Свежие посты   По годам   По датам
  • 30 Мая 2015 » (инцидент) США пытались атаковать ядерные силы КНДР с помощью вируса в 2010 году
    Соединенные Штаты в 2010 году пытались атаковать ядерные силы КНДР с помощью компьютерного вируса, сообщает Reuters со ссылкой на источник в разведке США.

  • 27 Мая 2015 » ИБ АСУ ТП на PHDays
    Тема информационной безопасности промышленных систем автоматизации не была центральной на Positive Hack Days, но в ряду других была представлена достаточно широко, хотя и концентрировалась преимущественно в первом дне мероприятия.

  • 25 Мая 2015 » Порция квадратов от Gartner
    Конец мая, конечно, не самое лучшее время для обновления подборки квадратов Гартнера - в ближайшие пару месяцев как раз пройдёт очередной массовый выпуск ежегодных версий существенного их количества из моей общей подборки, но так как мне потребовалось некоторые из них освежить именно сейчас, то поделюсь текущими обновлениями конца 2014 - начала 2015. Помимо изучения текущих версий квадратов, полезно бывает посмотреть на них в ретроспективе. Например, история значимых поглощений и слияний последних пары лет красноречиво представлена в подборках квадратов Gartner Magic Quadrants for Intrusion Prevention Systems за 2013-14 и Gartner Magic Quadrants for Enterprise Network Firewalls за 2013-15. Тут и Cisco с Sourcefire, и триада Stonesoft - McAfee - Intel Security, и даже формула Arcoon + NETASQ = Stormshield. [caption id=”attachment_6606” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Intrusion Prevention Systems 2013-2014[/caption] [caption id=”attachment_6607” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Enterprise Network Firewalls 2013-2015[/caption] Более драматична динамика квадратов решений для защиты конечных точек: и игроков побольше и изменения более явные, хотя лидеры и здесь тоже из года в год не меняются. [caption id=”attachment_6608” align=”aligncenter” width=”700”] Gartner Magic Quadrants for Endpoint Protection Platforms 2013-2014[/caption] Сами свежие квадраты доступны по этим ссылкам: Magic Quadrant for Intrusion Prevention Systems (декабрь 2014) Magic Quadrant for Enterprise Network Firewalls (апрель 2015) Magic Quadrant for Endpoint Protection Platforms (декабрь 2014) Полная подборка магических квадратов в соответствующем разделе сайта: https://zlonov.ru/gartner-magic-quadrants/

  • 22 Мая 2015 » Ближайшие мероприятия по ИБ АСУ ТП
    Период перед летним сезоном отпусков традиционно насыщен мероприятиями, а в силу популярности/популяризации темы безопасности АСУ ТП существенное их число либо включает в программу данную тематику либо и вовсе целиком посвящено исключительно ей. Ниже перечень ближайших событий, где будут обсуждаться вопросы ИБ в промышленных системах и смежных областях. Positive Hack Days 5 26-27 мая. Москва. Доклады по теме: атаки на SCADA, технологии защиты непрерывности процесса управления АСУ ТП, защита АСУ ТП от основных угроз. Плюс, традиционно для PHDays, конкурс по взлому - взлому комплекса средств безопасности на макете транспортной системы. Информационные технологии на службе оборонно-промышленного комплекса. 26–29 мая. Иннополис (Татарстан). Во второй день запланирована отдельная Секция 5. Информационная безопасность: нормативно-правовое обеспечение ИБ в АСУ, аттестация информационных систем, программные и аппаратные решения, импортонезависимость, анализ защищённости и некоторые другие вопросы. Безопасность промышленных систем автоматизации и управления 28 мая. Волгоград.  Мероприятие, проводимое ИЦ Региональные Системы, целиком (как следует из названия) посвящено вопросам безопасности. В рамках его буду выступать с докладом Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Расскажу о подходах к обеспечению ИБ действующих АСУ ТП - особенности, типовые решения ИБ и проблемы с ними, негативно влияющие на состояние защищённости АСУ ТП факторы и мероприятия для снижения степени их влияния. Всероссийская конференция ITSF 28-29 мая. Казань.  В программе 9-й конференции заявлено сразу несколько докладов по теме: защита критически важных объектов, защита информации в АСУ ТП, защита АСУ ТП подстанций и защита систем SCADA на нефтегазовых предприятиях. Безопасность критически важных объектов ТЭК 04 июня. Москва. Третья по счёту ежегодная конференция. Рассматриваемые вопросы: выполнение требований законодательства, категорирование и паспортизации объектов ТЭК, защита АСУ ТП объектов ТЭК от внешних и внутренних угроз, меры по снижению рисков ИБ на объектах ТЭК: рекомендации, стандарты и требования. Информационная безопасность промышленных систем автоматизации и управления 09 июня. Москва. Мероприятие, проводимое УЦСБ совместно с Hewlett-Packard, Лабораторией Касперского, CyberArk, Газинформсервис, Digital Security. Основные темы: общие подходы, конкретные продукты и решения, техники разработки эксплойтов, аудит ИБ и типовые проблемы, выявляемыми в ходе обследований промышленных объектов и АСУ ТП. В вводном докладе буду рассказывать о практическом опыте УЦСБ и основных подходах к обеспечению ИБ. Обязательно будет стенд c автоматизированным парковочным комплексом (здесь можно посмотреть ролик про него). Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Второе мероприятие УЦСБ из этой серии. Состав участников и темы докладов аналогичны мероприятию 09 июня в Москве, но запланировано больше практических демонстраций на стендах. Даже если какие-то мероприятия упустил из вида, период всё равно получается насыщенный. Подозреваю, что осенью будет ещё жарче!

  • 21 Мая 2015 » Презентация нового MaxPatrol SIEM
    Компания Positive Technologies сегодня провела пресс-конференцию для СМИ, блогеров и экспертов под общим названием “Как увидеть невидимые кибератаки?”. Ответ на данный вопрос предполагался достаточно очевидный - с помощью MaxPatrol SIEM.

  • 20 Мая 2015 » (уязвимость) Эксперты из УЦСБ обнаружили уязвимость в SCADA-системе RSView32
    [box type=”info” style=”rounded”]Публикация в ICS-CERT: Advisory (ICSA-15-132-02)[/box] Группа исследователей из Уральского Центра Систем Безопасности обнаружила критическую уязвимость в алгоритме шифрования паролей управления технологическими процессами в популярной SCADA-системе RSView32, произведенной американской компанией Rockwell Automation. Система RSView32 — это интегрированное программное обеспечение человеко-машинного интерфейса (HMI) для сбора данных, оперативного контроля и управления автоматизированными устройствами и технологическими процессами. RSView32 широко распространена в различных сферах промышленной деятельности: от управления конвейерным оборудованием до автоматизации критически важных объектов, в частности, в газовой и нефтяной промышленности. Обнаруженная экспертами УЦСБ уязвимость применяемых в SCADA-системе алгоритмов шифрования информации позволяла злоумышленнику обойти парольную защиту RSView32 версии 7.60.00 (CPR9 SR4) и старше. Используя уязвимость, злоумышленник мог получить неограниченный доступ к SCADA-системе и внести любые несанкционированные изменения в управляемый технологический процесс, что могло привести к его остановке или созданию аварийной ситуации. Выявив уязвимость, эксперты УЦСБ передали производителю ее детальное описание вместе с примером программы, демонстрирующей эксплуатацию уязвимости. В настоящее время компания Rockwell Automation выпустила обновление SCADA-системы RSView32, устраняющее выявленную уязвимость. Соответствующее уведомление KB700915 опубликовано на информационном портале компании. Источник

  • 18 Мая 2015 » (инцидент) ФБР обвинило ИБ-эксперта во взломе систем управления самолета
    Хакер признался в осуществлении 15-20 атак на бортовые системы самолетов в период с 2011 по 2014 год.

  • 13 Мая 2015 » (аналитика) Безопасность промышленных систем управления в 2014 году
    Промышленные системы управления (ICS, АСУ ТП) за последние годы вышли на принципиально новый уровень благодаря развитию информационных технологий и сети Интернет. Однако новый виток автоматизации несет свои проблемы: некорректное применение технологий защиты и обработки данных приводит к серьезным уязвимостям.

  • 12 Мая 2015 » HP в России больше, чем ArcSight
    Лет 6-7 назад компания Hewlett-Packard (HP) с информационной  безопасностью не ассоциировалась почти никак, но ситуация изменилась радикально после нескольких крупных поглощений, пик которых пришёлся на 2010 год. Приобретения компании HP в сфере информационной безопасности Помимо приобретения SPI Dynamics, ArcSight, Fortify и TippingPoint (в составе 3Com), в 2014 году HP анонсировала HP Atalla для шифрования данных, но в России самым известным из всех упомянутых решений, пожалуй, является всё же ArcSight. Убедиться в его популярности мне довелось лично на Встрече сообщества пользователей HP ArcSight - мероприятии для заказчиков и партнёров, проходившим в конце апреля. Что ни говори, а оценивать доли рынка, основываясь на мнениях экспертов (см. изображение ниже) - это одно, а видеть аудиторию, где собрались представители реальных заказчиков - совсем другое. [caption id=”attachment_6447” align=”aligncenter” width=”600”] Доли рынка SIEM в России[/caption] Вообще, судя по аудитории, темам докладов и осуждавшимся вопросам, HP ArcSight не просто хорошо представлен у нас, но и активно используется для реальных задач. За время присутствия в России (с 2007 года) продукт “оброс” успешными внедрениями  (МТС, ПромСвязьБанк, ГазПромБанк…) и интеграторами с требуемыми компетенциями (Диалог Наука, Информзащита, Актуальные Технологии Безопасности…). Такое положение дел позволяет заказчикам быть уверенным в том, что они не станут “подопытными кроликами” и не получится как в прозвучавшей на семинаре шутке: - А как конкретно работает эта функция в вашем новом продукте? - Пока не знаю... Давайте сделаем пилот! 😀 С другой стороны, чудес не бывает и для конкретной задачи более подходящим может оказаться другой инструмент. В конце концов, заказчика может не устроить цена, сложность настройки, или избыточный функционал. Но целью поста не является сравнение HP ArcSight с конкурентами (самые активные из них иногда делают это самостоятельно - см. изображение ниже), хотя даже новые игроки здесь появляются и тема для дискуссии есть. [caption id="attachment_6452" align="aligncenter" width="600"] Вопросы компании Эшелон к игрокам рынка SIEM[/caption] К слову, краткое резюме по некоторым SIEM (IBM QRadar, HP ArcSight, Комрад, Splunk, McAffee, RSA) было представлено в подкасте Аркадия Прокудина: http://it.podfm.ru/opensec/19/ (обсуждение начинается с 45 минуты). Возвращаясь непосредственно к семинару, кратко перечислю некоторые заинтересовавшие меня моменты (полный список твитов доступен по тегу #семинарHP). Для HP ArcSight теперь будет доступен модуль корреляции событий User Behavior Analytics (UBA) на базе решений Securonix, позволяющий использовать данные о поведении пользователей для более интеллектуального анализа событий безопасности. Любопытная дополнительная возможность в и без того функционально небедном продукте. Сама компания HP разделится на два бренда - HP Inc (персональные компьютеры и принтеры) и  Hewlett-Packard Enterprise с новым логотипом, куда и будет отнесено направление по безопасности (Enterprise Security). [caption id="attachment_6453" align="aligncenter" width="609"] Логотипы HP Inc и Hewlett Packard Enterprise[/caption]   В силу тематики мероприятия про другие решения компании в области безопасности говорили немного, отдельное выступление было посвящено новинке в портфеле HP - Voltage Security. Не думаю, что про него слышали многие, но тем не менее, в России есть (как минимум одно) крупное внедрение - 40 000 пользователей в 26 доменах. Решения Voltage Security, предназначенные для шифрования почты, данных и токенизации, очевидно, дополнят уже упомянутое выше HP Atalla. Из относительных новинок (новинок для тех, кто не следит за решениями HP пристально) отмечу ещё продукт для борьбы с целенаправленными атаками HP TippingPoint Advanced Threat Appliance (ATA), созданный в соавторстве с Trend Micro на базе их отличнейшего Trend Micro Deep Discovery, а также межсетевой экран следующего поколения HP TippingPoint Next-Generation Firewall (NGFW). Да-да, оказывается межсетевые экраны TippingPoint тоже существуют. Подытоживая, скажу, что моё представление о HP как о security-вендоре после более близкого знакомства с портфелем решений поменялось с "знаю, что у них есть SIEM, IPS и что-то ещё" на "это действительно сильный игрок со значительным портфелем решений по информационной безопасности". Полный каталог HP по Enterprise Security (не так давно стал доступен на русском языке) представлен на сайте и в диаграмме связей (майндкарте). P.S. Свежая аналитика от HP - отчёт HP Security Research 2015.

  • 28 Апреля 2015 » Цитаты с Форума АЗИ
    С заметным таким опозданием, но всё же кратко поделюсь впечатлением от участия в качестве посетителя в работе IV Форума АЗИ «Актуальные вопросы информационной безопасности России», прошедшего 14 апреля 2015 года. Точнее, впечатлениями от посещения первой его части. Впрочем, материалы (презентации) доступны на сайте Форума. Посмотрите на досуге - там есть и про импортозамещение, и про мобильные технологии, и про кадровое обеспечение, и про нормативно-правовую базу. Как говорится, “полный фарш”. В первой же части выступали преимущественно представители регуляторов, традиционно - без слайдов. К слову, их доклады помимо части, явно подготовленной заранее, содержали и комментарии к только что прозвучавшим тезисам и вопросам из зала. Случайно так вышло или всё было спланировано - не так уж и важно, но получилось достаточно живо и действительно походило на дискуссионный форум. Самые интересные для себя цитаты размещал в твиттере с тегом #ФорумАЗИ, ниже приведу краткую сводку основных цитат. Грибков Дмитрий Геннадьевич (референт аппарата Совета Безопасности Российской Федерации) приглашал желающих принять участие в работе над Доктриной информационной безопасности РФ. Традиционно откликнулся Алексей Лукацкий, услышал ли сей призыв кто-либо ещё - мне неизвестно. Вообще, критика того, что мало кто откликается на призывы регуляторов работать над документами, но многие пользуются возможностью активно критиковать итоговые варианты, звучала также от ФСТЭК и ФСБ. Отвечая на вопрос из зала от Рустема Хайретдинова про строгость определения терминов, Дмитрий Геннадьевич дал такую формулу: ”Кибербезопасность = защита информации = безопасность информации - это чисто технологическая составляющая, а Информационная безопасность - контентная”. Потом к этой теме возвращались и другие докладчики, но, на мой взгляд, только всё окончательно запутали =) Очень интересный доклад сделал Олег Чутов - со статистическим анализом сферы ИБ в России. По мнению Олега, ИБ - это далеко не сектор экономики, а вот именно что только сфера деятельности. Некоторые слайды из презентации привёл ниже, полностью она доступна здесь: Скачать [caption id=”attachment_6428” align=”aligncenter” width=”555”] Размеры сферы ИБ[/caption] [caption id=”attachment_6429” align=”aligncenter” width=”555”] Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года.[/caption] [caption id=”attachment_6430” align=”aligncenter” width=”555”] Рынок аппаратных и программных средств ИБ в России[/caption] [caption id=”attachment_6431” align=”aligncenter” width=”555”] Сертифицированные ФСБ и ФСТЭК средства по странам происхождения[/caption] [caption id=”attachment_6432” align=”aligncenter” width=”556”] Сертифицированные ФСТЭК средства ИБ - Импорт vs Россия в разрезе их типов[/caption] Кузьмин Алексей Сергеевич (Первый заместитель начальника Центра ФСБ России) начал с того, что не любит скучные доклады по бумажке и… нет, не начал скучно бубнить =) Совсем наоборот, достаточно живо представил свою точку зрения по некоторым вопросам. Правда, меня не покидало ощущение, что Алексей Сергеевич каждый раз апеллирует к кому то конкретному, с кем у него не так давно состоялся разговор или чью статью он прочитал. Мне запомнились два тезиса: ФСБ не готово выпускать как регулятор общие требования к новому классу продуктов, если таких на рынке нет хотя бы 3-5 штук. Как быть при этом разработчикам чего-то инновационного, правда, не совсем ясно. Алексей Сергеевич предложил создать Единый Каталог всех продуктов, находящихся в разработке, чтобы госзаказчики при объявлении тендеров на разработки могли лучше ориентироваться, что уже планируется к выпуску. Лютиков Виталий Сергеевич (начальник управления ФСТЭК России), наверное, самый цитируемый в твиттере и блогах представитель регуляторов, и в этот раз говорил о наболевших острых проблемах. Например, о том, что под маркой “Импортозамещение” появилось много псевдороссийских разработчиков, предлагающих  зарубежные средства защиты информации якобы отечественного производства. Склонен согласиться со словами Виталия Сергеевича - “переклеивать шильдики” сейчас действительно становится модно. Рассказывал он также про Базу уязвимостей. В частности о том, что она должна больше ориентироваться на отечественные продукты, информация по которым в зарубежных базах крайне скудна. Сейчас в Базе уязвимостей от ФСТЭК присутствуют продукты российских разработчиков 1С, Лаборатория Касперского, Доктор Веб и Альт Линукс. Будем ожидать других. Говоря про уязвимости, Виталий Сергеевич заявил, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. Если вспомнить анализ СЗИ, содержащихся в реестре ФСТЭК, который я делал (ссылка на Slideshare и файл в формате XLSX), то можно предположить, что речь, видимо, идёт об отечественных операционных системах и межсетевых экранах/криптошлюзах. Возможно, что и в других классах решений используется Linux с этой уязвимостью. Кто те четверо разработчиков, внёсших исправления, Лютиков не сообщил. Мне пока на глаза попалась только информация об устранении уязвимости в opensll в дистрибутивах Альт Линукс СПТ. Уязвимость bash они тоже, кстати, поправили. Интересно, кто остальные три? И, что ещё интереснее, остальные 6? В заключение кратко о самом Форуме. Место удачное, помещение достаточно просторное, стендов (читай - спонсоров) в избытке, доклады (те, которые я успел услышать) понравились, посетителей - много. Организаторам спасибо за приглашение, докладчикам - за интересные выступления!