вторник, 4 марта 2014 г.

СОИБ. Аналитика. Исследования в области ИБ

На прошлой неделе опубликована информация о нескольких исследованиях.

Одно из них – отчет об исследовании безопасности Oracle Siebel CRM от компании Positive Technologies.

Из отчета можно понять, что ребята исследовали какую-то версию Oracle CRM в какой-то организации. Но что значат эти 6 найденных уязвимостей? Это хорошо или плохо? Система безопасна? Система Oracle CRM безопасна при каких условиях? Система безопасна Oracle CRM при установленном кумулятивном патче?

Исследование – это, по определению, систематическое рассмотрение, изучение чего либо. А для этого в отчете не хватает:
·        определения проблемы, определение целей и задач исследования
·        описания объекта обследования – какая система, какие компоненты, работающая система или в вакууме, с настройками по умолчанию или с реальными настройками заказчика
·        методологии исследования  - описание методов, которые использовались для изучения (внешнее сканирование, ффазинг, анализ исходного кода, анализ настроек)
·        выводов и рекомендаций по результатам исследования  

Может быть в новости не надо было это называть исследованием?

PS: Кстати такие работы проводятся бесплатно или это заказ от вендора или это в рамках программы bug bounty?

PPS: А вот новость про поддержку ERP систем в MaxPatrol – интересная. Я бы почитал или послушал подробнее, как именно они поддерживаются? Проверка наличия обновлений или есть анализ конфигурации?

Второй отчет опубликовал аналитический Центр InfoWatch – он посвящен анализу статистики утечек ПДн в 2013 году

Вот в этом отчете системный подход налицо – есть и определение проблемы и методология и выводы. Ниже привожу наиболее интересные результаты:

Доля утечек ПДн в общем числе утечек


Распределение утечек по умыслу



Распределение утечек по каналам

Распределение утечек по источнику. (Хм. На банковском форуме приводили статистику, в которой руководитель был виновен в 50% инцидентов)




Распределение утечек по отраслям

В выводах авторы исследования говорят что уровень утечек критически высок. Чтобы уменьшить количество утечек и повысить защищенность информации в операторах ПДн авторы предлагают следующую меру - ввести ответственность операторов за утечки ПДн (штрафы и обязанность публиковать информацию об утечках). 

 PS: подробнее про исследование можно послушать на вебинаре 5-ого марта 



Комментариев нет: