Свежие посты   По годам   По датам
  • 16 Сентября 2015 » (инцидент) США обвинили Россию в хакерской атаке на американские системы управления промышленностью
    Российские хакеры проникли в американские системы управления промышленностью, которые работают с критически важными объектами инфраструктуры, в частности, с электросетями, заявил директор национальной разведки США Джеймс Клэппер.

  • 16 Сентября 2015 » Solar Security и её DLP Solar Dozor
    Созданная системным интегратором Инфосистемы Джет компания-вендор Solar Security (Солар Секьюрити) младше своей собственной DLP системы Solar Dozor (ранее Дозор-Джет) почти на 15 лет. Картинка-иллюстрация к посту в тему =) Вчера на пресс-конференции была представлена обновлённая версия этого продукта - Solar Dozor 6.0. По словам представителей Солар Секьюрити предыдущие версии продукта установлены более чем у 300 пользователей (в официальном пресс-релизе упоминается более 100 инсталляций). [caption id=”attachment_7543” align=”aligncenter” width=”550”] Пресс-коференция Solar Dozor 6.0[/caption] Помимо DLP в портфеле у Солар Секьюрити - аналитическая система inView, IDM-решение inRights и ещё один продукт, который будет представлен широкой общественности чуть позже - в октябре. Кстати, обещают, что это будет не SIEM и не WAF, что уже интригует =) MSSP-провайдер JSOC также предан в ведение Солар Секьюрити, так что теперь его предлагается расшифровывать как Jedi Security Operation Center (вместо Jet…). Среди клиентов JSOC в настоящее время заказчики в таких отраслях как энергетика, банки, крупные процессинговые центры. Компания в принципе делает ставку на узкий сегмент решений мониторинга и управления ИБ, так как опыт команды (материнского системного интегратора) по анализу защищённости систем безопасности клиентов показывает, что в 93% случаев, несмотря на имеющиеся средства защиты, попытки проникновения оказываются успешными. Из этого эмпирического опыта логично делается вывод о том, что управление безопасностью является ключевым элементом системы обеспечения безопасности в целом. Суть же подхода к DLP состоит в том, что предлагается перейти от борьбы с утечками (далеко не каждая утечка информации реально стоит тех денег, которые просят на борьбу с ней DLP-вендоры) к борьбе с внутренним мошенничеством (или фродом). Два-три инцидента, выявленных с помощью DLP и средств контроля коммуникаций, способны окупить все затраты на такую систему. Для успешного решения этой задачи система должна иметь возможность ведения удобного архива с быстрым поиском и обладать широкими аналитическими возможностями. На примере выявления “откатных схем”, которые трудно выявить мониторингом по ключевым словам, но можно детектировать, например, по изменению тональности или каналов общения, была показана также и необходимость наличия средств выявления косвенных признаков мошенничества. Заявлено, что в Solar Dozor 6.0 весь этот инструментарий (архив, аналитика, выявление косвенных признаков) присутствует. Кроме этого в решении есть: ”группы риска” (целые отделы можно ставить на особый контроль), “карма” сотрудников (множество мелких нарушений, каждое из которых малозначительно, в итоге приведут к снижению уровня доверия к сотруднику), досье сотрудников и отделов, профилирование действий пользователей с контролем аномальных отклонений, каталог правил выявления мошеннических схем и реагирования на них с отраслевой спецификой и многое другое. [caption id=”attachment_7541” align=”aligncenter” width=”500”] Что нового в Solar Dozor 6.0[/caption] Вообще, трудно спорить с тем, что фактически функционал современных DLP систем в плане контроля каналов уже почти одинаков и вопрос стоит не столько в выявлении утечек, а в том, что с этим делать дальше, как довести до логического конца каждый конкретный инцидент? Продемонстрированные несколько кейсов были достаточно убедительны, чтобы показать, что Solar Dozor существенно эту задачу упрощает. Интерфейс системы красив, масштабирование для экранов от планшета до плазмы поддерживается. Разработка велась с сентября прошлого года, а в качестве приоритета было выбрано максимальное удобство типовых ежедневных операций, которые были определены в ходе анализа реальных сценариев использования продукта у заказчиков. [caption id=”attachment_7542” align=”aligncenter” width=”550”] Интерфейс Solar Dozor 6.0[/caption] В качестве важного конкурентного преимущества отдельным поводом для гордости называется сверхбыстрый поиск за счёт предварительной индексации основных поисковых атрибутов. По внутренним оценкам до 85% запросов будут отрабатываться именно таким быстрым поиском. За счёт этого с системой можно работать в режиме реального времени, а не по принципу: сформировал запрос - подождал полминуты - получил результат - скорректировал запрос - опять подождал - … и т.д. Кстати, демонстрация реально работающей версии системы, а не красивых скриншотов с объяснениями “на пальцах” лично мне особенно понравилась. Честно говоря, не являюсь глубоким экспертом в DLP системах, но всё показанное было настолько просто, логично и удобно, что с некоторым удивлением услышал отрицательный ответ от более подкованных коллег на свой вопрос: “А что, у других разве этого нет?”

  • 15 Сентября 2015 » Итоги совместного конкурса с ИнфоВотч
    Объявленный на прошлой неделе конкурс, призами в котором были бесплатные билеты на онлайн-трансляцию конференции BIS Summit 2015, завершён. Напомню, по условиям конкурса нужно было в открытых источниках (пресс-релизы, истории успеха, слайды в презентациях, статьи и интервью в СМИ, итоговые протоколы на сайтах закупок, посты сотрудников в соцсетях и т.п.) найти информацию о клиентах ГК ИнфоВотч и в комментарии к посту привести название клиента и подтверждающую ссылку. Почётное третье место занял Evgeny Voropaev, приведший ссылки на статьи TAdviser с перечнем реализованных проектов. Второе место у Игоря Агурьянова, который предложил отличный вариант: поиск через опыт в резюме на портале для поиска работы - человек сам пишет, где он работал и что внедрял =) Безоговорочным лидером же стал Алексей Новиков, использовавший и сайт госзакупок и поиск по презентациям на SlideShare, а также нашедший скрытую (закомментированную в коде страницы) информацию о клиентах на сайте самой компании ИнфоВотч. До конца дня вышлю победителям промо-коды для получения бесплатных билетов. Всем спасибо за участие!

  • 15 Сентября 2015 » Прогноз Gartner для мирового рынка ИБ
    Аналитическая компания Gartner по итогам второго квартала 2015 года выпустила квартальное обновление своего отчёта Forecast Analysis: Information Security, Worldwide. Отчёт платный ($1295), но основные выводы (в виде заголовков разделов) доступны публично и достаточно любопытны. Так, по мнению аналитиков Gartner мировой рынок информационной безопасности будет увеличиваться с прогнозным совокупным среднегодовым темпом роста (CAGR) 7,4% до 2019 года. Важнейшими точками потенциального роста признаются: тестирование безопасности (security testing), аутсорсинг услуг и управление идентификацией и доступом (Identity Access Management - IAM), а в качестве причин для роста затрат на информационную безопасность отмечены: правительственные инициативы, включая усиление законодательных требований, а также ряд громких взломов и утечек. Краткие выводы по пунктам (перевод местами вольный и наверняка не лишён неточностей) ниже, дополненные моими комментариями по ситуации в России. В целом рынок информационной безопасности будет расти на 7,4% в год до 2019 года. (Overall Information Security Market Is Forecast to Grow at 7.4% CAGR Through 2019) Похожий рост показал в 2014 году рынок ИБ и в России - 8% по информации TAdviser. Слабые перспективы у рынка межсетевых экранов/VPN начиная с 2105 года и далее. (Weaker Outlook for VPN/Firewall Spending From 2015 Onward) В России стагнация этого сегмента сомнительна, в 2013/12 гг наблюдался устойчивый рост, например. Коммодитизация (переход продуктов из марочной категории в категорию рядовых продуктов) влечёт за собой снижение общего прогноза по рынку безопасности. (Commoditization Drives a Reduction in the Overall Security Forecast) В России подобные явления массового характера на мой взгляд пока не приобрели, уровень "элитарности" потребляемых решений и услуг определяется степенью зрелости процессов управления ИБ в компаниях, а здесь кардинальных перемен в последние годы не замечено. Пересмотрен рост сегмента пользовательского ПО информационной безопасности из-за изменений и его неопределённой динамики. (Consumer Security Software Growth Moderated Due to Changing and Uncertain Segment Dynamics) Трудно сказать, что в России можно отнести к этому сегменту - домашние антивирусы и приложения-шифровалки фотографий и контактов для смартфонов? Усиление законодательных требований будет причиной увеличения затрат на безопасность в странах различных регионов. (Increased Legislation Continues to Be a Driver for Security Spending in Countries Across Different Regions) В России этот драйвер роста можно смело включать практически в любой прогноз: когда есть требования, бюджеты выделяются гораздо охотнее. Хорошие перспективы у сегмента консалтинга в развивающихся странах Азии и Тихого океана, поддерживаемые улучшением экономики Индии на фоне других драйверов рынка. (Stronger Outlook for Security Consulting in Emerging Asia/Pacific for 2015 Supported by Improved Indian Economy as a Backdrop to Other Security Market Drivers) Замедление экономики в сравнении с ожидаемым ростом даёт смешанной прогноз для зрелых рынков Азии, Тихого океана и Китая. (Slowing Economy Versus Expected Growth in Security Services Creates Mixed Outlook in the Mature Asia/Pacific Region and China) Последние два пункта к России прямого отношения не имеют, а вот приведённые в начале поста рыночные ниши, являющиеся основными точками потенциального роста - security testing, аутсорсинг услуг ИБ и IAM - активно занимаются в России игроками, причём не первый год. Возможно, в ближайшее время и здесь они начнут приносить существенный доход. Не всё же межсетевые экраны с антивирусами закупать.

  • 14 Сентября 2015 » (инцидент) За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
    В ведомстве не раскрывают информацию об объеме данных, который был скомпрометирован в результате кибернападений.

  • 14 Сентября 2015 » (уязвимость) В ICS-продукции компании Yokogawa обнаружены уязвимости
    Почти в 20 различных продуктах, производимых японской компанией Yokogawa, присутствуют уязвимости переполнения буфера, способные приводить к удаленному исполнению кода. Багам подвержен длинный список продукции, используемой в различных отраслях промышленности по всему миру. Yokogawa в основном производит автоматизированные системы управления производством, системы организации производства, системы анализа событий и т.п. К их числу относится и серия систем управления Centum на базе Windows, а также ProSafe-RS, Exaopc, Exaquantum и многие другие. Все уязвимости, присутствующие в продукции, являются багами переполнения стека, однако они отличаются друг от друга уровнем своей опасности. Одна из них способна приводить к удаленному исполнению кода, в то время как две другие могут привести к отказу в обслуживании. «Эксплойт этих уязвимостей может приводить к состоянию отказа в обслуживании, препятствующему обмену данными внутри сети, а также позволяет исполнять произвольный код», — говорится в бюллетене ICS-CERT. К числу уязвимых продуктов относятся: Серия CENTUM: CENTUM CS 1000 (R3.08.70 и ниже); CENTUM CS 3000 (R3.09.50 и ниже); CENTUM CS 3000 Entry (R3.09.50 и ниже); CENTUM VP (R5.04.20 и ниже); CENTUM VP Entry (R5.04.20 и ниже); ProSafe-RS (R3.02.10 и ниже); Exaopc (R3.72.00 и ниже); Exaquantum (R2.85.00 и ниже); Exaquantum/Batch (R2.50.30 и ниже); Exapilot (R3.96.10 и ниже); Exaplog (R3.40.00 и ниже); Exasmoc (R4.03.20 и ниже); Exarqe (R4.03.20 и ниже); Field Wireless Device OPC Server (R2.01.02 и ниже); PRM (R3.12.00 и ниже); STARDOM VDS (R7.30.01 и ниже); STARDOM OPC Server для Windows (R3.40 и ниже); FAST/TOOLS (R10.01 и ниже); B/M9000CS (R5.05.01 и ниже); B/M9000 VP (R7.03.04 и ниже); FieldMate (R1.01 и R1.02). «Если процессу, поддерживающему обмен данными, передать специально созданный пакет, то обмен данными будет нарушен. А затем процесс, использующий функцию обмена данными, станет недоступен. Эксплойт этой уязвимости может позволить удаленному атакующему исполнять произвольный код», — говорится в бюллетене Yokogawa. Yokogawa уже разработала патчи для уязвимой продукции, однако некоторых из них еще нет в открытом доступе. Источник

  • 14 Сентября 2015 » Check Point Security Day 2015
    В прошлый четверг компания Check Point провела в Москве очередное ежегодное мероприятие - Check Point Security Day. Компания УЦСБ выступила спонсором мероприятия и на своём стенде представляла совместное решение для обеспечения безопасности промышленных систем автоматизации и управления: связку комплекса DATAPK и шлюзов безопасности Check Point в защищённом исполнении. В качестве примера объекта защиты выступала действующая модель автопарковочного комплекса, которая за последние полгода побывала уже, наверное, больше, чем в десятке городов по всей России. Постоянный интерес к стенду со стороны участников в итоге не позволил мне даже послушать хотя бы один доклад, поэтому могу только порекомендовать почитать отзыв Игоря Агурьянова, который описал некоторые из представленных Check Point технологий. Посетителей было много - несколько сотен, а судя по составу участников, организаторы к процессу приглашений подошли очень ответственно. Тематика ИБ АСУ ТП, конечна, была близка далеко не всем, но УЦСБ, как интегратор, только этой темой и не ограничивается, так что поговорить было о чём со всеми, а автопарковке спасибо за привлечение внимания! Кстати, в этот раз стенд был представлен в своей расширенной версии, поэтому можно было поучаствовать в конкурсе, целью которого было узнать пароль оператора парковочного комплекса и “угнать” понравившийся автомобиль. К чести посетителей можно сказать, что к концу дня гараж брендированных машинок практически опустел. [caption id=”attachment_7487” align=”aligncenter” width=”500”] Стенд УЦСБ на Check Point Security Day (за полчаса до начала регистрации)[/caption] [caption id=”attachment_7488” align=”aligncenter” width=”500”] Игра в хакеров на стенде УЦСБ[/caption] [caption id=”attachment_7489” align=”aligncenter” width=”500”] DATAPK и Check Point - братья навек =)[/caption] Check Point и их партнёрам IDC спасибо за качественную организацию, коллегам из УЦСБ - за слаженную работу на стенде, а всем посетителям - за внимание к представленным решениям и живой интерес. Коллег из дружественных компаний тоже был рад видеть =) Презентации на момент публикации поста ещё не выложены, но, судя по архиву прошлых лет, ссылка будет такой: http://idcrussia.com/ru/events/62142-check-point-security-day-2015/55-proceedings

  • 14 Сентября 2015 » (инцидент) В аэропорту Внуково используют дефолтные пароли роутеров
    Проходил второй час моего ожидания до рейса Москва-Франкфурт-на-Майне во Внуково, со мной был мой ноутбук, который я подключил к публичному Wi-Fi аэропорта. Устав от музыки и фильмов я решил пощупать локальную сеть на предмет уязвимостей и возможных багов.

  • 14 Сентября 2015 » (уязвимость) Марсоход Curiosity уязвим для взлома
    Проблема в ПО марсохода Curiosity позволяет злоумышленникам обойти защиту, предупреждает The Register. Баг в операционной системе реального времени (ОСРВ) VxWorks обнаружил канадский исследователь Янник Формаджио (Yannick Formaggio). ОСРВ была разработана Wind River, дочерней компанией Intel. Исследователь смог добиться удаленного выполнения кода в операционной системе путем переполнения буфера. Специалист обошел защиту памяти и установил бэкдор-аккаунт. Недостаток характерен для версий от 5.5 до 6.9.4.1. К сожалению, это означает, что не только марсоход, но и многие другие устройства, находящиеся на Земле, нуждаются в патче, поскольку работают на этой ОСРВ. Сейчас компания Wind River знает об уязвимости и готовит необходимую заплатку. К слову, это не первая уязвимость, которая связана с космическими аппаратами. Так, в конце прошлого года хакер смог загрузить нужную ему информацию в базу данных космической капсулы Orion, что подтвердил эксперт NASA. Хакер обнаружил уязвимость в системе и загрузил никнейм Payload1 Payload2 в список из имен 1,3 млн человек, который был отправлен на борту капсулы в космос. Свой первый тестовый полет космический корабль Orion провел 5 декабря 2014 года, стартовав с космодрома на мысе Канаверал в штате Флорида. На орбиту его вывела тяжелая ракета-носитель Delta-4Н. Капсула космического корабля приводнилась в акватории Тихого океана. А в 2011 году шесть серверов, принадлежащих агентству NASA, были признаны потенциально уязвимыми для проведения атак через Интернет. Год спустя космические агентства США и Европы (NASA и ESA) подтвердили информацию о взломе своих сайтов группой The Unknowns. Сообщается, что были похищены военные документы и личная информация 736 человек из базы данных NASA. Кроме того, интерес киберпреступников к космической отрасли в последнее время растет. В частности, по данным «Лаборатории Касперского», хакеры, проводившие кампанию NetTraveler, ориентировались прежде всего на космические исследования, нанотехнологии, производство энергии, ядерную энергетику, лазеры, медицину и связь. Источник

  • 14 Сентября 2015 » Отчёт ICS-CERT за июль-август
    Продолжу публикацию постов по ежедвухмесячным отчётам Команды экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT (Industrial Control Systems Cybersecurity Emergency Response Team). Сегодня речь про очередной отчёт, выпущенный по итогам июля-августа: ICS-CERT Monitor ICS-MM201508 (про прошлый отчёт можно почитать здесь).