Дайджест информационной безопасности № 129 за период с 22 января по 2 февраля 2018 года

Новости законодательства

  • Правительство России внесло изменения в правила взаимодействия мессенджеров с органами, осуществляющими оперативно-розыскную деятельность. Теперь администрация мессенджера должна обеспечивать “неразглашение любой информации о конкретных фактах и содержании такого взаимодействия третьим лицам”. Кроме того, введен запрет на нахождение программно-технических средств, используемых в рамках такого взаимодействия, за пределами РФ.
  • Центробанк решил расширить требования к отчетности банков о кибератаках. Финансовым организациям уже в этом году предстоит раскрывать информацию о том, как и с чьих счетов мошенники пытались украсть деньги.  В пресс-службе уточнили, что Центробанк сделает эти доклады публичными. По мнению экспертов, это позволит своевременно реагировать на угрозы и возвращать пострадавшим похищенные средства.
  • Законопроект о новом наказании для коррупционеров и хакеров внесла в Госдуму Ирина Гусева («Единая Россия»). За преступления коррупционной направленности и мошенничество в сфере компьютерной информации предлагается убрать такие виды наказаний как арест, ограничение и лишение свободы, заменив их принудительными работами.

Новости ИБ

  • ФинЦЕРТ Банка России опубликовал рекомендации по безопасности во время проведения Чемпионата мира по футболу 2018. Рекомендации даются по 4 направлениям:
  • Эксперты Kaspersky Lab ICS CERT обнаружили 14 опасных уязвимостей и одну недокументированную возможность в программно-аппаратном комплексе SafeNet Sentinel, который широко используется во многих промышленных и критически важных IT-системах по всему миру. Эти бреши потенциально открывают удаленный доступ для злоумышленников и позволяют им скрывать свое присутствие.
  • Исследователи в области безопасности продемонстрировали атаку на Active Directory, позволяющую вставить собственный контроллер домена в существующую корпоративную настройку. Получивший название DCShadow этот способ атаки позволяет злоумышленнику создать контроллер домена в среде Active Directory и использовать его для доставки вредоносных объектов.
  • Компания Cisco Systems выпустила обновления безопасности, устраняющие критическую уязвимость в ПО Cisco Adaptive Security Appliance (ASA). Уязвимость CVE-2018-0101 содержится в функции SSL VPN операционной системы при условии, что в настройках ОС включена функция webvpn. Уязвимость получила максимальный рейтинг опасности (10) по шкале CVSS.

Интересные посты англоязычных блогов по ИБ

  • Doug Drinkwater привел 6 вариантов использования киберпреступниками технологий машинного обучения и искусственного интеллекта в своих атаках. Так, например, эти технологии помогают создавать неуловимое вредоносное ПО, умные и масштабные ботнеты, продвинутые фишинговые письма, получать неавторизированный доступ и даже нарушать работу механизмов машинного обучения и анализа угроз (Threat Intelligence).
  • Терена Белл попыталась разобраться в том, к чему может привести конец сетевого нейтралитета. Возможно, это отразится на стоимости услуг провайдеров средств защиты или приведет к отслеживанию браузеров и онлайн-транзакций. Эта идея имеет общественную поддержку, но ни у кого нет ясности, чем это обернется даже с точки зрения нормативного регулирования.
  • Статья на сайте Frontline Sentinel посвящена вопросам регулирования коммуникаций сотрудников в Европе и США. В статье рассмотрены основные требования GDPR, регулирующие конфиденциальность граждан ЕС. Отмечается, что европейские законы о неприкосновенности частной жизни на порядок строже и детальнее американских. В США право контролировать коммуникации сотрудников зависит от конкретного штата.

Интересные посты русскоязычных блогов по ИБ

  • Алексей Лукацкий написал заметку про  базу знаний ATT&CK и способы ее использования. Новая парадигма корпорации MITRE предлагает осуществить сдвиг от IOC (индикаторов компрометации) в сторону IOA (индикаторов атак), то есть пытаться детектировать атаку в процессе действия злоумышленника, изучая в реальном времени его поведение. Задача ATT&CK заключается в формировании базы техник и тактик атак, которые могут быть описаны.
  • Артем Агеев поделился примером схемы фишинга, который пройдет через все корпоративные ИБ фильтры. Пример демонстрирует, как действуют грамотные фишеры и каким образом можно от них защититься. В данном случае многофакторная аутентификация может сделать вас чуть более сложной целью для мошенников.
  • Компания Эшелон в блоге на Хабрахабре привела пример теста на проникновение с помощью Metasploit Framework. Эта статья является базовым руководством для системного администратора и помогает разобраться в перечне ключевых проверок, а также в том, что интересует злоумышленников в первую очередь.
  • Компания Cloud4Y в блоге на Хабрахабре привела подробный анализ Общего регламента по защите данных GDPR и последствий его внедрения. В статье даны ссылки на текст закона и официальные разъяснения к нему, требования GDPR и последствия их несоблюдения, а также требования российского законодательства. В статье проводится даже оценка эксперта Александра Бодрика о возможных потерях для десяти крупнейших компаний российской экономики.

Исследования и аналитика

  • В новом докладе IBM X-Force проанализированы изменения в киберпреступности за 2017 год и даны прогнозы, чего следует ожидать финансовым учреждениям в 2018 году. Появление одних преступных группировок и исчезновение других на протяжении прошлого года лишь доказывает, что только самые сильные выживают в мире организованной киберпреступности.
  • Эксперты «Лаборатории Касперского» обнаружили новую финансовую угрозу – троянец Mezzo, способный подменять реквизиты в файлах обмена между бухгалтерскими и банковскими системами. В настоящий момент зловред просто отправляет собранную с зараженного компьютера информацию на сервер злоумышленникам. Количество жертв Mezzo пока исчисляется единицами, при этом большинство заражений зафиксировано в России.
  • Опрос показал, что только 42% американцев делают свои пароли на веб-сайтах разными, 35% регулярно обновляют свои пароли, а менее четверти (24%) меняют или обновляют свои пароли перед поездкой. Исследование также показало, что кибербезопасность на рабочем месте также подвержена риску: только 29% считают, что защита паролей является частью политики кибербезопасности своей компании.
  • Корпорация Netwrix выпустила отчет 2018 Netwrix Cloud Security. Согласно отчету, основной проблемой облачной безопасности является риск несанкционированного доступа (69%). Основными причинами инцидентов в облаке являются ИТ-специалисты (39%), другие пользователи (30%) или облачные провайдеры (30%).
  • Thales представила результаты своего отчета об угрозах 2018 Thales Data Threat Report Global Edition, выпущенного совместно с аналитической компанией 451 Research. В докладе показано, как цифровая трансформация заставляет организации изменить привычные способы ведения бизнеса. Уже 94% организаций используют конфиденциальные данные в различных технологиях: облаках, big data, IoT, контейнерах, блокчейне и мобильных средах.
  • В соответствии с ежегодным докладом Global Security Report, выпущенным AppRiver, в 2017 году было отправлено более 14,5 миллиардов электронных писем с вредоносными вложениями. Большинство киберугроз были начаты в США и проводились в течение всего года со значительными пиками в августе, сентябре и октябре.
  • Министерство Науки Великобритании опубликовало доклад «Время и положение по спутнику: исследование критических зависимостей». В нем министр Оливер Доуден подчеркнул факт зависимости Великобритании от глобальной навигационной спутниковой системы (GNSS) и необходимость принятия мер для повышения устойчивости критически важных услуг в случае сбоя GNSS, в том числе путем создания резервных систем там, где это необходимо.
  • Компания Tripwire провела опрос 406 ИБ-специалистов с целью выяснить, насколько подготовленными к GDPR ощущают себя организации. Согласно результатам, 77% компаний вполне могут справиться с уведомлениями в отведенные 72 часа, при этом 24 % заявили, что они могут уведомить клиентов о нарушении данных в течение 24 часов. Большинство (73 %) заявили, что они частично подготовлены и будут ориентироваться и действовать по ситуации.

Громкие инциденты ИБ

  • Персональные данные более чем 220 тыс. доноров человеческих органов были похищены неизвестными в Малайзии. В частности, в сети появился файл, датированный 31 августа 2016 года, в котором содержатся в том числе номера медицинских карт, домашние адреса, номера телефонов доноров и их ближайших родственников.
  • Агентство Metrolinx из канадского Онтарио подверглось нападению хакеров из Северной Кореи в начале января. По словам источника, хакеры «запустили вирус через Россию». Однако нападение не привело к нарушению конфиденциальности и не нарушило работу систем безопасности.
  • Хакерская группа Fancy Bears опубликовала документы, которые говорят об употреблении допинга мировыми спортсменами. Согласно обнародованным данным, порядка 70% состава сборной Норвегии по лыжным гонкам являются астматиками и имеют терапевтические исключения на запрещенные препараты.
  • Хакеры вывели со счетов одной из крупнейших японских криптобирж Coincheck более 500 млн единиц токенов NEM на сумму $396 млн. Как отмечает агентство Bloomberg, это одно из крупнейших киберпохищений в истории.
  • Карта активности The Global Heat Map, составленная компанией Strava на основании данных фитнес-трекеров, раскрыла местонахождение военных баз США за рубежом. В зонах боевых действий, например, в Сирии и Ираке, карта активности почти полностью темная за исключением отдельных мест.
  • На американскую компанию Devumi, которая занимается продвижением в соцсетях, завели дело в прокуратуре. Как утверждают авторы расследования газеты The New York Times, компания регистрировала фальшивые аккаунты, используя данные реальных людей.
  • Хакеры взломали Facebook болгарского президента. На болгарском ресурсе после атаки появилась ссылка на турецкий сайт, которая была доступна на страничке президента в течение нескольких часов 21 января.  Она вела на сайт турецкого кредитного учреждения.
  • Больница Hancock Health, расположенная в Индиане, заплатила более 55 000 $ выкупа вымогателям, заразившим системы медицинского учреждения шифровальщиком SamSam.
  • Хакерская группа Che Burashka опубликовала описание взлома системы продажи билетов на московские и подмосковные электрички, разработанной компанией Микротех. Эта система включает в себя билетные кассы, турникеты для пропуска пассажиров на платформы и мобильные устройства для контролёров.

Обзор событий предстоящих недель 05.02 – 16.02

Посетить

Послушать

Поделиться записью: