Практически одновременно запущенно два сайта по PCI DSS: один от Информзащиты и второй от Digital Security.
Интересным оказалось наличие у аудиторов двух диаметрально противоположных взглядов на хранение PAN.
Если Digital Security достаточно категорично выступает против хранения PAN в открытом виде и предлагает использовать их хэш-значения, то Информзащита не видит ничего противоречащего требованиям PCI в хранении PAN в открытом виде в почтовых ящиках пользователей.
Цитировать и вырывать из контекста не хочу, лучше посмотреть оригинальные обсуждения.
четверг, 25 июня 2009 г.
понедельник, 22 июня 2009 г.
Secret, Sex, Love, God? Нет, 1234567!
Опубликован подготовленный Дмитрием Евтеевым обзор наиболее распостраненных нарушений парольной политики в российских компаниях.
Как показано в публикации, статистика используемых паролей российских пользователей значительно отличается от данных западных исследований. Так, список наиболее распространенных паролей включает только фразы, составленные из расположенных рядом символов, таких как 1234567 и qwerty, тогда как западные пользователь больше склонны использовать слова английского языка (password, love и т.д.). Более 50% используемых паролей состоят только из цифр, что крайне негативно сказывается на их стойкости.
Требования PCI DSS нарушаются в 74 случаях из 100, а администраторы более склонны к использованию пустых паролей чем обычные пользователи.
Полный текст исследования:
http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf
Другие исследования Positive Technologies:
http://www.ptsecurity.ru/analytics.asp
Как показано в публикации, статистика используемых паролей российских пользователей значительно отличается от данных западных исследований. Так, список наиболее распространенных паролей включает только фразы, составленные из расположенных рядом символов, таких как 1234567 и qwerty, тогда как западные пользователь больше склонны использовать слова английского языка (password, love и т.д.). Более 50% используемых паролей состоят только из цифр, что крайне негативно сказывается на их стойкости.
Требования PCI DSS нарушаются в 74 случаях из 100, а администраторы более склонны к использованию пустых паролей чем обычные пользователи.
Полный текст исследования:
http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf
Другие исследования Positive Technologies:
http://www.ptsecurity.ru/analytics.asp
воскресенье, 7 июня 2009 г.
Дональд Кнут выступает против патентования ПО
Приятно, когда разумные люди говорят разумные вещи.
http://www.securitylab.ru/news/380977.php
http://www.groklaw.net/article.php?story=20090603224807259
http://www.securitylab.ru/news/380977.php
http://www.groklaw.net/article.php?story=20090603224807259
вторник, 2 июня 2009 г.
Материалы семинара RISSPA по DDoS
Опубликованы материалы семинара RISSPA по теме DDoS. Презентации и аудио доступны для загрузки по следующей ссылке:
http://risspa.org/seminary/prosched_seminar/materialy/
Ниже моя презентация и тезисы.
ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ
DDOS-АТАКАМ
Сергей Гордейчик, руководитель отдела консалтинга и аудита Positive Technologies
http://sgordey.blogspot.com/
Резюме
Распределенные атаки типа «Отказ в обслуживании» (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы.
В докладе рассматриваются практические подходы к оценке эффективности мер по противодействию DDoS-атака на уровенях приложений, сетевой инфраструктуры, доступа к сети Интернет с использованием паттернов реальных DDoS-атак.
Введение
Распределенные атаки типа «Отказ в обслуживании» (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. В то время как зависимость бизнеса от внешних сервисов, предоставляемых с помощью Интернет, растет, злоумышленники совершенствуют механизмы осуществления атак и наращивают мощности бот-сетей, используемых для DDoS.
Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы. При стечении ряда обстоятельств может оказаться, что защита недостаточно эффективна, и сервисы и приложения при проведении реальной атаки будут заблокированы.
Таким образом, комплекс мер защиты от DDoS-атак нуждается в периодическом тестировании. По опыту компании Positive Technologies наиболее эффективным методом является сочетание анализа технических и организационных средств защиты с практическим нагрузочным тестированием компонентов ИС, эмулирующим реальную DDoS-атаку.
Уровень приложений
Обычно атаки, направленные на отказ в обслуживании реализуются на сетевом уровне, однако они могут быть направлены и на прикладной уровень. Используя функции приложения, злоумышленник может исчерпать критичные ресурсы системы или воспользоваться уязвимостью, приводящий к прекращению функционирования системы.
Атаки могут быть направлены на любой из компонентов приложения, например, на сервер СУБД, DNS, сервер аутентификации и т.д. В отличие от атак на сетевом уровне, требующих значительных ресурсов злоумышленника, атаки на прикладном уровне обычно легче реализовать.
В ходе работ проводится экспресс-анализ доступных функций приложения, и составляется оценка ресурсоемкости данных функций с точки зрения функционирования всего приложения. Затем проводится нагрузочное тестирование согласованного перечня функций с заданной нагрузкой.
Уровень сетевой инфраструктуры
Зачастую узким местом при проведении DDoS-атак является сетевая инфраструктура, обеспечивающая функционирование приложений. Опыт компании Positive Technologies показывает, что в ряде случаев отказ в обслуживании возникает в результате ошибок в конфигурации систем и средств защиты, которые призваны снизить последствия атаки. Стек TCP/IP серверов, межсетевые экраны, средства балансировки нагрузки, системы предотвращения атак (IDS/IPS), маршрутизаторы и коммутаторы имеют свои предельные эксплуатационные характеристики. В результате повышенной нагрузки, возникающей в ходе DDoS, один из ключевых компонентов сетевой инфраструктуры может прекратить нормальное функционирование и усугубить ущерб от атаки.
Уровень доступа к сети Интернет
Одним из наиболее деструктивных факторов DDoS-атаки является загрузка «мусорным» трафиком магистральных каналов доступа к сети Интернет. В результате уязвимым местом становятся каналы связи Интернет-провайдера. В случае подобной атаки важно наличие отлаженного регламента взаимодействия Заказчика с персоналом Интернет-провайдера. При обнаружении атаки необходимо оперативно скоординировать действия по снижению последствий атаки (перенос сервиса на резервные площадки, включение дополнительных мощностей, активация средств защиты и т.д.). Для проверки эффективности данного взаимодействия можно использовать аналитический и практический анализ эффективности существующего регламента взаимодействия в случае DDoS.
В рамках аналитической части проводится экпертиза существующих регламентов с точки зрения передового опыта и международных стандартов по обеспечения информационной безопасности и обеспечению непрерывности бизнеса (business continuity planning, BCP).
При практической проверке проводится практический прогон ситуации возникновения DDoS-атаки и анализируется скорость и качество реализации требований регламента специалистами Заказчика и Интернет-провайдера.
Для полного приближения к ситуации может использоваться имитация реальной DDoS-атаки на указанные ресурсы Заказчика. Объемы генерируемого во время атаки трафика рассчитываются таким образом, чтобы максимально использовать пропускную способность каналов связи с Интернет.
В ходе работ могут использоваться как dumb-bot – примитивные систем генерации трафика, и эффективные решения (smart-bot), эмулирующие поведение стандартного сетевого клиента и агента DDoS, что затрудняет блокирование атаки средствами защиты от DDoS.
http://risspa.org/seminary/prosched_seminar/materialy/
Ниже моя презентация и тезисы.
ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ
DDOS-АТАКАМ
Сергей Гордейчик, руководитель отдела консалтинга и аудита Positive Technologies
http://sgordey.blogspot.com/
Резюме
Распределенные атаки типа «Отказ в обслуживании» (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы.
В докладе рассматриваются практические подходы к оценке эффективности мер по противодействию DDoS-атака на уровенях приложений, сетевой инфраструктуры, доступа к сети Интернет с использованием паттернов реальных DDoS-атак.
Введение
Распределенные атаки типа «Отказ в обслуживании» (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. В то время как зависимость бизнеса от внешних сервисов, предоставляемых с помощью Интернет, растет, злоумышленники совершенствуют механизмы осуществления атак и наращивают мощности бот-сетей, используемых для DDoS.
Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы. При стечении ряда обстоятельств может оказаться, что защита недостаточно эффективна, и сервисы и приложения при проведении реальной атаки будут заблокированы.
Таким образом, комплекс мер защиты от DDoS-атак нуждается в периодическом тестировании. По опыту компании Positive Technologies наиболее эффективным методом является сочетание анализа технических и организационных средств защиты с практическим нагрузочным тестированием компонентов ИС, эмулирующим реальную DDoS-атаку.
Уровень приложений
Обычно атаки, направленные на отказ в обслуживании реализуются на сетевом уровне, однако они могут быть направлены и на прикладной уровень. Используя функции приложения, злоумышленник может исчерпать критичные ресурсы системы или воспользоваться уязвимостью, приводящий к прекращению функционирования системы.
Атаки могут быть направлены на любой из компонентов приложения, например, на сервер СУБД, DNS, сервер аутентификации и т.д. В отличие от атак на сетевом уровне, требующих значительных ресурсов злоумышленника, атаки на прикладном уровне обычно легче реализовать.
В ходе работ проводится экспресс-анализ доступных функций приложения, и составляется оценка ресурсоемкости данных функций с точки зрения функционирования всего приложения. Затем проводится нагрузочное тестирование согласованного перечня функций с заданной нагрузкой.
Уровень сетевой инфраструктуры
Зачастую узким местом при проведении DDoS-атак является сетевая инфраструктура, обеспечивающая функционирование приложений. Опыт компании Positive Technologies показывает, что в ряде случаев отказ в обслуживании возникает в результате ошибок в конфигурации систем и средств защиты, которые призваны снизить последствия атаки. Стек TCP/IP серверов, межсетевые экраны, средства балансировки нагрузки, системы предотвращения атак (IDS/IPS), маршрутизаторы и коммутаторы имеют свои предельные эксплуатационные характеристики. В результате повышенной нагрузки, возникающей в ходе DDoS, один из ключевых компонентов сетевой инфраструктуры может прекратить нормальное функционирование и усугубить ущерб от атаки.
Уровень доступа к сети Интернет
Одним из наиболее деструктивных факторов DDoS-атаки является загрузка «мусорным» трафиком магистральных каналов доступа к сети Интернет. В результате уязвимым местом становятся каналы связи Интернет-провайдера. В случае подобной атаки важно наличие отлаженного регламента взаимодействия Заказчика с персоналом Интернет-провайдера. При обнаружении атаки необходимо оперативно скоординировать действия по снижению последствий атаки (перенос сервиса на резервные площадки, включение дополнительных мощностей, активация средств защиты и т.д.). Для проверки эффективности данного взаимодействия можно использовать аналитический и практический анализ эффективности существующего регламента взаимодействия в случае DDoS.
В рамках аналитической части проводится экпертиза существующих регламентов с точки зрения передового опыта и международных стандартов по обеспечения информационной безопасности и обеспечению непрерывности бизнеса (business continuity planning, BCP).
При практической проверке проводится практический прогон ситуации возникновения DDoS-атаки и анализируется скорость и качество реализации требований регламента специалистами Заказчика и Интернет-провайдера.
Для полного приближения к ситуации может использоваться имитация реальной DDoS-атаки на указанные ресурсы Заказчика. Объемы генерируемого во время атаки трафика рассчитываются таким образом, чтобы максимально использовать пропускную способность каналов связи с Интернет.
В ходе работ могут использоваться как dumb-bot – примитивные систем генерации трафика, и эффективные решения (smart-bot), эмулирующие поведение стандартного сетевого клиента и агента DDoS, что затрудняет блокирование атаки средствами защиты от DDoS.
понедельник, 1 июня 2009 г.
План проверок по ФЗ 152
В сообществе personal_data появилась удобная выборка из плана проверок РКН по теме персональных данных.
Проверки разбиты по месяцам, что облегчает поиск:
http://community.livejournal.com/personal_data/3528.html
Удобно :)
Исходные данные:
http://www.rsoc.ru/main/directions/contr/
Проверки разбиты по месяцам, что облегчает поиск:
http://community.livejournal.com/personal_data/3528.html
Удобно :)
Исходные данные:
http://www.rsoc.ru/main/directions/contr/
Подписаться на:
Сообщения (Atom)