для ускорения процесса неизбежно приходится прибегать к использованию богатого функционала Excel. В сегодняшней статье мы сделаем обзор наиболее популярных и часто используемых встроенных функций значительно облегчающий рутинный труд ИТ-аудиторов

GeekWeek 2016: ежегодная онлайн IT-конференция

Образовательный портал GeekBrains объявил о начале регистрации на масштабную международную онлайн-конференцию Geek Week 2016. На мероприятии ведущие эксперты технологических компаний со всего мира, которые в течение 6 дней будут учить не только программировать, но и помогут узнать подробнее о карьере и трудоустройстве в вашем направлении. Участие в конференции бесплатное, а формат проведения весьма демократичен и доступен любому  слушателю из любой точки мира.

Онлайн битва RuCTFE 2016: международные соревнования по компьютерной безопасности

Организатор и главный драйвер группа HackerDom объявила о старте онлайн соревнований по информационной безопасности RuCTFE 2016. Состязания начнутся 12 ноября с 10.00 UTC. Участники будут бороться за призовой фонд от Лаборатории Касперского и приглашение на финал главной битвы года  DEF CON CTF 2017 в Лас-Вегасе. Как обещает организатор, в этом году помимо классического противостояния Attack-Defense CTF, всех участников ждут еще и таски от команды разработчиков, спонcоров и партнеров мероприятия. Победители соревнований  будут приглашены на  финал крупнейших очных студенческих соpевнований RuCTF 2017

Скрипты экспресс аудита безопасности для Linux

Большинство таких корпоративных  и многокомпонентных систем как SAP, Oracle DB используют в своей платформе операционную систему базирующийся на Linux. В виду этого к ним обращено такое пристальное внимание со стороны ИТ-аудиторов. Сегодня в статье мы представим вашему вниманию несколько бесплатных инструментов представленных в виде скриптов и использующих штатные механизмы ОС для провидения экспресс аудита конфигурации  безопасности.

Цепочка Kill Chain: от моделирования до проектирования защищенного периметра

Тема Kill Chain периодически всплывает то в беседах, то в статьях известных экспертов, то в материалах конференций посвященных тем или иным вопросам ИБ. Не смотря на то, что кажется все уже давно сказано по этой теме, концепция "убийственной цепочки" остается весьма интересной и по сей день. В одной из предыдущих статей мы писали как концепция цепочки применяется для выбора средств защиты. Сегодня мы поговорим о том, о том, почему чисто теоретическая концепции остается такой живой и по сей день. А секрета здесь нет - в купе с некоторыми остальными инструментами она позволяет выполнять моделирование угроз и проектирование собственный системы защиты информационного периметра.

Анонс форума Russian Information Services Summit (RISS 2016) upd.

ИТ-издание PC Week 30 ноября приглашает участников и посетителей на ставший уже ежегодным  форум Russian Information Services Summit’2016, который концентрирует свое внимание на вопросах обсуждения  методологических и практических аспектов современного аутсорсинга ИТ, бизнес-процессов, и использования  облачных услуг.

10 шагов к обеспечению защищенности базы данных Oracle встроенными механизмами безопасности

Система управления базами данных Oracle DataBase является одной из наиболее популярных и широко используемых баз данных в корпоративном сегменте. И это не удивительно, поскольку ее отличает высокая надежность, производительность, масштабируемость и адаптируемость под бизнес-задачи каждого конкретного пользователя.  Однако, столь широкая популярность оборачивается и другой стороной медали - вектор атак на СУБД остается в топе наиболее существенных угроз.  

В одной и прошлых статей мы рассказывали о экспресс проверке (этакий чек-лист) конфигурации на соответствие требованиям безопасности. В сегодняшней публикации мы рассмотрим 10 простых шагов к повышению безопасности СУБД Oracle DataBase своими силами без использования дополнительного ПО, основываясь лишь на рекомендациях самой компании Oracle, собственном опыты и "best practices". 

Многим эти рекомендации могут показаться слишком банальными и очевидными, однако как показывает практика, именно"простые" ошибки и  невнимательность может привести к очень серьезным последствиям. Описываемые 10 шагов по сути это список самых необходимых последовательных действий для Oracle DataBase, которые необходимо выполнить для  если вы этого еще до сих не сделали.

SOC-Forum v.2.0 пройдет 16 ноября в Москве

За день до открытия международный конференции ZeroNights 2016, пройдет еще одно интересное и крупномасштабное событие SOC-Forum v.2.0 - площадка посвященная практическим вопросам создания центров мониторинга ИБ, отечественной законодательной базы, роли государственных регуляторов (ГосСопка и FinCERT) в этом процессе, а также различных других вопросов и кейсов реально действующих систем. Вся программа форума будет разбита на 6 тематических секций и пройдет в один день. Бесплатное участие в форуме организовано для представителей кредитно-финансовых организаций, операторов связи, компаний топливно-энергетического и промышленного комплексов, других потребителей ИБ-продуктов и услуг

Обзор нескольких свежих отчетов ИБ за осень 2016

Крайние месяцы осени выдались очень насыщенными, это множество интересных и яркий событий, форумов и соревнований за короткий промежуток времени ZeroNiights 2016, SOC-Forum v.2.0 и GeekWeek 2016 и RuCTFEE 2016. И, конечно, как принято к концу года, различные аналитические отчеты, доклады и прогнозы на будущее от отечественных и зарубежных ИБ компаний и аналитических агентств. В сегодняшней публикации мы собрали подборку нескольких наиболее интересных и информативных отчетов по кибер-безопасности от западных коллег. Все отчеты доступны в открытом доступе для свободного скачивания и использования

ZeroNights 2016 состоится 17 и 18 ноября

Вот и настал крайний осенний месяц в этом году, а вместе с ним приближается и грандиозое событие - 17 и 18 ноября состоится ZeroNights 2016, ежегодная международная конференция, посвященная практическим аспектам информационной безопасности. В этом году по заверениям организаторов на мероприятии выступят 60 спикеров из 9 стран среди которых есть и известные всему миру имена. Так же особенностью этого года станет присутствие на мероприятии различных комьюнити, объединяющих специалистов-практиков - OWASP, R0, Defcon Russia, Hardware Village, CTF RU E и др. Программа выступления, как и в прошлые годы, обещает быть насыщенной. Помимо этого в первые в этом году на конференцию можно будет попасть в качестве волонтера. В рамках конференции также пройдут различные активности, HackQuest, соревнования CTF и другие конкурсы победители которых получат ценные призы

443 приказ ФСО или эра безопасного интернета для государства

В середине октября в МинЮсте был зарегистрирован приказ ФСО России №443 об утверждении нового положения о государственном сегменте сети Интернет, получившим название RSNet. Инициатива создания гос сетей уже не в новинку, чуть ранее мы рассказывали о защищенном интернете для военных. В этот раз речь идут о государственных органах власти и организациях обеспечивающих их функционирование. Многие эксперты уже оценили этот шаг как позитивный сдвиг в сторону обеспечения независимости отечественной ИТ-инфраструктуры от влияний из вне, и защиты секретных государственных и критически важных данных. Однако их оппоненты за этими действиями видят потенциальные возможности усиления интернет-цензуры и контроля

Отчет со встречи OWASP Russia Meetup в Яндексе 12/10/16

В середине октября прошла очередная встреча OWASP Russia Meetup организованная Академией Яндекса, собравшая энтузиастов и специалистов по информационной безопасности. Среди докладчиков были представители отечественного разработчика ИБ-продуктов, МГТУ им. Баумана  и московского офиса Яндекса. В программе встречи рассматривались вопросы автоматизации тестирования WAF, настройки и мониторинга TLS и финального аудита безопасности приложений. Все материалы в формате видео доступны для просмотра.

МинОбороны РФ создает защищенный интернет для военных

Министерство Обороны РФ в рамках программа создания сетецентрических вооруженных сил сделало очередной шаг по повышению боеготовности и техническому оснащению. Завершился финальный этап реализации военного интернета получившего название «Закрытый сегмент передачи данных» (ЗСПД). Это защищенный сетевой сегмент обеспечивает безопасную передачу секретной информации, включая документы с грифом особой важности. Напомним, ранее в МинОбороны был создан Центр специальных разработок, еще мы рассказывали о новом роде кибервойск РФ, а так же о новой редакции  Военной доктрины

SWIFT вводит обязательные требований к информационной безопасности

В последнее время в мире прослеживается тренд хакерских атак на банки и другие финансовые структуры. Наиболее существенным прецедентом стала хакерская атака на центральный банк Бангладеш в феврале 2016 года в результате которой было выведено 50$ млн. Отечественные и зарубежные компании в сфере информационной безопасности публикуют неутешительные отчеты о целенаправленных атаках и взломах банковских систем, возросшем количестве угроз и новых методах мошенничества и кражи денежных средств. На фоне этих событий мировое сообщество выразило свою обеспокоенность вопросами защищенности финансовых институтов. В ответ на это международная межбанковская система SWIFT разработала новые требования к защите информации в банках подключенных к SWIFT, которые будут введены в действие с начала 2017 года

Windows 10 и Linux: различий стало меньше

Исторически так сложилось, что операционные системы Windows и Linux развивались разными путями. Постоянные конкуренты и давние соперники имели больше различий чем сходств между собой. Это были и взаимные обвинения и патентная борьба и судебные разбирательства. Однако времена меняются. С приходом на пост CEO Сатьи Наделлы компания Microsoft меняет стратегию и поворачивается лицом к сообществу Linux. Примером того cтаили глобальные изменения в Windows 10 и ряде других серверных продуктов ИТ-гиганта

Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности

В последнее время от Банка России поступило несколько важных сообщений касающихся обеспечения информационной безопасности финансовых учреждений. Некоторые инициативы мы уже описывали в одной из наших прошлых статей. В октябре стало известно, что ЦБ в настоящее время ведет активную разработку ГОСТ по информационной безопасности, который станет обязательным для всех участников банковский системы РФ с 2017 года.  На этом фоне снова возникли  слухи о переводе СТО БР ИББС из разряда рекомендательных в обязательные. Последние же данные и вовсе свидетельствуют о скором почине СТО БР. Помимо этого регулятор опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», в котором некогда ранее добровольные пункты перешли в разряд обязательных, это касается и отчетности в FInCERT и ужесточении требований к АРМ посредством которых обрабатываются платежные операции

Общения ФСТЭК на 2016 год: ожидание и реальность

Нормотворчество в области информационной безопасности в нашей стране это часто критикуемый, но в то же время необходимый и весьма важный процесс, особенно, что касается обеспечения защиты государственных органов. И поскольку ключевыми игроками в нем являются ведомственные структуры в лице ФСБ и ФСТЭК, пристальное внимание публики будет обращено ко всем обещаниям, которые эти структуры официально заявляли. А заявлений было достаточно: это и внесение правок в ФЗ-149 и новые методички по 31 приказу о защите АСУ ТП и новая редакция 17 приказа о защите ГИС и много чего еще. Как оказалось на практике большинство  обещанных новых документов до сих пор не разработано, сроки сдвинуты на 2017 год. Остается надежда, что эти переносы пойдут на пользу и мы в конце концов получим более продуманный и качественный документы на выходе

Лекции от Яндекса - подборка самого интересного за лето\осень 2016

Академия Яндекса продолжает приглашать к себе именитых ученых, разработчиков, талантливых руководителей и основателей проектов. Онлайн копилка Академии постепенно наполняется новыми видео и презентационными материалами. В этом году Яндекс посетили ведущие отечественные теоретики и практики, а так же зарубежные гости среди которых был и основатель Википедии Джимми Уэйлс.

Сегодня мы хотим предложить вашему вниманию подборку самых интересных, на наш взгляд, лекций проведенных в стенах Яндекс Академии за период лето-осень 2016 года.

Формирование аудиторский выборки для тестирования OE (ITGC контроли)

Одним из важных и ключевых вопросов в процессе планирования ИТ-аудита (ITGC) является процесс формирование аудиторской выборки, т.е. некой совокупности элементов отобранной для тестирования по определенным правилам, ведь именно от них во многом в дальнейшем будет зависеть "чистота тестирования" и фактическая база для формирования заключения. При тестировании операционной эффективности (OE) формирование достоверной аудиторской выборки играет особое значение, в которой количество элементов и равномерность распределение в популяции зависит от нескольких параметров, о которых мы сегодня и поговорим в нашей статье

Джейс Борн, Сноуден и слежка Yahoo за пользователями

В начале октября в одной из очередных новостей мы узнали о громком скандале с Yahoo который, как выяснили журналисты Reuters, ссылаясь на несколько своих достоверных источников, следит за пользователями по указанию спецслужб США. Эту информацию чуть позднее так же подтвердил и Эдвард Сноуден. Официальное руководство Yahoo эту информацию опровергло, однако разразившийся в массах скандал привел к тому, что в отставку ушел директор по информационной безопасности ИТ-гиганта Алекс Стэмос. 

И все бы ничего, после разоблачений Сноудена мы уже привыкли к подобного рода шокам и откровениям. Но эта тема упорно витает в обществе. В добавок всего буквально месяц назад в широкий прокат вышел очередной фильм о Джеймсе Борне, в котором бывший спецагент и истинный патриот борется с... собственным правительством

Старт X Международной олимпиады IT-Планета 2016/17

Официальный сайт международной ИТ-олимпиады «IT-Планета 2016/17» сообщил о начале регистрации учреждений высшего и среднего профессионального образования для участия в X юбилейной  олимпиаде в сфере информационных технологий. Регистрация учебных заведений уже начата и продлится до 30 ноября. А уже с 1 ноября стартует регистрация самих участников - студентов и молодых дипломированных специалистов.  

Конкурс будет проводиться среди нескольких номинаций в числе которых: программирование, облачные вычисления и базы данных, телеком, мобильные платформы, цифровое творчество, свободное ПО (Open Source) и робототехника, автоматизированные информационные системы

Отзыв о книге Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

В недавнем времени столкнулся с необходимостью проанализировать некоторые виды malware, оно же вредоносное ПО, и тут задался вопросом о подборе материалов и литературы на соответствующую тему.  Одной из лучших книг на эту тему,  исходя из рекомендаций на профильных форумах, оказалась книжка Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software. Не смотря на то, что  книга 2012 года издания ее русскоязычного перевода до сих пор нет. Может оно и к лучшему, все таки оригинал есть оригинал. 

В сегодняшнем отзыве хочу поделиться своими общими впечатлениями о книге, и предложить еще несколько советов, тем, кто так же сталкиваеся с подобными задачами

Беспощадная машина ЦБ: за 10 лет Банк России отозвал лицензии у 463 банков

Новостью об отзыве лицензии на банковскую деятельность в последнее время уже никого не удивишь. Банк России с завидным постоянством приостанавливает деятельность и отзывает лицензии коммерческих банков. Проблема касается не только мало известных и небольших финансовых институтов, но и крупных игроков рынка из Топ-100 рейтинга. Официальными причинами называются несоответствие кредитных организация требованиям ЦБ. В экспертном сообществе уже давно ходят мнения о негласной политик регулятора направленной на методичное снижение количества банков в отечественной банковской системе. 

Не соблюдение требований ИБ в частности может фигурировать в списке причин на отзыв лицензий. В виду этого соблюдение СТО БР ИББС  и вообще политик ИБ приобретает для банков новый смысл

Компания Group-IB анонсировала конференцию CyberCrimeCon 2016

Компания Group-IB в своем пресс-релизе сообщила об открытии регистрации на ежегодную конференцию CyberCrimeCon 2016 «Тенденции развития преступлений в области высоких технологий», которая пройдет 13 октября в Культурном центре ЗИЛ.  В прошлом году конференция привлекла более 600 участников из России и стран ближнего и дальнего зарубежья.  Как заявляет организатор мероприятия, в этом году площадка объединит лучших российских и зарубежных экспертов – представителей Европола, киберполиции из Европы и Азии, которые поделятся актуальными практиками противодействия киберугрозам.

Патологическое дежавю: Роскомнадзор хочет обязать всех пользователей Wi-Fi проходить идентификацию

В четверг 22 сентября. сообщает издание «Коммерсант», Роскомнадзор выступил с новой инициативой внедрить специальное программное обеспечение для абонентских устройств, которое позволит идентифицировать всех пользователей публичных Wi-Fi-сетей при осуществлении доступа в интернет. Это похоже не параноидальное дежавю, ведь нечто похожее уже было в 2014 году, когда ведомство подготавливало документы обязывающее владельцев бесплатных точек доступа Wi-Fi идентифицировать всех пользователей по паспорту, номеру мобильного телефона или учетной записи на сайте госуслуг. А совсем недавно, буквально неделю назад Роскомнадзор привлек к себе внимание опубликовав на сайте SuperJob объявление о найме в штат хакера.

Что ждать от ведомства дальше неизвестно. А пока попытаемся мы попытаемся разобраться с теми предложениями, которые выдвинул Роскомнадзор.

Экстренное стирание информации как способ защиты от несанкционированного доступа

Когда заходит речь о ценности конфиденциальной информации на ум сразу приходят вопросы обеспечения ее безопасности и сохранности. Однако, существуют и обратные ситуации, когда по каким то причинам, все данные хранящиеся на устройствах хранения или внутри различных гаджетов необходимо не сохранить, а экстренно и гарантированно стереть (уничтожить). Не впадая в крайности, довольно редко, но такие ситуации все же встречаются в реальной жизни. И тут появляются вопросы практической реализации данной проблемы. Более того в некоторых оговоренных случаях того требуют и стандарты безопасности, например, это весь к военным или строго конфиденциальным данным коммерческих организаций.

В сегодняшней статье мы рассмотрим теорию вопроса о гарантированном уничтожении информации, поговорим о программных и аппаратным методах,а так же о средствах практической реализации доступных в современных условиях.

Назад в будущее: слухи об объединении ФСБ, ФСО и СВР в Министерство безопасности России

На прошлой неделе, 19 сентября Рунет облетела новость о готовящихся фундаментальных реформах в отечественных силовых структурах. По данным источников издательства «Коммерсанта» в сжатые сроки, до президентских выборов 2018 года планируется провести масштабную реформу с целью повышения эффективности управления ведомств, искоренения коррупции и усиления безопасности как гражданского общества таки и государства в целом. И ладно бы на этом все. К примеру, несколько лет назад мы уже переживали реформу МВД, когда на смену советской милиции пришла полиция. Сейчас же речь по сути идет о фактическом возвращении нынешней ФСБ функций Комитета госбезопасности СССР.  Но если учитывать, что ФСБ является одним из ключевых регуляторов в области ИБ, то любые изменения однозначно будут отражаться на на "гражданском секторе".

Возможно все это слухи, но как говорит хорошая русская поговорка "дыма без огня не бывает" и "кто предупрежден  тот вооружен".

Новые методические документы ФСТЭК: с 1 декабря 2016 года сертификаты для МСЭ станут обязательными

На проходившей 20 сентября 2016 года конференции Infosecurity Russia выступил официальный представитель ФСТЭК Алексей Кубарев, который рассказал всем присутствующим о новых методических документах ФСТЭК пришедших на смену устаревшим документам РД, классах межсетевых экранов, и, что очень взволновало публику, о требовании ведомства к производителям и реселлерам не поставлять с 1 декабря 2016 года в продажу МСЭ не имеющие  сертификата  нового образца.

Роскомнадзор ищет хакера

В четверг, 15 сентября на портале по поиску работы SuperJob от официального профиля Роскомнадзора была опубликована вакансия о поиске в штат ведомства «программиста с навыками обхода систем компьютерной безопасности, хакера». Объявление несомненно вызвало всеобщий интерес и заинтересовало многие интернет СМИ, поэтому за несколько часов новость попала на первые страницы новостных агентств и разошлась по многочисленным репостам. Однако, уже в скором времени вакансия была удалена с сайта, но пристальный интерес к публикации остался. В Роскомнадзоре подтвердили факт размещения объявления, однако от дополнительных комментариев отказались.

Свод по нескольким отчетам ИБ за 1 полугодие 2016

Первая половина 2016 года ознаменовала собой большим количеством событий связанных с информационной безопасностью. С наступлением осени приходит время подводить промежуточные итоги, сравнивать ожидания и прогнозы аналитиков с происходящей действительностью. Для одних это информация для размышления, для других, возможно станет руководством к действию, а кому то будет просто интересно познакомиться со свежей статистикой. 

В  прошлой статье мы уже публиковали один из самых авторитетных отчетов по информационной безопасности за первое полугодие 2016 года от Cisco. В сегодняшней публикации мы подготовили свод  наиболее интересных отчетов по ИБ, которые и  хотим представить читателю. Все отчеты доступны для ознакомления по указанным под ними ссылкам.

Пишем RFP правильно

Некогда работая в компании-интеграторе предоставляющей услуги по проектированию систем обеспечения информационной безопасности, весь упор при подготовке новых контрактов для потенциальных клиентов я делал на технико-коммерческое предложение (ТКП). Однако, порой что бы грамотно подготовить ТКП необходимо получить исходные данные - понять то что хочет клиент, и если у компании соответствующие компетенции позволяющие выполнить его запрос. Примером таких данных может послужить  Request for Proposal или в русскоязычном варианте запрос предложения.

В сегодняшней статье мы кратко каснемся RFP как документа, а так же рассмотрим его структуру и опишем общие рекомендации,выработанные опытом, по пошаговой подготовке запроса предложения.

Банк России берется за страховщиков: новые требования по бесперебойности работы сайтов

Банк России продолжает экспансию своего влияния в сфере информационной безопасности на различные финансовые институты. В этот раз очередь подошла к страховым компаниям для коих регулятор подготовил проект нового указания опубликованного на официальном сайте. Требования содержащиеся в документе обязывают страховщиков обеспечивать бесперебойную непрерывную работу сайтов и онлайн-серсисов, сообщать о всех фактах сбоев (атак) в профильное подразделение регулятора, а так же выполнять ряд некоторых других процедур направленных на обеспечение информационной безопасности

Закон и хакеры: истории о преступлениях и наказании

Мы очень часто слышим и читаем новости в которых рассказывается о новом взломе компьютерных систем, краже конфиденциальных данных, мошенничестве с финансами, утечки баз данных пользователей крупнейших интернет-магазинов или социальных сетей. Причем действия одних хакеров, например, группы Fancy Bears, которые взломали антидопинговое агенство WADA и опубликовали ряд документов, свидетельствующих о том, что американские атлеты на олимпиаде в Рио принимали запрещенные препараты, вызывают скорее симпатию, нежели чем желание их наказать. То же самое можно сказать и о взломах в результате которых материалы компрометирующие АНБ или ЦРУ были выложены на WikiLeaks. Однако не смотря на это компьютерный взлом и несанкционированный доступ к информации приравнивается к преступлениям, и как для любых других правонарушений, для них предусмотрены меры ответственности.

В сегодняшней публикации мы рассмотрим хакерскую активность с правовой точки зрения. Кратко пробежимся по западному законодательству в сфере кибер преступлений, и более подробно остановимся на санкциях предусмотренных в отечественной нормативной базе. Так же немного расскажем о самых крупных в современной истории хакерских взломах и приведем примеры преступлений и последовавших за ними наказаний

Финал VolgaCTF 2016 пройдет в Самаре

Стало известно о проведении второго финального этапа  соревнований среди команд по кибер-безопасности  VolgaCTF 2016, который пройдет с 12 по 16 сентября в стенах Самарского государственного университета.  Организаторы обещают изменить формат мероприятия и расширить его  лекциями, неформальным общением и площадкой для хакатона.  В финале соревнований сойдутся 16 лучших команд отобранных по результатам отборочного тура приехавшие  из разных регионов России и зарубежных стран. 

Лаборатория хакера: обзор площадок для взлома

Перед новичками ровно как и перед уже опытными экспертами ИБ порой встает вопрос о том где можно изучить или отточить свои навыки этичного взлома компьютерных систем. Где проверить жизнеспособность той или иной уязвимости легально или протестировать механизмы защиты новой версии системы. Один из вариантов это  пройти специализированные профильные курсы, к примеру CEH или регулярно посещать ИБ мероприятия, т.к. BlackHat USA, PHDays или ZeroNight. Однако, повышать свой уровень компетенции и оттачивать навыки технического аудита ИБ можно самостоятельно. Для этих целей существуют специально подготовленные площадки с предустановленной уязвимой ОС или web-сервером. 

В сегодняшней публикации мы подготовили небольшой обзор наиболее популярных площадок для обучения этичному хакингу компьютерных систем. Все образы и документация к ним доступны для скачивания.

Полугодовой отчет по ИБ от Cisco (2016)

Компания Cisco в недавнем времени опубликовала собственный полугогодовой отчет по основным угрозам и тенденциям в области информационной безопасности. Отчет состоит из 58 страниц на которых расписаны важнейшие события, статистика  и экспертное мнение специалистов.
В сегодняшней публикации мы познакомим  читателей с самим отчетом и кратко представим обзор нескольких ключевых моментов.

CFT турнир по безопаности АСУ ТП от Лаборатории Касперского

Лаборатория Касперского объявила о продлении крупного CTF-турнира по индустриальной кибербезопасности, в рамках которого 4 команды состоящие из  энтузиастов и экспертов смогут попробовать  свои силы в проникновении в корпоративную сеть энергосистему, организованную по принципу автономной микросети (microgrid).

Турнир пройдет с 10 по 12 октября в науко-граде Иннополисе. Отборочный этап состоится 9 сентября по результатам которого будут отобраны лучшие команды, которые и примут участие в финале соревнований.

Государственная bug bounty: меняем баги на казенные деньги

Крупные ИТ-гиганты и популярные публичные сервисы, разработчики массовых информационных продуктов часто прибегают к использованию программ bug bounty - программ поиск уязвимостей и ошибок в собственных продуктах. Бегхантинг некогда начинавший свою историю в далеком 1996 году к сегодняшний дню оформился как самостоятельное направление и серьезно изменился. Сегодня существуют специальные команды экспертов-исследователей специализирующихся на этом ремесле. Программы bug bounty запускают и на государственном уровне, в частности стало известно известно и привлечении white-hacker Министерством обороны США. А в недавнем времени стало известно об инициативе МинКомСвязи разрабатывающей стратегию запуска отечественной государственной программы поиска уязвимостей.

Защита виртуальных сред: реальные угрозы виртуального мира

Сегодня бизнес предъявляет новые требовании к гибкости поддержки своих бизнес-процессов.В виду этого меняется и сложившийся модель ИТ-инфраструктуры. Прослеживается рост популярности облачных вычислений и тренд миграции физических серверов, хранилищ данных и сетевых устройств в виртуальную инфраструктуру. В связи с этим возникают новые виды угроз ИБ нацеленные на виртуальную среду, разрабатываются соответствующие им меры защиты, формируются весьма специфичные требования для обеспечения необходимого уровня безопасности.

В сегодняшней публикации мы рассмотрим использование виртуальной инфраструктуры с точки зрения  ИБ, затронем вопросы нормативного регулирования и рассмотрим общий чек лист угроз для виртуальной среды.

Несколько слов об Электронной Подписи (ЭП)

Действующий сегодня Федеральный закон №63-ФЗ «Об электронной подписи» изданный в 2011 году пришел на смену ранее действующему и ныне отмененному Федеральному закону «Об электронно-цифровой подписи» от 2002 года. В новой редакции закона изменились не только термины, к примеру, так вместо ЭЦП теперь используется ЭП, но и предусмотрены три вида  электронных подписей, применяемая каждая для своих целей.

В сегодняшней статье мы чуть более подробно поговорим об ЭП в толковании действующего ФЗ-63 и об особенностях применения каждой вида ЭП.

DarkNet: темная сторона сети

Для многих обывателей термин DarkNet (Даркнет) звучит как нечто непонятное или скорее даже пугающее. СМИ, блоги, социальные сети часто описывают Даркнет как место которое кишит наркоторговцами, киллерами, хакерами, нелицензионным контентом и т.п. Однако Даркнет как концепция приватной сети зародился еще в далеком 1970 году, а сегодня многие ресурсы в темной путине посещают не только хакеры и преступники, но также журналисты, активисты, простые пользователи из стран, где интернет фильтруется спецслужбами. Но как и любое благое изобретение Дарнет можно использовать и не в благородных целях. В Даркнете безусловно есть площадки, где собираются киберпреступники, покупаются и продаются украденные конфиденциальные денные, различные малвари, нелицензионный контент. 

В сегодняшней публикации мы постараемся более подробно рассказать о Даркнете и его использовании на хакерском поприще.

Нагрузочное тестирование в контексте ИБ

Одним из способов проверить корректность конфигурирования средств защиты информации и устойчивость корпоративных информационных систем к некоторым видам атак является нагрузочное тестирование. Проведение нагрузочных тестов позволяет адекватно оценить текущий уровень защищенности, причем как СЗИ так и отдельно информационных систем, а так же проверить ИТ-инфраструктуру на соответствие требованиям, к примеру, для выполнения аттестационных мероприятий.

ФСБ опубликовала порядок сбора ключей шифрования в интернете

Федеральная служба безопасности России выполнила поручение президента России Владимира Путина утвердить порядок сертификации средств шифрования сообщений в интернете и регламентировать порядок передачи ключей шифрования уполномоченному органу власти.  Результатом стало опубликование приказ № 432 от 19.07.2016. Как указывается в документе, организатор распространения информации в сети Интернет предоставляет данные для декодирования на основании запроса от уполномоченного органа. В случае отказа предоставить ключи для расшифровки шифрованного трафика, владельцу ресурса будет грозить штраф в размере 1 млн рублей.

Certified Ethical Hacker: путь этичного хакера

Для большинства обывателей нашей бескрайней страны хакеры прочно ассоциируются с кибер преступниками. Однако крупнейшие университеты ведущих стран в мире давно уже выпускают "белых хакеров", специалистов ИБ занимающихся почти тем же, чем и их более известные "темные" коллеги. Более того в России как несколько лет не является экзотикой такая квалификация, как Certificated Ethical Hacker (CEH). Это профессиональный курс подготовки специалистов в области информационной безопасности, подтверждаемый экзаменом EC-Council и считающийся весьма авторитетным.

В сегодняшней публикации мы чуть поподробнее поговорим о концепции white hack, так же заглянем в особенности проведения сертификации CEH, а в конце статьи мы приводим ссылку на Гид по Certified Ethical Hacker v9 Course

Криптовалюта под прицелом: биткоин, блокчеин и все, что с этим связано

Даже людям не связанным с финансовым сектором или ИТ-индустрией приходилось часто слышать о Биткоинах, криптовалюте и блокчейне. Начиная со своего появления в 2009 году биткон, как пиринговая платежная система, все больше привлекает внимания и завоевывает новых пользователей. Более того ведущие международные финансовые институты высказываются о новых возможностях использования блокчейнов, и  необходимости урегулирования отношений связанных с криптовалютой. Стоит отметить, что и в России создан консорциум под предводительством ЦБ РФ занимающийся вопросами данной тематики. 
Использование блокчеинов, как основной концепции биткоинов, экспертами называются как весьма перспективные. Однако, как и у любой технологии, у биткоинов есть обратная сторона медали, которую злоумышленники могут  использовать в корыстных целях. Это прежде всего вопросы связанные с оборотом незаконного контента, неконтролируемых финансовых операциях, а так же обеспечения конфиденциальности субъектов и безопасности переводов.

Атака на QR-коды: фишинг, QRLJacking и заражение малварью

Все мы не раз видели штрих-коды, которые размещают почти на всем что берем в руки, от пакета с молоком до детских игрушек и бытовой техники. А в супермакетах и того подавно штрих-коды служит ключевым элементом на основании которого формируется наш чек. Но технологии не стоят на месте и на смену обычным кодам приходят их более информативные варианты. Сегодня QR-коды приобретают небывалую популярность. Мы видим их каждый день в метро, на асфальте, на билбордах, популярных журналах, более того, многие банки и крупные организации запускают ряд услуг с использованием QR-кодов. Однако, по мимо очевидных преимуществ, которые приносят нам QR-коды, возникает ряд вопросов связанных с их безопасностью. 

В сегодняшней публикации речь пойдет о новых векторах атак с использованием QR-кодов.

CTF: соревнования по информационной безопасности

Как и среди других сфер человеческой детальности в компьютерном мире есть свои соревнования. В сегодняшней публикации речь пойдет о CTF соревнованиях по информационной (компьютерной) безопасности. Это термин который некогда перекочевал из терминологии шутеров, в котором кибер-игроки атаковали базу противника одновременно при этом удерживаю свои контрольные точки от проникновения. Концепт хакерских CTF игр остался неизменным, несколько команд игроков защищают свою ИТ-инфраструктуру от атак со стороны соперников пытаясь при этом вывести их сервисы из строя, либо решая нетривиальные задачи пытаются найти заранее спрятанную фразу (флаг). Не смотря на то, что первые CTF игры были проведены в 2004 году, настоящую популярность и широкую известность они получили с началом 2010-х годов. Теперь же не одно солидное мероприятие вроде BlackHat, DefCon, ZeroNights, PHDays не проходит без CTF соревнований или им подобных кейсов HackQuest.

Данная статья станет первой из цикла публикаций посвященных в целом CTF, а так же команде crazY geek$, в которой состоит автор, и разборам неторных интересных заданий и практических кейсов

Гид по Metasploit Framework

В одной из прошлых статей мы публиковали Гид по Kali Linux, практического руководства по использованию дистрибутива Kali Linux для аудита ИБ и проведения пен-тестов. Сегодня же мы обратим пристальное внимание на один из инструментов входящих в данный дистрибутив - Metasploit Framework. Рассмотри историю возникновения проекта, а так приведем конкретные руководства и документации способствующие практическому освоению пакета Metasploit 

Проект нового антипиратского закона от Минкультуры РФ

Как сообщает издание «Известия» Министерство культуры России совместно с участниками медийного рынка, Национальной федерации музыкальной индустрии (НФМИ) и Ассоциации продюсеров кино и телевидения (АПКиТ) готовит проект нового антипиратского закона. Изменения должны прежде всего коснуться социальных сетей и подобных им площадок, где пользователи могут свободно публиковать и использовать медийный контент, защищенный авторским правом. Так же правообладатели хотят получить право устанавливать запрет на размещение рекламы на заблокированных сайтах. Со схожей инициативой выступал и Роскомнадзор планирующий блокировать несанкционированные «зеркала» заблокированных сайтов

Skolkovo Cybersecurity Challenge 2016

С 1 августа стартовал прием заявок на  Skolkovo Cybersecurity Challenge 2016, конкурс проектов в сфере информационной безопасности . Конкурс пройдет во второй раз, его организаторами в этом году выступают кластер информационных технологий «Фонда Сколково» и Национальный исследовательский ядерный университет МИФИ.
Задачей конкурса является поиск лучших инновационных решений, направленных на защиту бизнеса и частных лиц от актуальных киберугроз

Градация должностей в зарубежных компаниях

Многие из нас, кто начинает только свою карьеру или кто меняет место работы, переходя из российской компании в зарубежную сталкиваются с весьма новыми для себя подходами в организации рабочего процесса. По мимо того, что европейский менеджмент значительно отличается от отечественного, должность на которую получает приглашение кандидат чаще всего прописывается на английском языке. В виду то го что в России нет утвержденного перечня сопоставления отечественных должностей и их англоязычных эквивалентов, у новичков по этому поводу часто возникают путаница. 

В сегодняшнем материале мы попытаемся воссоздать некий образ отечественного "табеля о рангах" в зарубежных компаниях

Банк России серьезно взялся за Анти-фрод и FinCERT

Не смотря на летний сезон и кажущееся затишье, Банк России за последнее время провел достаточной большой объем работ и подготовил ряд инновационных поправок и новых документов относящихся  к обеспечению информационной безопасности. В проектах новых регламентов разработанных совместно с МинФином, предусмотрены существенные изменения затрагивающие действующее положение П-382, а так же ФЗ-161 в рамках противодействия кибератакам и мошенничеству в финансовой сфере с использованием информационных технологий.  Помимо анти-фрод деятельности Банк России так же усиливает влияние ведомственного FinCERT о котором мы уже  ранее писали.

Вездесущий Backdoor: проблема аппаратных и программных закладок

Использование недокументированных возможностей в ПО и аппаратных закладок по прежнему остается актуальной проблемой для всех специалистов по безопасности. Более того в свете последних разоблачений о глобальном кибер шпионаже пол ученых от Эдварда Сноудена и обострения отношений на политической арене (санкции)  это вопросы получают все большую популярность. 

В сегодняшнем материале мы посмотрим на проблему современного использования Backdoor, актуальных векторов атак, инцидентов имевших место в мировой и отечественной практике.

Спрут МВД РФ: официальная закупка ПО для слежения за пользователям

Как недавно стало известно в МВД РФ активно идет обсуждение вопросов закупки специального программного обеспечения призванного осуществлять мониторинг активности российских пользователей в популярных социальных сетях. Первая закупка ПО должна осуществить ГУ МВД по Свердловской области. Следом и ряд других регионов нашей страны. Напомним, что задачи мониторинга интернет-коммуникация были связаны с выполнением принятого этим летом  пакета "законов Яровой" и глобальной стратегией обеспечения антитеррористической безопасности. 

Классификация информационных активов: взгляд со стороны ИБ

Классификация информационных активов (ИА)  это  важнейший процесс не только для обеспечения ИБ, но так же и построения управляемой ИТ-инфраструктуры всей компании. Классификация позволяет получить ключевые метрики для используемой информации - ценность, степень влияния на бизнес-процессы, требования к обеспечению т.д.  От качества выполненной классификации во многом зависит то как будет защищаться и обрабатываться информация. Более того, многие нормативные стандарты требует проведения обязательной инвентаризации и классификации ИА. Однако, какой либо единой процедуры на этот счет не существует. В сегодняшнем материалы мы попытаемся систематизировать имеющийся опыт по методике классификации ИА, а так же рассмотрим общие подходы существующие на сегодняшний день

Pokemon GO: от массовой истерии до проблем с безопасностью

Игра Pokemon GO вышедшая в начале июля и ставшая хитом породила настоящую истерию среди пользователей мобильных устройств. Пользователи перемещаются по городу с включенной геолокацией и используя технологии дополненной реальности  ловят вириальных монстров. Не смотря на то, что старт официальных продаж в России еще не объявлен, приложение устанавливается из не легитимных источников, и все больше и больше пользователей включаются в гонку за карманными монстрами. Этим ажиотажем воспользовались и  злоумышленники, которые используют все доступные им способы и виды мошенничества. 

Отзыв о книге: Пол Андер. Прыгай выше головы

Однажды в мои руки попала книжка Прыгай выше головы автора Пола Ардера. Как говорилось в описании о издателя гуру рекламного бизнеса делится своими идеями и концептами позволившие ее автору добиться высот в карьере и раскрыть его деловой и творческий потенциал. Не смотря на это, прочитав всю книжку, я бы даже сказал брошюру, исходя из ее небольшого объема и карманного размера, я сделал для себя ценные выводы. Они мало относятся к маркетингу, а скорее к мотивации и стратегическому мышлению. Книга сдержит большое количество афоризмов и личных мыслей автора, которые окажутся весьма полезными как для формирования мышления лидера так и и для тех кто еще ищет свой путь.

Планирование ИТ-бюджета: основные моменты и особенности

Формирование ИТ бюджета это одна из ключевых  и не всегда простых задач для руководителя ИТ-отдела От эффективности спланированного бюджета во многом зависит как работа сотрудников так и  эксплуатации всей аппаратно-программной ИТ-инфраструктуры. Поэтому первостепенную роль занимают вопросы грамотного планирования затрат, выявление эффективного порога вложений, соотнесения их со стратегическими целями бизнеса. Об этих и некоторых других вопросах и пойдет речь в сегодняшней публикации.

Концепция безопасности BYOD в корпоративной среде

Как правило в больших компаниях с распределенной сетью офисов, представительств и филиалов, где работают сотни, а то и тысячи человек стала актуальна концепция BYOD (Bring Your Own Device) основанная на использовании персональных гаджетов для работы внутри корпоративной сети компании. Безусловно, это эффективно и весьма комфортно для сотрудников. Однако, обратной стороной медали становится вопрос обеспечения безопасности корпоративного периметра.

В сегодняшней публикации мы рассмотрим в целом концепцию BYOD, основные риски иcпользования персональных устройств в корпоративной сети, а так общую стратегию обеспечения защиты.

ФСБ отменяет обязательную сертификацию «гражданского шифрования»

В ранних публикациях мы уже освещали проблемы и последствия связанные с принятием пакета законов Яровой получивших широкий резонанс в обществе. Так некоторые поправки внесенные в законодательные акты Российской Федерации по сути ставили крест на использовании средств «гражданского шифрования» - популярных мессенджеров и социальных сетей. И вот, на этой недели 18 июля 2016г ФСБ официально прокомментировало сложившуюся ситуацию и опубликовало извещение отменяющее обязательную сертификацию СКЗИ для обмена электронными сообщениями в сети Интернет.

Око большого брата: система СОРМ в Российский Федерации

Статьи 23 и 24 Конституции России гарантируют любому гражданину неприкосновенность частной жизни, право на личную и семейную тайну. Законом так же охраняется тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. А любой несанкционированный сбор информации о частной жизни карается законом. Однако, там же содержится и очень важная оговорка - ограничение продекларированных выше прав допускается только на основании судебного решения. Это ограничение использующийся при провидении оперативно-розыскных мероприятий проводимых органами правопорядка и специальными органами обеспечивающих государственную безопасность. После нашумевших разоблачений Эдварда Сноудона о системе тотальной служки американскими спец службами за совими гражаднами и парнеров по Евросоюзу стало известно о таких программах как PRISM, X-Keyscore, Carnivore и Tempora. 

В России же для целей обеспечения ОРД спроектирован свой специальный комплекс СОРМ, речь о котором и пойдет в сегодняшнем материале.

Банк России регламентирует оказание услуг аутсорсинга ИБ

В начале прошлого месяца Банк России выложил в публичный доступ проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности». Сам документ по сути является еще драфтом, получить его можно с официально сайта Технического Комитета 122. А до 31 августа 2016г для зарегистрированных пользователей доступен сервис обсуждения и гол сования. 

Но интересна эта тема скорее другим - главный регулятор банковский сектора наконец-то обратил внимание на аутсорсинг ИБ, который в последнее время все больше и больше набирает популярность

Безопасность СУБД: BD Hacking с помощью Metasploit

Компания Pentestit предоставили вниманию широкой публике нескольку интересных видео с демонстрацией эксплуатации различных уязвимостей в популярных СУБД: Oracle, MS SQL Server, MongoDB, MySQL и даже в неприметной Firebird. Видео конечно же не является универсальным гидом по всем векторам атак на СУБД, но не весьма увлекательно и доступно раскрывает основные нюансы сетевых атак, а так же причины появления уязвимостей и методы их практической эксплуатации на резальных системах! 

Так что, смотрим, изучаем, делаем выводы и конечно же защищаем свои базы дынных!