Реализация стратегии «Defence-in-Depth»

Идеология «Defence-in-Depth», имеющая военное происхождение, успешно зарекомендовала себя в качестве одной из лучших практик в области ИБ.

Ее главное преимущество — многоуровневая защита, обеспечивающая безопасность на каждом из следующих уровней:
• Данных
• Приложений
• Хостаa
• Внутренней (локальной) сети
• Внешнего периметра
• Физической защиты
• Политик, процедур и регламентов
В зависимости от специфики активов, которые требуется защищать, может потребоваться учесть следующие аспекты: конфиденциальность, целостность, доступность, аутентификацию и/или неотказуемость.
Обеспечение конфиденциальности в зависимости от уровня осуществляется разными защитными мерами, например:
• На уровне политик, процедур и регламентов прописываются организационные меры по работе с конфиденциальной информацией с учетом требований нормативной документации и/или существующих стандартов.
• На уровне физической защиты обеспечивается защита контролируемой зоны от проникновения посторонних, здесь в ход идут замки, охрана, видеокамеры, датчики движения, шредеры для бумаг и т. п.
• Для обеспечения конфиденциальности на внешнем периметре используются средства криптографической защиты, такие как VPN и сетевые протоколы, защищенные TLS.
• Конфиденциальность во внутренней сети обеспечивается средствами контроля доступа домена Active Directory и протоколами защищенными средствами TLS.
• Для защиты конфиденциальности на уровне хоста используются: механизмы локального контроля доступа, шифрования дисковых разделов и/или баз данных, изоляции процессов, очистки оперативной памяти и файлов на жестком диске, фиксации документов, отправляемых на печать, а также, контроля съемных носителей.
• Приложения, для ограничения доступа могут использовать одну из следующих моделей: контроль доступа на основе ролей, дискретный доступ и мандатный доступ.
• Для защиты конфиденциальности на уровне данных используется их криптографическая защита.
Обеспечение целостности на разных уровнях также имеет отличия:
• Регламентируется политика резервного копирования, применяемые подходы и технологии.
• На уровне физической защиты обеспечивается безопасное хранение резервных копий в закрытом помещении.
• Для обеспечения целостности на внешнем периметре также применяются криптографические протоколы.
• Целостность во внутренней сети обеспечивается с использованием централизованного решения по резервному копированию и восстановлению, что охватывает файловые системы, базы данных и образы виртуальных машин.
• Целостность на уровне хоста реализуется резервным копированием настроек операционной системы и приложений.
• Целостность на уровне приложений обеспечивается за счет транзакционных механизмов предоставляемых системами управления базами данных и их поддержкой на уровне соответствующих библиотек и фреймворков.
• Целостность данных обеспечивается рядом технологий: использованием криптографических хэш-функций, транзакциями и резервным копированием.
Для обеспечения доступности на каждом из уровней применяюся следующие подходы:
• Прорабатываются и подготавливаются Service Layer Agreement’s (SLA) – соглашения об уровне обслуживания для ключевых корпоративных сервисов
• На физическом уровне обеспечивается бесперебойное электроснабжение из нескольких независимых источников (резервным источником, как правило, является дизельный генератор), наличие резервного интернет-канала, помещений для серверных, систем кондиционирования и т. д.
• На внешнем периметре для обеспечения доступности сервисов используются: MultiWAN (подключение нескольких интернет-каналов к одному интернет шлюзу), BGP (протокол позволяющий использовать провайдеронезависимые IP-адреса таким образом, чтобы в случает пропадания интернет-соединения через одного провайдера, интернет-трафик прозрачно переключился бы на второго провайдера).
• На уровне локальной сети используется совокупность следующих мер: горячее/холодное резервирование серверов и сетевого оборудования, bonding (объединение каналов связи) и использование источников бесперебойного питания для серверов, сетевого и периферийного оборудования.
• На уровне хоста упор в повышении доступности делается путем настройки параметров IP-стека, настройкой локального брандмауэра и использовании технологии syncookie`s (технология защиты от SYN Flood атак).
• На уровне приложений повышение доступности достигается выбором более стойких к нагрузке решений, например, замена Apache на Nginx.
• На уровне данных их доступность в большей степени обеспечивается избыточностью при их хранении: RAID-массивы, кластерные файловые системы и сетевые хранилища данных.
Механизмы аутентификации, в свою очередь, также имеют отличия от уровня к уровню:
• На уровне политик, процедур и регламентов определяется политика паролей, а для наиболее критичных для бизнеса сервисов и требования двухфакторной аутентификации.
• На физическом уровне роль механизмов выполняют физические и электронные замки и турникеты с «двухфакторной аутентификацией», например, по электронному пропуску и фотографии (сверку по фотографии осуществляет сотрудник охраны).
• На внешнем периметре может использоваться VPN-сервер с двухфакторной аутентификацией клиента, а, например, в случае WEB-сайта двухфакторная аутентификация клиентов по логину/паролю и через Google-аутентификатор или по SMS.
• На уровне локальной сети безопасная аутентификация осуществляется с использованием протоколов Kerberos и Radius (для беспроводных клиентов).
• На уровне хоста используется локальная аутентификация средствами операционной системы, где для защиты базы данных паролей используются криптографические хэш-функции.
• На уровне приложений может осуществляться как отдельная аутентификация, тогда информация об учетных записях берется из соответствующей базы данных, так и централизовано, с использованием доменной аутентификации, на основе подхода Single-Sign-On (единожды пройдя аутентификацию, входить везде).
• Для аутентификации данных используются механизмы электронной подписи, что требует инфраструктуры открытых ключей, а при наличии юридически значимого электронного документооборота, потребуются квалифицированные сертификаты, выданные аттестованным удостоверяющим центром, при работе с которыми используются сертифицированные криптосредства.
И, наконец, требования неотказуемости (в некоторых переводах это называется неотрекаемостью), реализуются не на всех уровнях и требуют:
• Удостоверяющий центр (это могут быть как аттестованный удаостоверяющий центр, так и соответствующие роли домена Active Directory или его аналога на основе FreeIPA – решения с открытым исходным кодом).
• Средства генерации ключей и проверки подписи, например, КриптоПро,VipNetCSP или несертифицированный аналог с открытым исходным кодом, такой как easy-rsa).
• Закрытые ключи и парные к ним сертификаты (квалифицированные и/или неквалифицированные).
После систематизации требований получился следующий список мер, сгруппированных по уровням.
Разработка необходимых политик процедур и регламентов
В зависимости от специфики организации, состав нормативных документов требования которых должны быть учтены, может существенно различаться. Так, для государственных и муниципальных информационных систем основной упор необходимо делать на ФЗ №149 и Приказ ФСТЭК №17 и ПП №211, а для негосударственных (коммерческих компаний) необходимо соблюдение ФЗ №152, ПП №1119, №512, №687 и т. п. Кроме требований нормативных документов следует учитывать требования стандартов серии ISO-27000 и ГОСТ-ов на их основе.
При подготовке документов не следует забывать, что результирующий пакет документов нужен не только для того, чтобы удовлетворить требования регуляторов, но и для снижения негативного влияния «человеческого фактора».
Внедрение физических мер защиты и контроля
Кроме стандартных мер обеспечения безопасности на физическом уровне, таких как замки, турникеты, охрана, видеокамеры, датчики движения, шредеры, жалюзи, необходимо ограничить доступ в помещения в которых размещаются серверы и сетевое оборудование (маршрутизаторы и коммутаторы), кондиционеры или системы климат-контроля, резервный источник электропитания и резервный интернет-канал.
Защита внешнего периметра
Внешним периметром традиционно считаются узлы имеющие «реальный IP-адрес» (т. е. не принадлежащий диапазону частных IP-адресов). В качестве защитных мер используются: межсетевой экран с контролем состояния соединений и система предотвращения вторжений.
Межсетевой экран с контролем состояния соединений
В зависимости от специфики организации (государственная, муниципальная, имеющая отношение к критической информационной инфраструктуре) может потребоваться обязательное использование сертифицированного ФСТЭК межсетевого экрана в соотвествии с государственным реестром защиты информации https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00
Если же, речь идет о коммерческой организации, то можно использовать и несертифицированные решения и здесь есть богатый выбор из бюджетных маршрутизаторов начиная от Huawei и заканчивая Mikrotik.
При почти полном отсутствии бюджета, можно использовать одну из бесплатных сборок с открытым исходным кодом (PFSense, OpenSense, Zentyal). Для обеспечения отка
Система предотвращения вторжений
В случае необходимости использования сертифицированной системы предотвращения вторжений необходимо делать выбор с учетом требуемого профиля защиты.
В остальных случаях можно использовать богатый спектр решений на тему IDS/IPS из представленных на рынке, тем более, что большинство из них в своей основе строятся на решениях с открытым исходным кодом, таких как Snort и Suricata. Так, Cisco ASA в качестве IDS/IPS используют модифицированную версию Snort, а IDS Континент построен на основе Suricata.
Таким образом, при нехватке бюджета на приобретение коммерческих IDS/IPS-решений, можно взять за основу оригинальные Snort или Suricata и настроить их в соответствии с требованиями корпоративной политики безопасности.
Внедрение мер по защите локальной сети
На самом деле, как минимум, часть мер по защите локальной сети уже внедрена, например, большинство организаций в локальных сетях используют доменную инфраструктуру на основе Active Directory, что означает централизованные механизмы аутентификации, авторизации и контроля доступа. Тем не менее, ввиду долгой истории своего существования, Active Directory поддерживает и устаревшие протоколы аутентификации, такие как NTLMv1, NTLMv2 и MS-CHAPv2, а также устаревшие протоколы файлообмена, такие как SMBv1 и SMBv2. Поэтому немаловажно убедиться, что поддержка этих протоколов отключена, и если это не так, то как можно скорее отключить их поддержку (при условии отсутствия устаревших версий Windows и приложений, из-за которых требуется поддержка унаследованных протоколов). Для защиты подключения к корпоративной сети через беспроводные точки доступа следует использовать протокол Radius.
При отсутствии доменной инфраструктуры или при необходимости ее замены по причине импортозамещения можно использовать FreeIPA – решение с открытым исходным кодом.
В дополнение к этому, необходимо перевести сервисы на использование их критозащищенных версий на основе TLS, например: HTTPS, FTPS, STMPS, POP3S/IMAPS и т.д..
В качестве меры по обеспечению конфиденциальности рекомендуется внедрение DLP-системы, выбор которой определяется потребностями организации и ее финансовыми возможностями. Например, лидером рынка является InfoWatch, а в бюджетном сегменте выступают такие решения как StaffCop и Стахановец.
Для оперативного выявления попыток сканирования сети и сетевых атак, целесообразно внедрение honeypot’a и SIEM/SoC-системы (и для того и другого существуют реализации с отрытым исходным кодом), что позволит облегчить выявление следов аномальной активности.
В качестве меры обеспечения целостности необходима единая, централизованная система резервного копирования, например, Veam Backup, либо, в случае жестких финансовых ограничений, решение с открытым исходным кодом, такое как Bacula.
Для централизованной защиты от вредоносного ПО рекомендуется корпоративная редакция антивирусного ПО, такого как Kaspersky Security Center или ESET NOD32 Secure Enterprise.
Защита на уровне хоста
Для защиты на уровне хоста рекомендуется использовать комплексное решение, например такое как Kaspersky Endpoint Security (Windows/Linux) или ESET Endpoint Antivirus (Windows/MacOS), которые обеспечивают:
• Поведенческий анализ работы приложений
• Автоматическую проверку съемных носителей
• Защиту от сетевых угроз
• Защиту от Web-угроз и фишинга
• Контроль устройств
• Защита от вредоносного ПО
Кроме того, для защиты от эксплойтов, включая «Zero day exploits» рекомендуется использование таких средств защиты как:
• Enhanced Mitigation Experience Toolkit (EMET) для Windows
• GRSecurity/PAX для Linux (LKRG) требует пересборки ядра
• Linux Kernel Runtime Guard (поддержка ядер 3.x+)
• Tyton: Linux Kernel Mode Rootkit Hunter (для ядер 4.4.0.31+)
Защита на уровне приложений
Приложения могут поддерживать собственные механизмы аутентификации, авторизации и контроля доступа. Наиболее распространены следующие механизмы контроля доступа:
• Доступ на основе ролей — при котором членство пользователя в роли, определяется на основе разрешенных для него типов операций над данными.
• Дискретный доступ — конкретный доступ субъекта к конкретному объекту.
• Мандатный доступ — доступ субъекта к объектам определяется метками, которыми обладают субъект и эти объекты.
Защита данных
Для обеспечения конфиденциальности данных используется шифрование папок и файлов или разделов жесткого диска. В Windows для шифрования папок и файлов поддержвается EFS (Encrypted FileSystem), а для шифрования разделов — Bitlocker. В Linux для шифрования папок и файлов есть две реализации(eCryptFS и EncFS), а для шифрования разделов — LUKS. Для контроля целостности данных используются криптографические хэш-функции (они проверяют целостность информации и открывают потенциальные возможности для систем цифровой подписи).

Рубрика: Без рубрики, Публикации | Комментарии к записи Реализация стратегии «Defence-in-Depth» отключены

Новый бесплатный семинар «Возможности ядра Linux»

Рубрика: Без рубрики, Публикации | Комментарии к записи Новый бесплатный семинар «Возможности ядра Linux» отключены

Согласно маркетинговым исследованиям, в текущем году спрос на Linux-специалистов значительно вырастет.

Как отметили представители Linux Foundation, которые провели маркетинговое исследование востребованности специалистов по разработке Linux на рынке труда, в текущем году прогнозируется значительный рост спроса на специалистов в сфере открытого ПО.

По результатам опроса 850 менеджеров по найму персонала и 2600 профессионалов по Linux, исследователи отметили, что нехватка квалифицированных кадров приводит к повышению зарплат для разработчиков Linux по сравнению с другими специалистами IT-индустрии. Так, в среднем зарплата Linux-специалистов увеличилась на 10%, тогда, когда по отрасли в целом — только на 5%.

Респонденты заявляют, что в текущих условиях очень трудно найти отвечающих требованиям работодателя специалистов по Linux. 75% разработчиков отметили, что за последние полгода получили хотя бы одно предложение о смене рабочего места. Кроме того, 93% менеджеров по найму персонала сообщили, что планируют в ближайшие 6 месяцев принять на работу новых специалистов.

Подробнее ознакомиться с отчетом экспертов Linux Foundation можно здесь.

В марте 2013 года HeadHunter опубликовал результаты собственных исследований которые подтверждают данные Linux Foundation, но применительно к российским реалиям.

linux-hh1_L

 

 

 

 

 

 

Рис. 1. Динамика предлагаемых зарплат по Москве для СПО-специалистов, 2009—2013 гг. (тыс. руб.). Источник: HeadHunter, март 2013 г.

 

linux-hh2_L

 

 

 

 

Рис. 2. Динамка вакансий ИТ-специалистов и СПО-специалистов по России (I кв. 2010 г — 100%, I кв. 2013 г — прогноз). Источник: HeadHunter, март 2013 г.

 

Рубрика: Без рубрики, Публикации | 1 комментарий

Приглашаю на новый курс «Разработка драйверов устройств в Linux»

 

Разработка драйверов устройств в LinuxКоллеги, хочу рассказать Вам о новом курсе: «Разработка драйверов устройств в Linux»
Ядро Linux используется в большинстве современных смартфонов за счет применения в популярной платформе Android. Кроме того, не следует забывать и про лидирующее положение Linux в сегменте суперкомпьютеров (469 из  топ 500 суперкомпьютеров под данным www.top500.org), второе место в сегменте интернет-серверов и высокую популярность в корпоративном сегменте.
На создание курса меня сподвигло как лидирующее положение Android-устройств на рынке, так и потребности производителей отечественных контроллеров для различных государственных котрактов, ведь такие компании готовы платить очень хорошие деньги.
Курс рассчитан на программистов окончивших курс «Программирование в Linux на C/C+» или имеющих эквивалентную подготовку.

Цель курса знания и навыки, необходимые для разработки драйверов устройств для ОС Linux:

  • Понимание отличий драйверов устройств от прикладного ПО
  • Специфику и ограничения присущие драйверам устройств
  • Понимание влияния ошибок в драйверах устройств на безопасность всей системы в целом
  • Понимание отличий в реализации символьных драйверов устройств от блочных
  • Особенности файловой системы /proc и специфику работы с ней
  • Конкуренция и ситуация гонок в ядре, проблемы и их решения
  • Аспекты связанные с совместимостью, специфика использования стандартных типов данных
  • Опыт, достаточный, чтобы начать работать в качестве системного программиста Linux и разработчика драйверов под платформу Android

Ознакомиться с программой курса можно по ссылке.

Рубрика: Без рубрики, Публикации | 1 комментарий

Новый бесплатный вебинар «Специфика разработки многопоточных приложений в Linux на С/С++»

Разработка приложения для операционной системы Linux – одна из самых востребованных и высокооплачиваемых IT-специальностей. Если Вы хотите получить эту специальность или совершенствовать уже имеющиеся у Вас навыки, Вам поможет бесплатный вебинар «Специфика разработки многопоточных приложений в Linux на С и С++» Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана!
В ходе вебинара Вы узнаете отличия многопоточной программы от мультипроцессной (основанной на вызовах fork). Вы познакомитесь с проблемами, возникающими при разработке многопоточных приложений – «ситуацией гонок» (race conditions) и «мертвыми блокировками» (deadlocks). Вы научитесь решать эти проблемы на примере классической задачи об обедающих философах.
Вебинар пройдет 13 декабря 2012 года с 18.00 до 19.00 часов.
Запись по ссылке

Рубрика: Без рубрики, Публикации | Комментарии к записи Новый бесплатный вебинар «Специфика разработки многопоточных приложений в Linux на С/С++» отключены

Приглашаю на бесплатный вебинар по безопасности

В ходе вебинара Вы получите обзор средств обеспечения безопасности операционных систем UNIX (Linux/FreeBSD) и Windows силами системных администраторов:

Вы узнаете о классических мерах защиты операционных систем, к которым относятся брандмауэры и прокси-сервера, а также применение криптографии.
Вы познакомитесь с мерами, предотвращающими эксплуатацию уязвимостей ОС. Для Linux это патчи GRSecurity/PAX, для Windows – Enhanced Mitigation Experience Toolkit.
Вы получите четкое представление о том, какие меры необходимо принимать для сдерживания в случае успешного взлома – это chroot, SELinux/AppArmor для Linux и МАС для FreeBSD.

Эти знания не только помогут Вам получить первоначальные знания по обеспечению безопасности ОС UNIX (Linux/FreeBSD) и Windows, но и спланировать Ваше дальнейшее обучение в Центре «Специалист» для получения квалификации системного администратора или специалиста по информационной безопасности.

Ссылка на вебинар: Как защитить Вашу операционную систему?

Рубрика: Без рубрики, Публикации | Комментарии к записи Приглашаю на бесплатный вебинар по безопасности отключены

UNIX — от основ до виртуозности!

Рубрика: Без рубрики, Публикации | Комментарии к записи UNIX — от основ до виртуозности! отключены

IT-аудиторы выбирают курс «Обеспечение безопасности UNIX(Linux/FreeBSD)»

Было очень приятно узнать, что не только системные администраторы, но и  IT-аудиторы, которые профессионально занимаются анализом защищенности корпоративных сетей  получили массу ценных знаний и навыков от курса «Обеспечение безопасности UNIX(Linux/FreeBSD)»

На снимке только очные выпускники курса, еще четверо обучались в режиме вебинара.

Занятия проводились на примере локальной сети виртуальной корпорации «Skynet», что позволило на практике обкатать все технологии заявленные в программе курса.  Отдельная благодарность Владимиру Кудашеву за предложения по развитию курса и очень теплые отзывы, привожу их как есть:

«Unix-системы снова открылись в новом качестве. Подобно алмазу, каждая грань открывает мне новые возможности и потенциал, заложенный в этих операционных системах. Чем больше я познаю *nix_системы, тем больше убеждаюсь, что потенциал этот бесконечен и неисчерпаем, равно как и способность человека творить.  Открытость систем позволяет реализовать и расширить этот потенциал. «

«Курс объясняет каким образом можно использовать качества и приемущества *nix-систем для обеспечения функций информационной безопасности и безопасности самой системы в целом. «

«В данном курсе  Сергей Сергеевич открыл слушателям ещё одну сторону своей деятельности, а может и своего увлечения :-) Было как всегда интересно. Я получил  удовольствие от всех его  курсов.»

 

Рубрика: Без рубрики, Публикации | 1 комментарий

C 27-го февраля стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows»

Хорошая новость для выпускников курсов «Linux (Ubuntu). Уровень 2. Использование UNIX-систем в качестве серверов в Internet» и/или «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX». C 27-го февраля стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows», который необходим администраторам сетей на основе доменов Active Diсtory, т.к. дает глубину понимания таких технологий, как OTP (OPIE), RADIUS (IAS), KERBEROS, GSSAPI и NTLM, а также возможностям, которые предоставляет LDAP. После этого курса администратор уже перерастает статус «шамана» т.к. он понимает «природу вещей», происходящих в доменe. И это лишь побочный эффект… Цель данного курса — дать концептуальное понимание механизмов, лежащих в основе Active Directory, их сильные и слабые стороны с позиций информационной безопасности. Курс не только учит интегрировать UNIX-cистемы в домен, но и рассматривает способы применения UNIX для усиления безопасности Active Directory. Рассматривается на курсе и использование Linux/FreeBSD-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения. Учитывая тот факт, что сейчас 90% сетей являются гетерогенными (используют разные ОС как минимум на серверах и корпоративных шлюзах) можно сказать про него — must have. Ссылка: http://www.specialist.ru/course/yun3-b

Рубрика: Без рубрики, Публикации | Комментарии к записи C 27-го февраля стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows» отключены

Куда пойти учиться сисадмину и безопаснику?

Хотим мы этого или нет, но более 90% сетей являются гетерогенными. Этот факт специалисту по безопасности можно и нужно использовать для того, чтобы осложнить жизнь потенциальному злоумышленнику, ведь не секрет, что львиная доля вредоносного ПО рассчитана на операционные системы семейства Windows, поэтому применение Linux и FreeBSD в ключевых узлах инфраструктуры позволит остановить эпидемии вредоносного ПО и атаки хакеров специализирующихся на решениях от Microsoft. Таким образом, грамотно спланированная гетерогенная сеть предъявляет более высокие требования как к квалификации обслуживающих ее инженеров, так и к знаниям и опыту, которые необходимы для ее взлома.

Но и UNIX-системы эффективны лишь при грамотной настройке и эффективном использовании имеющихся в них защитных механизмов.

В настоящее время, на рынке есть множество специалистов умеющих настраивать те или иные сервисы в Linux и/или FreeBSD, но лишь небольшой процент из них способны адекватно защитить сервисы, которые они представляют. Не в меньшей степени важна способность грамотного проектирования инфраструктуры с учетом с бизнес-процессов компании и связанных с ними рисков.

В статье «Четыре периметра безопасности» представлены основаные на best-practice рекомендации по использованию защитных механизмов в современных операционных системах, статья «Уязвимости в программном коде и методы противостояния им» описывает как работают эти механизмы и какие есть ограничения по их использованию, а статья «Разруха не в клозетах, а в головах» иллюстрирует проблемы с разработкой описанные в Анатомии уязвимостей.

Курс «Обеспечение безопасности UNIX(Linux/FreeBSD)» позволяет на практике освоить защитные механизмы UNIX-систем, а для систем на платформе Microsoft есть курс «M2810 Основы сетевой безопасности».

Важность обеспечения непрерывности бизнеса трудно переоценить и курс «Создание отказоустойчивых решений средствами UNIX (Linux/FreeBSD)» покрывает потребности связанные с этой задачей, а для решения задач связанных с интеграцией систем в гетерогенных сетях служит курс «UNIX(Linux/FreeBSD) Безопасность и взаимодействие с Windows».

Для удобства тех, кто заранее планирует свое обучение есть линейки курсов, каждая из которых готовит специалистов на заявленный уровень квалификации:

Эти линейки курсов не только готовят Вас к престижной международной сертификации Linux Professional Institute, но и дают практический опыт необходимый, чтобы обеспечивать поддержку сетевой инфраструктуры для компании средних размеров.

Рубрика: Без рубрики, Публикации | Комментарии к записи Куда пойти учиться сисадмину и безопаснику? отключены

Уязвимости в программном коде и методы противостояния им

Если гора не идет к Магомету, то Магомет сам идет к горе (крылатая фраза).

Рассчитывать на то, что наступят светлые времена, когда программисты не будут делать ошибок не приходится, поэтому разработчики решений по безопасности ищут способы сделать невозможной эксплуатацию имеющихся уязвимостей.

Первым бастионом на пути злоумышленника являются брандмауэры и прокси-сервера, ограничивающие доступ к потенциально уязвимым сервисам на основе Access Control Lists (ACL). Для защиты сервисов от некорректно сформированных пакетов применяется нормализация трафика. Крайне важно, чтобы настройкой списков контроля доступа занимался человек хорошо понимающий принципы их работы и специфику защищаемых сервисов.

Тем не менее, эти механизмы практически не спасают в ситуациях, когда следует обеспечить безопасность общедоступного сервиса использующего разрешенный порт и протокол, такого как DNS, web-сайт, ftp-сервер, почтовая система или B2B-система.

Для большинства сетевых сервисов возможно применение криптографических протоколов, как правило на основе TLS, что позволяет обезопасить трафик между клиентами и этими сервисами. Несмотря на то, что сам по себе протокол TLS обеспечивает достаточную защиту трафика, ошибки в конкретной его реализации могут существенно подорвать уровень защищенности сервиса.

Следующей категорией идут механизмы, предназначенные для ограничения возможностей злоумышленника в случае успешной эксплуатации уязвимостей. Рассмотрим эти механизмы на примере операционных систем Linux и FreeBSD.

Весьма эффективным является Mandatory Access Control (MAC) во FreeBSD, он позволяет реализовать различные уровни секретности по аналогии с тем, как это организовано у спецслужб, то есть данные подразделяются на совершенно секретные, секретные, конфиденциальные и несекретные и сотрудники (а в нашем случае программы) в зависимости от принадлежности к подразделению и назначенного им уровня допуска имеют или нет к ним доступ.

В Linux есть две аналогичные (конкурирующие) технологии:

Стремительно набирает популярность Apparmor — программный инструмент упреждающей защиты, основанный на политиках безопасности (известных также как профили для приложений), которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. в AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющее ускорить и упростить построение новых профилей.

Традиционным средством изоляции процессов является подмена для них корневого каталога (chroot), что позволяет изолировать сервисы друг от друга в случае взлома одного из них. При использовании этой техники, процессы не должны иметь полномочий суперпользователя, т. к., в противном случае, злоумышленник сможет воспользоваться second chroot чтобы выйти из chroot, поэтому для сервисов требующих административных привилегий целесообразно использовать средства виртуализации на уровне ОС, такие как Jail во FreeBSD и OpenVZ/LXC в Linux.

Цель каждой из вышеописанных технологий — не дать злоумышленнику насладиться победой, даже если ему удалось воспользоваться уязвимостью одного из сервисов. Данный подход хорош, но профессионалы в области защиты информации пошли дальше, так появлись GRSecurity и PaX. Это патчи к ядру Linux делающие невозможной эксплуатацию 60-70% уязвимостей, путем:

  • контроля

  • запрета исполнения в сегменте

    • данных

    • кучи

    • стека

  • запрета доступа к процессам других пользователей

  • запрета second chroot

  • рандомизации адресного пространства

Данный механизм (ядро c его поддержкой называется Hardened-ядром, впервые реализованным для Gentoo Linux) позволяет эффективно противостоять многочисленным атакам основанным на переполнении буфера и некоторым другим типам атак, но он требует чтобы сами приложения были написаны аккуратно, что делает его практически неприменимым на десктопах и ограниченно применимым на серверах, т. к. разработчики далеко не всегда достаточно аккуратны даже при создании сетевых демонов. Таким образом, несмотря на свою крайне высокую эффективность Hardened-ядро не применимо в 70% случаев из-за неаккуратного программирования присущего многим opensource-разработчикам.

Чтобы усугубить, картину хотелось бы обратить Ваше внимание на то, что не смотря на многообразие защитных механизмов не все из них совместимы между собой, так например, придется выбирать между Hardened-ядром (с поддержкой RBAC), SELinux или AppArmor, так как это конкурирующие технологии. Точно также, OpenVZ не тестировался на совместную работу с AppArmor и SELinux.

Не меньшее влияние на применимость защитных механизмов оказывает прикладное ПО, так почти все популярные Web-панели написанные на PHP (например ISPConfig) не дружат c AppArmor или SELinux, а JIT-компилятор для Python’a не совместим c Hardened-ядром.

Если подвести итоги, то специалист по безопасности UNIX-систем должен знать все средства обеспечения безопасности доступные на используемой им платформе и уметь выбрать наилучшее их сочетание для решаемой им задачи. Курс «UNIX (Ubuntu Linux/FreeBSD). Уровень 3. Обеспечение безопасности UNIX» предназначен для того, чтобы сориентировать системного администратора или офицера по безопасности в доступном ему инструментарии и получить навыки применения этих инструментов для построение периметровой защиты на всех 4-х уровнях

Рубрика: Без рубрики, Публикации | 1 комментарий

Мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера»

25 октября в Бизнес-инкубаторе АНХ (InCube) буду проводить мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера».

Перед руководителем проекта, у которого есть средства и разработчики, стоит масса сложных задач: выбрать средства разработки, спланировать архитектуру, распределить задачи, организовать работу. Если вы не чувствуете уверенности в этих вопросах, добрать нужных знания поможет мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера».

Мастер-класс будет полезен создателям проектов, которым необходимо добиться взаимопонимания с «технарями» и внятно изложить требования к проекту. Часто бизнес-решения тесно связаны с вопросами технической реализации. Выбор технологий может сыграть немалую роль в управлении рисками, стать решающим в конкурентной борьбе и, в конечном счете, оказать влияние на привлечение инвестиций. Поэтому техническая грамотность руководителя проекта — фактор, который определяет успешность его решений.

В рамках мастер-класса будет рассмотрена архитектура крупного веб-проекта с точки зрения управления рисками, что поможет понять, как выбирать наиболее удачное бизнес-решение.

Будут рассматриваться следующие вопросы:

  • Классификация веб-проектов
  • Сильные и слабые стороны средств разработки
  • Влияние масштаба проекта на выбор средств разработки
  • Влияние технических решений на новые этапы инвестиций
  • Типы хостингов, в том числе в облаках
  • CMS, типы CMS
  • Фреймворки, их типы и ограничения
  • Поддержка различных браузеров и ее окупаемость
  • Типы лицензирования их выбор, проверка нарушения авторских прав

Внимание! Мастер-класс платный. Стоимость участия 1250 руб.

Мастер-класс пройдет 25 октября в бизнес-инкубаторе АНХ InCube (проспект Вернадского, 82. Академия Народного Хозяйства, схема проезда).

Регистрация на мероприятие.

Рубрика: Без рубрики, Публикации | Комментарии к записи Мастер-класс «Анатомия веб-проектов, прожиточный минимум компетенции для стартапера» отключены

С 31-го октября стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows»

Хорошая новость для выпускников курсов «Linux (Ubuntu). Уровень 2. Использование UNIX-систем в качестве серверов в Internet» и/или «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX». C 31-го октября стартует курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Безопасность и взаимодействие с Microsoft Windows», который необходим администраторам сетей на основе доменов Active Diсtory, т.к. дает глубину понимания таких технологий, как OTP (OPIE), RADIUS (IAS), KERBEROS, GSSAPI и NTLM, а также возможностям, которые предоставляет LDAP. После этого курса администратор уже перерастает статус «шамана» т.к. он понимает «природу вещей», происходящих в доменe. И это лишь побочный эффект… Цель данного курса — дать концептуальное понимание механизмов, лежащих в основе Active Directory, их сильные и слабые стороны с позиций информационной безопасности. Курс не только учит интегрировать UNIX-cистемы в домен, но и рассматривает способы применения UNIX для усиления безопасности Active Directory. Рассматривается на курсе и использование Linux/FreeBSD-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения. Учитывая тот факт, что сейчас 90% сетей являются гетерогенными (используют разные ОС как минимум на серверах и корпоративных шлюзах) можно сказать про него — must have.  Ссылка: http://www.specialist.ru/course/yun3-b

Рубрика: Без рубрики, Публикации | 1 комментарий

Внеочередной субботний курс c 26-го ноября 2011 года

Курс «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX» пользуется заслуженной популярностью, что неудивительно в связи со статистикой успешных взломов в немалой степени связанной c недостаточной осведомленностью системных администраторов в вопросах безопасности UNIX-систем. Руководство УЦ «Специалист» своевременно отреагировало на запросы слушателей и в результате был запланирован внеочередной субботний курс c 26-го ноября 2011 года.

Рубрика: Без рубрики, Публикации | 1 комментарий

Рецензия на книгу «Уязвимости в программном коде и борьба с ними». Ховард М., Лебланк Д., Виега Д./ — М.: ДМК Пресс, 2011.

Целевая аудитория данной книги — разработчики программного обеспечения, что неудивительно, так как Майкл Ховард и Дэвид Лебланк являются авторами нашумевшей книги издательства Microsoft Press «Защищенный код». Кроме того, авторы активно участвовали в Windows Security Push — инициативы по укреплению защиты продуктов Microsoft. Однако они не останавливаются на языках и средствах разработки, популярных на платформе Windows, но и затрагивают специфику разработки на С/С++ и Perl в UNIX-системах. Спектр операционных систем, уязвимости которых освещаются, также разнообразен: Windows, коммерческие UNIX, Linux, Mac OS X и Novell Netware.

Книга рассматривает типы ошибок (грехов — в терминологии авторов) в программном коде, которые потенциально можно эксплуатировать как уязвимости в таких языках как: C/C++, C#, Java, Visual Basic, Visual Basic .Net, Perl и Python. Причем, по каждому типу грехов (ошибок) рассматриваются следующие аспекты:

  • В чем состоит грех

  • Подверженные греху языки

  • Как происходит грехопадение

  • Греховность С/С++

  • Родственные грехи

  • Где искать ошибку

  • Выявление ошибки на этапе анализа кода

  • Примеры ошибок из реальной жизни (CVE-…,CAN-…)

  • Искупление греха (исправление ошибки)

  • Дополнительные защитные меры

Особенное внимание уделено небезопасным системным и библиотечным вызовам каждого из указанных выше языков и операционных систем.

Web-уязвимости рассматриваются в контексте SQL-инъекций и кросс-сайтовых сценариев. Применительно к Web-серверу IIS делается обзор типовых ошибок в ISAPI-расширениях на C/C++ и форм на ASP .Net.

Учитывая, что материалы книги могут задеть тех, кто склонен идеализировать любимые ими программные продукты и платформы, с юмором используемые авторами религиозные аллюзии (грех и грехопадение) облегчают задачу донесения изложенных идей даже до предвзятой аудитории.

Многие издания для программистов, продвигая новейшие возможности средств разработки и делая упор на технических аспектах, забывают о том, что необходимо также «ставить почерк» — то есть заботиться об обучении хорошему стилю программирования — включающему в себя заботу о качестве и безопасности кода. Было бы отлично, если бы начинающие разработчики и выпускники курсов по разработке прочитали эту книгу — ведь каждый из них сможет в новом измерении увидеть, как применять изученные технические приемы.

 

Рубрика: Без рубрики, Публикации | Комментарии к записи Рецензия на книгу «Уязвимости в программном коде и борьба с ними». Ховард М., Лебланк Д., Виега Д./ — М.: ДМК Пресс, 2011. отключены

Рецензия на книгу «Защита компьютерной информации. Эффективные методы и средства. Шаньгин В. Ф. — М. : ДМК Пресс, 2010»

Книга позиционируется как учебное пособие для студентов вузов, но будет крайне полезна и действующим специалистам по безопасности. Ведь она содержит как самые базовые темы, такие как модель OSI и стек протоколов TCP/IP, так и рассчитанные на криптоаналитиков описания алгоритмов шифрования.

Инженерный подход, знание алгоритмов и владение математикой выгодно отличают автора, немного людей столь глубоко сейчас смотрят на свою область. Превосходна глава «Криптографическая защита информации», чувствуется, что криптография является любимым коньком автора: описаны симметричные, ассиметричные шифры, хэш-функции, алгоритмы ЭЦП и управление криптоключами. И другие главы книги при сжатом и концептуальном описании их тем, акцентируют внимание на том, каким образом в них используется криптографическая защита — например, глава, посвященная технологиям аутентификации; рассмотрение инфраструктуры защиты на прикладном уровне, в частности PKI; представление системы обнаружения вторжений и реализующих их коммерческих решений; защита на сетевом уровне — протокол IPSec.

В силу сказанного выше критиковать эту книгу не хочется. Однако, должен отметить, что она имеет некоторые чисто методические минусы. С одной стороны криптозащита представлена глубоко — для «продвинутой» аудитории, с другой стороны — охватывая тему безопасности широко, это издание некоторые решения сужает до описания лишь в виде концепций того, как они работают, что недостаточно для новичков но избыточно для зрелых профессионалов.

Например, глава «Модели безопасности операционных систем» не охватывает специфику мандатного контроля доступа в UNIX-системах, а также использует термин ACL применительно к классическим правам доступа, тогда как следовало бы больше внимания уделить POSIX ACL. Весьма сжато описаны и политики безопасности. Применительно к UNIX не были затронуты такие механизмы как сhroot() и применение виртуализации на уровне ОС для защиты демонов. В главе «Технологии межсетевых экранов» представлены общие подходы без углубления в специфику Cisco, MS, Linux/FreeBSD или иных поставщиков. Также «Основы технологии виртуальных защищенных сетей» и «Защита на канальном и сеансовом уровнях» представляют собой краткий обзор соответствующих протоколов.

Однако новичкам требуется не только понять концепции, но и получить представление о различиях реализаций на разных платформах, а главное, иметь возможность применить изученное на практике. Для этого потребовалось бы ввести в книгу описания практических заданий и листингов к ним. Ведь даже при выполнении этого условия многие, споткнувшись на каком-либо задании, могут оставить и книгу и попытки освоить специальность.

Но это вопрос таргетирования аудитории, а не вопрос качества изложения. Автор прекрасно продемонстрировал и роль криптографии в защите данных и беспристрастность в освещении различных платформ, что удается немногим. Хочется поблагодарить Владимира Федоровича за книгу, которая послужит хорошим учебным пособием для студентов профильных специальностей и выпускников курсов по безопасности и поможет подготовить специалистов отнюдь не поверхностно смотрящих на свой предмет.

Рубрика: Без рубрики, Публикации | Комментарии к записи Рецензия на книгу «Защита компьютерной информации. Эффективные методы и средства. Шаньгин В. Ф. — М. : ДМК Пресс, 2010» отключены

Влияние специализации на защиту корпоративной сети

Сейчас сложно найти корпоративную сеть, основанную только на решениях Microsoft, так как зачастую в качестве корпоративных шлюзов, внешних почтовых и DNS-серверов, баз данных Oracle и систем виртуализации используются Linux/FreeBSD. Да и на десктопах наметилось некое «биоразнообразие» — хотя бы за счет появления ноутбуков и планшетов от Apple.

Это изменило и квалификационные требования к соискателям от крупных компаний — стало недостаточным специализироваться в чем-то одном, например, в технологиях Microsoft или Cisco. Все больше вакансий как системных инженеров так и специалистов по безопасности содержит в качестве обязательных требований дополнительное знание либо Linux, либо FreeBSD.

Почему даже при большом штате работодатели не ограничиваются разделением специализаций? Не секрет, что у каждой из платформ есть свои достоинства и недостатки. Системные администраторы, имеющие узкую компетенцию, имеют тенденцию «тянуть одеяло» в сторону известных им технологий. Нужно обладать широкой компетенцией, чтобы использовать каждую из платформ в том, в чем она наиболее эффективна.

Поэтому, когда речь заходит о поддержке и защите гетерогенной корпоративной среды, даже знатоки нескольких операционных систем начинают сдавать позиции специалистам по безопасности, которые понимают слабости каждой из платформ и умеют применять открытые UNIX-системы для защиты домена Active Directory. Помимо учета технических способов защиты, они соотносят их с административными мерами, внося большую скоординированность в мероприятия по обеспечению информационной безопасности и оптимизируя бюджет на эти цели.

Популярность нетбуков и планшетов (на которых активно используются платформа Android и Ubuntu Linux) заставила обратить внимание на Linux-системы как на пользовательскую ОС, выведя в свет не только их серверные редакции. Со статистикой по популярности Linux-дистрибутивов можно ознакомиться на www.distrowatch.com. В то же время системы на базе FreeBSD устойчивей к взлому даже с настройками по умолчанию, что делает их популярными в роли внешних интернет-шлюзов. Совместное применение FreeBSD и Linux предъявляет как высокие требования к квалификации системных инженеров, так и к квалификации злоумышленника, что удорожает стоимость взлома и снижает его вероятность.

Что должен знать эксперт по безопасности:

  • В первую очередь, он должен уметь видеть сильные и слабые стороны бизнес-процессов компании и ее инфраструктуры, поскольку ввиду невозможности или дороговизны перекрытия всех слабых мест техническими мерами, оргмероприятия начинают выходить на первый план

  • Понимать какое влияние оказывает человеческий фактор и каковы возможности повлиять на него с помощью регламентов, обучения и физических ограничений

  • Иметь компетенцию в технологиях обеспечения безопасности для каждой из операционных систем, используемых в компании, не забывая и об их слабостях

Например, доменная организация внутренней сети представляет собой так называемый «круг доверия», в рамках которого сервера и рабочие станции безоговорочно доверяют контроллеру домена и ни о чем беспокоятся (пока он не скомпрометирован).

Да, обеспечить приемлемую защиту контроллеров домена нетрудно, но так как ряд сервисов требуют доступ к расширенным атрибутам LDAP, то их приходится запускать с правами администратора домена. Таким образом, задача злоумышленника сводится к нахождению уязвимости в одном из таких сервисов или к использованию методов социальной инженерии с целью получения учетной записи привелегированного пользователя одного из них с целью дальнейшей эскалации привилегий. В некоторых случаях проблема решается тщательной настройкой групповых политик, но к сожалению далеко не всегда, что ставит под угрозу безопасность всего домена. В таких случаях и становятся очень заметны недостатки узкой квалификации инженеров. Специалист, обладающий широким кругозором, не станет закрывать на это глаза и постарается минимизировать возможные риски, в том числе, внедрив превентивные меры.

Эффективным решением по защите внутренней сети от вторжения извне является использование операционной системы FreeBSD на внешнем шлюзе, Linux на шлюзе между DMZ и локальной сетью, а также любой из этих двух систем в качестве почтового шлюза в DMZ.

 

Для того, чтобы применение UNIX-систем было эффективно, следует уделить должное внимание их собственной безопасности, что обеспечивается следующими средствами:

  • Изоляцией приложений FreeBSD с помощью Mandatory Access Control, а Linux — AppArmor/SeLinux

  • Изоляцией приложений в рамках файловой системы, используя механизм Chroot ()

  • Применением виртуализации программного окружения средствами Jail во FreeBSD, и OpenVZ/LXC в Linux

  • Применением сетевого суперсервера для защиты сервисов

  • Использованием непривилегированных учетных записей

  • Настройкой межсетевого экрана

  • Включением ACL на прокси-сервере

  • Применением антивирусных и антиспам фильтров

К сожалению сейчас наблюдается острая нехватка безопасников, владеющих несколькими операционными системами и умеющих использовать их сильные и слабые стороны.

В учебном центре Специалист при МГТУ им. Баумана выбор курсов по безопасности весьма велик. Но хотелось бы выделить среди них те два, которые ближе всего к рассматриваемой теме защиты гетерогенных сетей: «Обеспечение безопасности UNIX (Linux/FreeBSD)» и «Этичный хакинг и тестирование на проникновение».

Курс «Обеспечение безопасности UNIX (Linux/FreeBSD)» рассматривает совместное применение Linux и FreeBSD для обеспечения полноценной периметровой эшелонированной защиты. Он готовит профессионалов, понимающих образ мыслей хакеров и умеющих использовать средства обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны. Обширная практика занимает большую часть времени занятий, ею предусмотрено создание каждым слушателем защищенной сети на специальном стенде. Такая практика помогает быстро прорваться через проблемы применения на практике изученных в теории принципов, что зачастую по книгам дается с трудом. Кроме того, данный курс покрывает требования по безопасности в рамках сертификации LPIC-3.

Курс «Этичный хакинг и тестирование на проникновение» созданный EC-Concil имеет целью обучить специалистов по безопасности производить тестирование на проникновения с целью выявления узких мест в защите корпоративных ресурсов. Желающие смогут подтвердить полученную квалификацию, сдав экзамен на Certified Ethical Hacker. Престиж сертификации подчеркивается тем фактом, что сейчас в мире ею обладают менее 400 экспертов.

Оба эти курса позволят подготовить высокооплачиваемых экспертов по информационной безопасности так необходимых крупным холдингам и корпорациям. Не менее важно то, что выпускники этих курсов будут иметь достаточный авторитет в своих компаниях, что обеспечит им устойчивый карьерный рост.

Рубрика: Без рубрики, Публикации | Комментарии к записи Влияние специализации на защиту корпоративной сети отключены

Подробности о курсе «UNIX (Ubuntu/FreeBSD). Уровень 3. Обеспечение безопасности UNIX»

Не секрет, что наиболее защищенными оказываются корпоративные сети с гетерогенной инфраструктурой, но надо уметь использовать средства безопасности этих систем на полную мощность.

Данный курс, в первую очередь, ориентирован на IT-руководителей и системных администраторов, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры средствами UNIX (Linux/FreeBSD), а также для тех, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

В рамках курса изучаются четыре периметра безопасности и их реализация средствами UNIX-систем, что включает в себя защиту внешнего периметра, демилитаризованной зоны, локальной сети и уровня каждого из хостов. Для решения этой задачи в рамках курса используется пять виртуальных машин. Таким образом курс позволяет получить ключевые знания по обеспечению комплексной безопасности сетевой инфраструктуры средствами UNIX (Linux/FreeBSD).
Для обеспечения защиты внешнего периметра использованы следующие технологии:

  • Применение политик Apparmor для Linux и MAC для FreeBSD
  • Использование ACL на прокси-сервере
  • Возможности xinetd по защите от атак типа «Отказ в обслуживании»
  • Запуск сервисов в chroot
  • Использование возможностей SSH для защиты сервисов
    • Аутентификация с использованием публичных ssh-ключей
    • Защита сервисов средствами ssh
    • VPN через ssh

Для защиты сервисов демилитаризованной зоны и локальной сети применяется виртуализация на уровне операционной системы для Linux это — OpenVZ/LXC, а для FreeBSD — Jail. Для защиты удаленного доступа пользователей к ресурсам локальной сети используется OpenVPN. Рассматриваются средства мониторинга и аудита событий, для своевременного выявления нежелательной активности.

Особое внимание уделяется мерам по обеспечению безопасности на уровне хоста, что включает в себя:

  • Автоматизированные средства укрепления безопасности и мониторинга системных файлов
    • Bastille  — инструмент укрепления локальных политик безопасности
    • Chrootkit — поиск rootkit-ов в системе (инструмент общего назначения)
    • Rkhunter — специализированный инструмент для поиска  rootkit-ов в системе
  • Средства защиты рабочей станции
    • firestarter — управление работой брандмауэра
    • ClamTk — управление работой антивирусного сканера
    • sshfs — безопасная замена SMB/CIFS
Повышенное внимание в рамках курса уделяется систематизации полученных знаний и комплексному их использованию. Поэтому порядка 70% курса посвящается практике по усилению защиты сети. Что включает в себя построение защищенного внешнего периметра средствами FreeBSD, демилитаризованной зоны на основе Linux и локальной сети c серверами на FreeBSD, а в качестве рабочих станций применяются Windows 7 и Linux. В результате, каждый слушатель курса освоит технологии обеспечения безопасности на примере сети виртуальной корпорации «SkyNet».
Рубрика: Без рубрики, Публикации | 4 комментария

Подробности о курсе «CEH: Этичный хакинг и тестирование на проникновение»

Ключевым в данном курсе является этичное использование полученных знаний. И чтобы подкрепить этот подход, компания EC Concil требует подписания соответствующего соглашения. У EC Concil есть и возрастной ценз по записи на курсы — только после 21-го года.

Особого внимания заслуживает тот факт, что программа курса одобрена минобороны США. Информационная война идет по всему миру, и данный курс готовит офицеров для этой войны.

На пресс-конференции посвященной старту этого курса в России, которая прошла в апреле 2011 года старший вирусный аналитик Лаборатории Каспеского Сергей Голованов выразил некоторую озабоченность появлением данного курса, но признал необходимость роста квалификации антихакеров в период повышенной хакерской активности. Но наибольшее оживление вызвало выступление Дмитрия Склярова, сломавшего нашумевшую защиту DRM в PDF-файлах. Дмитрий считает себя хакером в исходном смысле этого слова, т.е.высококвалифицированным программистом, любящим свою работу. Являясь аналитиком по информационной безопасности, он подчеркивает, что без этичного поведения нельзя сохранить свои позиции в этом бизнесе. Он считает, что именно этичность могла бы возродить хакерское движениев исходном его смысле. Многие российские компании хотели бы иметь всвоем штате специалиста такого уровня.

В «Специалисте» предосталяется 7-я версия данного курса, в которой используются самые последние версии хакерских тулзов.В курсе 19 модулей, вот их полный список:

  • Введение в этический хакинг
  • Сбор информации
  • Сканирование
  • Перечисление
  • Хакинг системы
  • Трояны и бэкдоры
  • Вирусы и черви
  • Снифферы
  • Социальная инженерия
  • Отказ в обслуживании
  • Перехват сеанса
  • Хакинг веб-серверов
  • Хакинг веб-приложений
  • SQL инъекция
  • Хакинг беспроводных сетей
  • Обход систем обнаружения вторжений, фаерволлов и Honey Pot
  • Переполнение буфера
  • Криптография
  • Тестирование на проникновение

И все это за 72 академических часа, из которых 40 очно в обязательном порядке. Объем раздатки также впечатляет — отборные HackingTools на 4-х DVD. Большой плюс курса — наличие видеоматериалов с демонстрациями, иллюстрирующими использование изучаемого инструментария. В рамках курса особое внимание уделяется взлом веб-серверов и веб-приложений.

На курсе даже делается попытка взлома сайта www.certifiedhacker.com.Участникам пресс-конференции был продемонстрирован процесс определения типа используемой этим сайтом CMS-системы с помощью2ip.ru — ей оказалась OpenCMS. А модуль, посвященный взлому веб-приложений, демонстрирует как можно использовать эту информацию.

Для того, чтобы получить статус достаточно сдать один экзамен «312—50» из 150 вопросов длительностью 4 часа. Предварительные требования к курсу указаны на сайте.

Рубрика: Без рубрики, Публикации | Комментарии к записи Подробности о курсе «CEH: Этичный хакинг и тестирование на проникновение» отключены

По многочисленным просьбам курс перенесен на 19 сентября…

По многочисленным просьбам курс «Обеспечение безопасности UNIX (Linux / FreeBSD)» перенесен на 19 сентября и учитывая, что в этом году он идет не часто, у вас есть возможность записаться на обучение в этой группе.

Рубрика: Без рубрики, Публикации | 1 комментарий

Приглашаю на курс «CEH. Этичный хакинг и тестирование на проникновение»

По субботам, с 28-го августа в УЦ Специалист при МГТУ им Баумана буду проводить курс «CEH. Этичный хакинг и тестирование на проникновение».
Вы получите знания и навыки, необходимые для успешного выявления и устранения проблем безопасности в смешанных компьютерных сетях. Курс посвящен уникальным хакерским техникам и методам взлома в контексте применения оборонительных практик и рекомендаций, изложенных настоящими хакерами. Курс одобрен министерством обороны США и является официальной библией для сотрудников службы безопасности.

В курсе представлены подробные материалы по работе компьютерных систем и сетей. Рассмотрены типичные уязвимости сетевых протоколов, операционных систем и приложений. Описаны последовательности различных видов атак на компьютерные системы и сети, и предложены рекомендации по укреплению защищенности компьютерных систем и сетей.
Страница курса: http://www.specialist.ru/course/ceh

Рубрика: Без рубрики, Публикации | Комментарии к записи Приглашаю на курс «CEH. Этичный хакинг и тестирование на проникновение» отключены

Курс «Обеспечение безопасности UNIX (Linux / FreeBSD)»

C 22-го августа 2011 года в УЦ Специалист при МГТУ им Баумана начинается курс «Обеспечение безопасности UNIX (Linux/FreeBSD)».
Этот курс уникален, он готовит профессионалов, понимающих образ мыслей хакеров и умеющих использовать средства обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны.
По мнению выпускников, курс наиболее ценен тем, что построен в виде набора практических занятий по построению эшелонированной защиты на всех четырех периметрах безопасности. Очень ценно и совместное применение Linux (Ubuntu) и FreeBSD для защиты корпоративной инфраструктуры.

Рубрика: Без рубрики, Публикации | Комментарии к записи Курс «Обеспечение безопасности UNIX (Linux / FreeBSD)» отключены

Первые выпускники курса «Безопасность UNIX (Linux/FreeBSD)»

Без лишнего шума и пыли центр «Специалист» подготовил профессионалов понимающих образ мыслей хакеров и умеющих использовать срества обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны.

По мнению выпускников, курс наиболее ценен тем, что построен в виде набора практических занятий, по построению эшелонированной защиты на всех четырех периметрах безопасности. Очень ценно и совместное применение Linux и FreeBSD для защиты корпоративной инфраструктуры.

От себя хочу добавить, что мне очень приятно за хорошо выполненную работу по их обучению.

Рубрика: Без рубрики, Публикации | 1 комментарий

Информационная безопасность и социальные сети

Сегодня речь пойдет о безопасности данных, составляющих коммерческую тайну, и о самом не поддающемся контролю аспекте обеспечения ее сохранности — человеческом факторе. Здесь не будут подниматься «религиозные» споры, такие, как Windows vs Mac или Windows vs Linux, тем более, что в контексте данного выпуска это не принципиально. Эта статья о том, как пользователи сами ставят под угрозу безопасность информации, ведя себя неосмотрительно в социальных сетях.

Читать далее

Рубрика: Без рубрики, Публикации | 2 комментария

Эволюция хакинга

Старый ковбойский анекдот: 
— О! Да это же неуловимый Джо! 
— Правда неуловимый?! 
— Да кому он нафиг нужен! 
Для современных хакеров не существует «неуловимых Джо». 

Десятки лет совершенствуются методы взлома. Мотивы, которыми руководствуются хакеры, эволюционируют. Как же все попали в поле их интересов?

Читать далее

Рубрика: Без рубрики, Публикации | Комментарии к записи Эволюция хакинга отключены

Анатомия уязвимостей

На чем основана анатомия уязвимостей? Уязвимость — это ошибка в программе, которую можно использовать для получения несанкционированного доступа к системе или отказа в обслуживании для уязвимого сервиса. Администратор, а тем более конечный пользователь, не в состоянии изменить природу вещей, зато они могут минимизировать возможность взлома системы или его последствия.

Читать далее

Рубрика: Без рубрики, Публикации | Комментарии к записи Анатомия уязвимостей отключены

Четыре периметра безопасности

Считается, что ресурсы локальной сети гораздо лучше защищены от вторжения, чем сервисы, непосредственно доступные из интернета. От чего зависит реальная безопасность?

Читать далее

Рубрика: Без рубрики, Публикации | Комментарии к записи Четыре периметра безопасности отключены

Разруха не в клозетах, а в головах

Откуда берется «индийский код», являющийся причиной большинства проблем с безопасностью? Данный термин давно перестал ассоциироваться только с разработчиками из Индии и стал именем нарицательным, характеризующим программный код определенного качества.

Читать далее

Рубрика: Без рубрики, Публикации | 2 комментария

Специализация «безопасников» и ее особенности

Несмотря на то, что формально рынок услуг по информационной безопасности и защите коммерческой тайны существует с конца 90-х, спрос на специалистов в этой области сильно превышает предложение.

Читать далее

Рубрика: Без рубрики, Публикации | Комментарии к записи Специализация «безопасников» и ее особенности отключены