Программа поощрения поиска уязвимостей
Рейтинг:
/ 2
- Подробности
- Категория: Организационная безопасность
- Дата публикации: 18.07.2013 21:52
В одной из предыдущих статей - Плата за взлом или как найти лучшего специалиста по информационной безопасности - были рассмотрены так называемые VRP-программы - программы поощрения поиска уязвимостей - программы, представляющие собой не только метод защиты производимого или используемого программного обеспечения от уязвимостей, но и способ превратить врагов IT-бизнеса в друзей, приносящих доход. Рассмотрим пример одной из таких VRP-программ, дающей один из лучших ответов по вопросу защиты информационной системы от всевозможных уязвимостей. Описанная ниже программа разработана лично мной и является авторской. Просьба использовать её в своих целях только с согласования со мной (кто заинтересуется, контакты в разделе Об авторе). :)
Описание концепции программы
Главная цель программы поощрений поиска уязвимостей (VRP) состоит в повышении безопасности сервиса <...>. Программа направлена на поощрение инициативы и деятельности независимых исследователей (как внешних пользователей и клиентов сервиса, так и сотрудников компании) по нахождению любого рода уязвимостей и слабых мест в программном обеспечении компании и сервисе <...>, в частности. В рамках данной программы участникам, обнаружившим ту или иную уязвимость / слабое место в системе защиты предоставляется денежное вознаграждение. Кроме того, меняется существующая система выплаты премий разработчикам и тестировщикам ПО Компании.
Платим за взлом или как найти лучшего специалиста по информационной безопасности
Рейтинг: / 1
- Подробности
- Категория: Организационная безопасность
- Дата публикации: 18.07.2013 21:35
Одна из тенденций современного мира IT направлена на всеобщее повышение интеллекта трудящихся в этой сфере людей: уже давно нет людей, которые ещё в начале, середине и даже конце 90-ых назывались словами типа "крутой программист" или "супер IT-шник": "универсальные программисты" начали вымирать с наступлением 21-го века и с тех пор практически исчезли с лица Земли: сейчас есть только java-девелоперы, C#-разработчики, админы UNIX, DBA и прочие буквенные сочетания из постоянно расширяющегося списка IT-профессий. Те же тенденции наблюдаются и в сфере информационной безопасности. Найти специалиста, который бы мог без труда находить ошибки buffer overflow в 10-модульной Си-шной программе и одновременно - улаживать любые проблемы с проверяющими из ФСТЭК в части 152-ФЗ, - это что-то из разряда произведений Джона Толкина. Даже универсальных технических специалистов, которые бы знали особенности и проблемы любой современной технологии найти почти нереально. Тогда как развитие IT-технологий и их повсеместное внедрение в критически важные сферы жизни ставит всё новые и более жёсткие требования к уровню их безопасности. Сталкиваясь со всеми этими бедами, современный европейский бизнес начинает искать новые способы защиты своих ИС. И находит их в так называемых Vulnerability reward program или, как их ещё называют, Bugs Bounty program - программах поощрения поиска уязвимостей (VRP-программах), представляющих собой революционный шаг в защите от уязвимостей в ПО.
Что же это за изобретение такое, как оно помогает защитить бизнес и стоит ли его внедрять? Рассмотрим вопрос подробнее...
Подробнее: Платим за взлом или как найти лучшего специалиста по информационной безопасности
Бумажная безопасность vs Практическая безопасность
Рейтинг:
/ 3
- Подробности
- Категория: Организационная безопасность
- Дата публикации: 18.07.2013 14:03
Специфика развития современного мира информационной безопасности такова, что для рассмотрения целостной картины ИБ (в особенности говоря о безопасности бизнеса, как об основной цели ИБ) невозможно без выделения двух важных и неотъемлемых составляющих: бумажной безопасности и практической - две противоположные стороны всего мира информационной безопасности, два подхода со своими плюсами и минусами, со своим мировоззрением: бумажники и практики - теоретики и техники. В чём же разница между ними, какую точку зрения принять и какая сторона правильнее? Попробуем разобраться.
Бумажная безопасность – это в первую очередь безопасность, которая пытается защитить информацию на основе стандартов, то есть берёт ФСТЭК-овский / ФСБ-шный / ГОСТ-ый / ISO-шный документ и начинает его исполнять. Сюда же относится организационная безопасность предприятия и стратегический (не технический) подход в решении проблем, учитывающий психологию людей и структуру (в т.ч. финансовую) организации. Практическая безопасность – это, к примеру, та, которая патчит всё подряд: что увидел, то запатчил; что опасно, на то цепляем логирование, антивирусы, "огненные стены" и прочие радости жизни админа, т.е. все проблемы ИБ она решает исключительно техническими мерами. Кто важнее и какой подход правильнее, как влияет на бизнес современная мировая кибербезопасность, что об этом говорят мировые best practice? Разговор нам предстоит долгий...
Подробнее: Бумажная безопасность vs Практическая безопасность
DNS-атаки: защита бизнеса или анализ рисков DNS
Рейтинг: / 1
- Подробности
- Категория: Сетевая безопасность
- Дата публикации: 15.07.2013 16:16
DNS-атаки - старая, но всё ещё актуальная область хакерских исследований, представляющая во многих случаях серьёзную опасность сегодня практически для любого бизнеса. Учитывая, что UDP-протокол DNS почти не изменился с начала 80-ых, и разрабатывался он без какого-либо учёта безопасности, а современные IT-средства и умы хакеров значительно улучшились, проблема становится ещё актуальнее. В особенности, актуальной в контексте данной IT-угрозы становится защита бизнеса. Существующие в современном мире виды DNS-атак могут привести не только к воровству финансовой информации (как частного лица, так и компании) или коммерческой тайны, а и к воровству самих финансов, как явно и буквально (например, через подмену сетевых пакетов в системе ДБО), так и косвенно (коммерческая тайна и конкуренты). Не брать в расчёт данный тип атак, значит, совершить серьёзную ошибку в стратегическом планировании бизнеса компании.
В предыдущей статье мы рассмотрели все основные ныне существующие типы DNS-атак и угрозы, которые они в себе несут. В данной статье проведём анализ возможных рисков и способы защиты от DNS-атак.
DNS-атаки: полный обзор по схемам атак
Рейтинг: / 26
- Подробности
- Категория: Сетевая безопасность
- Дата публикации: 15.07.2013 01:24
За последние 2 года число DNS-атак в кибер-реальности увеличилось почти в 2 раза. Эта тенденция отнюдь не случайна и выводит актуальность данного типа атак на один ряд с таким гигантом, как DoS / DDoS. Что неудивительно, учитывая родственность DNS и DDoS-атак.
Вопросов в поставленной теме ещё много. И помимо очевидного (какие опасности таит в себе протокол DNS и атаки на него), на ум сразу приходит другой - более парадоксальный: почему вообще мы всё ещё используем в такой важной и неотъемлемой части сети, как DNS, ничем незащищённый открытый UDP-протокол (на котором и реализован DNS)? Над ответом можно долго гадать, но мнение большинства, как и моё личное, сводится к обыкновенной безалаберности и лени современных представителей IT. Хотя в последние годы решение проблемы борьбы с DNS-атаками начинают появляться и внедряться в практику IT-контор. Но обо всём по-порядку. Собственно, какие бывают типы DNS-атак и как можно им противостоять?
Основы протокола DNS и базовые схемы DNS-атак описаны в более ранней статье DNS-атаки: основные схемы и принципы. А в текущей мы поговорим более подробно о конкретных схемах реализации и способах защиты от атак на протокол DNS.
DNS-атаки: основы и принципы
Рейтинг: / 5
- Подробности
- Категория: Сетевая безопасность
- Дата публикации: 08.07.2013 17:03
Атаки на DNS–сервера (и просто DNS-атаки) - уже далеко не новый, но тем не менее отнюдь не забытый и до сих пор актуальный тип хакерских (и не только) атак, которые активно используется многими злоумышленниками и по сей день. В том числе, в части переноса процента прибыли каких-либо организаций в свой карман.
Представим себе такую ситуацию: лезет директор нашей IT-конторы на корпоративный сайт - оценить результат работы его добросовестных сотрудников, а вместо этого попадает на www.bdsm-porno.ru. Вообразили? Вот это и есть результат (всего лишь один из возможных) успешной DNS-атаки.
Рассмотрим подробнее, как реализовываются такие схемы (атак на DNS, а не достижения высот в рекламе порноиндустрии), какие ещё бывают угрозы и типы DNS-атак.
