Дайджест информационной безопасности № 147 за период с 1 по 12 октября 2018 года

Новости законодательства

  • Банком России в развитие закона № 167-ФЗ, направленного на противодействие несанкционированным операциям и защиту клиентов банков от хищения средств кибермошенниками, утвержден документ, описывающий признаки операций, которые должны быть приостановлены банком из-за того, что могут проводиться без согласия клиента.

Новости ИБ

  • Центробанк России и Национальный банк Беларуси совместно будут решать проблему компьютерных атак на объекты кредитно-финансовой сферы. Подписанное соглашение предусматривает основные формы и порядок взаимодействия в рамках обнаружения и пресечения хакерских атак. Соглашение подразумевает улучшение информационной безопасности национальных банков двух государств.
  • Несколько крупных банков США (Bank of America, Citigroup, JPMorgan Chase и Wells Fargo) зафиксировали в течение последних недель рост числа кибератак в отношении своих компьютерных систем. Федеральные власти США, в том числе представители минфина США, рекомендовали руководству банков принять меры для подготовки к попыткам незаконного проникновения в их системы.
  • Британский Tesco Bank оштрафован на 16,4 млн фунтов стерлингов за халатность во время кибератаки, произошедшей в ноябре 2016 года. Тогда хакеры похитили средства с 20 тыс. счетов клиентов банка и вывели 2,26 млн фунтов стерлингов из-за уязвимостей в дебетовых картах Tesco Bank.
  • Ущерб от преступлений в сфере компьютерной информации вырос в январе-августе 2018 года почти на 44%, составив 400 миллиардов рублей. Об этом сообщила заместитель начальника управления взаимодействия со средствами массовой информации Генпрокуратуры РФ Татьяна Захарова.
  • «Лаборатория Касперского» и группа компаний «Просвещение» представили первое совместно разработанное учебное пособие для школьников «Информационная безопасность, или на расстоянии одного вируса». Пособие основано на результатах исследования и опыта специалистов лаборатории, опыта учителей школ и родителей.
  • Новая CSRF-уязвимость, обнаруженная в популярном маршрутизаторе TP-Link TL-WR841N, в сочетании со старой брешью позволяет злоумышленникам получить полный контроль над устройством. Усугубляющим ситуацию фактором является отсутствие соответствующего патча, устраняющего дыру в безопасности.
  • Эксперты обнародовали подробности о потенциально опасной уязвимости, затрагивающей контроллерную плату iDRAC в серверах Dell PowerEdge. Воспользовавшись уязвимостью, получившей название iDRACula, злоумышленники с доступом к сети или физическим доступом к прошивке могут внедрить вредоносный код в контроллер и получить полный контроль над сервером. Причем избавиться от данного кода не помогут ни переустановка системы, ни замена жесткого диска или перезапись BIOS материнской платы.
  • Инженеры крупной телекоммуникационной компании из США обнаружили, что в их сети работает железо производства компании Supermicro, содержащее аппаратную закладку. Речь идет о китайских шпионских чипах, которые якобы встраивают в серверы Super Micro Computer прямо на заводе.
  • Новая концепция атаки на роутеры MikroTik позволяет удаленно выполнить любой код на устройстве с незакрытой уязвимостью CVE-2018-14847. Патч для нее вендор выпустил еще в апреле. Эксплуатация уязвимости позволяет удаленному злоумышленнику получить доступ root shell к устройству, а также обойти брандмауэр, проникнуть во внутреннюю сеть и даже загрузить вредоносное ПО в системы.

Интересные посты русскоязычных блогов по ИБ

  • Компания Ростелеком-Solar посвятила пост вопросу необходимости и правильного использования статического анализа. По словам авторов, сложности его использования конечно же есть, но их вполне можно решить. В статье рассказано о том, что может делать пользователь и каким должен быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».
  • За последние годы рынок DLP-систем активно менялся, вендоры находили для себя новые вызовы, и каждый при этом определял направление развития по-своему. В результате сегодня в данном классе представлено много конкурентоспособных решений без возможности выделить из них универсального лидера. Николай Постнов обозначил круг возможных потребностей и критериев выбора DLP-систем и рассмотрел для каждой ситуации наиболее интересные реализации.
  • В августе 2018 институт SANS опубликовал исследование The definition of SOC-cess? SANS 2018 Security Operations Center Survey.  Его цель – выяснить, что же из себя представляют SOC в разных странах, каков их размер, набор инструментов, какие функции они выполняют сами, а какие отдают на аутсорсинг, и, в конечном счете, выявить критерии успешных SOC. Компания R-Vision опубликовала перевод некоторых выдержек из данного исследования.
  • Алексей Лукацкий поделился презентацией «Как создать свой SOC?», которую представил на конференции CyberCrimeCon’2018. Презентация  освещает ряд вопросов, касающихся численных значений, связанных с центрами мониторинга — стоимость технологического стека, персонала, обучения персонала, численность персонала и т.д. Помимо этого автор добавил несколько важных моментов из опыта Cisco по строительству нескольких десятков SOC по всему миру.

Интересные посты англоязычных блогов по ИБ

  • Довольно часто исследователи безопасности действуют как кибермошенники с целью проверить защищенность данных или обнаружить утечки на публичных серверах. И не редко они это делают для собственного признания в отличие от киберпреступников, которые тихо крадут данные, вымогают деньги и исчезают. Brian Krebs в своем блоге рассказал о проблемах, к которым приводят подобные находки исследователей и их последующая публичная огласка.
  • В первой половине 2018 года исследователи компании Barkly отметили несколько фундаментальных сдвигов в тактике киберпреступников. Эти изменения повлияли на типы атак, осуществляемые злоумышленниками, и согласно прогнозам исследователей, они будут актуальны до конца 2018 года. Авторы выделили три ключевых тенденции в киберпреступности, которые окажут влияние на малый бизнес.
  • The Recorded Future недавно опубликовала свою первую книгу «The Threat Intelligence Handbook — A Practical Guide for Security Teams to Unlocking the Power of Intelligence». Книга призвана предоставить читателям полезную информацию по внедрению Threat Intelligence в организации, обеспечению ее работоспособности и наиболее эффективного  использования.

Исследования и аналитика

  • Число целевых атак на банки по всему миру через систему межбанковских переводов SWIFT утроилась, глобальной угрозой ближайших лет станет уязвимость микропроцессоров и кибератаки по сторонним каналам. Об этом свидетельствует отчет Group-IB «The Hi-Tech Crime Trends 2018«. Согласно отчету, около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак.
  • Киберпреступники все больше автоматизируют свои атаки, лишая жертв времени на защитные меры. К такому выводу пришли эксперты Alert Logic в своем докладе о технологиях обнаружения угроз The State of Threat Detection 2018. Аналитики изучили более 254 тыс. инцидентов ИБ и 7,2 млн связанных с ними событий. В результате они выяснили, что сегодня кибератака разворачивается в три этапа, в то время как традиционная модель предполагала последовательное прохождение семи ступеней.
  • Отчет Skybox Security «Vulnerability and Threat Trends» представил анализ текущего состояния  угроз за 1 полугодие 2018. В этом отчете рассмотрены новые уязвимости, эксплойты, вредоносные программы и текущие тактики угроз в целях согласования стратегии безопасности с текущим ландшафтом угроз.
  • Gartner опубликовал 2018 Magic Quadrant for Enterprise Network Firewalls. Магический Квадрант Gartner отображает рынок с использованием двумерной матрицы, которая оценивает поставщиков на основе таких показателей, как полнота концепции (Completeness of Vision) и полнота реализации (Ability to Execute).
  • Symantec опубликовал свой «прогноз погоды» для ландшафта угроз в новом формате динамической страницы. Согласно Latest Intelligence page, веб-атаки выросли на 7,5 % в сентябре, финансовая Троянская активность увеличилась  на 12,5 %, а число вредоносной электронной почты снова увеличилось, достигнув показателя 1 из 354 писем.
  • Новый отчет команды CrowdStrike Falcon OverWatch, «Observations from the Front Lines of Threat Hunting» представил уникальный взгляд на современные сложные кибератаки, составленный экспертами первой линии киберзащиты. В докладе подробно описаны некоторые из наиболее сложных атак, которые команда проанализировала в первой половине 2018 года, и включает в себя соответствующие изображения, графики, ссылки и идеи для каждого инцидента.
  • Мировые расходы на аппаратное обеспечение, программное обеспечение и сервисы, необходимые для обеспечения кибербезопасности, могут достичь $133,7 миллиарда в 2022. Об этом говорится в отчете исследовательской компании IDC. Расходы на обеспечение безопасности в 2022 году будут на 45 % выше тех, что были в 2018 году ($92,1 миллиардов). Связанные с безопасностью сервисы будут самым дорогостоящим ($40,2 миллиарда в 2018 году) и самым быстрорастущим сегментом.
  • Американский институт изучения потребителей выяснил, что в прошивках 83% роутеров, представленных на рынке США, содержатся уязвимости, способные привести к взлому устройства и компрометации домашней сети. Специалисты протестировали системное ПО маршрутизаторов, полностью или частично разработанное на базе источников с открытым кодом, и обнаружили в нем более 30 тыс. брешей, зарегистрированных в базе данных MITRE.
  • Анализ клавиатурных шпионов, проведенный в Cofense Intelligence, показал, что 40% из них отсылают собранную информацию на адрес email, привязанный к домену zoho.com или zoho.eu. По свидетельству Cofense, операторы кейлоггеров создают на почтовом сервисе Zoho бесплатную учетную запись для приема краденых данных, которые зловред отправляет письмом.

Громкие инциденты ИБ

  • Футбольный ЦСКА приостановил онлайн-продажу билетов на домашние матчи Лиги чемпионов через официальный сайт из-за атаки хакеров. Об этом заявили в клубе красно-синих. В заявлении сказано, что все приобретенные до 22 сентября электронные билеты будут перевыпущены.
  • Канадская сеть ресторанов под управлением компании Recipe Unlimited испытывает серьезные проблемы из-за атаки пока что не идентифицированного вымогательского ПО. Некоторым ресторанам пришлось временно закрыть свои двери из-за блокировки компьютеров. Вспышка эпидемии вредоносного ПО произошла в прошлую пятницу, 28 сентября.
  • Полиция Кливленда (США) скомпрометировала данные более 1600 человек, случайно разместив их на своем веб-сайте. Правоохранители выложили в открытый доступ электронную таблицу с подробным описанием случаев применения силы в отношении граждан в период с апреля по июнь 2018 года. В числе скомпрометированных данных имена, даты рождения, национальность, данные о здоровье.
  • Компания Google объявила о закрытии социальной сети Google+ для пользователей и принятии новых жестких мер по защите их данных. Поводом для этого решения стали невостребованность сервиса и ошибка в API Google+ People, из-за которой могла быть раскрыта информация из учетных записей более 500 тыс. человек.

Обзор событий предстоящих недель 15.10 – 26.10

Посетить

Послушать

Поделиться записью: