SHALB.com Україна

Ми відкрили для широкого загалу базу знань з інформаційної безпеки.

Наразі інформація оновлюється, База знань доступна за наступним посиланням:

SHALB.com Security Knowledgebase

З кожним роком частка представлення бізнеса в Інтернет зростає. Якщо на початку Інтернет-епохи компанії утримували корпоративні сайти лише з інформативними цілями та із рекламних міркувань, то у наш час Інтернет став досить потужною платформою продажів та надання сервісів у режимі on-line. Логічно, що Інтернет-ринок, породив конкуренцію.
Конкуренція в Інтернет присутня на кожному кроці - від позицій в пошукових системах по ключових словах, до наймодніших дизайнерських рішень на сайтах. На боротьбу із конкурентами в Інтернет-просторі витрачають шалені гроші. Та в цій гонці “озброєнь” учасники Інтернет-ринку дуже часто забувають про БЕЗПЕКУ.

Read the rest of this entry »

ISO/IEC 27001 частина стандартів родини ISO/IEC стандартів. ‘ISO/IEC 27000 series‘ система керування інформаційною безпекою (information security management system (ISMS)) опублікований в Жовтні 2005 Міжнародною Організацією Стандартизації (the International Organization for Standardization (ISO)) та Міжнародною Електротехнічною Комісією (International Electrotechnical Commission (IEC)). Повна назва ISO/IEC 27001:2005 - Інформаційні технології — Технології безпеки — Система керування інформаційною безпекою — Вимоги загальновідомі під кодом “ISO 27001″

Вони мають використовуватися разом з ISO/IEC 27002, що визначає задачі контролю безпеки та рекомендує ряд специфічночних норм контролювання безпеки.
Read the rest of this entry »

Для чого проводити аудит безпеки сайту з SHALB.com Україна?

• Веб-сайти та веб-сервіси повинні бути доступними 24 х 7 та надавати якісний сервіс своїм клієнтам, співробітникам, постачальникам та іншим зацікавленим сторонам.
• Фаєрволи(Firewalls) та SSL не дають захисту від злому веб-сайтів та веб-сервісів (web application hacking), в силу того, що доступ до веб-сайту повинен бути публічним
• Попри безпеку самого сайту, необхідно забезпечити безпеку відвідувачів, клієнти хочуть бути впевненими, що відвідування сайту є безпечним.
  
• Веб-сервіси часто мають прямий доступ до бек-енду даних, таких як бази даних клієнтів, відповідно, складно забезпечити контроль цінної інформації.
• Клієнтські програми та скрипти, як правило, є більш уразливими з точки зору атаки, оскільки вони не проходять відповідного тестування, на відміну від готового програмного забезпечення з коробки(out of box).
• Хакери надають перевагу отримувати доступ до секретних даних через велику ціну продажу цих даних.

Сканування сайту, відбувається в 3 етапи:
Read the rest of this entry »

Процес аудиту безпеки серверу здійснюється в 3 етапи:

1. Інвентаризація(Inventory) - пошук відкритих та доступних сервісів шляхом проби відкритих портів. Визначення операційної системи та встановленого програмного забезпечення. Визначаються версій встановленого на сервері програмного забезпечення. Збір інформації для знаходження географічного розміщення сервера, виявлення провайдера, що забезпечує підключення серверу до мережі інтернет. Виявлення адміністративних та технічних контактів.

2. Пошук уразливостей (Vulnerability Search) - згідно версій операційної системи та встановленого програмного забезпечення пошук відомих уразливостей, що дозволяють видалено отримати несанкціонований доступ до закритої інформації, дозволяють ескалацію привілей та прав користувача або дають змогу зробити DoS-атаку(DoS- denial of service attack) - атака на відмову в обслуговуванні.

3. Тести на проникнення(Penetration Test) - використовуючи знайдені уразливості емулюється спроба вторгнення в оточення сервера, ескалація прав, та DoS-атака.
Read the rest of this entry »