Дайджест информационной безопасности № 133 за период с 19 по 30 марта 2018 года

Новости законодательства

  • Банк России обязал кредитные организации отчитываться перед ним о том, проводили ли они платежи во время кибератак. Программное обеспечение банков должно быть настроено так, чтобы бороться с вирусами и одновременно проводить клиентские трансакции. Таким образом, клиентам будет гарантировано и проведение платежей, и сохранность средств на картах.

Новости ИБ

  • В Канаде, в рамках конференции CanSecWest, прошло состязание Pwn2Own 2018. Это ежегодное соревнование хакеров, которое проводится организацией Zero Day Initiative. В этом году исследователям удалось забрать домой лишь 267 000 долларов, что значительно меньше, чем в предыдущие годы, хотя несколько хороших взломов все же были продемонстрированы.
  • Национальный институт стандартов и технологий США (NIST) опубликовал документ «NIST Special Publication 800-160 Volume 2, Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems». В этом документе содержатся рекомендации, которые помогут организациям справиться с APT-угрозами (advanced persistent threat). На данный момент APT представляют серьезную проблему для организаций, так как могут подорвать критически важные аспекты деятельности.
  • Рабочая группа по стандартизации интернет-технологий (IETF) утвердила текущий вариант спецификаций TLS 1.3 в качестве очередной версии этого криптопротокола. Проект стандарта, призванного усилить защиту HTTPS-соединений, в его итоговом виде доступен на сайте IETF.
  • Лидер группировки Cobalt, похитившей более 1 млрд евро, пойман в Испании. На протяжении последних пяти лет киберпреступные группы Carbanak и Cobalt атаковали банки по всему миру. Теперь же, благодаря скоординированным действиям международных правоохранителей, глава этих преступных групп был пойман.
  • Исследователи из компании Core Security рассказали об опасной RCE-уязвимости, найденной в RouterOS, на устройствах латвийского производителя MikroTik. RouterOS – базирующаяся на Linux операционная система, которую используют роутеры MikroTik. Согласно отчету специалистов, им удалось обнаружить в RouterOS проблему, получившую идентификатор CVE-2018-7445 и связанную с SMB, — переполнение буфера.
  • В ноябре 2017 года эксперты по компьютерной безопасности Идо Наор (Ido Naor) и Дэйни Голанд (Dani Goland) создали сайт VirusBay, предназначенный для того, чтобы сделать анализ вирусных программ более неформальным. Площадка предоставляет исследователям место для загрузки и запроса образцов зловредов и их обсуждения с другими знатоками. Сейчас сайт находится в режиме бета-тестирования.

Интересные посты англоязычных блогов по ИБ

  • Christina Wood привел пример 7-ми громких инцидентов, спровоцированных инсайдерами. Можно построить стену, установить защиту периметра и тратить огромные ресурсы на поддержание всего этого. Но если ваш враг находится внутри, эта стена не принесет вам никакой пользы.
  • С момента проникновения в сеть большинство злоумышленников следуют одной и той же базовой стратегии — получают доступ к более низкоприоритетному, менее защищенному хосту, эскалируют привилегии и затем начинают искать дополнительные цели и объекты. Организации обычно не уделяют должного внимания этому процессу и упускают возможность вовремя остановить атаку. В статье от Infosec Institute описаны 10 шагов, позволяющих обнаружить продвижение злоумышленников по сети.
  • Daniel Smallwood поделился фразами, которые можно слышать практически в любом оперативном центре безопасности (SOC). Эти словечки как правило используют CISO, чтобы стереть барьеры между начальниками и подчиненными и показать свою вовлеченность в процесс обеспечения безопасности компании. Автор объяснил что означают фразы типа «Спросите у Стю» или «У меня плохое предчуствие» и что необходимо делать, когда слышишь их.

Интересные посты русскоязычных блогов по ИБ

  • Компания R-Vision начала работу по переводу и публикации руководства MITRE «Ten Strategies of a World-Class Cybersecurity Operations Center» (автор Carson Zimmerman) – одном из лучших гайдов по построению SOC. В книге собраны лучшие практики и советы, которые были выработаны корпорацией MITRE в ходе построения ряда крупных государственных SOC в США.
  • Борис Симис, заместитель генерального директора компании Positive Technologies, в интервью порталу «Безопасность пользователей в сети Интернет» рассказал о новых векторах атак на объекты критической информационной инфраструктуры (КИИ), трансформации защитной парадигмы, связанной с появлением новых угроз, и стратегическом значении концепции ГосСОПКА.
  • Алексей Лукацкий поделился презентацией «Принцип Парето в информационной безопасности», с которой он выступал на РусКрипто. Она посвящена вопросу выбора из сотен и тысяч защитных мер самых важных, позволяющих не бросаться из стороны в сторону, а путем минимума усилий получить максимум защиты. За основу были взяты «горячая двадцатка» CIS Controls (бывший SANS Top 20) и 35 защитных мер австралийского регулятора DSD.
  • Центром интернет-безопасности (CIS) представлена новая версия руководства по информационной безопасности CIS Controls Version 7, в которое входит 20 рекомендаций по защите ИТ-инфраструктуры. Эти рекомендации позволяют составить четкие и приоритетные руководства для решения задач по обеспечению информационной безопасности организации и могут быть использованы как основа политик информационной безопасности.
  • В конце января компания Cisco сообщила о критической уязвимости CVE-2018-0101 в межсетевых экранах Cisco ASA. Она позволяла злоумышленникам удаленно выполнять вредоносный код, проводить DDoS-атаки и перезагружать систему. На сегодняшний день уязвимость «закрыта». Специалисты компании 1cloud решили разобраться в ситуации и подробнее взглянуть на вектор атаки.
  • Андрей Прозоров подготовил презентацию про область действия GDPR и его влияние на российские компании. В ней проанализированы ключевые статьи закона, возможные риски для российских компаний и составлены профили компаний, которым стоит внимательно к нему отнестись.

Исследования и аналитика

  • Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году. По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.
  • Каждый четвертый сотрудник крупной компании в России, обнаружив в своей корпоративной электронной почте письмо с фишинговой ссылкой, переходит по ней. Такие данные приводятся в еще одном исследовании компании Positive Technologies. В нем представлена статистика и аналитические данные по результатам 10 наиболее крупных проектов за 2016 и 2017 годы, а также примеры успешных сценариев атак.
  • Qrator Labs представила годовой отчет по интернет-безопасности за 2017 год, написанный совместно с главным партнером — Wallarm, предоставившим информацию по наиболее заметным уязвимостям и взломам. В 2017 году компании Qrator Labs и Wallarm отметили растущую диверсификацию угроз из-за увеличивающегося множества возможных векторов атаки. Отчет за 2017 год описывает главные тенденции и проблемы в области доступности и безопасности веб-ресурсов, связанные с угрозами DDoS-атак и взломов.
  • «Лаборатория Касперского» опубликовала свой отчет по уязвимостям в АСУ ТП за второе полугодие 2017 года. Как сообщается в отчете, за указанный период в различных компонентах АСУ ТП было обнаружено 322 уязвимости. Большая их часть выявлена в системах управления энергетикой (178). Далее следуют системы управления производственными процессами различных предприятий (164), водоснабжением (97) и транспортом (74).
  • Согласно отчету «Q4 2017 Global DDoS Threat Landscape Report», в период с октября по декабрь компания Incapsula Imperva отразила по своей клиентской базе 5055 DDoS-атак — против 5765 в предыдущем квартале. При этом эксперты отметили, что количество атак уровня приложений заметно увеличилось: в четвертом квартале они в среднем регистрировали 237 таких инцидентов в неделю, тогда как в третьем — только 135.
  • В новом отчете Global Ransomware Report 2018 от SentinelOne отмечается, что более половины (56%) американских компаний столкнулись с атаками вымогателей за последние два месяца (по сравнению с 48% в 2017 году). При этом, 45% атакованных компаний заплатили хотя бы один раз выкуп, и только 26% этих компаний разблокировали свои файлы. Характерно, что компании, выплатившие выкуп, были атакованы снова в 73% случаев.
  • Согласно отчету Recorded Future «Soft Target: The Top 10 Vulnerabilities Used by Cybercriminals», киберпреступники перемещают свое внимание с продуктов Adobe на потребительские продукты Microsoft. Они стали также уделять больше внимания целенаправленным атакам, нежели веб-эксплойтам. Тремя наиболее эксплуатируемыми уязвимостями стали CVE-2017-0199, CVE-2016-0189 и CVE-2017-0022.
  • Компания Forrester Wave в своем отчете «Governance, Risk, and Compliance Platforms, Q1 2018» оценила и сравнила 14 основных платформ GRC, а LogicManager был назван лидером этого рынка. Помимо этого, в отчете отмечена возрастающая важность управления рисками и выделены три усиливающиеся тенденции в бизнесе: репутация, нормативные штрафы и разрушительные бизнес-модели.
  • Компания Armor опубликовала отчет о подпольных рынках в даркнете. Эксперты изучили расценки на самые популярные виды хакерских товаров и услуг. Согласно докладу, DDoS-атаку можно заказать всего за $10 в час, $200 в день или за $500-1000 за неделю. Исследователи также обнаружили в продаже банковские ботнеты (аренда стоит $750 в месяц), наборы эксплоитов ($1400 в месяц), эксплойты для уязвимостей в WordPress ($100), скиммеры ($1500) и хакерские обучающие программы ($50).
  • SS8 выпустила отчет 2018 Threat Rewind Report, в котором исследованы лучшие техники уклонения и скрытия, используемые хакерами и инсайдерами. В течение прошедшего года датчики SS8, развернутые в глобальных производственных сетях, выявили множество методов, используемых для компрометации и кражи данных (интеллектуальной собственности) в ключевых отраслях, охватывающих критическую инфраструктуру, производство и телекоммуникации.
  • Ежегодное исследование, проведенное компанией-разработчиком Micro Focus, показало рост зрелости информационной безопасности в организациях, хотя остается еще многое, над чем нужно работать. В соответствии с отчетом State of Security Operations Report 2018, было достигнуто 10-процентное улучшение компетенций организаций в достижении бизнес-целей, связанных с безопасностью. Согласно исследованию, около 25 процентов организаций оценили эти цели как полностью выполненные.

Громкие инциденты ИБ

  • Глава Центризбиркома Элла Памфилова заявила, что были зафиксированы DDoS-атаки на сайт комиссии. По ее словам, источники атаки исходили из 15 стран.
  • Представитель Белого дома Райан МакЭвой допустил серьезную халатность. Он забыл на автобусной остановке листок бумаги с адресом и паролем от электронной почты, которой американец пользовался, в том числе, на работе. Неназванный прохожий подобрал бумажку и передал журналистам.
  • Российские военные отразили массированную кибератаку на сайт Минобороны во время финального голосования за варианты названия новейшего российского оружия. Как сообщили в ведомстве, интернет-портал пытались обрушить сразу из нескольких стран – одной в Западной Европе, с территории Северной Америки и с Украины.
  • В ночь на 23 марта 2018 года по московскому времени городские власти американского города Атланта, штат Джорджия, подверглись атаке шифровальщика. В официальном Twitter города вскоре появилось сообщение о том, что некоторые клиентские приложения могут не работать и у пользователей могут возникнуть трудности с оплатой счетов и доступом к судебным документам.
  • Хакерская активность с использованием вирусов-вымогателей группы Сobalt зафиксирована даже после ареста ее лидера правоохранительными органами Испании. Очередная фишинговая атака была выявлена 26 марта специалистами компании Group-IB. Сообщается, что рассылка Cobalt была выполнена от имени некоммерческой организации SpamHaus, которая борется со спамом и фишингом.
  • Британское антидопинговое агентство (UKAD) подверглось хакерской атаке, в результате которой могла произойти утечка тысяч результатов допинг-тестов. Как сообщает The Independent, медицинские отчеты футболистов премьер-лиги, сильнейших спортсменов-олимпийцев, а также велосипедистов могли оказаться в руках хакеров.
  • Системы корпорации Boeing атаковали хакеры. Злоумышленники использовали знаменитый вирус WannaCry. Главный инженер компании Майк Вандервел рассказал, что вирус стремительно распространяется за пределы предприятия в Норт-Чарльстоне. Он не исключил, что WannaCry может добраться до программного обеспечения бортовых компьютеров собираемых самолетов.

Обзор событий предстоящих недель 02.04 — 13.04

Посетить

Послушать

Поделиться записью: