Дайджест информационной безопасности № 142 за период с 21 июля по 3 августа 2018 года

Новости законодательства

  • Определены требования к проведению идентификации граждан для размещения данных в единой биометрической системе. Новые требования будут применяться при проведении идентификации граждан госорганами и организациями, которые размещают сведения в электронной форме в ЕСИА, а также в единой информационной системе персональных данных, которая, в том числе, обеспечивает сбор и хранение биометрических данных. Такую идентификацию органы и организации должны проводить самостоятельно (постановление Правительства РФ от 14 июля 2018 г. № 820). Указанное постановление кабмина вступит в силу 1 августа.

Новости ИБ

  • Следственный комитет (СК) России намерен обратиться в Национальное бюро Интерпола с предложением о создании специализированной рабочей группы, которая будет заниматься рассмотрением сообщений из-за рубежа о киберпреспуплениях против детей.
  • Четверо специалистов из Грацского технического университета опубликовали доклад, посвященный новой уязвимости класса Spectre. Новая проблема, связанная с работой механизмов спекулятивного исполнения команд, получила название NetSpectre. Этот баг, в отличие от предыдущих вариантов, может быть использован посредством сетевого соединения. То есть, атакующему уже не понадобится размещать вредоносный код непосредственно на машине жертвы.
  • На конференции Google Cloud Next ’18 в Сан-Франциско разработчики Google представили USB-ключи Titan Security Key, которые можно будет использовать как аппаратное решение для двухфакторной аутентификации. Ожидается, что, как и другие U2F-решения, ключи будут работать с такими сервисами, как Google, Dropbox, Facebook, Github и основными браузерами (Chrome, Firefox, и Opera).
  • За последние несколько месяцев целых пять различных бэкдоров были выявлены в безопасности маршрутизаторов Cisco. В марте были обнаружены жестко закодированные учетная запись с именем пользователя “cisco”, а также пароль для программного обеспечения Cisco Prime Collaboration Provisioning (PCP). В мае Cisco нашла еще одну недокументированную учетную запись в DNA Center, используемую для инициализации устройств по сети. Два последних бэкдора были найдены в продуктах Cisco Wide Area Application Services (WAAS) и Cisco Policy Suite, в котором бэкдор дает атакующему корневой доступ к сети.
  • Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. С января по март 2018 года неизвестные злоумышленники использовали эту брешь для установки криптовалютных майнеров на компьютеры пользователей.
  • Минобороны США планирует отказаться от сотрудничества с компаниями, которые используют программное обеспечение, разработанное в России или Китае. Об этом заявила начальник по закупкам в Пентагоне Эллен Лорд. По ее словам, Пентагон уже шесть месяцев работает над «черным списком» разработчиков программного обеспечения.
  • Эксперты Kaspersky Lab ICS CERT сообщили о новой кампании, нацеленной против предприятий, связанных с промышленным производством и находящихся на территории РФ. Начало кампании  приходится на ноябрь 2017 года. В ходе атак злоумышленники рассылают фишинговые письма с вредоносным ПО, которое устанавливает в систему легитимное ПО для удаленного администрирования – TeamViewer или Remote Manipulator System/Remote Utilities (RMS).

Интересные посты русскоязычных блогов по ИБ

Интересные посты англоязычных блогов по ИБ

  • ThreatConnect представил концепцию применения свойств физической энергии для оценки и обработки показателей threat intelligence. Параллель проводится с кинетической и потенциальной энергиями. Данная схема может применяться для структурирования и оценки индикаторов угроз, показателей активности, фидов или отчетов. Также, это может использоваться для выявления недостатков в сборе данных с целью дальнейшего совершенствования  threat intelligence.
  • В рамках кибербезопасности и анализа угроз (threat intelligence) существует несколько подходов, используемых для анализа характеристик атак  злоумышленников. Одним из популярных подходов является Алмазная модель анализа вторжений. Эта модель подчеркивает взаимосвязи и характеристики четырех основных компонентов: противника, возможностей, инфраструктуры и жертв. Согласно данной модели, событие вторжения определяется тем, как злоумышленник демонстрирует и использует определенные возможности и технологии инфраструктуры для атаки на цель.
  • В 2017 году Gartner ввела термин security orchestration, automation, and response (SOAR) для описания новой категории платформ, порожденной реагированием на инциденты, автоматизацией безопасности, управлением кейсами и другими инструментами безопасности. Популярность SOAR обусловлена несколькими ключевыми преимуществами, которые делают платформы более доступными и удобными для широкого спектра организаций. Stan Engelbrecht посвятил блог эволюции платформ SOAR.
  • Threat hunting быстро становится фаворитом многих программ безопасности компаний, поскольку он обеспечивает высокий уровень ситуационной осведомленности быстрее, чем другие методы. Создание системы поиска угроз может быть весьма эффективным средством защиты критически важных инфраструктур, поскольку дает возможность как оценивать риски, так и тестировать средства контроля безопасности. Daniel Brecht описал 10 основных преимуществ  использования Threat hunting-а.

Исследования и аналитика

  • Эксперты Positive Technologies исследовали более 10 000 предложений теневого рынка киберуслуг. Анализ выявил, что спрос на услуги по созданию вредоносного ПО втрое превышает предложение. Самым дорогим из доступного на преступном киберрынке в виде готовых, «пакетных» предложений является ВПО для банкоматов. Также проведенный анализ продемонстрировал тенденцию к усложнению атрибуции атак в будущем.
  • Исследователи из «Лаборатории Касперского» опубликовали отчет о кибербезопасности систем промышленной автоматизации в 2018 году. Как следует из доклада, более трех четвертей опрошенных руководителей промышленных предприятий считают, что безопасность АСУ ТП является серьезной проблемой, а кибератаки – весьма вероятным событием. При этом лишь 23% компаний хотя бы в минимальном объеме соблюдают государственные или отраслевые нормативы и рекомендации, относящиеся к кибербезопасности АСУ ТП.
  • Эксперты по кибербезопасности из «Лаборатории Касперского» опубликовали отчет о DDoS-атаках во втором квартале 2018 года. Согласно докладу, для проведения атак злоумышленники создают новые ботнеты, состоящие из различных  IoT-устройств, таких как принтеры и камеры видеонаблюдения. В течение второго квартала 2018 года злоумышленники атаковали с помощью ботнетов ресурсы в 74 странах. Россия не вошла в первую десятку по числу атакованных систем и сервисов.
  • Исследование «Лаборатории Касперского» показало, что половина российских промышленных компаний (48%) планирует увеличить бюджет на обеспечение кибербезопасности АСУ ТП. В основном на это решение повлияли произошедшие инциденты или возросший риск столкновения с подобными ситуациями.
  • Специалисты ESET обнаружили новую кибершпионскую кампанию, нацеленную на правительственные учреждения Украины. По данным телеметрии ESET, насчитывается несколько сотен жертв в разных организациях. ESET наблюдает за деятельностью данной кибергруппы с середины 2017 года. Вредоносные программы позволяют управлять зараженными системами и красть конфиденциальные документы. Подробная информация о киберкампании и индикаторы компрометации выложена в блоге ESET на Хабрахабре.
  • Некоммерческая организация «Российская система качества» (Роскачество) провела исследование антивирусных программ для операционной системы macOS. Подробному анализу подвергли десять наиболее популярных антивирусных решений, среди испытуемых была даже встроенная защита от Apple. Были протестированы решения от Norton, Kaspersky, Bitdefender, Avira, ESET, Avast и AVG. Места распределились следующим образом: 1. G Data Antivirus for macOS 2. Norton Security Deluxe  3. Kaspersky Internet Security 4. Bitdefender Antivirus.
  • Согласно отчету компании CrowdStrike «The Securing the Supply Chain report», треть организаций обеспокоены кибератаками, нацеленными на цепочку поставок программного обеспечения. Но во многих случаях они не готовы адекватно на них реагировать. По данным отчета, 18% считают риски высокими, а 38% – умеренными. По числу атак такого рода лидируют организации биотехнологического и фармацевтического секторов, их число составило 82%.
  • Согласно отчету «Under the Hoodie 2018» от компании  Rapid7 Global Consulting, тестировщики на проникновение могут получить полный административный контроль над целевой сетью в 67% случаев в рамках теста. Это значит, что большой фронт работ необходимо направить на обеспечение безопасности внутренней сети.  Согласно докладу, значительно возросла частота использования уязвимостей программного обеспечения для получения контроля над критически важными ресурсами сети.
  • Элизабет Денхэм опубликовала свой второй ежегодный доклад в качестве комиссара Соединенного Королевства по вопросам информации. Отчет выявил большой рост числа сообщений о нарушениях защиты персональных данных в течение первого месяца после введения GDPR. Элизабет также испытала беспрецедентный спрос на свою работу по регулированию частных случаев законов о защите данных и свободе информации.
  • Согласно прогнозам консалтинговой компании Global Market Insights, к 2024 году рынок безопасности АСУ ТП возрастет с текущих $1,5 млрд до $7 млрд. Рост рынка обусловлен увеличением кибератак на критическую инфраструктуру, пояснили эксперты. Непрерывно эволюционирующие угрозы, такие как вымогательское ПО и вирусы, способны негативно влиять на производственные процессы на предприятиях критической инфраструктуры, приводя к серьезным финансовым потерям.

Громкие инциденты ИБ

  • Неизвестные потребовали от администрации аэропорта “Домодедово” несколько сотен биткоинов, угрожая в случае отказа вмешаться в работу навигационных систем аэропорта. Предприняты усиленные механизмы контроля и безопасности. Аэропорт предпринял исчерпывающие меры, чтобы безопасность пассажиров не подвергалась угрозе.
  • Группировка, которая назвала себя Dragonfly или Energetic Bear, сумела взломать сети электрических компаний в США. Как полагают в Министерстве внутренней безопасности, она связана с российскими властями. Взломать сети хакерам удалось благодаря атакам на партнеров электрических компаний. В результате они обманом достали необходимые пароли и получили доступ к компьютерам диспетчерских служб, с которых могли устраивать перебои в подаче электричества.
  • Подразделение COSCO Shipping Line в США подверглось кибератаке, затронувшей повседневные операции компании в регионе. Согласно письму, которое COSCO разослала своим клиентам, киберетака привела к падению местной сети и систем, произошел сбой электронной почты.
  • Заключенные в штате Айдахо взломали электронную систему перевода денег и перевели на свои счета 225 тысяч долларов. Пострадала частная компания JPay, которая предоставляла арестантам доступ в интернет. И речь идет не о банковских, а о специальных тюремных счетах, деньги с которых могут быть потрачены только на книги, одежду и продукты.
  • Хакеры атаковали блокчейн-платформу KIСKICO. Они получили прямой доступ к смарт-контракту токена KickCoin и приватный ключ его владельца. В результате преступники похитили более 70 млн монет KICK на сумму в $7,7 миллионов. Глава проекта Анти Данилевский сообщил, что компания возместит убытки всем пострадавшим пользователям.
  • Специалисты по безопасности обнаружили незащищенный сервер, принадлежащий канадскому сервис-провайдеру Level One Robotics. Из-за ошибочных настроек в открытом доступе находился широкий спектр данных более 100 промышленных компаний, в том числе таких автопроизводителей, как VolksWagen, Chrysler, Ford, General Motors и Tesla. Утечку обнаружили исследователи компании UpGuard.
  • Хакеры осуществили фишинговую атаку 24 июля и получили доступ к сайтам блокчейн-платформы Waves и децентрализованной биржи Waves DEX. После чего они успели внести в них изменения. В настоящее время контроль над доменами возвращен разработчикам.

Обзор событий предстоящих недель 06.08 – 17.08

Послушать

Поделиться записью: