INFOBEZ-EXPO 2011

Вчера был на INFOBEZ-EXPO 2011. Посмотрел, послушал, пообщался. В целом выставка похожа на Infosecurity. Что в общем то и понятно, т.к. вышли они друг из друга. Заметил одну особенность (хотя может просто показалось). На Infosecurity было больше зарубежных компаний, а на INFOBEZ больше российских. Сама выставка не очень большая. Мне показалось даже меньше Infosecurity. Запланировано много мероприятий. Толком на мероприятиях посидеть не удалось, как и попасть на раздачу пива в конце дня. Но тем не менее. 

Один раз очень напугали барабанщицы. Они незаметно вышли из за спины и как грянули марш. Оказалось, это был своего рода анонс выступления на центральной сцене.

Пообщался на стенде Сертифицированные информационные системы с Ульяной Малиной. В ходе беседы Ульяна активно рекламировала сертифицированные продукты Microsoft. На вопрос,

 "Если установлена сертифицированная Windows XP/7 можно ли считать встроенный межсетевой экран также сертифицированным?", Ульяна ответить затруднилась. Но сказала, что уточнит. В качестве межсетевого экрана у них сертифицирована MS ISA 2006. А вот TMG только сертифицируется. 

Интересно идет получение сертифицированного продукта. Если у Вас ничего нет, то просто покупаете сертифицированную версию и все. А вот если у Вас уже куплена лицензионная версия скажем Windows 7. ТО тогда Вы передаете диск и лицензионный номер к ним в компанию. Они вместе с Microsoft проводят сертификацию и возвращают Вам. После этого нужно переустановить систему с выданного диска. Потом установить сертифицированные обновления. Потом, по словам Ульяны, можно установить несертифицированные обновления. И все. Хотя у меня возникает вопрос, после установки несертифицированных обновлений не аннулируется ли сертификация продукта? На то они и сертифицировали продукт и обновления к нему, чтобы сказать, что в нем все чисто. А после установки несертифицированных обновлений, так сказать уже нельзя. В общем вот такой разговор был на стенде Сертифицированных информационных систем. 

Еще пообщался с Рутокен. Спрашивал о наличии смарткарт. Сказали пока нет, но будут. По ценам на USB-токены они по моему проигрывают Аладину. Надо сравнить. Плюс у них нет своего ПО типа Network Login и TMS. Это может и не слишком важно, но все таки.

Также интересно рассказывали на стенде ТаксКом. Предлагали перейти на электронный документооборот с поставщиками и заказчиками. В качестве платформы предлагали свой продукт Такском-Файлер. Пока бесплатно. Но когда правительство примет соответствующее законодательство, то будет за деньги. Весь обмен идет через них, как оператора. Причем если Ваш контрагент нуждается только в получении документов, то он может и не ставить клиента, а работать через WEB сайт. В этом режиме возможно только получение. На вопрос о том хранят ли они на сайте копии сообщений, сказали, что не хранят сами сообщения. У них остается на хранение только квитанции об отправке и получении. Если надо могут организовать и полноценный архив. Надо будет подумать над этим вместе с финансистами.

В общем неплохо провел день.

Взлом из сети выставки по безопасности.

   Забавный случай произошел на выставке Infosecurity 2011. Мы с коллегой слушали одну из презентаций. В какой то момент выступление был не очень интересно и коллега решил посмотреть, что происходит в окружающем эфире. Включив на своем Ipad обнаружение WiFi сетей, он обнаружил большое количество устройств. Среди найденных устройств высветился некая точка доступа D-Link. Проведя сканирование портов обнаружили открытый порт 80. Это оказалась консоль управления. Пробуем классическое admin/admin, и вот он интерфейс управления.  Покопавшись в настройках и не найдя ничего интересного, поиграли со светодиодами, отключили несколько устройств. Потом перезагрузили точку доступа  и отключились. Искать где же расположено это устройство не очень хотелось и было некогда.

  

Очень забавно выглядело использование незащищенной точки доступа и логина/пароля по умолчанию на выставке по безопасности. При этом, существует опасность того, что такой точкой доступа воспользуются злоумышленники. И будет очень смешно, когда выяснится, что взлом произошел из сети выставки по инфобезопасности. С другой стороны в парке Сокольники кругом бесплатный WiFi, но тем не менее. 

Когда люди научатся менять пароли по умолчанию сразу после включения устройства?

Infosecurity 2011 (день второй)

Вчера весь день посвятил Zecurion DLP Forum'11. Мероприятие проходило в зале №4 расположенном отдельно от основного зала выставки. На входе стояли бдительные девушки и без наличия фамилии в списке не пропускали. Сначала. Потом все таки пускали. У меня проблем не возникло, т.к. я отправил запрос на регистрацию днем раньше и получил подтверждение. Однако мой коллега этого сделать не смог и его сначала не пускали. Мотивируя это тем, что якобы у них на 150 мест 300 желающих. Но когда к началу форума зал был заполнен наполовину, все таки решили пустить. 

Всем раздали тряпочные сумки с материалами. Среди материалов был блокнот, ручка, программа форума и рекламный буклет с продукцией Zecurion DLP. Да и еще в каждой сумке лежала книга. У всех разная. Мне досталась книга Паоло Коэльо "Алхимик". Коллеге достался Жан Жак Руссо. Забавно. Программа форума состояла из трех сессий. Плюс в конце обещали чемпионат по картингу. Но я на него не пошел. Были дела дома. 

Форум начался не очень организованно. Т.к. большинство докладчиков опоздали. Но тем не менее начали вовремя. В первой сессии под названием "DLP-сегодня: задачи и возможности" выступал А.Раевский с докладом по теме "Стратегический подход к защите от утечек: какие бизнес-задачи решают современные DLP-системы". 

Потом выступил И.Шабанов из Anti-malware.ru. Но его доклад как то не впечатлил. Раевский был интереснее. 

Затем очень не плохо выступил М.Кардер из Cisco. И еще выступил Е.Климов из RISSPA. 

Во второй части под названием "Выбор DLP" выступали П.Савич из Websense с интересным докладом о потребностях клиентов и возможностях систем DLP. В частности, он пытался объяснить, что зачастую клиенты требуют от системы DLP возможностей, ктороые в жизни не очень нужны. Например, морфологический анализ. По его словам это не самое главное свойство DLP. И если его нет, то вполне можно обойтись звездочкой - договор*. 

Р.Подкопаев (Zecurion) с докладом "А что вам нужно от DLP?". Затем выступил О.Головенко из Symantec с обзором технологий DLP. 

Затем был довольно скучный (для меня) доклад А.Рогожина из Trustwave о DLP в контексте PCI DSS.

В третьей части под названием "Практика защиты от утечек: от внедрения до расследований", довольно интересно выступил А.Новиков из McAfee. Он рассказывал о сложностях при внедрении DLP. 

Затем было выступление представителя Group-IB. Он много рассказал о проведении расследований. Но не совсем понятно было при чем здесь DLP. И когда мы спросили использовались ли системы DLP и их логи при расследовании. Был получен ответ  "Нет". 

Очень интересно выступал К.Суворов из адвокатской конторы "Корельский, Ищук, Астафьев и партнеры" о том, насколько правомерно использование DLP в компании. И что необходимо для обеспечения правомерности. Т.к. по конституции все имеют право на тайну частной переписки. И за нарушение этого права грозит уголовная ответственность. Но и работодатель имеет право контролировать исполнение обязательств. Но чтобы не нарушать права работника нужно получить его согласие. Тогда работодатель прав не нарушает. Было много вопросов. Например, даже если нет DLP, то есть скажем антиспам фильтр, который просматривает почту. Формально нарушаются права на тайну переписки. Т.е. нужно согласие работника. Для себя определил, что надо наравне с согласием на обработку персональных данных, брать еще согласие на доступ к переписке. Плюс вводить режим коммерческой тайны и запрещение использования служебных средств в частных целях.

Напоследок было выступление К.Керценбаума. В своем докладе Керценбаум пытался довести до нас, что внедрение DLP это одно из последних средств.  А на начальном этапе многие вопросы можно закрыть простыми средствами. Внедрением антивируса, межсетевого экрана, систем IDS/IPS и т.д.

Вкратце все. В целом форум понравился. Почерпнул некоторую новую для себя информацию.

Infosecurity 2011

Сегодня с утра сходил на выставку Infosecurity. Сама выставка проходит в Сокольниках. По размеру не очень большая. Крупных производителей не много. Но тем не менее посмотреть кое что можно. Для меня основное все таки общение с коллегами и представителями компаний. А также участие в семинарах и других мероприятиях. Сегодня послушал выступление по теме "Безопасность WEB-приложений - а Ваш WEB-сервер защищен?". Выступал Маркус Хенинг из Astaro GmbH. Выступление не очень понравилось. Маркус дал общую информацию о взломе RSA, Barracuda. И еще общие размышления. После этого посетил демонстрацию решения Центр мониторинга и управления безопасностью предприятия от компании АйТи. Коллеги рассказывали о своем продукте Security Vision. Продукт  как я понял является некоей надстройкой над SIEM. В демонстрации был использован Q1 Radar. Но по словам АйТи можно использовать любую другую SIEM. Кроме этого, они добавили немного функционала. Например, работу с ПО и устройствами российских производителей. Возможность проведения инвентаризации и контроля целостности, а также некий incident management. В конце представители АйТи провели конкурс а-ля  "Кто нас слушал, молодец". Задавал вопросы по информации из презентации. Мы с коллегой выиграли по две флешки. 

На стендах активно пообщался с представителем Qualys и их партнером компанией Анализ защищенности. Они предлагали попробовать QualysGuard бесплатно. Все интересно и замечательно. Единственно смущает стоимость решения - 15 000$/год на 256 машин. Стоимость Nessus на год 1200$. Но как говорит Анализ защищенности Qualys круче. Думаю попробовать и сравнить. Далее Ассоциация руководителей служб информационной безопасности (АРСИБ) рекламировало свою инициативу совместно с кадровым агентством Кордек под названием "Кадровый резерв". Планируется помогать спецам в ИБ находить правильные вакансии, а работодателям находить правильных специалистов. В ходе общения принял решение вступить в АРСИБ. Заполнил анкету. Обещали на ближайшем заседании в октябре рассмотреть мою кандидатуру. Посмотрим, что из этого выйдет. В общем пока все. Завтра планирую сходить на DLP форум. Постараюсь написать по результатам