Полезные ресурсы в интернете защита информации

07.06.2020
0
ГлавнаяПолезноПолезные ресурсы в интернете защита информации
Полезные ресурсы в интернете защита информации thumbnail

Представляем вашему вниманию дайджест 20 наиболее авторитетных площадок по актуальным вопросам кибербезопасности и защите цифровых данных. Надеемся, эта подборка облегчит специалистам по ИБ поиск релевантной информации в интернете, поможет найти практические решения для конкретных проблем, быть в курсе современных трендов. Мы старались подобрать разные форматы: новостные сайты, блоги, научные журналы, клубы профессионалов, видео и подкасты на русском и английском языках.

Новости, статьи, блоги компаний 

  1. Security Lab | https://www.securitylab.ru/

  securitylab

Проект компании Positive Technologies. Помимо новостей, экспертных статей, софта, форума, на сайте есть раздел, где оперативно публикуется информация об уязвимостях, а также даются конкретные рекомендации по их устранению.

  1. Threatpost https://threatpos

Threatpost

Новостной сайт об информационной безопасности от Kaspersky Lab. Авторитетный источник, на который ссылаются ведущие новостные агентства, такие как The New York Times и The Wall Street Journal.

  1. Anti-Malware | https://www.anti-malware.ru/

Anti-Malware

Информационно-аналитический центр, посвященный информационной безопасности. Anti-Malware проводит сравнительные тесты антивирусов, публикует аналитические статьи, эксперты принимают участие в дискуссиях на форуме.

  1. Geektimes | https://geektimes.ru/hub/infosecurity/

 Geektimes

Популярный хаб сайта geektimes.ru про информационную безопасность. Десятки тысяч просмотров статей, публикации о новинках индустрии и активное обсуждение в комментариях.

  1. CNEWS https://safe.cnews.ru/

CNEWS

Раздел новостного издания о высоких технологиях CNEWS, посвященный информационной безопасности. Публикуются новости и экспертные статьи.

Личные блоги специалистов

  1. Блог Алексея Лукацкого https://lukatsky.blogspot.it/

Блог Алексея Лукацкого

Алексей Лукацкий – признанный эксперт в области информационной безопасности, обладатель множества наград, автор статей, книг, курсов, участвует в экспертизе нормативно-правовых актов в сфере ИБ и защиты персональных данных.

  1. Блог Евгения Царева https://www.tsarev.biz/

Блог Евгения Царева

Блог участника судебных процессов в качестве эксперта по вопросам кибербезопасности и защиты информации. Публикуются еженедельные обзоры всего самого интересного в мире кибербезопасности, новости об изменениях в нормативно-правовых актах.

  1. Персональный сайт Алексея Комарова | https://zlonov.ru/

Персональный сайт Алексея Комарова

Сайт эксперта в области информационной безопасности, информационных технологий, информационной безопасности автоматизированных промышленных систем управления технологическим процессом.

Электронные журналы

  1. Научный журнал «Вопросы кибербезопасности» https://cyberrus.com/

Научный журнал «Вопросы кибербезопасности»

Печатаются статьи российских и иностранных ученых по кибербезопасности, безопасности приложений, технической защите информации, аудиту безопасности систем и программного кода, тестированию, анализу защищенности и оценке соответствия ПО требованиям безопасности информации.

  1. Журнал “Information Security” https://www.itsec.ru/articles2/allpubliks

Журнал “Information Security”

В журнале публикуются технические обозрения, тесты новых продуктов, а также описания комплексных интегрированных решений, внедренных на российских предприятиях и в государственных органах.

Клубы, ассоциации, порталы

  1. Клуб информационной безопасности https://wiki.informationsecurity.club/doku.php/main

Клуб информационной безопасности

Клуб информационной безопасности — некоммерческая организация, развивающая ИБ и решающая задачи в этой сфере. На сайте есть «База знаний», где можно найти нормативные документы, программное обеспечение, книги, ссылки на интересные ресурсы.

  1. ISO27000.RU https://www.iso27000.ru/

ISO27000.RU

Интернет-портал ISO27000.RU – это площадка для общения специалистов по ИБ. Есть тематический каталог ссылок на ресурсы по информационной безопасности и защите информации.

  1. Ассоциация по вопросам защиты информации BISA https://bis-expert.ru/

Ассоциация по вопросам защиты информации BISA

Сообщество, созданное под эгидой Ассоциации Business Information Security (BISA), выпускает свой журнал, проводит вебинары, а также является организатором мероприятий.

You-tube каналы

  1. Видеоканал компании CISCO https://www.youtube.com/playlist?list=PLEnXkMoWGlq2ZroboDpbUjwrqB3wIcMYC

Видеоканал компании CISCO

Публикуются как видео для обычных пользователей, так и видео для профессионалов с разбором конкретных кейсов.

  1. Канал интернет-телекомпании BIS TV |https://www.youtube.com/channel/UCinmAF3guG-A5u81cWiVrRg

Канал интернет-телекомпании BIS TV

Канал интернет-телекомпании BIS TV специализируется на информационной безопасности банков, кредитных организаций и платёжных систем.

Зарубежные сайты об ИБ и кибербезопасности

  1. Dark Reading https://www.darkreading.com/

Dark Reading

Сообщество профессионалов, где обсуждаются кибер-угрозы, уязвимости и методы защиты от атак, а также ключевые технологии и методы, которые могут помочь защитить данные в будущем.

  1. Security Weekly https://securityweekly.com/

Security Weekly

Самое актуальное в формате подкастов, видео, live-трансляций. Еженедельные шоу от Security weekly – это интервью с профессионалами, обсуждение последних событий в области информационной безопасности.

  1. Naked Security https://nakedsecurity.sophos.com/

Naked Security

Авторитетный новостной сайт компании Sophos, цитируемый крупными изданиями. Освещается широкий круг вопросов: последние события в мире информационной безопасности, новые угрозы, обзор самых важных новостей недели.

  1. (IN) SECURE Magazine https://www.helpnetsecurity.com/insecuremag/issue-53-march-2017/

(IN) SECURE Magazine

(IN) SECURE Magazine выпускается с 2005 года и публикуется ежеквартально. Фокусируются на новых тенденциях, инсайтах, исследованиях и мнениях.  В специальных ежегодных выпусках журнала освещаются такие крупные события RSA Conference и Infosecurity Europe.

  1. Security Bloggers Network | https://securitybloggersnetwork.com/

Security Bloggers Network

Это около 300 блогов и подкастов об информационной безопасности. Отличительная черта –  более технический, практический подход к освещению актуальных вопросов ИБ и кибербезопасности.

Материал оказался полезным? Поделитесь с друзьями:

Источник

Сегодня ни один концерн, состоящий из предприятий, выполняющих часть общего производственного цикла, торговая сеть или учетная система не может обойтись без обмена данными через интернет.

Это может быть или трафик информации между отдельными точками обработки, или создание единого центра хранения.

Информационная безопасность

Информационная безопасность

В каждом случае необходима тщательно продуманная защита информации в интернете, которая способна избавить от множества неприятностей и финансовых потерь.

Также Вы можете прочесть статью: Классификация методов защиты информации в современных реалиях

Риски возникающие при не защищенном использовании интернета

Перечислить, какие именно могут возникнуть опасности, если защита информации в сети интернет не организована или организована плохо — практически невозможно.

Каждый отдельный случай — это обычно совокупность, зачастую самое неприятное сочетание нескольких факторов.

Их краткий список можно сформулировать так:

  • получение несанкционированного доступа к информации;
  • кража критически важных данных;
  • подмена или намеренное изменение информации в хранилище или непосредственно при передаче;
  • злонамеренное удаление важных данных;
  • разглашение конфиденциальной информации после получения доступа к ней различными методами;
  • намеренное шифрование данных с целью последующего шантажа, вымогательства.
Читайте также:  Что полезнее езда на велосипеде или ходьба

При организации системы мер по сохранению данных, которые будут тщательно читывать все законы о защите информации в интернете — стоит понимать существующие проблемные зоны.

Обмен

Сохранение корпоративной информации методом её выкупа у злоумышленников

Одна из них относится к человеческому фактору, другая касается методик передачи, третья формулирует схему организации хранения.

Кому необходима защита информации

Стоит понимать, что каждому без исключения человеку нужны средства защиты информации в интернете.

Похищение или получения доступа к личным данным посторонними лицами — может вызвать самые разные последствия.

К примеру, распространены случаи построения фиктивной личности, занимающейся криминальной деятельностью в интернете и постоянно оперирующую идентификационной информацией другого индивидуума.

Еще одна опасность — намеренное нанесение ущерба репутации, материальных потерь путем продажи личной недвижимости, оформления кредитов и так далее.

Поэтому защита личной информации в интернете сегодня регламентируется законодательными актами.

Возможность хакерской атаки на ваши данные

Возможность хакерской атаки на ваши данные

Но это не значит, что каждый человек не должен лично следовать правилам обращения с данными, их передачи и хранения.

Однако больше всего система защиты информации в интернете нужна производственным и коммерческим компаниям.

При несанкционированном доступе к данным, их похищении, намеренном изменении могут происходить самые разнообразные опасные случаи:

  1. Нанесение ущерба качеству товара в результате изменения ключевых параметров процесса производства или исходного сырья.
  2. Нарушение взятых на себя обязательств вследствие нарушения логистики поставок, изменения качества, срывов договорных сроков.
  3. Прямой ущерб вследствие промышленного шпионажа, прямой продажи разработок конкурентам.
  4. Косвенный ущерб из-за раскрытия планов развития и других стратегических данных.
  5. Комплексный ущерб при краже, шифровании данных с целью шантажа, вымогательства, что ведет к прямым финансовым потерям, чревато последствиями промышленного шпионажа, нарушения рабочих процессов и многим другим.

Приведенный список, хотя и не полный — дает достаточное представление о том, почему проблемы защиты информации в интернете крупными компаниями оцениваются очень серьезно. Чтобы снизить до предсказуемого минимума потенциальный ущерб, разрабатываются и внедряются достаточно развернутые комплексы мер противодействия.

Основные методы и средства защиты информации в сети интернет

Конкретный список принимаемых мер и выбранные технологии защиты информации в сетях интернет зависит от множества факторов.

Защита информатии в сети

Защита информатии в сети

Это может быть характер информации, методика ее разделения и хранения, формат используемых технических средств и многое другое. Однако на практике все решения условно формализуются и делятся на крупные категории.

Аппаратные

Аппаратные средства применяются на всех организационных уровнях. Однако особенно важно правильно организовать хранение информации.

Задача аппаратных средств при этом:

  • обеспечивать нужную скорость доступа к данным;
  • гарантировать надлежащую скорость систем проведения расчетов;
  • обеспечивать целостность данных и гарантию их сохранения при выходе из строя отдельных средств хранения;
  • организовывать резервное копирование, быстрое восстановление информации при сбоях;
  • обеспечивать взаимодействие со средствами связи;
  • реагировать и минимизировать ущерб при аварийных ситуациях (пожар, затопление);
  • сохранять работоспособность основного оборудования во время отключения основного источника энергии (генераторы, источники бесперебойного питания).
  • обрабатывать запросы подключенных пользователей.

В хранилищах данных для решения поставленных задач применяются серверы, оснащенные RAID массивами, дисками требуемой производительности.

Обязательно в той или иной мере реализуется принцип дублирования ключевых систем. Используются сетевые контроллеры, распределительные средства и многое другое.

Картинка показывающая работу межсетевого экрана

Картинка показывающая работу межсетевого экрана (firewall)

Аппаратные технологии защиты информации в интернете включают также межсетевые экраны, программно управляемое оборудование, системы идентификации, управления доступом и многое другое.

Программные

Область программных средств — самая обширная. Выбор конкретного списка пакетов зависит от используемых платформ и операционных систем, принятых механик доступа.

Среднестатистический список защитных мер включает:

  1. систему обнаружения сетевых атак и попыток несанкционированного доступа на узел в составе программно управляемого оборудования;
  2. комплексы шифрования (программные или аппаратные);
  3. средства подтверждения подлинности, электронные ключи и системы для работы с ними;
  4. средства управления доступом, которые могут включать и аппаратные средства.

На практике, правильно выбранный комплекс программных средств может практически исключить прямую атаку на хранилище или отдельный узел системы обработки данных.

Механизм шифрования данных

Механизм шифрования данных

Меры защиты включают также стандартные шифрованные протоколы передачи информации.

Смешанные

Смешанные меры защиты разрабатываются для сети хранения и обработки в том случае, когда характер действий с данными отличается для разных групп пользователей.

В перечень используемых средств могут входить программные комплексы на отдельных рабочих местах, системы разделения прав и уровней доступа в пределах одного сектора и общей структуры ответственности.

Популярно применение различных схем взаимодействия исполнителей между собой, а также — методики контроля и мониторинга.

Компьютер под защитой антивируса

Компьютер под защитой антивируса

К простейшему случаю смешанных мер защиты можно отнести обязательное использование антивирусов, стандартных шифрованных протоколов передачи, системы идентификации (в том числе — аппаратной) с разноуровневым доступом к работе с информацией.

Организационные

К организационным мерам защиты информации относится разработка оптимальных схем взаимодействия персонала с информацией и обществом.

Читайте также:  Чай из листьев вишни чем полезен

Сюда относится:

  • разработка инструкций, предписаний, четких схем работы с данными для занятого персонала;
  • предоставление персоналу ограниченного набора сертифицированных, надежных программных средств;
  • обязательное применение принципов ответственности за разглашение конфиденциальной информации;
  • разделение зон ответственности каждой трудовой единицы, ранжирование областей доступных данных, формулировка объема доступных действий;
  • создание средств для предотвращения случайного, умышленного удаления информации;
  • применение программных средств, полностью исключающих прямой доступ к данным;
  • формулирование в виде инструкций, правил действия сотрудников, охраны — системы работы с внутренними носителями информации, регламенты выноса документации;
  • применение средств проверки и подтверждения подлинности (электронные ключи).

В близкой к идеальной схеме работы с персоналом — проводятся постоянные проверки действий каждой трудовой единицы.

Пример системы по отслеживанию каждого работника с помощью id карт

Пример системы по отслеживанию каждого работника с помощью id карт

При этом работнику предоставляется стандартизированное рабочее место, где установлен регламентированный для его уровня доступа набор программ.

Корпуса компьютеров и другой электронной техники, части которой могут служить носителями важной информации — опечатываются и находятся под постоянным контролем.

На предприятиях, где постоянно ведется работа с важными данными — рекомендуется вводить систему идентификации персонала для доступа в сеть (помещения), основанную на периодически меняющихся и находящихся под строгим учетом электронных пропусков и иных меток.

Заключение

Для защиты данных в сети интернет при помощи предлагаемых на рынке аппаратных и программных решений — можно построить эффективный и отказоустойчивый комплекс.

Но стоит помнить: все знаменитые хакеры получали доступ к данным путем работы с людьми и использования их ошибок.

Поэтому не стоит стесняться того, что на предприятии в целях безопасности до предела ограничивается свобода персонала.

Все, что может предотвратить утечки, а также разделение доступа и ответственности — способно помочь сохранить важные данные и избежать серьезных неприятностей.

Видео: «Познавательный фильм»: Защита информации

Источник

Интернет-магазины остаются одной из самых привлекательных мишеней для хакеров, так как взлом может открыть злоумышленникам доступ к личным данным пользователей и их платежной информации. Несмотря на разработку всё новых средств для защиты, количество атак на веб-приложения растет с каждым годом. Для наглядности можно посмотреть интерактивную карту киберугроз.

В этой статье мы расскажем о важнейшей составляющей любого многопользовательского ресурса в сети — безопасности, и подскажем, как защитить свой магазин.

Что такое безопасность веб-приложений и можно ли добиться максимальной защищенности?

Общая стратегия безопасности программного обеспечения основывается на трех основных принципах:

конфиденциальность — сокрытие определенных ресурсов или информации;

целостность — ожидание, что ресурс может быть изменен только соответствующим способом определенной группой пользователей; а в случае, если данные повреждаются или неправильно изменяются, должна быть предусмотрена процедура восстановления;

доступность — требования о том, что ресурсы должны быть доступны авторизованному пользователю, внутреннему объекту или устройству.

Все сайты электронной коммерции являются привлекательными целями для хакеров из-за личной и платежной информации, необходимой для совершения продажи. Даже если система не обрабатывает транзакции по картам напрямую, взломанный сайт может перенаправить клиентов на ложную страницу или изменить заказ, прежде чем он будет передан в платежный процессор. Взлом может иметь долгосрочные последствия как для покупателей, так и для продавцов. Клиенты могут понести финансовые потери, в то время как продавцы могут столкнуться с повреждением своей репутации, потерей товаров и угрозой судебных исков.

Можно ли добиться максимальной защищенности вашего магазина? Да, это возможно, если создать магазин на надежной CMS системе, тщательно подобрать серверное окружение и использовать лучшие практики безопасности.

Полезные ресурсы в интернете защита информации

О OWASP TOP 10

Классификацией векторов атак и уязвимостей занимается сообщество OWASP (Open Web Application Security Project) – международная некоммерческая организация, сосредоточенная на анализе и улучшении безопасности программного обеспечения.

OWASP (https://www.owasp.org/) составил список из 10-и самых опасных уязвимостей, которым могут быть подвержены интернет-ресурсы. Сообщество обновляет и пересматривает этот список раз в три года, последнее обновление было сделано в 2017 году.

Итак, топ 10 самых опасных уязвимостей:

  1. Внедрение кода;

  2. Некорректная аутентификация и управление сессией;

  3. Утечка чувствительных данных (конфиденциальных данных);

  4. Внедрение внешних XML– сущностей (это, как правило, DoS-атаки);

  5. Нарушение контроля доступа;

  6. Небезопасная конфигурация;

  7. Межсайтовый скриптинг;

  8. Небезопасная десериализация;

  9. Использование компонентов с известными уязвимостями;

  10. Отсутствие журналирования и мониторинга.

Подробнее о наиболее распространенных из них:

XSS (Cross-Site Scripting) — это вид уязвимости программного обеспечения (веб- приложений), при которой на генерированной сервером странице выполняются вредоносные скрипты с целью атаки клиента.

XSRF / CSRF (Request Forgery) — это вид уязвимости, позволяющий использовать недостатки HTTP протокола, при этом злоумышленники работают по следующей схеме: ссылка на вредоносный сайт установливается на странице, пользующейся доверием у пользователя, при переходе по вредоносной ссылке выполняется скрипт, сохраняющий личные данные пользователя (пароли, платежные данные и т.д.), либо изменяющий доступ к учетной записи пользователя для получения полного контроля над ней.

Code injections (SQL, PHP, ASP и т.д.) — это вид уязвимости, при котором становится возможно осуществить запуск исполняемого кода с целью получения доступа к системным ресурсам, несанкционированного доступа к данным, либо выведения системы из строя.

Читайте также:  Фото комнатная мята плектрантус полезные свойства

Server-Side Includes (SSI) Injection — это вид уязвимости, использующий вставку серверных команд в HTML код или запуск их напрямую с сервера.

Authorization Bypass — это вид уязвимости, при котором возможно получить несанкционированный доступ к учетной записи или документам другого пользователя.

Что включает в себя тестирование безопасности веб-приложений?

Тестирование безопасности веб-приложений должно внедряться как на самых ранних стадиях разработки проекта (для поиска уязвимых частей системы), так и быть регулярной мерой для уже функционирующего сайта. Как правило, включает в себя комплекс мероприятий для всестороннего наблюдения за системой и быстрого купирования возможных проблем.

В нашей компании используются все эти методы, что гарантирует максимальный уровень защиты магазина.

  1. Контроль доступа – это проверка, которая определяет проблемы, связанные с несанкционированным доступом пользователей к информации и функциям в зависимости от предоставленной роли. В Magento мы тщательно тестируем функционал назначения прав определенной группе пользователей.

  2. Аутентификация – позволяет удостовериться в отсутствии возможности обойти процедуру регистрации и авторизации; убедиться в корректности управления пользовательскими данными, исключить возможность получения информации о зарегистрированных пользователях и их учетных данных.

  3. Валидация входных значений – используется для проверки алгоритмов обработки данных, включая некорректные значения, прежде, чем на них будет ссылаться приложение.

  4. Криптография – данная процедура обнаруживает проблемы, связанные с шифрованием, дешифрованием, подписью, верификацией подлинности, в том числе включая уровень сетевых протоколов, работу с временным файлами и cookies.

  5. Механизмы обработки ошибок – включает проверку системных ошибок приложения на отсутствие факта раскрытия информации о внутренних механизмах безопасности (например, посредством демонстрации исключений, программного кода).

  6. Конфигурация сервера – ищет в многопоточных процессах ошибки, связанные с доступностью значений переменных для совместного использования другими приложениями и запросами.

  7. Интеграция со сторонними сервисами – позволяет убедиться в невозможности манипуляции данными, передаваемыми между приложением и сторонними компонентами, например, платежными системами или соцсетями.

  8. Проверка устойчивости к Dos/DDos атакам – проверяет способность приложения обрабатывать незапланированно высокие нагрузки и большие объемы данных, которые могут быть направлены на выведение приложения из строя.

Инструменты для тестирования защищенности

Мы подготовили список инструментов для проверки безопасности веб-приложений, которые обязательно пригодятся для снижения риска взлома сайтов. Сканирование помогает поддерживать информационную безопасность магазина в актуальном состоянии. Наши технические специалисты регулярно включают подобные проверки в мониторинг состояния магазина.

Приложения и фреймворки

1.OpenVAS сканирует узлы сети на наличие уязвимостей и позволяет управлять уязвимостями.

2.OWASP Xenotix XSS Exploit Framework сканирует ресурс на возможность эксплуатации XSS-уязвимостей.

3.BeEF (Browser Exploitation Framework) позволяет выявить слабые места приложения, используя уязвимости браузера. Данный инструмент автоматизации тестирования приложений использует векторы атак на стороне клиента для проверки безопасности. Может вызывать команды браузера, такие как перенаправление, изменение URL-адресов, создание диалоговых окон и т.д.

4.Google Nogotofail – средство тестирования безопасности сетевого трафика. Проверяет приложение на наличие известных уязвимостей TLS/SSL и неправильных конфигураций. Сканирует SSL/TLS-шифрованные соединения и проверяет, являются ли они уязвимыми для атак. Может быть настроен как маршрутизатор, VPN-сервер или прокси-сервер.

Онлайн-сервисы

1. SecurityHeaders.io проверяет на наличие и корректность заголовков ответа сервера, отвечающих за безопасность веб-приложения.

2. Observatory by Mozilla сканирует ресурс на наличие проблем безопасности. Кроме своих результатов, при выборе соответствующей опции, собирает и добавляет к отчету аналитику со сторонних сервисов анализа защищенности.

3. SSL Server Test выполняет анализ SSL-конфигурации веб-сервера.

И многие другие.

Специальные утилиты для Magento

Есть также ресурсы, которые идеально подойдут именно для проверки magento-приложений.

1.Mage Report — бесплатная проверка сайта на уязвимости.

2. Foregenix — Global Cybersecurity Expert — также проверяет на распространенные уязвимости, отправляя отчет в виде pdf на почту.

3. Sucuri SiteCheck — полезная утилита для быстрого сканирования.

4. Magescan — сканер для установки на сервер.

5. Magento Security Scan Tool — новейший бесплатный инструмент для сканирования сайта на предмет угроз безопасности. Активизируется в личном кабинете.

Безопасность в Magento

Magento — крупнейшая CMS, которой пользуются тысячи магазинов по всему миру. Платформе доверяют Philips, Ford, Men Shealth, Ашан, Togas и другие. Поэтому вопросы безопасности, наряду со стабильностью и функциональностью, находятся на первом месте у разработчиков Magento.

Хорошая новость для владельцев интернет-магазинов: magento самостоятельно обрабатывает большинство атак. Встроенные методы защиты отвечают самым современным требованиям и учитывают рекомендации OWASP. С каждым новым обновлением разработчики CMS включают доработки, призванные отражать новые киберугрозы.

Ниже даны ссылки на подробные руководства о безопасности приложений на Magento, списки полезных рекомендаций и расширений для обеспечения максимального уровня защиты. Вы можете применить их на своем магазине, исходя из своих потребностей.

Лучшие расширения для безопасности Magento: https://serverguy.com/magento/best-5-magento-extension-security/

Самый свежий гайд по безопасности от разработчиков Magento, включающий лучшие практики безопасности, новые решения и программы для улучшения защищенности магазина:  https://onilab.com/blog/magento-2-security-guide/

Далее мы дадим рекомендации по повышению безопасности вашего интернет-магазина, основанные на официальных руководствах Magento Security Center и нашем многолетнем опыте.

Советы по повышению безопасности интернет-магазина

  1. Регулярно обновлять Magento до посл

Предыдущая статья
Какие орехи полезны при планировании беременности
Следующая статья
Чем полезна томатная паста для беременных
© Блог о пользе