Новое решение Cisco по борьбе с внутренними угрозами

Компания Cisco анонсировала новое решение Cisco Cyber Threat Defense по борьбе с внутренними угрозами. Предназначение этого решения — бороться с тем, что уже проникло во внутреннюю сеть компании и наносит ей ущерб. Мы прекрасно понимаем, что информационная безопасность современного предприятия не может базироваться только на защите периметра. И периметр становится размытым и угрозы усложняются настолько, что нет гарантии, что они не проникнут даже через многоуровневую систему защиты, выстроенную на периметре и состоящую из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и т.д. Продолжить чтение этой записи

Хакеры Anonymous планируют атаковать нефтегазовые компании России

Вас интересует ответ на вопрос, как реагировать на заявления хакеров из группы Anonymous, о планируемых на 20-е июня атаках на нефтегазовые компании в разных регионах, включая Россию и страны СНГ (http://www.ibtimes.com/anonymous-announces-oppetrol-attack-local-oil-gas-companies-video-1267817)?

Эксперты компании Cisco предполагают, что новая атака (если она будет осуществлена), будет похожа на то, что уже осуществлялось в сентябре прошлого года, когда множество финансовых организаций столкнулись с направленными хакерскими атаками «отказ в обслуживании» на свои активы. Соответственно можно предположить, что и предложенные ранее меры борьбы будут также эффективны. Cisco подготовила несколько рекомендаций по этому поводу. Их можно найти на нашем сайте Security Intelligence Operations:

— Cisco Event Response: Как реагировать на распределенные атаки «отказ в обслуживании» на финансовые организации — http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html

— Applied Mitigation Bulletin: Как обнаруживать и реагировать на распределенные атаки «отказ в обслуживании» — http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115

— Стратегии отражения распределенных атак «отказ в обслуживании» —  http://www.cisco.com/en/US/tech/tk59/technologies_white_paper09186a0080174a5b.shtml

—  Блог: координированные атаки против государственной и финансовой инфраструктуры США —  http://blogs.cisco.com/security/coordinated-attacks-against-the-u-s-government-and-banking-infrastructure/

Злоумышленники меняют свое поведение. А Вы?

Совсем недавно мы выпустили наш ежегодный отчет по безопасности Cisco Annual Security Report 2013 и отчет по использованию сетевых технологию и поведению пользователей в Интернет Cisco Connected World Technology Report. Они зафиксировали ряд интереснейших перемен, произошедших как в поведении пользователей Интернет, так и в поведении злоумышленников. Они лишний раз подтверждают те выводы, которые специалисты компании Cisco по информационной безопасности сделали достаточно давно:

  1. Поведение пользователей не является статичным и постоянно изменяется. Меняются привычки, мотивация, подходы, принципы, по которым пользователи «живут» в Интернет. И это не может не сказываться на том, как мы должны защищать пользователей от Интернет-напастей или, как минимум, как учитывать изменившееся поведение в деятельности корпоративных или ведомственных служб ИБ. Например, 91% пользователей считает, что время приватности в Интернет проходит. Сейчас еще сложно осознать, к каким последствиям приведет данный факт, зафиксированный в отчете Cisco.
  2. Меняется не только поведение пользователей, но и методы, используемые злоумышленниками. По сути, эти методы представляют собой обычную бизнес-модель, по которой живет любая коммерческая компания (только со знаком минус). Киберпреступники изучают своего «потребителя», налаживают различные каналы сбыта своей вредоносной продукции, создают партнерские сети, предлагают различные сезонные скидки покупателям вирусов или иных инструментов совершения киберпреступлений, отслеживают структуру своих издержек и стараются делать свой бизнес очень прибыльным, имеют службы поддержки продаваемых вредоносных программ и т.п. Это значит, что хакеры давно вышли из категории одиночек, старающихся заявить о себе во всеуслышанье. У них иные задачи, иные цели, иные подходы. А значит должны меняться и способы нейтрализации этих угроз.
  3. Безопасность сегодня не может быть зависящей от одной, пусть и самой лучшей системы защиты, — необходим целый комплекс защитных механизмов и организационных мер, направленных на выявление, нейтрализацию угроз и предотвращение их повторов в будущем. Как никогда важен архитектурный подход в области защиты корпоративных или ведомственных сетей, позволяющий перекрывать различные каналы проникновения вредоносных программ внутрь защищаемого виртуального пространства. Именно поэтому мы давно пропагандируем не точечную защиту, а систему эшелонированной обороны, состоящей из множества взаимоувязанных элементов. Сначала эта архитектура концепция Cisco Self-Defending Network, теперь она носит название Cisco SecureX.
  4. В современном мире ни одна система защиты не будет эффективной длительное время без постоянной подпитки знаниями о новых способах совершения киберпреступлений. И такое обновление средств защиты должно происходить не раз в неделю, не раз в день, и даже не раз в час. Мир угроз меняется так стремительно, что и средства обеспечения сетевой безопасности должны адаптироваться к новым атакам не менее оперативно. А для этого просто необходимо иметь собственный центр исследований и анализа в области информационной безопасности. У Cisco такой центр есть и носит он название Cisco Security Intelligence Operations (SIO).

Более подробно изучить выводы, сделанные специалистами Cisco вы можете в подготовленной нами презентации, а также в проведенном 7-го февраля вебинаре, запись которого также доступна через систему Webex.

Сами отчеты можно скачать на сайте Cisco — Cisco Annual Security Report и Cisco Connected World Technology Report.

Мы запускаем портал Cisco ASA CX

Когда речь заходит о том, какие функции по контролю трафика есть у традиционного межсетевого экрана, то ответ обычно не заставляет себя ждать. Межсетевой экран может фильтровать трафик практически по всем полям заголовка IP-пакета (адрес отправителя и получателя, порт отправителя и получателя, протокол и т.д.). Именно с этого начиналась история межсетевых экранов и именно поэтому они стали называться пакетными фильтрами. Второе поколение межсетевых экраном стало использовать гораздо большее число параметров для контроля. От достаточно традиционных — время, направление движение трафика, состояние сессии, до редких, но не менее важных — имя пользователя, тип устройства, осуществляющего доступ, операционная система этого устройства, принадлежность устройства компании или частному лицу и т.д. Именно так могут быть построены правила разграничения доступа для Cisco ASA 5500-X.

Политика разграничения доступа на Cisco ASA 5500-X

Но вот на рынке стали появляться прикладные межсетевые экраны (application firewall) или межсетевые экраны следующего поколения (next generation firewall), ориентированные на контроль приложений. Обычная настройка правил по адресам и портам в данном случае не подходит, т.к. на одном порту (например, TCP/80 или TCP/8080) может находиться множество различных приложений, одни из которых могут быть разрешены, а другие запрещены корпоративной или ведомственной политикой безопасности. Именно задачу глубого и гибкого контроля приложений решает прикладной межсетевой экран Cisco ASA CX и разработанная для управления им система Cisco Prime Security Manager (PRSM).

Политика контроля доступа Cisco ASA CX

С помощью PRSM мы можем не только разрешить или запретить работу того или иного приложения, но и построить политику разграничения с учетом конкретных действий и операций внутри приложения. Например, можно разрешить переписку с помощью какой-либо системы мгновенных сообщений, но запретить передачу через нее файлов. Можно разрешить заход на сайт Facebook, но запретить использование каких-либо микроприложений, разработанных, например, для Facebook, и т.п.

Однако, как только мы начинаем говорить о прикладном межсетевом экране, сразу возникает вопрос о поддерживаемых им приложениях. На сегодняшний день Cisco ASA CX поддерживает свыше 1100 таких приложений — Facebook, LinkedIn, Skype, BitTorrent, eDonkey, iCloud, Dropbox, pcAnywhere, Yandex, Winamp Remote, Google Drive, Scribd, MS Windows Azure, Salesforce CRM, Oracle e-Business Suiteа, MS Lync, Tor и т.д., а также свыше 75000 микроприложений. Перечислять их все не хватит целого экрана, а выпускать документ с полным списком — задача также неблагодарная — этот список обновляется ежемесячно. Поэтому сегодня мы запустили новый публичный портал, который содержит список всех приложений, поддерживаемых Cisco ASA CX. Этот портал доступен по адресу: http://asacx-cisco.com/.

Функциональные возможности портала:

  • Отображение актуального списка поддерживаемых приложений (обновляется один раз в месяц)
  • Отображение описаний приложений и их возможностей
  • Поиск приложений и поддержка фильтров по категориям
  • Отображение списка приложений, поддержка которых была добавлена за последние 1, 2 или 3 месяца
  • Получение более подробных сведений о новых приложениях с помощью раздела “Featured search keywords” (наиболее популярные ключевые слова).

Также мы подготовили и ряд новых русскоязычных материалов по Cisco ASA CX — white paper «Cisco ASA CX обеспечивает безопасность с учетом контекса» и независимое исследование по данному решению от компании Lippis Consulting. Также по-прежнему доступны обзорная презентация и листовка по Cisco ASA CX, которые мы готовили в прошлом году.

Охота за «Красным Октябрем»

Речь пойдет не о культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен Лабораторией Касперского и который был анонсирован ее специалистами в понедельник. Я уже успел даже прокомментировать этот ролик на телевидении, но моя заметка не о природе этого вредоносного кода, не о его авторах и даже не о том, как он работает. Речь пойдет о том, как с ним бороться.

По мнению экспертов Лаборатории Касперского расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

  • CVE-2009-3129 — Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
  • CVE-2010-3333 — Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
  • CVE-2012-0158 — Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
  • CVE-2011-3544 — Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики нашего исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. Для первых двух уязвимостей известных еще с 2009-го и 2010-го годов мы выпустили бюллетени об уязвимостях:

соответствующие рекомендации по отражению указанных угроз:

а также 4 сигнатуры для решений Cisco от обнаружению и предотвращению вторжений Cisco IPS — 22083-0, 21920-0, 31239-1 и 31239-0.

Для борьбы с новой уязвимостью, позволяющей удаленное выполнение кода и описанной в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution мы также провели целый ряд исследований, результатом которых стал выпуск соответствующих бюллетений, рекомендация и сигнатур:

При этом в последнем случае идентифицировать данную угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая в одном из командных серверов «Красного Октября», также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры уже доступны для пользователей Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Указанные ресурсы для борьбы с «Красным Октябрем» — это только один пример активности экспертов Cisco SIO, в круглосуточном режиме работающих для защиты информационных систем и сетей наших заказчиков. На уже упомянутом выше портале вы сможете регулярно получать информацию следующего характера:

  • Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые могут иметь потенциально серьезные последствия для устройств, приложений и сетей заказчиков.
  • Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) обеспечивает описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
  • IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
  • IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое «раннее предупреждение» об угрозе, ее анализ и разбор потенциальных последствий.

Новый шаг Cisco в деле защиты критически важных объектов России

Согласно статистике нашего партнера, компании Positive Technologies, число уязвимостей для систем управления технологическими процессами растет из года в год. И уязвимости эти встречаются в продукции различных компаний — Siemens, ABB, Schneider Electric, Rockwell, Emerson, GE, Iconics и т.п. И все это непростые офисные системы, а сложные продукты, управляющие критически важными объектами, ущерб от атаки на которые может измеряться не только сотнями миллионов рублей, но и человеческими жизнями.

Более половины таких уязвимостей носит либо серьезный, либо критический характер. А значит эксплуатация этих дыр может привести к очень серьезным последствиям для владельца уязвимой АСУ ТП.

И для многих их этих уязвимостей уже появились свои эксплоиты, позволяющие не просто говорить об уязвимости, а реально их использовать.

Уделяя этой проблеме немало внимая, Cisco в прошлом году оснастила свою систему предотвращения вторжений Cisco IPS отдельным модулем нейтрализации атак на АСУ ТП ведущих мировых игроков этого рынка. И вот новая победа, уже на локальном рынке. Маршрутизатор Cisco CGR 2010 и коммутатор Cisco CGS 2500 получили сертификаты ФСТЭК России, как соответствующие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco  вытекает из объявленной почти два года готовности руководства Cisco содействовать созданию в Российской Федерации энергетической  суперинфраструктуры (по-английски – Smart Grid), объединяющей новаторские энергетические и информационно-коммуникационные технологии. И вот первое подтверждение выбранного курса.

Маршрутизаторы Cisco CGR 2010 и коммутаторы Cisco CGS 2500 применяются для построения современных сетей электроэнергетики, помогая коммунальным службам надежнее и эффективнее доставлять электроэнергию от генерирующих мощностей в жилые здания и промышленные предприятия. С помощью данных устройств можно создать безопасную коммуникационную инфраструктуру для записи и анализа (в режиме, близком к реальному времени) информации, поступающей от множества «умных» электронных устройств, установленных на территории подстанции. Это поможет коммунальным службам лучше управлять передачей электроэнергии и распределяющими мощностями, а также повысить надежность доставки электроэнергии за счет оперативного обнаружения, изоляции, диагностики, а иногда и автоматического устранения неисправностей. Кроме того, решения Cisco облегчают подключение сетей электропередач к новым возобновляемым источникам энергии.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco CGS 2500 проводилась ЗАО «Документальные системы» по схеме «серия».  Благодаря этому в дальнейшем у покупателей данного оборудования сократятся временные и финансовые  издержки на получение документов, разрешающих его использование для защиты конфиденциальной информации.

Подробнее о решениях Cisco по направлению Smart Grid…

Подробнее о решениях Cisco по безопасности Smart Grid…

Новая серия систем предотвращения вторжений Cisco IPS 4500

Не успели мы в марте анонсировать системы предотвращения вторжений Cisco IPS 4300 (бюллетень), а затем и системы предотвращения вторжений для систем управления технологическими процессами (АСУ ТП), как новый анонс — новая линейка средств по отражению атак — Cisco IPS 4500. Эта мультигигабитная система нейтрализации вторжений ориентирована на защиту центров обработки данных, предъявляющих особые требования к системам защиты — высокую производительность, надежность, поддержку специфических протоколов, в т.ч. и прикладных.

Cisco IPS 4500

Cisco IPS 4500 представлена двумя моделями — Cisco IPS4510 и 4520, отличающихся производительностью (5 и 10 Гбит/сек соответственно), а также максимальным числом соединений (3.800.000 и 8.400.000 соответственно). Каждая модель оснащена 6-тью портами 10/100/1000 Мбит/сек и 4-мя портами на 1 или 10 Гбит/сек.  На следующих иллюстрациях показаны основные отличия этих двух моделей.

Программное обеспечение Cisco IPS 4500 не отличается от всех остальных моделей систем предотвращения вторжений. Они могут обнаруживать несанкционированные действия по сигнатурам и по подозрительному поведению, отслеживать атаки на приложения и на сетевые сервисы, включая и атаки APT. Cisco IPS 4500 может быть полностью автономной, а может быть активно вовлечена в систему глобальной корреляции. Для снижения нагрузки на подсистему идентификации атак Cisco IPS умеет отсекать лишнее, используя репутационные технологии или черные списки адресов, которые можно блокировать со 100%-ой уверенностью. Для борьбы с попытками обхода системы предотвращения вторжений используются спецализированные подхода (Anti-Evasion), а за счет механизма пассивного определения ОС и поддержки рейтинга рисков и рейтинга угроз нагрузка на оператора системы IPS снижается многократно путем многократного снижения числа ложных срабатываний. Для облегчения внедрения используется механизм профилей, которые содержат предустановленные наборы угроз (для ЦОДов, для периметра, для высокоагрессивных сред и т.д.).

После анонса 12 сентября портфолио Cisco в области средств предотвращения вторжений выглядит следующим образом:

Cisco ASA 1000V Cloud Firewall доступен для заказа

Год назад, 31 августа, я уже писал про анонсированный нами межсетевой экран для виртуализированных сред — Cisco ASA 1000V Cloud Firewall. Межсетевой экран для облачных сред Cisco® ASA 1000V представляет собой виртуальное устройство обеспечения безопасности, которое расширяет возможности платформы многофункциональных устройств безопасности Cisco ASA для адекватной защиты не только физических, но и виртуальных, а также облачных инфраструктур.

Межсетевой экран для облачных сред Cisco ASA 1000V дополняет средства разграничения доступа и контроля сетевого трафика между виртуальными машинами, реализованные в устройстве Cisco Virtual Security Gateway (VSG), и обеспечивает безопасность в многопользовательских средах, поддержку базовой функциональности шлюзов безопасности и защиту от сетевых атак. Таким образом, устройство Cisco ASA 1000V позволяет формировать комплексное решение для обеспечения безопасности облачной среды. Кроме того, устройство Cisco ASA 1000V интегрируется с коммутатором Cisco Nexus® серии 1000V, который поддерживает несколько гипервизоров, чтобы исключить привязку к определенному поставщику, и позволяет одному экземпляру ASA1000V защищать несколько хостов
ESX для обеспечения гибкости развертывания и простоты управления. Динамическое управление многопользовательской средой на основе политик реализуется с помощью системы управления Cisco VNMC.

За этот год очертания только-только анонсированного продукта обрели конкретную форму — стала известна его функциональность, цена, варианты внедрения, модель управления и многие другие моменты. Но самое главное — Cisco ASA 1000V Cloud Firewall стал доступен к заказу. Более подробная информация о Cisco ASA 1000V доступна в русскоязычном бюллетене (pdf), а также на официальной странице продукта на сайте Cisco.

Айс, айс, Сиско!

О том, как упорядочить заос в сети, я уже писал. Теперь можно углубиться в детали и рассказать о флагманском продукте, который и реализует эту концепцию — системе Cisco Identity Service Engine (ISE). Это платформа следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной или ведомственной ИТ-инфраструктуры и упростить управление работой различных сетевых сервисов.

Решение Cisco Identity Services Engine, которая объединяет в себе функциональность Cisco ACS и Cisco NAC, объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также получают всестороннюю информацию обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства (не только ПК и сервера, но и, например, принтеры, планшетники, смартфоны и т.д.), обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей (путем интеграции с Active Directory), так и устройств (с помощью 802.1x), а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной или ведомственной ИТ-инфраструктуре. Разграничивает доступ Cisco Identity Services Engine с помощью меток групп безопасности (SGT), списков контроля доступа (ACL) и механизма VLAN.

Более подробную информацию о данном решении можно найти в подготовленном информационном бюллетене и презентации.

Новые системы предотвращения вторжений Cisco IPS 4300

Сегодня мы анонсируем еще несколько новых продуктов в области информационной безопасности — это две новых модели Cisco IPS 4300 — IPS 4345 и IPS 4360. Обе базируются на совершенно новой аппаратной платформе, на которой работают и недавно анонсированные 5 новых Cisco ASA 5500-X. Отличительными особенностями новой платформы являются:

  • ядро, ориентированное на многопроцессорность и многоядерность, а также на 64-хбитную архитектуру
  • аппаратный ускоритель обработки трафика для целей обнаружения вторжения
  • поддержка Jumbo frame
  • мониторинг функционирования (контроль температуры, вольтажа, работоспособности вентиляторов и т.д.).

Производительность данной платформы составляет от 400 Мбит/сек до 2 Гбит/сек в зависимости от типа анализируемого трафика. Задержка не превышает 100 мс для IPS 4360 и 200 мс для IPS 4345. Управление данными новыми моделями такое же как и для любых других платформ и моделей Cisco IPS — Cisco Security Manager (для управления множеством сенсоров или комплексной системой защиты на базе Cisco IPS, Cisco ASA, NME-RVPN, Cisco ISRи т.п.), Cisco IPS Device Manager, Cisco IPS Manager Express и интерфейс командной строки (CLI).

Продукт уже доступен к заказу. Краткая презентация по данному решению показана ниже. Более подробная информация (пока на русском языке) может быть найдена на официальной странице Cisco IPS 4300.

Также хочу напомнить, что на новых платформах Cisco ASA 5500-X, анонсированных совсем недавно, может быть также запущена система предотвращения вторжений Cisco IPS, работающее в виде программного модуля (виртуального сенсора). Таким образом, наряду с двумя новыми Cisco IPS 4345 и Cisco IPS 4360, а также пятью виртуальными Cisco IPS на базе Cisco ASA 5500-X, Cisco в этом месяце анонсировала целых 7 новых моделей систем предотвращения вторжений!

Как создавать безопасные и осмысленные пароли

Выполнение этих простых рекомендаций поможет повысить уровень безопасности паролей в вашей организации.

Ежедневно десятки раз в день ваши сотрудники выполняют простое, но важное действие: они вводят пароль для входа в рабочий компьютер, в локальную сеть и в Интернет. И в этот момент всего лишь несколько щелчков мышью отделяют сеть вашей компании от компьютерных преступников, злоумышленников и просто недовольных сотрудников. При этом несложные пароли опытные злоумышленники или их компьютеры, предназначенные для взлома паролей, могут угадать без труда. В то же время, создавать осмысленные и безопасные пароли не так тяжело, как кажется, но это чрезвычайно важно для обеспечения безопасности сети вашего предприятия.

Во-первых, не следует использовать очевидные пароли, которые применяются слишком часто. Не рекомендуется использовать числа, имеющие какое-либо отношение к сотрудникам, например, даты их рождения, номера карточек социального страхования, адреса и личные номера сотрудников. Не следует использовать даже сведения, которые считаются информацией личного характера (например, кличка собаки, имена детей или название любимой команды). Такого рода «подсказки» в вашем офисе встречаются на каждом шагу — это фотографии, сувениры и т.д.

Часто используемые слова тоже легко угадать. Надеюсь, что в качестве пароля уже никто не использует слова «пароль» или «пользователь», но и такие слова, как «любовь» или «секрет» тоже нежелательны. По сути, применять в пароле любое слово любого языка, которое можно найти в словаре, довольно рискованно – для взлома паролей вашей компьютерной сети злоумышленник может без труда воспользоваться компьютерной программой, проверяя каждое слово из словаря. Аналогичный незатейливый подход злоумышленники могут использовать для взлома паролей, в которых используются однозначные цифры, соответствующие буквам (как на кнопках телефона), например, для «5683», что соответствует слову «love» (любовь).

Уникальные и запоминающиеся пароли

Сложность в том, чтобы, придумав уникальные безопасные пароли для всех разнообразных устройств, сетей и сайтов, на которые входите, в них не запутаться. Наиболее безопасный пароль – комбинация не менее чем из десяти букв и цифр и специального символа, например, знака препинания. Например, «!blaz45sf3». Безопасно, но запомнить тяжело…

Поэтому выберите фразу, которую можете запомнить, но которую непросто угадать, затем некоторые буквы замените цифрами, сделайте орфографические ошибки и добавьте специальный символ. Например, «ILoveRedDogs» превратится в «1LuvR3adDawgs!».

Это отличный пароль, но его можно использовать только для одного пользователя. Тем не менее, он может стать основой (базовым паролем) для создания дополнительных паролей, благодаря чему помнить придется только базовый пароль. Кроме того, понадобится повторяющаяся система для изменения его первого и последнего символа. Например, можно использовать первую и последнюю буквы каждого безопасного сайта или добавлять тип устройства, в систему которого входите.

Например, если собираетесь установить пароль для своего клиента под названием «Western Cargo», то к паролю «1LuvR3adDawgs!» можно добавить «W» и «O», и получится «W1LuvR3adDawgs!O». Для ноутбука (laptop) можно использовать пароль «Lap1LuvR3adDawgs!top». Какой бы пароль вы ни выбрали, главное, чтобы базовый пароль был уникальным и не был обычным словом, а система добавления символов к базовому паролю была запоминающейся и воспроизводимой.

Замена паролей ключами доступа (токенами)

Если для особо важных приложений, например, для доступа в локальную сеть, вы хотите заменить пароли более надежными средствами защиты, то внедрите систему авторизации с использованием карт и ключей доступа (токенов). Можно предусмотреть много систем управления доступом, например, систему доступа в виртуальную частную сеть, и вместо паролей, созданных сотрудниками или в дополнение к ним применять ключи (токены), генерируемые случайным образом. В этом случае сотрудник использует карту доступа, брелок или мобильное устройство. Каждый раз, когда он вводит фразу пароля в устройство, дополнительно генерируется числовой пароль, называемый ключом доступа (токеном). Для входа в систему ключ доступа (токен) можно использовать только один раз, и, как правило, если его не ввести в течение определенного времени, то он становится недействительным.

Одна из опций «Cisco SA500 Series Security Appliances», которую можно заказать дополнительно, – система авторизации VeriSign Identity Protection (VIP). Она работает не только с SA500 для обеспечения доступа к виртуальным частным сетям, но и с системами авторизации на открытых сайтах некоторых других компаний, например, банков, поэтому свои карты доступа сотрудники могут также использовать для генерирования кодов доступа к своим учетным записям.

Для повышения стойкости паролей в своей организации ознакомьте своих сотрудников с этими рекомендациями. Постарайтесь, чтобы они применяли эти методики для создания безопасных, осмысленных паролей для учетных записей, для всего: от смартфонов до личного кабинета в интернет-магазинах. Усиление пароля может оказаться простой, но важной мерой, от которой может зависеть безопасность вашего предприятия.

А что сделали вы, чтобы пароли ваших сотрудников стали более надежными?

Ссылка на оригинальный ресурс: http://blogs.cisco.com/smallbusiness/how-to-create-secure-and-meaningful-passwords/

Отчет по угрозам информационной безопасности Cisco 1Q11. Global Threat Report

Alexey Lukatsky (Алексей Лукацкий)

Компания Cisco опубликовала ежеквартальный отчет по угрозам информационной безопасности Cisco 1Q11 Global Threat Report. Он охватывает период с 1 января по 31 марта 2011 года и является результатом работы исследовательского подразделения Cisco Security Intelligence Operations. За истекший период экспертами Cisco было зафиксировано 46%-ый рост вредоносных программ для Web. При этом 16% заражений осуществилось через поисковые системы и Web-почту. Больше чем в 10 раз выросло число применения новой угрозы под названием Likejacking или принуждение пользователей обманным путем кликать на кнопку Facebook «Like» («Мне нравится»). Это может привести как к загрузке вредоносного кода на компьютер пользователя так и привлечение внимания онлайн-сообщества к  намеренно зараженным сайтам и страницам Facebook.

Деятельность ботнета Rustock значительно снизилась, но объемы рассылаемого спама в первом квартале 2011 года остались выше уровня декабря 2011 года. Индонезия обогнала США и заняла первое место в списке стран – распространителей спама. Несмотря на снижение, атаки типа SQL Injection по-прежнему остаются самыми распространенными несанкционированными действиями (55%). Интересно, что «устаревший» червь MyDoom вошел в десятку самых распространенных вредоносных программ, обнаруженных системами предотвращения вторжений Cisco IPS в 1-м квартале. А это значит, что сбрасывать со счетом старые угрозы нельзя – их недооценка может привести к печальным последствиям.

С остальными тенденциями мира угроз можно ознакомиться в ежеквартальном отчете Cisco 1Q11 Global Threat Report на сайте http://www.cisco.com/go/securityreport.

Определение местоположения iPhone: важно, даже если это для вас не имеет значения

Сет Хэнфорд (Seth Hanford)

Операционная система iOS для мобильных устройств корпорации Apple недавно подверглась суровой критике в средствах массовой информации в связи с тем, что местоположение пользователя может быть определено с помощью резервных копий файла consolidated.db, хранящегося на устройстве.

Как обсуждалось в статье Отчет о компьютерных рисках (Cyber Risk Report), хотя корпорация Apple предоставила информацию об отслеживании местоположения в своей политике конфиденциальности, значительное число комментариев пользователей дает основание предполагать, что они были удивлены, узнав, как именно это осуществляется.

Исследователи, предоставившие информацию об определении местоположения для широкой общественности, знали, что ранее это было известно судебным экспертам, но они разработали собственный инструмент для привлечения большего внимания к данной проблеме. По всеобщему признанию, им удалось повысить осведомленность пользователей. Осталось только понять, что делать дальше.

Легкая победа в гонке по определению местоположения

После запроса об использовании корпорацией Apple данных о местоположении, поданного конгрессменами США Эдвардом Марки (Edward Markey) и Джо Бартоном (Joe Barton) в июне 2010 года, корпорация Apple публично пояснила, что активно собирает сведения о местоположении вышек-ретрансляторов операторов мобильной связи, точек доступа к Wi-Fi и GPS-координат с целью «предоставления услуг в зависимости от местоположения», а также «содействия корпорации Apple в обновлении и обслуживании собственной базы данных с помощью полученной информации о местоположении».

Использование средства, разработанного Алланом (Allan) и Уорденом (Warden) для наглядного представления данных о местоположении в файле consolidated.db, совместно с обнародованными целями Apple в ответ на запрос Марки и Бартона, позволяет предположить, что собираемая информация не является персональной («Информация, передаваемая корпорации Apple, не связана с определенным пользователем или устройством», Markey & Barton, стр. 7). На самом деле, поскольку она включает в себя данные только о «видимых» точках беспроводного доступа и вышках-ретрансляторах операторов мобильной связи, определение местоположения, вероятно, должно быть хуже, чем при использовании GPS, особенно на территориях с небольшим количеством объектов для триангуляции. Исследователь Питер Бэтти (Peter Batty) даже высказал предположение о том, что это может быть предсказывающей загрузкой от Apple для хранения на мобильном телефоне сведений о местоположениях, которые пользователь может посетить в ближайшее время (находящиеся поблизости вышки и точки доступа к Wi-Fi). Поскольку исследование Бэтти предполагает хранение в базе данных только последних записей журнала о находящихся рядом вышках и точках доступа, это не позволяет получать данные о количестве и времени посещений пользователями территории за длительный промежуток времени. Тем не менее это может быть полезным для дальнейших попыток расшифровки анонимных данных, установления личности или предоставления дополнительного контекста для других наборов данных.

С помощью процесса, описанного Apple, устройства могут собирать и передавать информацию о близлежащих объектах корпорации Apple, а также определять примерное местоположение пользователей при недоступности более точных служб, например GPS. При сравнении инструмента android-locdump с более известным средством iPhone Tracker основное отличие состоит в том, что Android регулярно удаляет данные из журналов cache.cell и cache.wifi. В журнале cache.cell хранится только 50 записей, а в cache.wifi – только 200 (согласно обзору автора старого исходного кода android-locdump). Аллан и Уорден обнаружили, что база данных consolidated.db операционной системы iOS не удаляет содержащиеся в ней данные, что позволяет хранить данные визуализации, записанные с момента создания этого файла (в предыдущих версиях iOS использовалось другие имя и путь файла).

Проблема № 1: бессрочное хранение данных

Пользователи платформы, задействованные в службах для определения местоположения, должны понимать, что их перемещение отслеживается. Логично, что данная информация хранится в базе данных корпорации Apple, о чем она сообщает в своей политике конфиденциальности. Плохо то, что по непонятным причинам корпорация Apple выбрала постоянное хранение подробного журнала на устройстве пользователя. Исследования, проведенные журналом Wall Street Journal и подтвержденные консультантом по конфиденциальности Ашканом Солтани (Ashkan Soltani), показали, что сведения о местоположении продолжают собираться даже при отключении служб местоположения на устройстве с iOS, но при этом они не передаются корпорации Apple. Если журнал пользователя не используется для предоставления ему информации, когда устройство находится в автономном режиме (а согласно описанию процесса, предоставленному корпорацией Apple, можно сделать вывод, что так и происходит), сохранение этого файла представляет потенциальный риск нанесения ущерба пользователю. Похоже, что Android справляется с этим намного лучше, ограничив количество хранимых на устройстве записей. В случае причинения вреда или проведения судебного разбирательства предоставляется только ограниченный доступ к истории местонахождения устройства. Хотя корпорация Apple, несомненно, знает лучше, какие данные должны оставаться на устройстве для его нормальной работы, чем мы с вами, все же можно предположить существование разумного компромисса, например хранения определенного количества записей или удаления прежних записей для ограничения доступа к ним. Альтернативой может служить возможность удаления данных истории вручную, что допускает некоторую автономность пользователей от корпорации Apple.

Интеллектуальные устройства и хранение данных, важных для судебного разбирательства

Эта проблема касается не только Apple. С помощью недавно разработанного инструмента android-locdump было установлено, что операционная система Android компании Google собирает сведения о местоположении пользователей. Дело не только в определении местоположения. Что касается мобильных устройств, здесь определение местоположения имеет немного большее значение, поскольку они являются средствами личного пользования и созданы для двунаправленного общения. Но обладая объемом памяти, исчисляемым в гигабайтах, такие устройства могут хранить огромные объемы информации.

Средства судебной экспертизы позволяют извлечь большое количество информации из мобильных устройств. Существует несколько книг, посвященных этому вопросу, а также множество инструментов для ведения расследования. Снимки экрана, SMS-записи, журналы звонков, информация о местоположении, документы, фотографии и другая информация за определенный промежуток времени могут быть получены и представлены в графическом виде для получения полной картины об использовании устройства. Это не новость, но пользователи едва ли осознают это, так как их больше заботит простота и свобода, которую дают им мощные и функциональные мобильные устройства.

Проблема № 2: осведомленность

Осведомленность о возможностях и побочных эффектах использования технологии является важнейшим фактором при принятии решения с учетом возможного риска. В этом смысле я благодарен Аллану и Уордену. А несогласие Алекса Левинсона (Alex Levinson), судебного эксперта, с тем, что заявление о сборе такой информации является чем-то новым, дает возможность понять существенную разницу между осведомленностью и образованием. Образование предполагает глубокое понимание предмета, в котором обычно сильно заинтересованы всего несколько сторон, а осведомленность — общее предоставление информации, доступное даже для тех, кто мало интересуется данным вопросом. Образование по данному вопросу существовало ранее, о чем свидетельствует работа Левинсона и др. авторов, написавших книги по этой теме. Тем не менее Аллану и Уордену удалось в дискуссионной и сенсационной манере визуально представить данные о возможностях и операциях устройств, которые в противном случае мало кому были бы интересны.

Оценка и доступность данных, важных для судебного разбирательства

Понимание того, какая именно информация собирается и передается, является важным фактором оценки рисков, связанных с определением местоположения. Многие специалисты корректно указали, что для извлечения данной информации необходим либо физический доступ к устройству (чтобы использовать оборудование сбора судебной информации) или компьютеру пользователя (чтобы получить доступ к незашифрованным резервным копиям данных, хранимым на устройстве), либо привилегированный доступ к устройству (например, с помощью уязвимостей в системах безопасности в сети, позволяющих взломщику получить доступ ко всему содержимому устройства). Во всех этих случаях взломщик не только имеет практически полный доступ к личной информации пользователя, но также может выполнять различные действия. С учетом этих соображений незащищенность примерных данных о местоположении кажется менее важной, чем других сведений, которые станут доступны злоумышленнику.

Сравнивая сведения о местоположении с другими данными, содержащимися на устройстве, многие приходят к выводу, что информация о местоположении не так уж и важна. Кто-то может сказать, что по сравнению с незащищенностью других данных сведения о местоположении — пустяки. В конце концов, теперь пользователи могут читать сообщения электронной почты, просматривать фотографии детей или изучать календари запланированных отпусков.

Аналогичный обзор может быть сделан для всей информации, хранимой на интеллектуальных устройствах. Пользователям следует рассмотреть спектр потенциальных угроз и оценить, может ли сбор данных устройством привести к серьезным последствиям, если эти данные станут доступны. Для некоторых типов данных в таких оценках зачастую не будет необходимости, поскольку спектр угроз слишком узок или из-за того, что подробный анализ стоит дороже, чем простое предотвращение. То есть, если вы не хотите, чтобы ваше местонахождение отслеживалось, можно просто не брать с собой устройства, записывающие и передающие соответствующие данные. Но для некоторых типов информации ситуация может быть не очень ясной, и проведение такой оценки целесообразно.

Проблема № 3: одно решение для всех проблем безопасности

Некоторых людей беспокоит отслеживание даже примерного местоположения. Это может быть важнее, чем доступность других данных, хранящихся на устройстве. А это значит, что цена за использование устройства, в котором постоянно хранится журнал с записями, может быть слишком высокой. Да, возможно, это правда, что для большинства людей этот риск невысок, но без осведомленности и понимания возможности использования данных не каждый может оценить возможный риск в полной мере. По этой причине недавняя победа в гонке по определению местоположения на интеллектуальных устройствах является очень важной. Она не только повысила уровень осведомленности о хранимых на устройствах данных. Ее организаторам следует предоставить дальнейшее рассмотрение других рисков, связанных с использованием интеллектуальных устройств. Необходимо понимать, что не существует универсальных методов обеспечения безопасности, именно поэтому такие исследования имеют важное значение. Для многих эти риски также и останутся незначительными, особенно по сравнению с выгодой от использования устройств. Но для некоторых такие открытия могут быть весьма ценными.

Оригинальная статья на английском языке:  http://blogs.cisco.com/security/iphone-location-tracking-important-even-if-it-doesnt-matter-to-you/

А что думаете Вы о факте отслеживания и записи собственных перемещений?