Дайджест информационной безопасности № 105 за период с 24 января по 5 февраля 2017 года

Новости законодательства и отраслевого регулирования

Подготовлен проект изменений 17-го приказа ФСТЭК, который в пятницу был выложен для обсуждения. Это промежуточная версия, задача которой — закрыть ряд вопросов, не касающихся непосредственно состава и содержания защитных мер. Здесь можно ознакомиться с его основными положениями.

Верхняя палата парламента РФ одобрила закон об увеличении административных штрафов за нарушения законодательства в области персональных данных. Согласно закону, максимальный штраф за нарушения при обработке персональных данных для граждан составит 5 тыс. руб., для должностных лиц — 20 тыс. руб., для индивидуальных предпринимателей (ИП) и юрлиц — по 20 тыс. руб. и 75 тыс. руб. соответственно.

Госдума РФ одобрила пакет законопроектов о безопасности критической информационной инфраструктуры (КИИ). Организаторам кибератак может грозить наказание до десяти лет лишения свободы. Владельцы данной инфраструктуры обязаны взаимодействовать с госорганами в обеспечении их безопасности и бесперебойного функционирования.

Палатой представителей Конгресса США был представлен законопроект, предполагающий более активное вовлечение регуляторов в вопросы кибербезопасности автотранспорта. Закон предполагает проведение Национальной администрацией безопасности дорожного движения исследования о необходимых стандартах безопасности автотранспорта.

ФСТЭК установила требования к пентестерам и SOC-центрам, которые теперь входят в перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации.

Чтобы помочь предпринимателям обезопасить платформы электронной торговли, Совет по стандартам безопасности PCI выпустил Рекомендации по обеспечению безопасности электронной коммерции (Best Practices for Securing E-commerce). Это дополнение к существующему руководству, опубликованному в 2013 году, которое научит предпринимателей безопасной работе с онлайн-платежами.

Новости ИБ

Symantec отозвала многочисленные ошибочно выданные сертификаты, в том числе для таких доменов как example.com и test.com. Это уже не первый случай в истории компании.

Советник президента по вопросам развития интернета Герман Клименко высказал мнение, что контроль над соцсетями в России должен быть усилен. По его словам, «скорость распространения информации, помноженная на количество времени, проводимое в интернете, приводит к информационному цунами».

Эксперты из Германии утверждают, что принтеры известных марок несут потенциальную угрозу безопасности данных. Исследователи создали инструмент для автоматизации атак на многофункциональные принтеры HP, Brother, Lexmark, Dell, Samsung, Konica, OKI и Kyocera. А также продемонстрировали, как злоумышленник может получить доступ к энергонезависимой памяти (NVRAM) устройства и получить доступ к конфиденциальной информации — например, к документам или учетным данным.

Согласно телеметрическим данным от браузера Mozilla Firefox, 50% страниц используют безопасное соединение по HTTPS. Активное распространение HTTPS с одной стороны является результатом сервиса компании Let’s Encrypt, который упрощает использование и обновление сертификатов любым сайтам. С другой стороны на расширение использования HTTPS повлияло появление предупреждений о незащищенном соединении в браузерах.

Специалисты компании Trustwave сообщили об обнаружении новых уязвимостей в более чем 30 моделей роутеров Netgear, что затрагивает порядка миллиона пользователей. Патчи предоставлены только для 20 моделей роутеров. Пользователям роутеров, для которых нет патчей, рекомендуется незамедлительно включить функцию восстановления пароля, а также отключить удаленное администрирование.

Интересные посты русскоязычных блогов по ИБ

Алексей Лукацкий делает обзор последних изменений нормативных актов по ИБ для финансовых организаций. К ним относятся, например, Положение Банка России №552-П, новый СТО 1.3, проект ГОСТа «Базовый состав организационных и технических мер защиты информации». Также приводится краткий план развития финансового рынка Российской Федерации на период 2016–2018 годов.

Хабрахабр публикует статью, посвященную сертификатам CISSP, CISA и CISM. Подробно рассматривается вопрос, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.

27 января 2017 Госдума приняла в третьем чтении новые штрафы по ПДн (правки в КоАП). В блоге «Жизнь 80 на 20» подробно рассматриваются изменения в статье 13.11 относительно штрафов. Максимальная сумма штрафа выросла до 75000 р. Правки вступают в силу с 1 июля 2017 года.

SIEM является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации, однако и результаты работы системы являются выдающимися при правильной эксплуатации. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.

Интересные посты англоязычных блогов по ИБ

В момент атаки уже поздно выяснять организационные вопросы, жизненно важно иметь готовый план по реагированию на инциденты. Terry Sweeney, редактор и автор статьей Dark Reading, кратко разобрал десять необходимых элементов такого плана.

Infosec Institute поднимает вопрос о важности отслеживания и управления мобильными данными. Все больше сотрудников работают удаленно, ставя под угрозу данные, к которым они получают доступ. Это заставляет пересмотреть не только ключевые вопросы управления активами, но и риски безопасности, которые часто недооценивают или не понимают.

Bruce Schneier уверен, что с тотальным проникновением информационных технологий в нашу жизнь мы не должны допустить катастрофы. И единственным решением будет регулирование, которое навязано нам государством в отчаянных попытках сделать хоть что-то. Автор излагает проблемы регулирования как с технической, так и политической стороны, и рассматривает некоторые нормативные акты.

Исследования и аналитика

IV квартал 2016 стал временем невиданных ранее массивных DDoS-атак. Аналитики лаборатории Касперского приводят подробный статистический разбор, указывают основные четыре тренда, дают заключения и прогнозы.

По данным компании ESET, 40% уязвимостей Windows обнаружено в браузерах. За 2016 год в Internet Explorer обнаружено 109 уязвимостей, что в два раза меньше, чем в 2015 году. В новом Microsoft Edge, браузере по умолчанию в Windows 10, закрыта 111 уязвимость. Важно отметить, что ни одна из уязвимостей Edge не использовалась в 2016 году в кибератаках до выхода закрывающих обновлений.

Positive Technologies провели исследование атак на веб-приложения. Аналитики попытались установить, какие атаки пользуются наибольшей популярностью у злоумышленников и каковы возможные мотивы их действий, а также определить основные источники угроз для различных отраслей. Также приводятся данные о распределении типов атак и активности злоумышленников в зависимости от сферы деятельности компании, и динамика изменения характера атак в течение года.

Positive Technologies в отчете «КИБЕРБЕЗОПАСНОСТЬ 2016-2017: ОТ ИТОГОВ К ПРОГНОЗАМ» предложила экспертную оценку ИБ-трендов года, а также сделала определенные прогнозы относительно того, что ждет индустрию в 2017 году. Среди главных трендов 2016 года оказались промышленные системы управления, финансовые структуры, веб-приложения, телекоммуникации и гаджеты.

SecureWorks предоставляет отчет по кибер-угрозам для руководителей «Cybersecurity Threat Insights Report for Leaders». В отчете вы найдете ответы на следующие вопросы: какие виды угроз мы можем наблюдать сейчас? Развиваются они или остаются постоянными? Каково видение поведения угроз? Как организации могут противостоять угрозам самостоятельно, а также какие рекомендации могут быть даны для повышения кибер-безопасности.

Учитывая то, что приготовил нам 2017 год в сфере управления безопасностью, компаниям необходимо обратить внимание на 5 ключевых трендов, по мнению издательства helpnetsecurity: кибербпреступность становится скрытой индустрией, компаниям не обойтись без систем искусственного интеллекта и систем управления уязвимостями, неизбежность слияния и поглощения поставщиков и провайдеров услуг ИБ а также глобальное регулирование в киберпространстве.

Arbor Networks опубликовали 12-ый ежегодный отчет 12th Annual Worldwide Infrastructure Security Report (WISR), который предлагает поделиться знаниями и опытом профессионалов ведущих мировых провайдеров и хостинговых корпораций. Доклад охватывает широкий спектр вопросов от обнаружения угроз и реагирования на инциденты до управляемых сервисов, персонала и бюджета. Его внимание сосредоточено на оперативных задачах интернет-операторов, которые ежедневно сталкиваются с сетевыми угрозами и стратегиях, принятых для устранения и смягчения последствий атак.

Отчет SERT Quarterly Threat Report за 4 квартал 2016 г. содержит анализ событий, выявленных с помощью клиентской базы NTT Security. Отчет содержит наблюдения и анализ типов и источников атак, а также исследований, касающихся обнаружения глобальных угроз; развитие тактики, методов и процедур атак «ложные маркировки» («false flagging»); развитие судебной кибер-экспертизы; лучшие практики безопасности розничной индустрии и увеличение количества атак, спонсируемых государством.

Согласно Cisco 2017 Annual Cybersecurity Report (ACR), более трети организаций, которые подверглись атакам в 2016 году, сообщили о существенной потери клиентов, возможностей или доходов. Доклад освещает задачи и возможности для сотрудников безопасности по защите от киберпреступников и изменению фокуса атак.

Ежегодный отчет 2017 Netwrix Customer Survey дает представление о том, как организации могут усовершенствовать безопасность и процедуры оценки соответствия, а также повысить эффективность повседневных IT-операций с помощью Netwrix Auditor. Отчет предлагает ценную информацию из первых рук о преимуществах, которые компании получают при использовании программы Netwrix Auditor.

Случаи с вредоносной рекламой в 2016 году участились на 32% по сравнению с предыдущим годом, заявил RiskIQ Research. В годовом отчете указано на резкий всплеск вредоносной рекламы в завершившемся году. Выявление и устранение этой угрозы становится все более сложной задачей для организаций. В группе риска не только растущему всемирному рынку платных СМИ, но и бесплатному интернету, каким мы его привыкли видеть.

2016 год опять установил новый рекорд по количеству взломов данных. В годовом отчете «2016 Data Breach Trends – Year In Review» от Risk Based Security дана подробная аналитика ушедшего года в цифрах и графиках.

Громкие инциденты ИБ

Хакеры выложили в интернет электронные письма Дэвида Бекхэма. Представители спортсмена подтвердили факт взлома почты спортсмена. В переписке любимец миллионов допустил нелестные высказывания в адрес ЮНИСЕФ и лордов.

Из-за сбоев в электронной системе службы занятости населения штата Мичиган в Интернет попали личные данные около 1,87 миллиона местных жителей. По данным агентства Associated Press, в сети оказались имена граждан, информация об их зарплате и номера страховых полисов.

В Бразилии неизвестными хакерами взломан сайт, на котором были размещены результаты школьных выпускных экзаменов, которые используются для набора выпускников в ВУЗы и профессиональные училища. При этом некоторые абитуриенты, получившие наивысшие баллы по итогам обучения в средней школе, были записаны злоумышленниками на курс производства местной тростниковой водки кашасы.

Хакеры атаковали старейший отель Австрии Seehotel Jagerwirt. Как сообщает портал The Local, киберпреступники заблокировали работу электронных карт, открывающих двери, получили контроль над всеми компьютерами и резервной системой доступа. Ни сотрудники отеля, ни постояльцы не могли открыть двери.

МИД Чехии был подвержен масштабной кибератаке на электронные аккаунты руководителей. Подверглись нападению почтовые ящики министра иностранных дел и его заместителей. Была украдена секретная информация.

Шифровальщик стал причиной практически полного выхода из строя системы видеонаблюдения в Вашингтоне. За неделю до инаугурации Трампа неназванный вымогатель поразил 123 из 187 сетевых DVR (digital video recorder), к которым были подключены городские камеры. Из-за проблем с DVR, доступа к видео не было.