17 Октября, 2014

Дайджест новостей по ИБ за 10-17 октября 2014 года

Сергей Сторчак
Блоги:
Алексей Лукацкий разъяснил, можно ли отказываться от какой-либо защитной меры согласно приказам 17, 21 и 31 .

Статьи:




Уязвимость SSLv3 POODLE ( CVE-2014-3566 ).

В Windows 7, 8, 8.1  обнаружена уязвимость нулевого дня ( CVE-2014-4114 ).

ЕС согласовал отказ от банковской тайны к 2017 году.

Документы:
Тенденции развития преступлений в области высоких технологий 2014 - в отчете рассматриваются тенденции развития высокотехнологичных преступлений в период со второй половины 2013 года по первую половину 2014 года, даются прогнозы развития рынка и тренды на следующий отчетный период. Источник: Group-IB.

CIS Microsoft Exchange Server 2013 Benchmark v1.0.0 - руководство по установке безопасных настроек для Microsoft Exchange Server 2013 (англ.). Источник: CIS.

Законодательство:
Приказ Федеральной таможенной службы (ФТС России) от 13 августа 2014 г. N 1533 г. Москва «Об утверждении Перечня должностей государственных служащих таможенных органов Российской Федерации, представительств (представителей) таможенной службы Российской Федерации в иностранных государствах, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным ». Можно использовать в качестве шаблона.

Письмо Банка России от 02.10.2014 N 167-Т «О мерах по снижению операционных рисков при принятии к исполнению исполнительных документов». Кредитным организациям рекомендуется максимально тщательно проверять подлинность исполнительных документов перед списанием денежных средств со счетов клиентов.
Программное обеспечение/сервисы:
Veracrypt – программа для шифрования данных (см. описание ).

CrowdStrike ShellShock Scanner – сканер для обнаружения уязвимости «ShellShock» на веб-серверах в локальной сети.

BackBox Linux 4.0 – дистрибутив на основе Ubuntu, предназначенный для выполнения тестирования на проникновение.

Аналитика:
Статистика кибератак за сентябрь 2014г. (англ.). Источник: Hackmageddon.com.

Мероприятия:
18-20 октября 2014 г., Defcamp CTF Qualification 2014 .

20-22 октября 2014 г., UConn CyberSEED Competition 2014 .

21-23 октября 2014 г., Hack.lu CTF 2014 .

Ресурсы:
Видео с семинара « Практика выбора решений для защиты от угроз нулевого дня и целевых атак » Ассоциации RISSPA при поддержке Mail.Ru Group.