пятница, 27 февраля 2015 г.

Поиск движка для IScal.ru (information security calendar)

После того, как я перенес список мероприятий по ИБ в Google-календарь, мне пришла идея создать отдельный сервис по мероприятиям по ИБ (iscal.ru), чтобы мне и моим коллегам предоставить инструмент планирования различных событий в области ИБ.
После создания домена я начал искать платформу, для запуска сервиса и стал формировать требования к такому сервису. В качестве базовой платформы CMS я, предварительно, решил использовать WordPress, поскольку это одна из развитых и функциональных платформ с крайне простым управлением. Далее возник вопрос с движком календаря, их оказалось очень много, платных и бесплатных. К этому времени Лукацкий написал полезный пост Каким мне видится автоматизированный календарь безопасника? в котором изложил свое видение календаря, за что ему спасибо, поскольку идея с просроченными сертификатами довольно полезна и проста в реализации. Основная сложность, на мой взгляд, заключается в возможности кастомизации календаря под каждого пользователя, на мой взгляд на первом этапе достаточно интеграции с Google-календарем (выгрузки выбранных событий в свой календарь).
Из рассматриваемых мной сервисов получился следующий список:


Следующим шагом я хочу сформировать формализованные требования к календарю, оценить бюджет различных вариантов и приступить к реализации.
Приглашаю заинтересованных экспертов поучаствовать в создании сервиса.

Требования, предъявляемые к календарю на сегодняшний день:

  • Фильтрация событий по заданному набору критериев;
  • Интеграция с Google-календарем в обе стороны;
  • Загрузка/выгрузка событий через CSV-файл;
  • Подписка на событие, формирования собственного календаря (на будущее);
  • Различные формы представления событий: список, календарь (день, неделя, месяц), карта, блоки и др.
  • Красивый и эргономичный дизайн;
  • Работа без подгружаемых модулей (Adobe Flash, SilverLight).


Secure your life!

среда, 25 февраля 2015 г.

Как избежать ошибок в области ИБ

Продолжая предыдущий пост про ошибки ИБ приведем практику избегания этих ошибок (в большей степени для разработчиков софта).
Итак, что нужно делать, чтобы не допускать ошибок:

  1. Проводите самооценку
    • Делать ее на каждом этапе жизненного цикла разработки ПО
    • Это очень недорогая и эффективная мера (чеклист), которая позволит увидеть разрыв между целевым уровнем и текущим, а также понять уровень зрелости ИБ
    • Однако, важно сначала сформировать модель угроз и отталкивать от нее при самооценке
  2. Относитесь внимательнее к историям в области безопасности приложений
    • Производители и СМИ создают много шума, который часто не имеет отношения к реальности, однако, когда речь заходит о нарушения безопасности приложений, к этому стоит прислушаться (пример, Heartbleed и др.)
  3. Задавайте больше жестких вопросов
    • Каков процесс реагирования на уязвимости?
    • Какова стратегия разворачивания патчей?
    • Какие способы вы используете для информирования клиентов об уязвимостях?
    • Занимаетесь ли вопросами ИБ безопасности на каждом этапе вашего жизненного цикла разработки программного обеспечения (формирование требований, проектирование, разработка, тестирование и развертывание)?
    • и др.
  4. Создайте свою группу ("Red team") этичных хакеров
    • Таким образом, можно моделировать внешние атаки
  5. Повышайте осведомленность своей команды
Такие, довольно общие, рекомендации даются в статье Biggest Information Security Mistakes that Organizations Make, но, в целом они могут быть полезны.

Secure your life!

понедельник, 16 февраля 2015 г.

Самые большие ошибки безопасности на предпритии

Наткнулся на достаточно интересный документ от генерального директора компании Security Innovative, под названием Biggest Information Security Mistakes that Organizations Make.
В нем приводятся 5 самых больших ошибок на предприятии:

  • Чрезмерно зацикливаются на сетевой безопасности 
    • как следствие забывают об уязвимостях
    • вызывает ложное чувство защищенности
    • не учитывают атаки на бизнес-логику
  • Слепо верят в технологии и инструментарий 
    • инструменты не делают людей умнее
    • технологии помогают, когда они работают в рамках выстроенных процессов управления рисками и соответствием
  • Делают слишком много предположений
    • таким образом, рискуют оказаться в ментальных ловушках
    • ощущения, как правило, сильно отличаются от реальности
  • Считают, что защищенное ПО (SDLC) это слишком дорого
    • как правило, затраты на выстраивание процесса безопасной разработки ниже финансовых рисков
  • Попадают в ловушку "наиболее актуальных проблем"
    • Подход к защите когда "то, о чем больше всего говорят - это самое важное" приводит к упущениям реальных проблем и задач
Как избежать ошибок? Об этом в следующем посте (к слову, в документе это вторая часть).

Secure Your Life!