Дайджест информационной безопасности № 146 за период с 17 по 28 сентября 2018 года

Новости законодательства

Новости ИБ

Интересные посты русскоязычных блогов по ИБ

  • Исследователи из компании Kollective обнаружили, что почти половине компаний на закрытие известной уязвимости нужен целый месяц. В блоге на Хабре компания 1Cloud рассказала, почему компании так долго устанавливаю патчи и задерживают обновления, и что с этим можно сделать.
  • Компания Softline в посте на Хабре описала случай по внедрению SOC на базе SIEM в одной достаточно крупной компании. Данный случай продемонстрировал типичные ошибки в подходе и планировании SOC, который приводит к ошибкам, провалу проекта и лишним тратам. Автор выделил основные факты, которые надо учитывать при внедрении SOC и какие варианты выбрать, чтобы получить максимальный результат от инвестиций.
  • Автор блога на Хабре поделился своими рассуждениями на тему безопасности компании и попытался разобраться, нужны ли вообще такие услуги, как тестирование на проникновение. Автор подчеркнул важность грамотного использования ресурсов и слаженной команды реагирования на инциденты для обеспечения реальной безопасности компании.
  • Александр Донин (КРОК) посвятил пост теме импортозамещения в сфере ПО. Автор подробно объяснил, кому и зачем необходимо заниматься импортозамещением и как оно связано с аттестацией по требованиям ИБ. Автор привел план реализации перехода, описание шагов, куда бежать и что делать, и какие сложности могут возникнуть.
  • Алексей Лукацкий выложил презентацию вебинара Об оценке соответствия средств защиты информации. В рамках мероприятия была предпринята попытка оценить не только текущее состояние рынка сертифицированных решений, но и спрогнозировать тенденции в этой сфере. Также речь шла о том, чем можно заменить сертификацию, не нарушая законодательства.
  • В другом посте Алексей Лукацкий рассказал об основных результатах и своих впечатлениях от секции кибербезопасности конференции «ИТ-Диалог», проходившей в Санкт-Петербурге. Основные вопросы касались трудностей и ошибок, которые субъекты КИИ делают при формировании перечня объектов КИИ. Также обсуждались темы лицензирования деятельности по защите для субъекта КИИ и сведения, относящиеся к гостайне. Дополнительно Алексей поделился схемой, в которой он собрал всех регуляторов, которые имеют отношение к теме КИИ и процессы, в которых они участвуют.

Интересные посты англоязычных блогов по ИБ

  • Ресурс Darkreading привел практические рекомендации по адаптации дорожной карты Национального института стандартов и технологий (NIST CSF) к потребностям бизнеса организаций. Авторы изложили пять шагов, которые помогут организациям воплотить в жизнь стандарт NIST CSF Version 1.1.
  • Использование контейнеров дает много преимуществ в DevOps, но при этом усложняет архитектуру и может быть трудным в реализации. Пост от Threat Stack содержит подробную информацию о 50 учебных ресурсах Docker, которые предназначены для обучения пользователей любого уровня компетенции – от новичков до профессионалов.
  • Все сети промышленных систем управления (ICS) были построены до появления киберугроз и не имеют встроенных средств контроля внешней безопасности. При этом ущерб от атак может быть самый катастрофичный. Учитывая данные риски, Barak Perelman рассмотрел пять наиболее распространенных угроз для сетей ICS и способы снижения риска, связанного с ними.
  • Sidney Pearl опубликовал статью «Знай своего врага: искусство и наука охоты за киберугрозами». Автор выделил два важнейших принципа в становлении процесса threat hunting: формирование сильной команды и приоритет методологии над технологиями.
  • Согласно прогнозу Gartner на 2018 год, в этом году расходы корпораций на безопасность достигнут колоссальных 96 миллиардов долларов. Чтобы обеспечить разумное инвестирование ресурсов в безопасность и вносить необходимые корректировки, организациям необходимо иметь надежные метрики, включая показатели по управлению уязвимостями. Ayala Goldstein рассказала, как выбрать и подсчитать метрики управления уязвимостями.

Исследования и аналитика

  • Интерес к различным IoT-устройствам со стороны злоумышленников продолжает расти: за первую половину 2018 года «Лаборатория Касперского» получила в три раза больше образцов вредоносного ПО, атакующего «умные» устройства, чем за весь 2017 год. Отчет «Новые тренды в мире IoT-угроз» показал, какие векторы атак используются злоумышленниками, какие зловреды загружаются в систему в результате успешной атаки, а также чем все это может обернуться для владельца устройства и жертв ботнета.
  • Согласно исследованию «Лаборатории Касперского» «Угрозы использования RAT в ICS», использование в промышленных системах инструментов для удаленного администрирования (RAT, remote administration tool) несет потенциальную угрозу безопасности. Получив доступ к подобному инструменту, атакующий может повысить свои привилегии и завладеть не одним компьютером, а целой сетью предприятия.
  • По данным аналитического центра компании InfoWatch, в 2018 году компании потеряли двое больше данных по вине своих собственных сотрудников, чем в результате внешних хакерских атак. При этом специалисты из InfoWatch говорят о том, что «внутренние» утечки наиболее опасны, так как хакеры нацелены на «однородные данные», вроде сведений о пользователях сервиса, а утечки, произошедшие по вине персонала, могут выдать любые данные, включая и наиболее чувствительные для компаний.
  • Согласно отчету Исследование защищенности приложений для трейдинга от Positive Technologies, каждое приложение для биржевой торговли содержит ряд уязвимостей. В зоне риска находятся и частные трейдеры, и крупные компании. Специалисты считают, что кибератаки могут привести к проблемам на биржах и стать следствием потери средств инвесторами.
  • Компания Fortinet подготовила отчет об угрозах за второй квартал 2018 года. По итогам второго квартала Fortinet засекла 7 230 уникальных эксплойтов, 23 945 уникальных образцов вредоносов и 265 уникальных вариантов ботнетов. При этом, на одну организацию приходится 13 уникальных детектов ежедневно. 23,3 % от общего числа обнаруженных зловредов представляют собой злонамеренные криптомайнеры, которые добывают цифровую валюту за счет вычислительных ресурсов компьютеров пользователей.
  • Специалисты компании Check Point обнародовали традиционный отчет Global Threat Impact Index за август 2018 года. В этом месяце аналитики отмечают значительное увеличение числа атак с использованием банковского трояна Ramnit. В последнее время этот банкер удвоил свою активность, чему способствовала широкомасштабная кампания, в ходе которой устройства жертв становились вредоносными прокси-серверами.
  • Согласно отчету McAfee Threats Report: September 2018, во втором квартале 2018 года злоумышленники развивают и совершенствуют свою тактику, начиная от незаконного майнинга и заканчивая крупными мошенническими кампаниями. Общее количество вредоносных программ coin miner почти удвоилось (до 86%) и стало опережать ransomware по числу новых образцов. Также отмечается резкий рост вредоносного ПО JavaScript и крупные мошеннические компании на Google Play.
  • Cyber Threat Alliance опубликовал анализ угроз незаконной добычи криптовалюты The Illicit Cryptocurrency Mining Threat, а также ключевые выводы анализа – Key Findings. Авторы изложили угрозы и последние тенденции атак, описали влияние незаконного майнинга на предприятия и персональные устройства, а также предоставить рекомендации и лучшие практики для решения этой проблемы.
  • Эксперты компании Akamai отметили значительный рост атак с подстановкой учетных данных (credential stuffing, CS). Этой теме посвящен очередной отчет из серии State of Internet. В мае-июне этого года специалисты зафиксировали более 8,3 млрд таких инцидентов. Понятие credential stuffing объединяет атаки с подбором логинов и паролей по слитым ранее базам — такие учетные данные можно купить в даркнете.
  • Правозащитная организация Citizen Lab опубликовала отчет о новой технологии сканирования, позволяющей выявлять системы правительственного слежения с использованием мощного шпионского ПО Pegasus. За последние два года специалисты Citizen Lab обнаружили следы Pegasus в 45 странах.

Громкие инциденты ИБ

  • Работу международного аэропорта Бристоля в Великобритании едва не парализовала атака вымогателя. Так как руководство аэропорта отказалось платить выкуп вымогателям, некоторые системы пришлось превентивно увести в оффлайн и временно отключить, а вместо них задействовали обычные магнитно-маркерные доски, данные на которых менялись вручную.
  • Личные почтовые аккаунты сервиса Gmail ряда американских сенаторов стали целью атаки иностранных хакеров. Данных относительно того, сколько именно сенаторов пострадали от этой хакерской атаки, нет, однако известно, что атаке подверглись представители как Республиканской, так и Демократической партии США.
  • Позиционирующая себя как защищенная по высшему разряду японская биржа криптовалют Zaif подверглась атаке хакеров. Разработчики системы заявляли, что «нас невозможно взломать». Проникнув в систему, хакеры получили доступ к депозитным счетам и т.н. горячим кошелькам, экспроприировав Bitcoin, Bitcoin Cash и MONAcoin на общую сумму 59 млн. долл.
  • Хакерская группировка AnonOpsBR сообщила об успешном взломе одного из серверов министерства обороны Бразилии. Несанкционированное проникновение в закрытую часть баз данных военного ведомства подтвердила международная исследовательская группа DefCon Lab. В результате несанкционированного вторжения киберпреступники смогли получить доступ к персональным данным сотрудников Минобороны.
  • Криптовалютная биржа Newdex стала жертвой мошеннической схемы, в рамках которой злоумышленники наводнили сервис обмена 1 млрд поддельных токенов EOS. В результате они смогли похитить у пользователей порядка $58 тыс. Мошенники создали новый токен на основе блокчейна EOS и использовали его для незаконного приобретения токенов BLACK, IQ и ADD на обменном сервисе Newdex.
  • Японская онлайн-биржа Tech Bureau Corp. приостановила операции после того, как неизвестные хакеры смогли похитить у нее криптовалюту на сумму порядка 6,7 млрд йен (или около 60 млн долларов США). В Tech Bureau заявили, что намерены компенсировать своим пользователям все средства в полном объеме.

Обзор событий предстоящих недель 01.10 – 12.10

Посетить

Послушать

Поделиться записью: