Новости Информационной

Вид материалаБюллетень
Фирма «АНКАД» проводит семинар на тему «Перспективные технологии Фирмы «АНКАД» для решения задач информационной безопасности»
Статьи, аналитика, интервью
Подобный материал:
1   ...   18   19   20   21   22   23   24   25   26

Фирма «АНКАД» проводит семинар на тему «Перспективные технологии Фирмы «АНКАД» для решения задач информационной безопасности»


10 ноября 2011 г. на территории Фирмы «АНКАД» пройдёт семинар:

«Перспективные технологии Фирмы «АНКАД» для решения задач информационной безопасности»

Основные темы семинара:

– средства защиты автономного рабочего места;

– средства Защиты Мобильного Рабочего Места;

– средства защиты компьютерных сетей, технология «тонкого клиента»;

– средства защиты от НСД и разграничения доступа;

– изменения нормативной базы по защите персональных данных;

– построение систем 1 класса на базе ОС Astra Linux;

– российское аппаратное средство аутентификации РУТОКЕН ЭЦП.

Нормативное регулирование сферы защиты информации, аттестация объектов информатизации по требованиям безопасности

В рамках семинара будет продемонстрирована работа продуктов Фирмы «АНКАД» для защиты государственной тайны и коммерческой информации, а также пройдёт обсуждение вопросов участников со специалистами компании.

Участие в семинаре бесплатное по предварительной регистрации на сайте www.ancud.ru

www.itsec.ru


СТАТЬИ, АНАЛИТИКА, ИНТЕРВЬЮ


10.10.11 11:00

Число критических уязвимостей быстро растет


Александр Панасенко



Корпорация IBM опубликовала «Отчет о тенденциях и рисках информационной безопасности по итогам первого полугодия 2011 г.», подготовленный группой исследований и разработок в области информационной защиты IBM XForce.

Результаты исследования свидетельствуют о быстром изменении общей ситуации с информационной безопасностью, которая характеризуется хорошо спланированными, мощными и широкомасштабными атаками, растущим числом уязвимостей защиты мобильных устройств и более изощренными угрозами, такими, например, как «вейлинг».

Стремясь помочь клиентам в борьбе с этими и другими угрозами безопасности, IBM открывает Институт передовых технологий безопасности (Institute for Advanced Security) в Азиатско-тихоокеанском регионе, который присоединяется к уже действующим подобным центрам IBM в Северной Америке и Европе.

Группа X-Force сообщает, что процентная доля критических уязвимостей утроилась за период с начала 2011 г. до настоящего времени. X-Force объявила 2011 г. «годом брешей в системах безопасности» («Year of the Security Breach») из-за большого числа массированных широкомасштабных атак и «громких» случаев компрометации сетей, которые произошли в этом году.

Группа перечислила ряд авторов и источников наиболее примечательных новых угроз безопасности этого года. Среди них команды профессиональных организаторов атак, которыми движет стремление собирать ценную стратегическую информацию, и которые способны получать и сохранять несанкционированный доступ к критически важным сетям посредством комбинации разнообразных хитростей и уловок, сложных технических возможностей и тщательного планирования. Такие хакерские группы и типы атак, которые они используют, часто называют Advanced Persistent Threats (APTs). (Этот термин, который можно перевести как «постоянные угрозы повышенной сложности», пока не имеет четкого общепринятого определения и, в действительности, характеризует новое развивающееся направление атак особой организованности и изощренности).

Успехи APT привели к распространению «вейлинга», разновидности фишинговой атаки, осуществляемой по методу «spear phishing» (когда злоумышленник обманом заставляет пользователей раскрывать свой пароли).

Вейлинг (от англ. «whaling» – охота на китов) отличается от типичного фишинга одной особенностью – он нацелен на «китов», т.е., как правило, на высшее звено руководителей компаний и организаций, имеющих доступ к критически важным данным. Эти целевые (адресные) атаки часто запускаются после тщательного изучения онлайновых профилей VIP-персоны, дающих в руки злоумышленников необходимую информацию для создания убедительных фишинговых электронных писем, которые должны обмануть жертву.

Так называемые «hacktivist»-группы (этот термин состоит из комбинации слов «хакер» и «активист», т.е. деятельный член какой-либо организации), чьи атаки направлены на веб-сайты и компьютерные сети и имеют целью политические мотивы, а не только финансовую выгоду. Hacktivist-группы добились определенного успеха в использовании известных, стандартных типов атак подобно «SQL-инъекциям» (SQL Injection; модифицирование кода SQL-запросов к базам данных, с которыми взаимодействует легитимный сайт) – одного из наиболее распространенных методов атак в Интернете.

Анонимные прокси-серверы, число которых увеличилось за последние три года более чем в четыре раза. Необходимость отслеживания Web-сайтов анонимных прокси чрезвычайно важна, поскольку они позволяют людям скрывать потенциально зловредные намерения.

«Неожиданная вспышка «громких» широкомасштабных атак в этом году ярко демонстрирует проблемы, с которыми часто сталкиваются организации, реализующие свои стратегии безопасности, — подчеркнул Том Кросс (Tom Cross), руководитель отдела Threat Intelligence and Strategy в IBM X-Force. — Несмотря на то, что мы понимаем, как защититься от многих из таких нападений с технической точки зрения, организации далеко не всегда имеют и применяют у себя действенную межкорпоративную практику информационной защиты».

Отчет сообщает, что число уязвимостей защиты мобильных устройств уверенно удваивается.

Широкое распространение в компаниях и организациях мобильных устройств, таких как смартфоны и планшетные компьютеры, поднимает новые проблемы безопасности. Способствует этому и популярный ныне подход «Bring Your Own Device» («приноси и пользуйся своим собственным устройством»), который позволяет сотрудникам использовать личные устройства для доступа к корпоративной сети.

Группа IBM X-Force зафиксировала устойчивый рост выявленных уязвимостей систем безопасности таких устройств.

Исследователи X-Force рекомендуют ИТ-специалистам применять специальное антивирусное (anti-malware) программное обеспечение и утилиты для управления внесением исправлений в программный код (patch management), которые разработаны для платформ мобильных устройств, используемых на предприятии. Среди других важных результатов и выводов отчета, связанных с «мобильными» уязвимостями:

X-Force прогнозирует, что число появившихся в 2010 г. уязвимостей защиты мобильных устройств удвоится к концу 2011 г. В отчете подчеркивается, что многие поставщики мобильных телефонов не спешат выпускать обновления программного обеспечения своих устройств, устраняющие бреши в системах безопасности.

Вредоносные программы, ориентированные на мобильные устройства, часто распространяются через рынки приложений третьих фирм и индивидуальных разработчиков. Мобильные телефоны становятся все более привлекательной платформой для создателей вредоносного ПО, поскольку глобальная база пользователей этих устройств растет стремительными темпами, и существует простой способ извлечения незаконной финансовой выгоды из целевой атаки или инфицирования мобильного телефона вредоносным кодом. Распространители вредоносных программ могут, например, создавать сервисы отправки SMS-сообщений, которые берут плату с пользователей, посылающих текстовые сообщения на определенный номер. Вредоносная программа, внедренная в инфицированные телефоны, автоматически отправляет SMS на эти специальные платные номера.

Некоторые вредоносные программы для мобильных устройств разрабатываются для сбора персональной информации о пользователях этих устройств. Эта информация может быть, затем использована в фишинговых атаках или для кражи личных данных. Вредоносные программы для мобильных устройств часто применяются для скрытого наблюдения за личными и деловыми контактами жертвы, а также для отслеживания физических перемещений пользователя инфицированного мобильного телефона с помощью встроенного GPS-модуля.

www.anti-malware.ru


13.10.11 20:13