Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей: Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов: Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)

See the entire folder …

Ошибки парольной защиты: исследование Positive Technologies

Компания Positive Technologies, разработчик систем мониторинга информационной безопасности, опубликовала обзор распространенных ошибок реализации политики паролей в корпоративных сетях российских компаний.

Москва, 29 июня 2009 г.

Недостатки однофакторного способа аутентификации ("логин - пароль") неоднократно описывались в научно-популярной и специализированной литературе, однако данный способ до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем. Эксперты Positive Technologies в ходе тестирований на проникновение, аудитов безопасности и других работ проанализировали 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам, и по результатам выпустили отчет "Анализ проблем парольной защиты в российских компаниях".

Как показало исследование, статистика используемых российскими пользователями паролей значительно отличается от зарубежной, опубликованной в последних западных исследованиях http://www.securitylab.ru/news/367212.php. Российский список наиболее распространенных паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.).

Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают "словарные" пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.

В отчете рассматривается проблема использования "слабых" паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS.

В исследовании приведен анализ эффективности различных ограничений на используемые пароли, таких как контроль минимальной длины и сложности пароля. Так, применение стандартных ограничений к сложности пароля снижает вероятность компрометации системы более чем в 10 раз.

По мнению экспертов компании Aladdin, ведущего российского разработчика и поставщика средств аутентификации, несоблюдение элементарных требований к парольным комбинациям подвергает риску всю систему корпоративной информационной безопасности. Компании, адекватно оценивающие возможный ущерб вследствие взлома парольных комбинаций, успешно решают проблему аутентификации с помощью аппаратных токенов - электронных ключей в виде USB-устройств, смарт-карт или различных комбинированных моделей. "Исследование, проведенное Positive Technologies, очень своевременно, поскольку именно сейчас для компаний критически важно сохранить доверие клиентов и партнеров. Это означает, что вопросы обеспечения информационной безопасности для многих выходят на первый план, – комментирует Антон Крячков, директор по продуктам Aladdin. - Обеспечение надёжной процедуры аутентификации в рамках информационной системы компании является первичной платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и доступа к приложениям. Создавать платформу для решения этих задач на базе примитивной пары "логин - пароль" аналогично постройке кирпичного дома на пластилиновом фундаменте. Хочется отметить, что исследование Positive Technologies использует обширный набор источников и основано на "живых" данных, что особенно ценно".

С полной версией отчета можно ознакомиться по адресу: http://www.ptsecurity.ru/analytics.asp.

__________________________________________________________________________

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании: разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol), предоставление консалтинговых и сервисных услуг в области информационной безопасности, развитие специализированного портала Securitylab.ru. Positive Technologies — это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.

__________________________________________________________________________

Контактная информация: тел. +7 (495) 744 0144, pr@ptsecurity.ru