четверг, 10 июля 2014 г.

5 способов детектировать фишинг


На прошлой неделе писал про один интересный пентест. Разумеется, встает вопрос, как нашей организации защититься от такой модели атак. Самым технически-грамотным способом будет разрешить удаленный доступ к корпоративной инфраструктуре только со строго определенных устройств... но повышение осведомленности работников тоже никогда не бывает лишним. Тем более, если мы научим их детектировать фишинг, то повысится еще и их личная информационная безопасность (меньше шансов, что работник попадет в неприятную стрессовую ситуацию и станет неэффективным :))

воскресенье, 6 июля 2014 г.

Соц.сеть глазами пентестера

Попала мне на глаза интересная статья "Фейсбук глазами хакера", где команда исследователей делилась опытом одного пентеста, который они проводили (статья от 2009 года). В основу легли социальная инженерия и фишинг... но как же хитро ребята все это проделали.

четверг, 26 июня 2014 г.

Интегрировать DLP с соц.сетями


В февральском (если память не изменяет) выпуске "Хакера" была статья про "деанонимизацию" - как "раскрыть" личность человека по знанию незначительной информации о последнем. Меня, как "расследователя" утечек, у которого обязательно поинтересуются "и кому он это отправил?", эта статья крайне заинтересовала. Как правило про "кому" (при почтовой отправке) ничего не известно кроме e-mail'а.

Первый позыв - погуглить иногда дает весьма неожиданные результаты. Приведу пару кейсов:

среда, 18 июня 2014 г.

Бизнес-завтрак Pointlane

Завтраком я бы это не назвал - меня даже охрана отеля на завтрак в другое место пыталось отправить ("все завтраки у нас там!":) - скорее все-таки формат мини-конференции (с кофе-брейками и булками и бутербродами, все как положено). Мероприятие вчера компания Pointlane провела впервые и "первый блин" совсем не "комом". По крайней мере мне как по организации, так и по наполнению понравилось.

понедельник, 26 мая 2014 г.

Культура ИБ

В апреле на Межотраслевом форуме директоров по информационной безопасности мой шеф, Андрей Ерин, выступал с докладом "Внедрение культуры информационной безопасности". Вместе с тем он подготовил и статью, посвященную культуре ИБ и в наш корпоративный журнал. Статью ретранслирую ниже без изменений (в подготовке статей участвует наш Департамент маркетинга, потому обилию внутреннего и внешнего маркетинга прошу не удивляться).

среда, 21 мая 2014 г.

PHDays: бубны и риски

Открытая дискуссия с абсолютно не типичной для формата PHDays темой в расписании первого дня мероприятия сразу привлекла внимание - "Управление безопасностью - управление рисками". Модератор также подогрел интерес, расписав в блоге вопросы, которые планируется обсудить. Попробую ретранслировать информацию от приглашенных экспертов по наиболее волнующим меня в данной теме вопросов: место ИБ рисков среди всех оперативных рисков, как оценивают и считают в других крупных организациях, как демонстрируют результат "лицам, принимающим решения". 

среда, 23 апреля 2014 г.

Визитная карточка Департамента информационной безопасности

У нас в Компании весело - в частности, проводился, не так давно конкурс "визиток департаментов", где желающие могли рассказать о своем подразделение. Понимая, сколь много внутренний маркетинг значит для ИБ-служб, мы такую возможность пропустить не могли. Решили предложить коллегам небольшой интерактив - мини-игру по разгадыванию "сверхсложного" пароля.

Не все, правда, оценили... и вообще, вангую, что победа нам не светит (я бы поставил на наш Департамент маркетинга и развития - эти "хитрецы" сделали соц.опрос своих детей не тему "расскажи кем папа/мама работает" - получилось премило, забавно и очень здорово).

Зато наша визитка, полагаю, понравится ИБ-шникам и тем кто любит логические задачки. Скачать можно здесь в формате chm (предварительно нужно распаковать архив).