Дайджест информационной безопасности № 125 за период с 13 по 24 ноября 2017 года

Новости законодательства

  • Верховный суд России подготовил разъяснения судьям о квалификации кибермошенничеств, а также мошенничеств с банковскими картами. В подготовленном постановлении пленума ВС РФ «О судебной практике по делам о мошенничестве, присвоении и растрате» он впервые разъяснил вопросы применения введенных в Уголовный кодекс (УК) в 2012 году новых статей о мошенничестве, проанализировав практику их применения.
  • ЦБ РФ приступил к работе над изменениями в кодекс корпоративного управления, связанными с вопросами развития информационных технологий и кибербезопасности. Банк России считает необходимым закрепить стратегическую роль совета директоров публичных компаний в организации системы управления киберрисками.

Новости ИБ

  • Минкомсвязь предложила наделить Роскомнадзор функциями по созданию и обеспечению деятельности центра мониторинга и управления единой сетью электросвязи РФ, а также сделать ведомство его оператором. Центр предлагается создать в первом квартале 2019 года.
  • Cisco и Интерпол объявили о новом соглашении по обмену данными о действиях киберпреступников. Техногигант и международная организация уголовной полиции заявили, что обмен информацией об угрозах станет первым шагом в совместной борьбе с сегодняшней киберпреступностью.
  • В ряде антивирусных продуктов обнаружена уязвимость, позволяющая вредоносному ПО или локальному атакующему с помощью функции восстановления из карантина переместить обнаруженное антивирусом вредоносное ПО в чувствительную часть операционной системы. Таким образом, вредонос может повысить свои привилегии и оставаться в системе персистентным.
  • Обнаружен новый вирус, способный заразить устройство без макросов. Проникновение вредоносного ПО происходит через документ Microsoft Office. Хакеры используют механизм Dynamic Data Exchange (DDE), который позволяет выполнять код, скрытый в другом файле. Microsoft опубликовала информацию о том, как пользователям Office защититься от таких атак.
  • Совет ЕС принял решение о создании европейской сертификационной системы мирового уровня для программных продуктов, связанных с обеспечением кибербезопасности. Это сделано для того, чтобы повысить доверие к цифровому рынку.
  • Microsoft распространит Windows Defender ATP на Linux, macOS, iOS и Android. Windows Defender ATP представляет централизованную панель мониторинга безопасности конечных устройств. Три ведущих производителя средств безопасности — Bitdefender, Lookout и Ziften — выступили партнерами проекта и позволят организациям использовать Windows Defender ATP для обнаружения, защиты и реагирования на угрозы безопасности.
  • В ночь с 9 на 10 ноября 2017 года Wikileaks анонсировал новую серию публикаций, которая получила название Vault 8. Под этим именем Wikileaks будет выкладывать исходные коды правительственной малвари и инструментов, о которых ранее повествовал цикл Vault 7. Начало Vault 8 положил тулкит  Hive, предназначенный для управления малварью на зараженных компьютерах.

Интересные посты русскоязычных блогов по ИБ

  • Десятого октября в Москве прошла ежегодная конференция Group-IB CyberCrimeCon 2017. Представленный пост компании Group-IB на Хабрахабре — это резюме того, о чем говорили на выступлениях: о тенденциях развития преступлений в области высоких технологий.
  • Алексей Лукацкий посвятил пост проблеме управления логами в SIEM. При работе с источниками информации в SIEM существует целый ряд проблем, зависящих от полноты и доступности этих источников. А эффективность всей системы кибербезопасности напрямую зависит от того, насколько выстроена работа с источниками.
  • Сергей Борисов провел исследование на тему классификации пользователей ГИС. В региональных государственных и муниципальных органах и госучреждениях отсутствуют собственные ГИСы, но есть большое количество клиентских подключений к ГИС. По каким требованиям такие рабочие места необходимо защищать, и кто должен классифицировать клиентские места ГИС?
  • Многие зрелые российские компании в своих заявлениях говорят о том, что они либо находятся на пути построения своего SOC, либо планируют это сделать в ближайшее время. Почему же SOC стал таким популярным и востребованным? В блоге компании «Информзащита» на Anti-Malware рассмотрены основные предпосылки для его создания.

Интересные посты англоязычных блогов по ИБ

  • Некоторые поставщики предлагают инструменты, которые помогут подготовиться к новому законодательству GDPR и соблюдать его. William Jackson  привел репрезентативную выборку инструментов, которые помогают провести оценку необходимых мер для достижения соответствия, внедрить их и поддерживать в дальнейшем.
  • Компания Sophos выяснила, что протокол удаленного доступа RDP помогает злоумышленникам размещать шифровальщики в IT-инфраструктуре малых и средних компаний. Преступники взламывают слабые пароли и создают собственные аккаунты, чтобы контролировать ситуацию в организации при полной беспомощности средств безопасности.
  • Брандмауэрами следующего поколения (NGFW) называют межсетевые экраны, которые включают в себя целый ряд усовершенствованных функций. В статье приведена краткая сводка лучших поставщиков NGFW, а также даны ссылки на подробный анализ каждого продукта, включая целевые рынки и варианты использования, характеристики, метрики, варианты поставки и цены.
  • Kelly Jackson на Darkreading написала о том, что такая должность как аналитик 1-ой линии SOC уже не эффективна и скоро изживет себя. Уже появились технологии аналитики, управления и автоматизации, а также новые сервисы SOC, которые выполняют большую часть изначальной сортировки аллертов. Поэтому специалисты 1-ой линии смогут выполнять задачи настоящих аналитиков и будут большую часть времени тратить на исследование проблем и принятие решений.

Исследования и аналитика

  • На портале Anti-Malware представлен подробный обзор платформы R-Vision Incident Response Platform — решения компании R-Vision для организации управления и оперативного реагирования на инциденты информационной безопасности. В обзоре подробно рассматривается архитектура решения, его настройка, функциональные возможности и вопросы лицензирования.
  • Palo Alto Networks опубликовали свои прогнозы и рекомендации относительно использования технологий автоматического реагирования на инциденты (ATR) в АСУ ТП. Согласно их прогнозам, в 2018 году ATR для АСУ ТП достигнут производственной зрелости и ведущие операторы промышленных систем управления начнут их масштабное развертывание на критических объектах и производстве.
  • В блоге Symantec Charles Cooper рассказал о подходах к защите конечных устройств в организациях. По его словам, часть компаний воспринимают защиту конечных точек как необходимость в процессе цифровой трансформации. Другие же в экстренном режиме пытаются внедрять эту технологию, чтобы наверстать упущенное время для защиты своих данных.
  • Google совместно с University of California, Berkeley исследовали, как и зачем хакеры перехватывают аккауны («hijacking»). С марта 2016 по март 2017 года специалисты проанализировали несколько черных рынков и увидели, каким образом крадутся пароли и другие конфиденциальные данные. Результаты были обнародованы и успешно применены для защиты текущих учетных записей пользователей Google.
  • Компания Check Point представила результаты первого исследования атак на мобильные устройства в корпоративных средах. Согласно данным, полученным от 850 компаний на четырех континентах, мобильные устройства, используемые в организациях, уязвимы для атак вне зависимости от операционной системы — Android или iOS.
  • Лаборатория Касперского опубликовала свой прогноз тенденций целевых угроз в 2018 году. Отчет обращает внимание на отдельные сектора промышленности и специфические для них угрозы и прогнозы. Сюда относятся индустрии здравоохранения, автомобилестроения, финансовых услуг, промышленной безопасности, а также криптовалют.
  • Компания SAP выпустила очередной ежемесячный набор исправлений c 22 заплатками, 13 из которых закрыли новые уязвимости. Кроме того, SAP также дополнила девять патчей, выпущенных ранее. Наибольшая часть исправлений — 18 из 22 — оцениваются как средней степени серьезности, один патч — высокой, и три — очень высокой.
  • Аналитический центр InfoWatch представляет исследование утечек конфиденциальной информации из организаций в странах Ближнего Востока за девять месяцев 2017 года. В фокус исследования попали сообщения о компрометации данных коммерческих и некоммерческих организаций, а также государственных органов, которые были опубликованы в СМИ и иных открытых источниках.
  •  «Лаборатория Касперского» опубликовала статистику по вредоносным атакам на компьютеры по итогам третьего квартала. Согласно отчету, в данный период антивирусы ЛК заблокировали 277 646 376 попыток загрузки вредоносных файлов с веб-ресурсов, размещенных в 185 странах. При этом эксперты совокупно зафиксировали 72 012 219 уникальных потенциально опасных URL, а вредоносным атакам подверглись 16,61% компьютеров пользователей.
  • Специалисты Google и ученые из Калифорнийского университета в Беркли, а также Международного института информатики проанализировали данные с множества подпольных площадок, торгующих доступом к учетным записям пользователей. Исследователи пришли к выводу, что фишинговые атаки гораздо опаснее, чем кейлоггинг или неоднократное использование одного и того же пароля на разных ресурсах.

Громкие инциденты ИБ

  • Жертвой атаки мошенников стала компания Tether, которая выпускает токены, являющиеся, по сути, цифровым аналогом доллара и использующиеся для совершения транзакций между криптовалютными биржами. Злоумышленники взломали «кошелек» Tether и похитили более $30 млн в криптовалюте.
  • Кадровая информация одной из крупнейших в мире нефтегазовых компаний Statoil оказалась в открытом доступе из-за ошибки бесплатного онлайн-сервиса Translate.com. Через Google интернет-пользователи могли найти сообщения об увольнении, планы по аутсорсингу, контракты, пароли и прочие данные.
  • 16 ноября группа хакеров разместила для скачивания в одной из соцсетей архив со списками участников АТО (зона проведения военной операции в Донбассе), украденных с якобы взломанного сервера МВД Украины. Киберполиция Украины установила компьютер, с помощью которого хакеры похитили данные.
  • Житель Красноярска проник на серверы государственных органов Республики Башкортостан. Данный факт сразу зафиксировали и воздействие взломщика нейтрализовали. В отношении мужчины возбудили уголовное дело за использование вредоносных компьютерных программ.
  • 20 ноября хакеры атаковали сайт Министерства юстиции Узбекистана. На главной странице сайта Минюста появилась запись, в которой сообщалось, что сайт взломал хакер Skidie KhaN, входящий в группировку Team Cyber Commandos. Подобные записи хакеров возникли также на сайте хокимията (мэрии) Ташкента и Государственного центра тестирования Узбекистана.

Обзор событий предстоящих недель 27.11 — 08.12

Посетить

 Послушать

Поделиться записью: