Читать онлайн «IT-безопасность: стоит ли рисковать корпорацией?». Страница 57

CVE, 194

Cyber Safe Corporation, 209

Cyber-Ark Software, 209

CyberGuard Corporation, 209

CyberSafe, 214

Cyber-SIGN, 209

CyberSoft, Inc., 209

Cylink, 209-10

Data Systems Analysts, 195

Datacard Corporation, 210

DataKey, Inc., 210

DataLynx, Inc., 210

Deloitte Touche & Tohmatsu, 195

Digital Delivery Inc., 210

DIVERSINET Corporation, 210

Dsniff, 199

eBay, 28–29

eEye Digital Security, 211

EFF-"Фонд электронного фронтира», 192

ENSURE Technologies, 210-11

Entegrity Solutions, 211

Entercept SecurityTechnologies, 211

Entrust Technologies, 211

Ernst &Young LLP, 196

eSecurity, Inc., 211

eSecurityOnline LLC, 212

esniff, 6

Exigent, дело, 148,150

EyeDentify, Inc., 211

FinJan, 212

Firewalk, 199

First Fidelity, исследование проблемы, 3–8

FIRST, 192

FishNet Consulting, Inc., 196

Forensic Challenge, 29–30

Forescout, 212

Foundstone, 212

F-Secure Inc., 212

Funk Software, Inc., 212

Gemini Computers, Inc., 213

Gemplus Corp, 212-13

G-Force, 159

Giiian Technologies Inc., 213

GLBA — Акт Грэмма-Лича-Блайли, 149-50,154

Global Chips, исследование проблемы, 100–107

администратор брандмауэра, 101-4

брандмауэр, 102—4

отношение к работе, 104-5

руководители и безопасность, 102-3

Global Technologies Group, Inc., 213

Global Technology Associates, Inc., 213

GNUPG, 199

Great Circle Associates, 213

Guardent, 196

Guidance Software, 213-14

Harris Corporation, 214

Hewlett-Packard Corporation, 214

Hifn, 214

HIPAA — Акт о пересылке и учете информации о страховании здоровья, 149,154

HIPPA — Акт о сохранении тайны и защите информации о состоянии здоровья

Honey Project, 29–30

Hping2, 199

HTCIA — Ассоциация по расследованию преступлений в области высоких технологий, 192

IBM, 214

ICSA, 193

IDS — системы обнаружение вторжения, 11

Info Express, Inc., 214

Info Security News, 194

Integralis, 215

Intel Corporation, 215

Intellitactics.com, 215

intermint Financial, исследование проблемы, 72–78

обучение безопасности, 76–77

финансирование, 78

сбор фактов, 73–74

тестирование систем, 74–76

Intrusion Inc., 215

IntruVert, 215

Investigative Group International, 215

IP Filter, 199

IRT- группа реагирования на инцидент, 12

ISCA2-Международный консорциум по

сертификации безопасности

информационных систем, 193

ISO 17799, 154

ISSA — Ассоциация защиты

информационных систем, 193

JFC Pharmaceutical, исследование проблемы, 56–63

архитектура безопасности, 56

аудиты безопасности, 61–63

кто несет ответственность за безопасность, 61–62

незапланированное тестирование безопасности, 57–58

неподкрепленные политики, 59–60

политика настройки безопасности, 56–57

сетевые схемы, 58–59

список рисков, 61

хакер, 57

Klaxon & Tocson, 199

Kroll, 196

Kyberpass Corporation, 216

LOphtCrack, 199

Lancope, 216

LJK Software, 216

Lloyd's, 198

Lsof, 199

Lucent Technologies, 216

Lumeta Corporation, 216

McAfee, 216

McConnell's Drugs, исследование проблемы, 56–63

JFC Pharmaceutical, 56–65

архитектура безопасности, 56

конкуренты, 62–63

незапланированное тестирование безопасности, 57–58

неподкрепленные политики, 59–61

политика установки средств безопасности, 56–57

сетевые схемы, 58–59

хакеры, 57

MessageLabs, 216

nCipher Corporation Ltd., 216

nCircle, 217

Nessus, 200

NetDynamics, 137

Netegrity, Inc., 217

netForensics, 217, 218

NetlQ Corporation — WebTrends Corp., 218

NetScreen Technologies, Inc., 217

Network Associates, 217-18

Network Defense, 196

Network Engineering Software, Inc., 218

Network-1 Security Solutions, Inc., 217

NFR Security, 218

NIKSUNInc.,218

Nimda, 11

NIPC — Центр защиты национальной инфраструктуры, 51,193

Nokia Internet Communications, 219

NPASSWD, 200

NT Bugtraq, 195

OmniSecure, 219

OneSecure, 219

OpenSSH, 200

OPIE, 200, 202

Palisade Systems, 219

PassLogix, 219

Pelican Security, 219

PentaSafe Security Technologies, Inc., 219-20

Phaos Technology Corporation, 220

PostX Corporation, 220

Predictive Systems, Inc., 196, 220

PriceWaterhouseCoopers, 196

Promptus, 220

Protegrity, 220

Psionic Technologies, 220

Qualys, Inc., 221

Rainbow Technologies, 221

Recognition Systems Inc., 221

Recourse Technologies, 221

Riptech (Symantec), 221

RiskWatch, 221

Rockland General, исследование проблемы, 86–92

выяснение риска, 88

неавторизованный доступ, 89–90

планирование работы с подрядчиком, 92

прохождение системы физического контроля. 88–89

риск для персональной информации, 91–92

тестирование безопасности, 87–83

физическая безопасность, 88

RockSoft, 221

RSA Data Security, 222

S&B Systems, исследование проблемы, 126-31*

Express Time, 126-28, 131

ошибки в защите, 129-30

роль руководства, 131

сетевые соединения, 127-28

средства обеспечения безопасности, 126-27

техническая поддержка, 130-31

S4Software, Inc., 222

Safetynet Security, 222

SAGE, 194

SAIC — Международная корпорация научных приложений, 196,222

SAINT Corporation, 222

Sandstorm Enterprises, Inc., 222

SANS Institute, 80,193

SATAN — Инструмент системного администратора для анализа сетей, 107,200

Savvydata, 222

Schlumberger, 223

SEARCH, 194

Secure Computing, 223

SecureLogix Corporation, 223

SecureNet Technologies, 223

SecureWorks, 223

Securify, Inc., 196, 223

Security Focus, 195

SecurityFocus (Symantec), 224

Sequel Technology Corporation, 224

ServGate, 223

Shake Communications, 195

Silanis Technology, 224

SilentRunner Inc., 224

Silicon Defense, 224

Site Security Handbook, 194

SNORT, 200

Socks, 200

Solaris Security Toolkit, 200

SonicWALL, 224

SourceFire, 224

Spectrum Systems, 107

SPI Dynamics, 225

SSH Communications Security, 225

Stonebridge, 225

Stonesoft, 225

Stratum8 Networks, 225

Sun Microsystems, 226

SurfControl, 225

Swatch, 201

Sygate Technologies, 226

Symantec, 226

Tally Systems, 226

Talos Technology Consulting, Inc., 226

TCP Wrapper, 201

Technical Communications Corporation, 227

TenFour U.S. Inc., 227

Thawte Certification, 227

Thrupoint, 227

Tiger, 201

TippingPoint Technologies, 227

TIS Firewall Toolkit, 201

Titan, 201

Tivoli Software (IBM), 227

T-NETIX, 226

Top Layer, 228

TransWorld Internet Services, исследование проблемы, 21–27

ложное чувство безопасности, 22–23

обнаружение хакера, 23

сеть под угрозой, 25–26

усиление защиты, 23–25

Trend Micro, Inc., 228

Trintech Group, 228

Tripwire, Inc., 201,228

TruSecure, 228

TrustWorks, 228

TTY Watcher, 201

Tumblewecd Communications Corporation, 228

Ubizen, 229

Unisys, 229

USENIX, 80,194

Vanguard Integrity Professionals, 229

Vasco, 229

VeriSign, 229

Vogon, 63

V-ONE Corporation, 229

WatchGuard Technologies, Inc., 230

WinMagic Inc., 230

Yahoo! 29

Zero Knowledge Systems, 230

Zone Labs, Inc., 230

Арчибальд, Мэтью (Archibald, Matthew), 123

Атаки, см. также Взломы

«моментальный снимок» системы, 14

бюджет безопасности, 16

вероятность подвергнуться атаке, 9-10

взломщик, установление, 14

выполнение плана действий, 15

группа реагирования на инцидент (IRT), 12

группа реагирования на компьютерные

инциденты (CSIRT), 14

доверие, 14–15

документирование, 14

завершающие действия, 16

запись информации, 15

изолирование, 13

кошмар реагирования на инцидент, 3–8

личные проверки, 14–15

оповещение вышестоящего руководства, 13,16

определение целей и установление приоритетов, 13–15

предупреждение, 8–9

процедуры реагирования на инцидент,

обучение, 13

распознавание, 11

реагирование, 3-20

системы обнаружения вторжения (IDS), 11

точка контакта (контактный телефон), установка, 13

четкое определение обязанностей, 14

эскалация проблемы, 15

Аудиты, 61–63

проведение, 108

Аутсорсинг, безопасность, 125-34

исследование проблемы S&B Systems, 126-31

контрольный список, 133-34

планирование подрядных работ, 92

подход «плыви или тони» к решению вопросов безопасности,133

проведение оценка безопасности, 132

решение проблем, 132

Безопасность в стандартной поставке, 21–33

выяснение рисков, 27

необходимость избегать стандартных установок систем, 28

ознакомление с системными специалистами, 28–29

предусмотреть или требовать финансирование безопасности, 29–30

тестирование сети, 28

Безопасность вне плана, 85–96

доверие, 93

извлечение уроков из прошлого, 93

исследование проблемы Rockland General, 86–92

классификация систем, 93

контрольный список, 95

обучение, 94–95

оценка рисков, 92

подсчет очков, 95

сделать подотчетным руководство, 94

сокращение бюджета, 93–94

тестирование безопасности, 94

Безопасность:

«питание» брандмауэров, 107

архивы со сведениями об уязвимых местах, 194-95

аутсорсинг, 125-34

безопасность внутренних сетей, 113-22

будущее безопасности, 145-54

быстрое реагирование на взломы, 108

бюджет, 16

обеспечение средств на шифрование, 141

выполнение политик и процедур, 31

и руководители, 49

использование экспертов со стороны, 31–32

контрольные журналы, 107

незащищенная электронная почта, 137^42

неплановая, см. «Безопасность вне плана»

обеспечение программ обучения, 49