Главная » Блоги Экспертов И ИТ-Компаний » Сергей Борисов » Безопасность: Новости поставщиков
Последние публикации и комментарии Сергей Борисов
1 1
СОИБ. Анализ. Вопросы для защиты клиент-банка (клиентской части ДБО)

  По информации блога http://sborisov.blogspot.ru/   По информации Лаборатории Касперского в третьем квартале 2016 г. был зарегистрирован существенный рост количество атак и инцидентов, связанных с несанкционированным переводом денежных средств и платежами.   Из результата анализа географии атак видно, что в России таким атакам подвергся наибольший процент пользователей.     К сожалению, нефинансовыми организациями непростительно мало внимания уделяется вопросам защиты клиентской части ДБО. Надеетесь, что банки вас защитят? По текущей практике далеко не всегда это им удается. А недавно вышедший стандарт…

(подробнее...)
1
СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

По материалам блога http://sborisov.blogspot.ru/   Наверное, многие слышали о мощных DDoS атаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию, благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля.    База с перечнем заказов vDOS также была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано  “These are all the DDOS victims that were logged in the VDOS database dump. The news on their site…

(подробнее...)
СОИБ. Анализ. Российский государственный сегмент сети Интернет или RSNet

По материалам блога http://sborisov.blogspot.ru/   Неделю назад был зарегистрирован очередной документ из серии Российский государственный сегмент Интернет - Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утвержденное приказом ФСО РФ №443 от 7 сентября 2016 г. (Положение)   Давайте разберем по подробнее что тут, а то возникают домыслы, что туда будет включены чуть ли не все сети на территории РФ.   Кроме указанного выше документа, учитываем ранее утвержденный Указом Президента Российской Федерации от 22 мая 2015 г. N 260 Порядок подключения…

(подробнее...)
1
Обучение. Профессиональные стандарты по ИБ. Часть 2

Продолжение предыдущей статьи. Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ.  Что в них есть? Что с ними делать?   В стандартах есть общая функциональная карта       Есть описание обобщенной трудовой функции с указанием наименования должностей, требованиями к образованию и опыту.   Есть описание отдельной трудовой функции с указанием трудовых действий, необходимых знаний и умений.     Как работодатели будут применять эти проф. Cтандарты по ИБ?   ·         цитировать из стандарта требования к образованию, опыту, знаниям и умениям в описании вакансии при поиске персонала ·         проверять…

(подробнее...)
1
Обучение. Профессиональные стандарты по ИБ. Часть 1

По информации блога http://sborisov.blogspot.ru/   Наверное, все вы сталкивались с тем, что ответственными за защиту информации назначались лица, не имеющие необходимых знаний, умений или опыта подобной работы (ИТ специалисты, кадровики, бухгалтера, специалисты по физ. безопасности и т.п.).   Особенно часто с такой ситуацией можно было столкнуться в небольших организациях или гос. учреждениях.     В 2012 году в ТК РФ внесены изменения связанные с понятиями квалификации работника и профессиональный стандарт.  Далее последовали правила разработки, утверждения и применения профстандартов. (сборник…

(подробнее...)
СОИБ. Анализ. Платформы для Bug Bounty

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.       Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.   Когда принимается решение о запуске программы выплаты…

(подробнее...)
1
СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.   Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ…

(подробнее...)
СОИБ. Внедрение. Настройка web application firewall, часть 2

По информации блога http://sborisov.blogspot.ru/   Продолжаем предыдущую статью и настраиваем некий обобщенный WAF: ·        настраиваем политики безопасности: o   для определенных ранее объектов защиты назначаем политику сетевой безопасности (открыты порты только связанные с web приложением, из подсети управления разрешен так-же трафик для сервисов управления) o   для каждого web сервиса настраиваем политики защиты web сервиса (могут быть разрешены нестандартные HTTP запросы, такие как HEAD,  могут быть разрешены SQL команды и т.п.), включаем группы сигнатур и  выбираем реакцию на основные типы…

(подробнее...)
СОИБ. Внедрение. Настройка Web Application Firewall, часть 1

По информации блога http://sborisov.blogspot.ru/   Некоторые тестеры-разоблачители WAF, считают что достаточно поставить коробочку / подключить сервис и всё - можно проводить свои изощренные эксперименты, выдавать разоблачительные статьи и разрабатывать на коленке собственные спасительные утилиты.   Моё мнение - WAF отлично справляется со своей задачей и нужно просто правильно его "готовить".   Посмотрим какие настройки должны выполняться на WAF в реальных проектах (не считая инициализации, базовых и сетевых настроек, подключения онлайн-сервисов)  и разберем подробно для чего эти настройки нужны:…

(подробнее...)
СОИБ. Анализ. Пентест н-надо?

По информации блога http://sborisov.blogspot.ru/ В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история:   1. Очередной виток начал известный блогер, рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана.   В результате были подняты вопросы: ·        А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют…

(подробнее...)
1–10 из 24
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>