Конференция по информационна сигурност 2010
На 9 септември в хотел „Шератон”, София, се проведе годишната Конференция по информационна сигурност, организирана от Еском България, в сътрудничество с IDC България. Председател на конференцията беше Борис Гончаров, CISSP, IT/IS Manager на G4S и инструктор в New Horizons по въпросите на сигурността. От страна на New Horizons в конференцията взеха участие също Дениз Кая, старши секюрити инструктор, и Николай Пенев, управител. Зададохме им няколко въпроса.
Разкажете ни накратко за впечатленията си от конференцията. Какви бяха основните теми и акценти ?
Дениз: Участваме в конференцията трета поредна година и всеки път научаваме нещо ново. Най-ценното е възможността да се срещнем с колеги, ангажирани в сферата на ИТ сигурността.
Николай: Срещнах се с хора от брашна, с които се познаваме от много години. В тези няколко часа успях да чуя различни новости – например, че виртуализацията продължава да е хит и че на дневен ред вече излезе сигурността на хост машините, върху които работят виртуалните машини. Вижда се, че е много по-скъпо да не мислиш за сигурността, отколкото да я вземеш насериозно. Но висшето ръководство трябва да приеме, че сигурността е и негова грижа, и грижа на собственика, а не само на ИТ отдела. Важно е собствениците да бъдат информирани какви стандарти има по отнощение на информационната сигурност. Последната дума на експертите по управление на сигурността в организацията е стандартът ISO 27001.
Какво е важно за преодоляване на затрудненията при опазване на информационните активи?
Дениз: Необходимо е да има disaster recovery plan, да се прави анализ на рисковете, а има и текущи задачи, които трябва да се вършат всеки ден – т.е. сигурността не е еднократен акт, като да закупиш продукт или да инсталираш софтуер.
Дениз: Ние помагаме на администраторите по мрежова сигурност да погледнат отвън – да разберат как могат да се атакуват системите, как мислят хакерите. Това им дава възможност да вземат по-добри мерки при конфигурирането на устройствата. Повечето тренинги са вендор-базирани, защото никой не познава продукта по-добре от самия вендор.
Николай: Обучението трябва да бъде комплексно: базисно обучение по сигурност за всички хора в ИТ, обучение по сигурност за програмисти, за адмнистратори, за директори.
Дениз: Тази демонстрация беше свързана с един проблем, за който бе сигнализирано в края на август. Има проблем с използването на DLL в операционните системи на Майкрософт, който се изразява в това, че ако не е указан пълният път, някои приложения търсят свързаните с тях DLL файлове първо в директорията, откъдето зареждат документа, а чак след това – в системните директории на Windows. В резултат се появиха цели комплекти (toolkit, напр. „backtrack / metasploit”) за автоматизирано използване на тази уязвизмост, а процесът се нарича DLL hi-jacking. С помощта на малко социално инженерство може лесно да подведете потребителя-жертва да щракне върху вашия „документ” – напр. почти всеки бизнес потребител би отворил документ, който е именован „Финансов доклад 2009 (Поверително).ppt”. Оттам нататък за броени минути придобивате администраторски контрол върху компютъра на жертвата.
Базата за атака (броят на потенциалните жертви) намалява с течение на времето, като резултат от прилагането на нужните актуализации (patch), така че хакерите не може да използват едни и същи уязвимости, a непрекъснато подновяват методите си на атака.
Не можеш да разчиташ на Patch Management системата за точно тази уязвимост. Кръпката (patch) е там, но освен него се изисква и ръчна конфигурация на пътища в регистъра на Windows. Вероятно следващата версия ще коригира и пътищата в регистрите, но в момента не е достатъчно да използваш автоматичната си Patch Management система, а трябва да знаеш и как се конфигурира и прилагат препоръките за отделните актуализации.
След края на конференцията на гостите бяха раздадени награди от различни спонсори. Голямата награда – курс по CompTIA Security+, беше осигурена от New Horizons. С какво това обучение е полезно за специалиста по информационна сигурност?
Николай: CompTIA Security+ е базов курс по ИТ мрежова сигурност, независим от конкретен производител. Използват се основно продукти на Microsoft, като най-популярни, но принципите са приложими и към други операционни системи. Някои от темите на курса са: защита на протоколите, криптиране, регистриране и одитиране на потребителите в системата, т.н.