четверг, 4 июня 2015 г.

Около миллиарда записей ПДн (PII) утекло в 2014 году

 А самыми атакуемыми компаниями оказались те, что предоставляют компьютерные сервисы. Такую статистику приводят аналитики IBM X-Force. Ниже отчет за первый квартал 2015 года, в котором можно получить много полезной аналитики по ИБ.

понедельник, 27 апреля 2015 г.

5 шагов в борьбе с кибератаками (от Check Point)

Представляю Вашему вниманию советы одного из лидеров рынка ИБ, компании Check Point, "STOPPING THE NEXT MASSIVE CYBERATTACK":

  • Оценивайте текущее состояние защищенности 
  • Сегментируйте корпоративную сеть (ключевые элементы: ограничение доступа и классификация данных)
  • Применяйте меры защиты на всех уровнях (в т.ч. для каждой фазы потенциальной атаки)
  • Ведите мониторинг критичных элементов безопасности:
  • Разработайте план реагирования на инциденты

пятница, 24 апреля 2015 г.

Свежий отчет Gartner по корпоративным межсетевым экранам

Позавчера Gartner опубликовали очередной отчет по корпоративным межсетевым экранам. Лидерство разделили два производителя: Check Point и Palo Alto. По мнению Gartner, от лидеров отстают по стратегическому видению, но близки по текущим возможностям Fortinet и Cisco. Остальные 13 производителей остались в скромном левом нижнем квадрате, среди них лидирует Intel Security.
Для того, чтобы построить такой Квадрант критериев оценки у Gartner довольно много:
Ability to Execute
Product/Service: Core goods and services offered by the vendor for the defined market. This includes current product/service capabilities, quality, feature sets, skills and so on, whether offered natively or through OEM agreements/partnerships as defined in the market definition and detailed in the subcriteria.
Overall Viability: Viability includes an assessment of the overall organization's financial health, the financial and practical success of the business unit, and the likelihood that the individual business unit will continue investing in the product, will continue offering the product and will advance the state of the art within the organization's portfolio of products.
Sales Execution/Pricing: The vendor's capabilities in all presales activities and the structure that supports them. This includes deal management, pricing and negotiation, presales support, and the overall effectiveness of the sales channel.
Market Responsiveness/Record: Ability to respond, change direction, be flexible and achieve competitive success as opportunities develop, competitors act, customer needs evolve and market dynamics change. This criterion also considers the vendor's history of responsiveness.
Marketing Execution: The clarity, quality, creativity and efficacy of programs designed to deliver the organization's message to influence the market, promote the brand and business, increase awareness of the products, and establish a positive identification with the product/brand and organization in the minds of buyers. This "mind share" can be driven by a combination of publicity, promotional initiatives, thought leadership, word of mouth and sales activities.
Customer Experience: Relationships, products and services/programs that enable clients to be successful with the products evaluated. Specifically, this includes the ways customers receive technical support or account support. This can also include ancillary tools, customer support programs (and the quality thereof), availability of user groups, service-level agreements and so on.
Operations: The ability of the organization to meet its goals and commitments. Factors include the quality of the organizational structure, including skills, experiences, programs, systems and other vehicles that enable the organization to operate effectively and efficiently on an ongoing basis.
Completeness of Vision
Market Understanding: Ability of the vendor to understand buyers' wants and needs and to translate those into products and services. Vendors that show the highest degree of vision listen to and understand buyers' wants and needs, and can shape or enhance those with their added vision.
Marketing Strategy: A clear, differentiated set of messages consistently communicated throughout the organization and externalized through the website, advertising, customer programs and positioning statements.
Sales Strategy: The strategy for selling products that uses the appropriate network of direct and indirect sales, marketing, service, and communication affiliates that extend the scope and depth of market reach, skills, expertise, technologies, services and the customer base.
Offering (Product) Strategy: The vendor's approach to product development and delivery that emphasizes differentiation, functionality, methodology and feature sets as they map to current and future requirements.
Business Model: The soundness and logic of the vendor's underlying business proposition.
Vertical/Industry Strategy: The vendor's strategy to direct resources, skills and offerings to meet the specific needs of individual market segments, including vertical markets.
Innovation: Direct, related, complementary and synergistic layouts of resources, expertise or capital for investment, consolidation, defensive or pre-emptive purposes.

Geographic Strategy: The vendor's strategy to direct resources, skills and offerings to meet the specific needs of geographies outside the "home" or native geography, either directly or through partners, channels and subsidiaries as appropriate for that geography and market.

В любом случае это субъективная оценка, ее можно принять во внимание, но, для каждой задачи необходимо оценивать продукты по своим критериям, одним из которых может быть позиция в отчете Gartner:)

Secure Your Life!

четверг, 16 апреля 2015 г.

Категоризация/классификация продуктов/решений/услуг по информационной безопасности

Сталкиваясь с вопросом категоризации или классификации решений по информационной безопасности возникает вопрос, как это сделать правильнее. Наиболее часто я встречаю универсальные варианты категоризации по разрезам:
  • Линейки продуктов
  • Решения
  • Темы
  • Бизнес-задачи (в т.ч. compliance)
  • Отрасли
  • Услуги
    • Стадии
      • аудит, обследование, расследование
      • проектирование, внедрение (тут связка с продуктами)
      • аттестация
      • поддержка, аутсорсинг
    • Соответствие (услуги по приведению в соответствие разным СТО БР, PCI DSS, ФЗ152 и т.д.)
Эти разрезы четко прослеживаются у ведущих производителей:




У интеграторов к продуктовой части добавляется более подробный перечень по услугам.
Несмотря на то, что в целом уже сложилась практика формирования портфеля по ИБ, тем не менее появляются новые темы, меняются приоритеты у рынка, подходы к реализации проектов и поэтому каждая компания переделывает категоризацию под текущее видение.
Я еще давно писал про ресурсы, на которых консолидированы ИБэшные продукты. Один из них наш отечественный http://ismmarket.ru/, не плохо продуман, с точки зрения категоризации продуктов, однако, отсутствие принятых стандартов по категоризации в отрасли мешает сформировать единую базу поставщиков услуг.
В одной из презентаций Алексей Лукацкий использовал таксономию от IDC, которая очень хорошо категоризирует средства защиты, но это, на мой взгляд, в большей степени полезно для "внутреннего" упорядочивания портфеля:
И по ИБ-сервисам от IDC:

понедельник, 13 апреля 2015 г.

Литература на тему безопасности в банках

Готовясь к работе над диссертацией в направлении безопасности банковских электронных платежей возникла необходимость подобрать хорошую литературу для подкрепления теоретической базы. Получилась подборка, которой хотелось бы поделиться:
Название
Автор
Год
ИБ в банковском деле


Владимир Ярочкин
2004
Сергей Букин
2011
Владимир Гамза, Игорь Ткачук, Иван Жилкин
2014

В. Гайкович, А. Першин
1994
Алексанов А.К., Демчев И.А., Доронин А.М.
2012
Гладкий А.А.
2012
М. Деднев, Д. Дыльнов, М. Иванов
2004
В.А. Гамза, И.Б. Ткачук
2002
Юрий Соколов
2010
Пьер-Лоран Шатен, Джон Макдауэл, Седрик Муссе, Пол Аллан Шотт, Эмиль ван дер Дус Де Вильбуа
2011
А. Воронин
2012
Александр Павлов
2010



ИТ в банковском деле


Дмитрий Чистов
2005
Виктор Вдовин, Людмила Суркова
2012
Евгения Черкасова, Елена Кийкова
2011
Лидия Голенда, Виктор Громов
2013
И.В. Сафронова
2012
Юлия Амириди, Елена Кочанова, Ольга Морозова
2009
Олег Лаврушин
2012
Юрий Семенов
2003 
Крис Скиннер
2009
Коллектив авторов
2010
Игорь Голдовский
2010
Ирина Додонова, Ольга Кабанова
2010
Владимир Дик
2010
В.К. Сенчагов
2010
Евгений Жуков, Юрий Соколов, Елена Стародубцева, Лидия Литвиненко, Надежда Мартыненко, Ольга Маркова, Д. Удалищев, Николай Нишатов, А. Басс, О. Яблонская
2015

Подходящая периодика (бывают статьи по ИБ):
  1. Управление в кредитной организации
  2. Банковское кредитование
  3. Банковское дело
  4. Финансовая газета
  5. Банковское обозрение
  6. Расчеты и операционная работа в коммерческом банке
  7. БДМ. Банки и деловой мир
  8. Бухгалтерия и банки
Если есть, чем дополнить - буду очень благодарен!

Secure your life!

среда, 8 апреля 2015 г.

Безопасность IoT - обзор некоторых рекомендации

Тематика IoT становится все более популярной, вместе с этим растет важность вопроса безопасности, поскольку информатизация проникает в те сферы, которые ранее были недоступны для нее, а это создает новые риски, не только финансового характера.
В этом посте я бы хотел поделиться некоторым материалом, на который я наткнулся изучая вопрос IoT. Понятно, что тематика еще не проработана, единого стандарта нет, но при этом, IoT обладает некими общими характеристиками, учтя которые можно говорить об отдельных принципах защиты.
Итак, что есть из полезного.
Один из самых интересных документов - OWASP Internet of Things Top Ten - 10 проблем ИБ в IoT:
Далее старый, но занятный документ Y.2060 : Overview of the Internet of things. Он имеется даже в переведенном виде. Документ разработан ITU, в нем приводится обзор интернета вещей:

Если заглянуть в структуру рекомендациq, то можно заметить, что безопасности отведены следующие: Y.2700-Y.2799. Зайдя на страницу с перечнем всех рекомендаций, можно обнаружить такой перечень:
Security requirements for NGN release 1  
Authentication and authorization requirements for NGN release 1  
The application of AAA service in NGN  
Security mechanisms and procedures for NGN  
Minimum security requirements for the interconnection of the Emergency Telecommunications Service (ETS)  
NGN identity management framework  
NGN identity management requirements and use cases  
NGN identity management mechanisms  
Support for OAuth in next generation networks  
Framework for supporting OAuth and OpenID in next generation networks  
Support of OpenID in next generation networks  
Security requirements for mobile remote financial transactions in next generation networks  
Architecture of secure mobile financial transactions in next generation networks  
Mobility security framework in NGN  
Requirements for deep packet inspection in next generation networks  
Framework for deep packet inspection  
В основном про защиту сетей следующего поколения, про IoT особо ничего.
Следующий документ WIND про то, как защищать IoT


И, наконец, самый интересный, свежий и полезный документ от FTC (US Federal Trade Commission):

Также много материала можно найти на сайте Industrial Internet Consortium (IIC).

Secure your life!

воскресенье, 5 апреля 2015 г.

Страхование кибер-рисков (cyber insurance)

Киберстрахование в нашей стране не развито. Это связано, в первую очередь с тем, что мы до конца не научились работать с рисками, у нас нет накопленной статистики по инцидентам (тип, количество, ущерб и т.д.) в силу определенной специфики и закрытости такой информации. Российские страховые компании только начинают осваиваться в этой сфере, хотя за пределами нашей страны кибер-риски страхуют уже давно.
Тема обсуждается тоже довольно давно, но, по ощущениям, продвижений в этой области пока не так много. Судя по описаниям некоторых страховых продуктов (AIG), не последнюю роль, в помощи страховым компаниям занимает небезызвестная компания по борьбе с киберпреступностью GroupIB (Страховщикам помогут оценить IT-риски).
Цитата из статьи GroupIB: Существуют два вида специализированных полисов — Computer Crime, страхующий от преступлений в компьютерной сфере, и Haker Insurance — от хакеров.


А вот, что покрывает AIG:
  • Ответственность, связанная с использованием персональных данных или корпоративной информации: убытки Страхователя, включая расходы на защиту, возникающие в результате заявленного или фактического нарушения персональных данных или корпоративной информации. 
  • Перерыв в деятельности предприятия/сети (дополнительная опция): покрытие потери чистой прибыли в результате длительного перерыва в функционировании сети страхователя, вызванного атакой на сетевые ресурсы и сервисы с целью приостановления деятельности и затруднения доступа к ним либо нарушением системы безопасности сети. 
  • Ответственность, за содержание информации (дополнительная опция): покрытие убытков и расходов в результате публичного раскрытия, вызванного заявленным или фактическим действием, ошибкой, ложным заявлением, вводящим в заблуждение заявлением или упущением в связи с деятельностью в области мультимедия. 
  • Виртуальное вымогательство (дополнительная опция): денежные средства, выплаченные с письменного согласия Страховщика для ограничения или прекращения угрозы безопасности, которая иначе может вызвать убыток Страхователю. 
  • Расследования со стороны регулирующих органов: покрытие потенциально крупных издержек и расходов, связанных с проведением расследований регулирующими органами. 
  • Антикризисный PR: услуги по реагированию в случае утечки данных, восстановление личной репутации, инструктаж на случай утечки персональных данных, а также расходы на уведомления и мониторинг, связанные с утечкой информации. 
  • Электронные данные: покрытие расходов, связанных с восстановлением, повторных сбором или воссозданием информации после утечки или несанкционированного использования данных.
Если тематика интересна, можно почитать несколько статей (не новых, но актуальных):

Secure your life!