Дайджест информационной безопасности № 145 за период с 3 по 14 сентября 2018 года

Новости законодательства

  • Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации. Уточняется, что эта структура будет заниматься координацией действий, связанных с обнаружением, предупреждением и ликвидацией последствий кибератак. Кроме того, госорган проанализирует уже состоявшиеся атаки и разработает методы противодействия им, а также будет обмениваться с коллегами за границей и профильными ведомствами данными о компьютерных инцидентах.
  • В России утверждена правительственная дорожная карта по развитию конкуренции в различных отраслях экономики и созданию конкурентного немонополизированного рынка. Согласно карте, Минкомсвязи будет отвечать за рост доли отечественного ПО, используемого в том числе в социально-значимых сферах, на 10% в год. В четвертом квартале 2018 г. министерство должно представить правительству доклад о формировании условий недискриминационного участия отечественного ПО в госзакупках.
  • Банк России выпустил два проекта, посвященных установлению обязательных требований по кибербезопасности для кредитных и некредитных финансовых организаций. В частности, Банк России сделал обязательным использование своего ГОСТа 57580.1, сославшись на него в новом проекте. С подробностями новых законопроектов можно ознакомиться в статье Алексея Лукацкого.
  • Минкомсвязи представила новый законопроект, распространяющий административную ответственность за невыполнение либо несоблюдение установленных требований оператором персональных данных обязанности по обезличиванию ПД. Документ вносит соответствующее изменение в статью 13.11 кодекса Российской Федерации об административных правонарушениях. С комментариями к закону можно ознакомиться в блогах Сергея Борисова и Михаила Емельянникова.
  • 6 сентября были опубликованы утвержденные и зарегистрированные в Минюсте 3 приказа ФСБ, касающиеся ГосСОПКИ: Приказ №366 «О Национальном координационном центре по компьютерным инцидентам», Приказ №367, «Об утверждении Перечня информации, предоставляемой в ГосСОПКУ и Порядка предоставления информации в ГосСОПКУ», Приказ №368 об утверждении порядка обмена информацией об инцидентах.

Новости ИБ

  • Корпорация ICANN готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета (DNS). В этой связи она опубликовала руководство с описанием того, что следует ожидать в этом процессе.
  • Палата представителей конгресса США в среду приняла закон «О киберсдерживании и ответных мерах», который предусматривает введение санкций против иностранных лиц и организаций за организацию и проведение кибератак против Соединенных Штатов.
  • Специалисты Национального института стандартов и технологий США (NIST) и Научно-технического управления Министерства внутренней безопасности США обнародовали первую версию проекта стандарта BGP Route Origin Validation (ROV), призванного обеспечить защиту BGP (Border Gateway Protocol). В настоящее время BGP является основным протоколом динамической маршрутизации в сети Интернет.
  • Исследователи Калифорнийского университета в Беркли совместно со специалистами Массачусетского технологического института работают над созданием защищенной среды исполнения (TEE) для процессоров с архитектурой RISC-V. В отличие от подобных разработок для других чипсетов, этот аппаратный анклав представляет собой систему с открытым кодом, что должно повысить ее безопасность и устойчивость к атакам типа Spectre.
  • Количество преступлений, связанных с неправомерным доступом к компьютерной информации и распространением вредоносных программ, по итогам 2018 года вырастет в России примерно на 50% по сравнению с прошлым годом. Такой прогноз сделал официальный представитель Генпрокуратуры Александр Куренной.
  • 360Netlab сообщили, что зафиксировали по всему миру более 7500 маршрутизаторов MikroTik, которые отправляли свой TZSP-трафик на девять внешних IP-адресов. По словам исследователей, злоумышленники изменили настройки сниффинга пакетов, чтобы передавать данные на нужные им локации. Злоумышленники эксплуатируют уязвимость CVE-2018-14847, которая была устранена еще в апреле.
  • В России будет создан ресурс, благодаря которому граждане смогут узнать, использует ли кто-то их персональные данные. Запретить это делать можно будет с помощью того же портала, следует из паспорта правительственной программы «Цифровая экономика». В документе уточняется, что ресурс появится в IV квартале 2018 года.

Интересные посты русскоязычных блогов по ИБ

  • Модернизацию Security Operation Centre Сбербанка в самом Сбербанке называют одним из крупнейших в Европе и самым масштабным в России проектом трансформации SOC: внедряется абсолютно новая процессная модель, вводится новая оргштатная структура и, самое главное, меняется профессиональное сознание людей, так или иначе участвующих в проекте. О причинах и предпосылках этой инициативы, структуре и взаимодействии SOC 2.0 со смежными подразделениями в интервью рассказал начальник центра киберзащиты Сбербанка Сергей Валуйских.
  • Аналитики Solar Security попробовали разобраться, чего же ждет регулятор от компаний, строящих у себя центры ГосСОПКА, и исследовать этот вопрос. В документе обозначены пять основных подсистем центра ГосСОПКА и рассмотрены их технические аспекты.
  • Алексей Лукацкий выделил ряд метрик, которые можно использовать для того, чтобы показать эффективность своего SOC на уровне, понятном любому безопаснику. На первых порах во главу угла своей программы необходимо поставить эти 3 основных метрики: время обнаружения угрозы (Time-to-Detect, TTD), время локализации угрозы, включая расследование (Time-to-Contain, TTC) и время реагирования на угрозу (Time-to-Response, TTR).

Интересные посты англоязычных блогов по ИБ

  • Кертис Франклин на DarkReading рассказал о 7 способах использования Blockchain в качестве инструмента безопасности: распределенная идентификация, распределенное хранилище, распределенное шифрование, обязательная отчетность, целостность данных, защита критической инфраструктуры и здравоохранение.
  • Предприятия все чаще обращаются к решениям SOAR для оптимизации реагирования на инциденты кибербезопасности. Синтия Харви пояснила, что из себя представляют SOAR-решения, их ключевые возможности и отличия SOAR от SIEM. Автор также привела 8 способов, которыми  SOAR могут преобразовать процессы обеспечения безопасности.
  • С введением GDPR появились не только проблемы, но и новые возможности. Например, можно обеспечить наглядность и контроль данных в системах, а также установить большее доверие с клиентами. Hank Schless собрал каталог из 45 полезных и информативных ресурсов, которые содержат рекомендации по широкому спектру вопросов и тем, связанных с GDPR. Также о том, какое влияние на бизнес оказала новая директива по защите данных за 100 дней своего действия можно прочитать в этой статье Вероники Галисовой.
  • В последнее время было опубликовано много опросов, исследований и официальных документов об успехах SOC и методов threat hunting в усилении безопасности организации. Тем, кто задумался о внедрении SOC и уже составляет бюджет, возможно, пригодятся пять отчетов, в которых есть ряд интересных фактов и практических идей.
  • Согласно последнему отчету DevOps Research & Assessment (DORA), компании, активно практикующие DevOps, добиваются существенно более высоких результатов по скорости разработки ПО, а также по бизнес-показателями, по сравнению с остальными. Ericka Chickowski остановилась на пяти важных моментах, о которых CISO стоит задуматься, чтобы модель DevSecOps максимально эффективно работала.

Исследования и аналитика

  • Среди киберпреступников растет интерес к универсальным вредоносным программам, которые можно модифицировать под практически неограниченное количество задач. К такому выводу пришли эксперты «Лаборатории Касперского», проанализировав активность 60 000 ботнетов, связанных со 150 семействами вредоносов. Аналитики отмечают, что в целом количество скачанных их ботами уникальных вредоносных файлов в первом полугодии 2018 года снизилось на 14,5% по сравнению со вторым полугодием 2017 года.
  • «Лаборатория Касперского» опубликовала результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение первого полугодия 2018 года. Данные показывают, что процент атакованных машин ICS  неуклонно растет: с 36,6% в первом полугодии 2017 года до 37,7% во втором полугодии 2017 года и 41,2% в первом полугодии 2018 года. По словам специалистов, рост процента атакованных компьютеров АСУ связан с общим повышением вредоносной активности.
  • Согласно исследованию компании Positive Technologies, количество киберинцидентов во втором квартале 2018 года увеличилось на 47% относительно уровня второго квартала прошедшего года. В апреле — июне преобладали целевые атаки: например, на конкретные организации и их клиентов или на криптовалютные биржи (такие как Verge, Monacoin, Bitcoin Gold, ZenCash, Litecoin Cash).
  • Недавнее исследование PwC показало, что доверие потребителей к компаниям ослабевает, только четверть потребителей уверены в надежности обработки их конфиденциальных и личных данных компаниями. Более того, почти 90% респондентов подтвердили, что готовы поменять место работы, если не будут доверять собственной компании в вопросе обработки персональных данных.
  • Unit 42, исследовательский центр Palo Alto Networks, проанализировал закономерности и тенденции в текущих веб-угрозах. В этом квартале было выявлено резкое падение количества вредоносных сайтов во всем мире, особенно в России и Китае. Между тем, Соединенные Штаты остаются ведущей страной размещения вредоносных сайтов и эксплойтов. В отчете также предоставлен подробный анализ атак на cve-2018-8174 с использованием эксплойта Double Kill.
  • Согласно отчету «Protecting People» от Proofpoint, с первого по второй кварталы 2018 года количество атак по электронной почте на предприятия увеличилось на 36 %, причем в розничной торговле, здравоохранении и государственном секторе наблюдается наибольшее количество попыток компрометации  деловой электронной почты. При этом на сотрудников не руководящих должностей приходится наибольшее число (60%) целевых и фишинговых атак.
  • SAP выпустила ежемесячное критическое обновление на сентябрь 2018 года. Это обновление закрывает 22 бреши безопасности SAP (14 SAP Security Patch Day Notes и 8 Support Package Notes). 3 из этих патчей — это обновления для ранее выпущенных. В этом месяце отсутствие проверки авторизации является самой большой группой по количеству уязвимостей.
  • В августе Счетная палата США опубликовала отчет о результатах расследования нашумевшего взлома американского бюро кредитных историй Equifax, в результате которого злоумышленники получили доступ к персональным данным 145 миллионов граждан США, Канады и Великобритании. Комментарии к отчету можно прочитать в блоге Алексея Лукацкого.
  • Специалисты компании Palo Alto Networks зафиксировали вредоносную программу после исследования 0-day эксплойта для Adobe Flash (CVE-2018-5002). Вредонос, получивший имя Chainshot, используется на ранних этапах для активации загрузчика конечного пейлоада всей злонамеренной цепочки.
  • Почему люди часто забывают пароли к своим аккаунтам и веб-сайтам? Многое зависит от важности пароля и как часто они его используют, согласно научному исследованию университета Rutgers. Разработчикам систем необходимо учитывать среду, в которой используются пароли, и то, как память работает с течением времени.

Громкие инциденты ИБ

  • Официальный правительственный сайт раскрыл десятки номеров социального страхования и других данных граждан. Речь идет о сайте Freedom of Information Act, ошибка возникла при обновлении системы. На протяжении нескольких недель конфиденциальная информация граждан была доступна любому желающему.
  • Инфраструктура «Ростелекома», задействованная в ходе Единого дня голосования, подверглась атакам хакеров. Однако их было гораздо меньше, чем в марте, когда в стране проходили выборы президента. Об этом сообщил вице-президент компании Артемий Прокопенко.
  • Компания Veeam Software, специализирующася на разработке решений для управления виртуальной инфраструктурой и защиты данных, допустила утечку 445 млн записей своих клиентов. База данных объемом в 200 ГБ хранилась на открытом для общего доступа сервере MongoDB в инфраструктуре Amazon.
  • Канадский провинциальный городок Мидлэнд, который находится на периферии Онтарио, стал жертвой глобальной хакерской атаки, в результате которой вся компьютерная инфраструктура города попала под действие вредоносного ПО, зашифровавшего файлы сети.
  • Представители онлайн-площадки C-CEX сообщили, что хакеры обнаружили уязвимость в процедуре вывода средств с биржи и украли большую часть токенов. Злоумышленникам удалось вывести все LTC и DOGE пользователей. Сотрудники биржи пока в растерянности и просят своих клиентов не отправлять DOGE и LTC на старые адреса.

Обзор событий предстоящих недель 17.09 – 28.09

Посетить

Послушать

Поделиться записью: