Дайджест информационной безопасности № 132 за период с 5 по 16 марта 2018 года

Новости законодательства

  • 2 марта Президент РФ подписал Указ №98 о внесении изменений в перечень сведений, отнесенных к гостайне. Теперь к ней относятся и «сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры Российской Федерации» и «сведения, раскрывающие состояние защищенности критической информационной инфраструктуры РФ от компьютерных атак». Комментарии можно прочитать в блоге у Алексея Лукацкого.
  • ФСБ РФ подготовила проект приказа об утверждении порядка информирования о кибератаках на значимые объекты критической информационной инфраструктуры (КИИ). Проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов КИИ Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Новости ИБ

  • Компания Cisco выпустила очередной пакет обновлений с исправлениями безопасности от марта 2018 года. В общей сложности в него попали 22 уязвимости, две из которых были классифицированы производителем как «критические». Одна из ошибок связана с жестко запрограммированным паролем для приложения Cisco PCP (Prime Collaboration Provisioning).
  • По данным «Лаборатории Касперского», Россия заняла первое место по количеству пользователей, столкнувшихся с мобильными банковскими троянами. В 2017 году число атакованных пользователей Android увеличилось в 1,2 раза. Наибольшей угрозой для пользователей Android на протяжении последних нескольких лет являются трояны-рутовальщики, которые, получая права суперпользователя, могут делать на устройстве практически все, что угодно.
  • Исследователи в области безопасности обнаружили новую вредоносную программу ComboJack, способную фиксировать момент, когда пользователи копируют адрес криптовалютного кошелька в буфер обмена Windows, а затем подменять этот адрес адресом злоумышленника.
  • Разработчики из компании Red Hat опубликовали ряд рекомендаций, позволяющих частично защититься от уязвимости memcached (CVE-2018-1000115), которая эксплуатируется злоумышленниками для осуществления мощных DDoS-атак. По словам специалистов, одной из обязательных мер защиты уязвимых memcached серверов является правильная настройка межсетевого экрана.
  • 1 марта Microsoft выложила в открытый доступ накопительное обновление KB4090007 для Windows, которое включает доработанную версию патча Intel для уязвимости Spectre 2 (CVE 2017-5715). Этот апдейт предназначен для Windows 10 версии 1709 (Fall Creators Update) и Windows Server версии 1709 (Server Core), но способен защитить лишь ЦП Skylake H/S, U/Y и U23e.

Интересные посты англоязычных блогов по ИБ

  • В публикации Infosec Institute подробно разобран сценарий обнаружения центром мониторинга подозрительной активности в типичном офисе. Сценарий проводился на испытательном стенде. Ресурсы были загружены с malware.trafficanalysis.net, а примеры взяты из инцидента с рабочей станцией Office, которая стала жертвой вредоносного ПО.
  • Tyler Wall выделил основные моменты, которые надо учитывать при выстраивании стратегии SIEM. Сюда относятся выбор правильных типов и количества логов, обеспечивающих наибольшую ценность для SIEM, и создание правил, оценивающих эти логи по установленным правилам.
  • Josué Ferreira представила и описала метод сбора и сохранения данных, присутствующих на SSD (Solid State Drives), и создания достоверных с точки зрения форензики bit-stream-копий для дальнейшего расследования. Судебные эксперты часто сталкиваются с проблемой сохранения целостности цифровых данных, захваченных с места преступления. Этот метод способен предотвратить любые непреднамеренные изменения данных на дисках, которые происходят до и после этапа судебной экспертизы.

Интересные посты русскоязычных блогов по ИБ

  • Пост Solar Security на Хабрахабре посвящен важности человеческого фактора (команды) для SOC. Авторы поделились своим опытом о том, как собрать команду в условиях кадрового голода, как этот процесс был организован в компании с самого начала и к чему они пришли в результате.
  • По статистике, около 33% компаний попадают под DDoS-атаки. Предсказать атаку невозможно, а некоторые из них могут быть действительно мощными и достигать 300-500 Гб/с. Для того, чтобы обезопасить себя от DDoS-атак можно воспользоваться услугами специализированных сервисов. Не все владельцы сайтов знают, куда бежать в случае атаки, поэтому Иван Сергеев собрал в одной статье сразу несколько возможных вариантов.
  • Алексей Лукацкий посвятил пост теме повышения осведомленности и обучению сотрудников от рядовых работников до топ-менеджмента. Он привел короткие обзоры двух докладов с прошедшего в Москве “Код ИБ. Профи”. Первый был сделан Кириллом Мартыненко из Сбербанка, который рассказывал об эволюции технологий повышения осведомленности, обучения сотрудников и формирования у них культуры ИБ. Второе выступление – это виртуальное посещение Центра киберзащиты Сбербанка (SOC).
  • Сергей Сторчак в своем блоге привел пример фишинга на металлургические компании и методы защиты от него. Отправной точкой послужило полученное им самим фишинговое письмо. Среди других методов защиты автор подробно показал, какие фильтры для блокировки расширений, которые часто используются для распространения вредоносов, необходимо добавить на почтовый шлюз.

Исследования и аналитика

  • McAfee опубликовала отчет «McAfee Labs Threats Report: March 2018», в котором рассматриваются тенденции новых вредоносного ПО, вымогателей и других угроз в четвертом квартале 2017 года. McAfee Labs выявила в среднем восемь новых образцов угроз в секунду и все большее распространение безфайловых вредоносных программ с использованием Microsoft PowerShell. Пик стоимости биткойна в 4 квартале также побудил преступников придумывать различные способы кражи криптовалютных средств.
  • Компания Micro Focus Security Intelligence and Operations Consulting (SIOC) представила результаты исследования «2018 State of Security Operations: Report of the Capabilities and Maturity of Cyber Defense Organizations Worldwide», в котором оценила возможности степень зрелости 144-х центров SOC с 2008 года. Оценки проводились для организаций государственного и частного сектора, предприятий всех отраслей промышленности и поставщиков услуг безопасности, расположенных в 33 странах на шести материках. Эти данные позволяют сделать выводы о состоянии средств защиты и безопасности предприятий по всему миру.
  • Cisco представила ежегодный отчет по кибербезопасности Annual Cybersecurity Report 2018. По данным отчета, чтобы сократить время обнаружения атак, специалисты по кибербезопасности начинают все больше применять и закупать средства, использующие искусственный интеллект и машинное самообучение. Таким образом, 39% организаций делают ставку на автоматизацию, 34% — на машинное самообучение, 32% — на искусственный интеллект.
  • Эксперты Positive Technologies проанализировали историю кибератак 2017 года. По мнению экспертов, самыми частыми объектами атак в 2017 году стали инфраструктура и веб-ресурсы компаний, а среди главных трендов года специалисты называют трояны-шифровальщики, развитие рынка киберуслуг, атаки на банки, криптовалютные биржи и ICO.
  • В отчете «Vulnerability Risk Management, Q1 2018» компания Forrester отметила, что Rapid7 уже реализовала функционал VRM будущего. Rapid7 получил самый высокий балл в категориях «Текущее предложение» и «Стратегия», а также самый высокий балл в категории «Рынок присутствия».
  • Отчет Comodo Global Malware Report 2017 стал завершением анализа безопасности и исследования моделей угроз за 2017 год. 2017 год стал годом многочисленных геополитических событий, которые сопровождались серьезными атаками на множество организаций. Согласно отчету, на первом месте по числу обнаруженного вредоносного ПО стоит США, Россия занимает 2 строчку.
  • Согласно отчету ЛК «Мобильная вирусология 2017» в прошлом году было обнаружено свыше 5,7 млн мобильных вредоносов. По сравнению с 2016-м этот показатель снизился почти в полтора раза. На количестве атак этот тренд никак не отразился — антивирусные продукты зарегистрировали без малого 43 млн случаев зловредной активности более чем в 230 странах мира. Аналитики компании отметили эволюцию рекламных троянов-рутовальщиков, которые уже несколько лет занимают первые позиции в рейтингах угроз для Android.
  • Почти каждый пятый (18%) служащий в сфере здравоохранения в США и Канаде сказал, что будет готов предоставить доступ к конфиденциальным медицинским данным о пациентах несанкционированному лицу для получения финансовой выгоды. Такие данные  показал опрос Accenture. За определенную плату люди готовы предоставить свои учетные данные для входа, намеренно установить шпионское ПО или загрузить данные на съемный диск.
  • ISC провела исследование и выявила вопиющее несоответствие оплаты различных категорий граждан в сфере ИБ. В то время как средняя зарплата в США составляет 122 000 $, средняя зарплата для людей неевропеоидной расы составляет 115 000 $. Причем мужчины из «меньшинства» зарабатывают на 6000 $ больше, чем женщины из числа меньшинств.
  • Новый отчет компании Thycotic показал, что учетные записи привилегированных пользователей все больше попадают в зону риска по мере увеличения требований регуляторов. Большинство организаций не справляются с их безопасностью из-за неадекватной политики, слабо выполняемых процессов и недостаточного контроля. 64% компаний даже не включают привилегированные учетные записи и пароли в политику контроля доступа.
  • SAP опубликовала ежемесячное критическое обновление SAP Cyber Threat Intelligence report за март 2018 года. Это обновление закрывает 27 уязвимостей  безопасности SAP. 6 из выпущенных исправлений SAP Security Notes имеют высокий приоритет, два – низкий, а 19 – средний. Наиболее распространенным типом уязвимостей, начиная с января 2018 года, является отсутствие проверки авторизации.

Громкие инциденты ИБ

  • Крупнейшая зимбабвийская криптобиржа Golix подверглась кибератакам. Представители компании заявили, что в последние три недели аккаунты пользователей были скомпрометированы неизвестными хакерами. Служба поддержки торговой площадки отметила, что средства клиентов не были выведены, однако они могли быть конвертированы в другие криптовалюты.
  • Хакеры взломали официальный Twitter анонимной криптовалюты Verge. Злоумышленники сообщили о похищении 1 млрд токенов, а также опубликовали снимок документа, удостоверяющего личность одного из разработчиков криптовалюты. Стоимость криптовалюты снизилась на 14% за сутки.
  • Группа хакеров украла с серверов в Германии записи, касающиеся переговоров Евросоюза и Великобритании по Brexit, а также переговоров с Белоруссией и Украиной. Всего было похищено шесть файлов.
  • В Microsoft выявили массовую атаку на компьютеры российских пользователей. За 12 часов злоумышленники попытались заразить вирусом 400 тысяч компьютеров. Более 70 процентов из них принадлежали российским пользователям, остальные – жителям Турции и Украины.
  • Новостной еженедельник L’Express оставил на незащищенном сервере данные 693 тыс. читателей. Даже получив сигнал об утечке, менеджеры издания в течение месяца не принимали никаких мер, чтобы обезопасить хранилище. Только поступок одного из интернет-пользователей помог сохранить информацию.
  • Специалисты в области информационной безопасности зафиксировали DDoS-атаку мощностью 1,7 терабита в секунду. Таких показателей атакующие добились благодаря Memcached. Об этом сообщается в официальном блоге компании Arbor Networks. Хакеры попытались вывести из строя системы одного из крупных американских сервис-провайдеров.
  • Сразу три proof-of-concept утилиты для организации DDoS-атак с амплификацией посредством Memcached были опубликованы в сети, а также IP-адреса 17 000 уязвимых серверов. Но практически одновременно с этим специалисты компании Corero Network Security сообщили, что нашли способ защиты.

Обзор событий предстоящих недель 19.03 – 30.03

Посетить

Послушать

Поделиться записью: