Дайджест информационной безопасности № 141 за период с 9 по 20 июля 2018 года

Новости законодательства

  • Центральный банк РФ обязал кредитные организации уведомлять регулятора о получении спама с вредоносными вложениями, так как получение подобных писем приравнивается к компьютерным инцидентам. С 1 июля 2018 года банки и операторы услуг платежной инфраструктуры обязаны сообщать в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России о хакерских атаках и их технических параметрах. Также банки должны предупреждать ЦБ о планах раскрыть информацию о кибератаке – будь то публикация на своем сайте, выпуск пресс-релиза или организация конференции.
  • Опубликовано Постановление Правительства Российской Федерации от 11.07.2018 № 808 «О внесении изменения в Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса».

Новости ИБ

  • На сайте БДУ ФСТЭК опубликован Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в банк данных угроз безопасности информации ФСТЭК России, утвержденный 26 июня 2018 г. Также, в Банк данных угроз ФСТЭК добавлена информация о 22 уязвимостях программного обеспечения Ubuntu, Firefox, Android.
  • Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) объявил о решении с 1 августа 2018 года прекратить использование 11 устаревших специальных публикаций из серии NIST SP 800. Документы по-прежнему будут доступны, однако более не будут подвергаться пересмотру или замене.
  • В Сети в открытом доступе опубликован эксплоит для серьезной уязвимости в серверах Hewlett Packard Integrated Lights-Out 4 (HP iLO 4). Проэксплуатировать уязвимость чрезвычайно просто – достаточно использовать cURL-запрос с 29-ю буквами А.
  • ЦБ проводит проверку после публикации в открытом доступе исходного кода компьютерного вируса, который может спровоцировать новую волну кибератак на банки. Полный набор программного обеспечения, позволяющего хакеру организовать атаку на российский банк, оказался выложен в открытый доступ в интернете. Архив вредоносной программы Pegasus также содержит контакты специалистов по информационной безопасности нескольких крупных банков.
  • Власти США выдвинули заочное обвинение предполагаемым 12 сотрудникам Главного разведывательного управления российских Вооруженных сил. Данное обвинение выдвинуто в рамках расследования взлома серверов Демократической партии США, произошедшего накануне выборов президента в 2016 году.
  • Концерн «Автоматика» госкорпорации «Ростех» и компания «Цитадель» вложат более 4 млрд руб. в разработку гражданских ИТ-продуктов на базе военных разработок в области информационной безопасности. По сообщению «Ростеха», для этого они создали совместную компанию «Криптонит».
  • Российская антивирусная компания «Лаборатория Касперского» выиграла процесс против крупной голландской газеты De Telegraaf. Процесс проходил в голландском суде, а претензии касались опубликованной статьи, в которой рассказывалось о женщине-хакере. В своем блоге глава и основатель антивирусной компании Евгений Касперский прокомментировал вынесенное голландским судом решение в пользу российской антивирусной компании.
  • Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 334 уязвимости, в том числе в некоторые продукты внесены исправления для блокирования новых вариантов атак Spectre.
  • В рамках «вторника обновлений» разработчики Microsoft устранили 53 бага в составе Windows, IE, Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio, а также Microsoft Office и Office Services. Из 53 исправленных проблем 25 позволяли удаленно выполнить произвольный код, и 18 получили статус критических. Равно как в прошлом месяце, в основном эти уязвимости затрагивали браузеры Edge и Internet Explorer, и были связаны с нарушением целостности данных в памяти.

Интересные посты англоязычных блогов по ИБ

  • Реализация процесса управления рисками требует значительных затрат времени, энергии и ресурсов, а ответственному лицу в организации необходимо понимать, насколько эффективными будут инвестиции в этот процесс. Christophe Veltsos из Государственного Университета Миннесоты привел ключевые руководящие принципы управления рисками ISO 31000: 2018 и некоторые важные вопросы, на которые необходимо ответить любой организации.
  • Большинство SOC внедряют технологии Security Orchestration and Automation (SOAR) постепенно, по мере достижения зрелости и возникновения потребности. Но есть небольшое количество SOC, которые изначально построены на технологиях SOAR и их используют с первого дня своей работы. Антон Чувакин в блоге Gartner объяснил, какие преимущества есть у такого подхода и почему это может получиться хорошо.
  • Одной из наиболее распространенных проблем безопасности организаций сегодня является нарушение связи между группами разработки, эксплуатации и безопасности, при этом безопасность часто является последней, кто узнает об изменениях. Контейнерные технологии могут играть важную роль в совместной работе этих групп по решению проблем безопасности. Данная статья посвящена контролю, защите и расширению безопасности контейнеров.
  • Согласно анализу, проведенному компанией Recorded Future, национальная база данных уязвимостей России является неактуальной, неполной и сосредоточена на индексировании уязвимостей для аппаратного и программного обеспечения, используемого правительственными агентствами и КИИ. Как правило, Россия публикует только 10% известных уязвимостей, в среднем на 83 дня медленнее, чем Национальная база данных уязвимостей Китая (NVD), на 50 дней медленнее, чем NVD США.

Интересные посты русскоязычных блогов по ИБ

  • Алексей Лукацкий в своем блоге коснулся темы Threat Intelligence (TI) и фидов. Автор подчеркнул, что фиды – это еще не Threat Intelligence, а только ее нижний технический уровень. В статье также сказано про категории TI, в частности, высший тактический уровень, на котором надо оперировать тактиками, техниками и процедурами (TTP). Автор привел перечень публичных источников фидов, open source TI-платформ, в том числе государственных, и также затронул тему стандартов в этой области.
  • Многие говорят, что Threat Intelligence – это вкусно, но не все до конца понимают, как его готовить. Еще меньше тех, кто разбирается, какие процессы нужно выстраивать, чтобы TI работал и приносил profit. За несколько лет постоянной работы с TI компания Solar Security столкнулась с разными  трудностями и поделилась в блоге на Хабрахабре практическими советами, которые помогут новичкам избежать ошибок.
  • Статья в блоге Positive Technologies на Хабрахабре посвящена безопасности технологий машинного обучения. В ней рассматривается важная терминология, вопросы использования машинного обучения для целевых атак и ухудшения производительности, категоризация атак, способы защиты и возможные последствия.
  • Cisco купила OpenDNS пару лет назад и выпустила новый продукт – фильтрующий DNS сервер (точнее облако) Cisco Umbrella. Артем Агеев сделал обзор Cisco Umbrella, включая дыры и скелеты в шкафу, и ставил свой отзыв о продукте.
  • Компания TS Solution поделилась полезными материалами и ресурсами, с помощью которых можно научиться работать в Splunk. Понятно, что самый лучший опыт — это участие в проектах и набивание собственных шишек на практике, но, все-таки, теория тоже важна. В этой статье собраны книги, видео, ресурсы и ссылки на обучение.

Исследования и аналитика

  • Аналитический центр компании InfoWatch представляет итоги глобального исследования публичных инцидентов в области безопасности корпоративной информации, связанных с деструктивными действиями увольняющегося или увольняемого сотрудника в отношении работодателя. В 2017 году более половины инцидентов были связаны с неправомерным копированием корпоративной информации и передачей ее третьим лицам — в том числе конкурентам компании.
  • Компания Digital Security представила результаты исследования защищенности мобильных приложений для iOS и Android 16 ведущих банков России. Основной целью этой масштабной работы, помимо поиска недостатков клиентской части ПО, было изучение взаимодействия банков с операторами сотовой связи. По данным исследования, 18% банков позволяет раскрывать конфиденциальные данные клиента по телефону, в том числе, узнавать баланс счета, информацию о движении средств, что потенциально может привести к краже денег и другим негативным последствиям.
  • Согласно новому отчету Института SANS 2018 Survey on Endpoint Protection and Response, компании инвестируют в более продвинутые инструменты защиты конечных точек, например антивирусы следующего поколения и инструменты обнаружения «безфайловых» атак, но не имеют ресурсов для их правильной реализации и использования. По результатам исследования только 47% атак обнаруживается антивирусами, другие атаки фиксируются с помощью SIEM (32%) и платформ обнаружения и реагирования (26%).
  • Специалисты компании Check Point обнародовали отчет Global Threat Impact Index за июнь 2018 года. По данным исследователей, за последние четыре месяца атаки банковских троянов выросли на 50%. В десятку самых активных угроз месяца вошло сразу несколько семейств банковских троянов.
  • В отчете компании Check Point Cyber Attack Trends: 2018 Mid-Year Report рассмотрены различные штаммы вредоносных программ. За этот год авторы вредоносных программ доказали, что способны на гораздо больший ущерб, чем предполагалось ранее, постоянно увеличивая сложность и гибкость кибератак. Согласно отчету, криптомайнеры стали самым распространенным типом вредоносных программ, сместившие вымогателей с этой позиции.
  • Согласно исследованию Ponemon Institute, 64% опрошенных экспертов считают, что автоматизация безопасности повышает производительность сотрудников, а автоматизированная корреляция поведения угроз помогает им справиться с увеличивающимся количеством угроз. Отчет описывает пять основных проблем, с которыми сталкиваются организации в стремлении оптимизировать безопасность посредством автоматизации, машинного обучения, искусственного интеллекта и оркестрации.
  • Исследование Ponemon Institute 2018 Cost of a Data Breach Study выявило, что средняя стоимость утечек данных выросла на 6,4% по сравнению с 2017 годом и составила 3,86 млн.$. Средняя стоимость каждой украденной записи, содержащей конфиденциальную информацию, также увеличилась на 4,8%. Из отчета можно узнать о средних региональных и отраслевых затратах, факторах, которые могут помочь снизить стоимость утечек, а также о вероятности последующих утечек в течение следующих 24 месяцев.
  • Недавний опрос, проведенный организацией Dimensional Research, показал, что только 20% опрошенных компаний полностью удовлетворяют требованиям GDPR, 53% находятся на пути к этому, а 27% до сих пор не приступили к реализации требуемых нововведений. В ЕС 27% компаний соответствуют GDPR, тогда как  в США таких компаний 12 %, в Великобритании — 21%.
  • Microsoft опубликовала результаты анализа апрельской спам-кампании, нацеленной на распространение новой версии кейлоггера Hawkeye. Зловред носит имя Hawkeye Keylogger – Reborn v8. Авторы снабдили его самыми современными средствами самозащиты, а также дополнительными модулями для кражи учетных данных из приложений и выполнения других действий, несвойственных клавиатурным шпионам.
  • Исследователь в области кибербезопасности Джон Мейсон (John Mason) протестировал 74 VPN-сервиса на наличие разных форм утечек данных. В ходе своих тестов специалист всеми возможными способами пытался получить реальный IP-адрес пользователя, который такие сервисы должны скрывать. По результатам  исследования 17 из 74 VPN-сервисов допускали утечку данных.
  • В 2017 году государственные и частные программы поиска уязвимостей помогли обнаружить более 78 тыс. брешей в компьютерных системах. Такая информация содержится в отчете сервиса Hacker One. По информации экспертов, максимальный размер вознаграждения за один баг составил $75 тыс. Согласно исследованию, этичные хакеры способны обнаружить самые серьезные баги. Доля критических и опасных уязвимостей среди найденных брешей составила 24%.
  • Совет по финансовой стабильности (Financial Stability Board, FSB) опубликовал краткий словарь терминов по кибербезопасности под названием Cyber Lexicon. Словарь включает набор из 50 основных терминов, связанных с защитой от киберугроз в финансовом секторе. Приведенная в словаре лексика может быть полезной для обеспечения защиты от киберугроз, оценки и мониторинга рисков финансовой стабильности и кибербезопасности, а также для обмена важной информацией.

Громкие инциденты ИБ

  • В поисковой выдаче сервиса «Яндекс» удалось обнаружить конфиденциальные данные клиентов ряда крупных российских компаний, в том числе «Сбербанка», ВТБ, РЖД, «Аэрофлота» и ряда государственных сайтов. Как следует из сообщения пользователя соцсети Facebook Павла Медведева, с помощью поисковика «Яндекс» можно обнаружить имена людей, их физические адреса, номера телефонов, фотографии, отсканированные копии документов и пр.
  • В ночь на 4 июля была совершена первая хакерская атака на банк в 2018 году. ПИР Банк лишился более 58 млн рублей с корсчета в Банке России. Похищенные средства выводились на счета в 22 крупнейших банках и были обналичены в различных регионах страны.
  • Данные о передвижении российских и американских разведчиков стали доступны в сети. По данным группы Bellingcat, голландского портала De Correspondent и финского сетевого издания Long Play, в открытом доступе оказались места тренировок нескольких сотен силовиков с 2014 года. Утечка позволяет, например, увидеть, где совершал пробежку высокопоставленный офицер авиабазы, где хранится ядерное оружие.
  • Хакер пытался продать документы, касающиеся беспилотников модели MQ-9 Reaper, которые используются правительственными ведомствами США, за сумму от $150 до $200. По сообщению Recorded Future, злоумышленники успешно взломали по меньшей мере два компьютера, принадлежащих американским военным, а сама кража данных может серьезно повлиять на деятельность вооруженных сил США за рубежом.
  • Сотрудник медицинского учреждения в американском Нашвилле случайно опубликовал персональную информацию ВИЧ-инфицированных пациентов. Материалы включали целый набор приватных данных — от номеров социального страхования и адресов до подробностей интимной жизни.
  • Компания Telefonica, ведущий телекоммуникационный оператор Испании, допустила утечку данных своих клиентов. В руках хакеров, предположительно, могли оказаться персональные данные миллионов людей. Утечкой затронуты имена клиентов, их адреса проживания и электронной почты, номера национальных паспортов, банковские реквизиты, история входящих и исходящих вызовов и другая информация.

Обзор событий предстоящих недель 23.07 – 03.08

Посетить

Послушать

Поделиться записью: