Дайджест информационной безопасности №169 за период с 26 августа по 6 сентября 2019 года

Новости законодательства

• Российские телекомпании, онлайн-кинотеатры и IT-компании подготовили поправки в закон “Об информации”, согласно которым поисковые системы будут обязаны подключаться к специальному реестру пиратских ссылок и удалять их после появления в нем в течение шести часов.

Новости ИБ

• ЦБ потребовал у банков статистику, касающуюся случаев мошенничества с электронными подписями. Она необходима для подготовки к парламентской сессии, посвященной защите прав граждан в этой сфере.
• Международная команда исследователей обнаружила на сотнях сайтов активные скрипты для перехвата пользовательских кликов. Эти модули накручивают показы рекламных баннеров и направляют посетителей на вредоносные ресурсы.
• Банк России фиксирует волну хищений с помощью взлома аккаунтов в социальных сетях. В 97% преступлений, связанных с хищениями у банковских клиентов, применялась социальная инженерия — злоумышленники вводили пользователя в заблуждение, чтобы он сам предоставил им доступ к средствам.
• Специалисты немецкой компании ZeroBS зафиксировали волну DDoS-атак, которые исходят от небольшого ботнета, состоящего из IP-камер и принтеров. Для атаки использовался протокол обнаружения WS-Discovery – коммуникационный стандарт для IP-камер и другого IoT-оборудования.
• Эксперты компании Eclypsium сообщили, что десятки тысяч серверов и рабочих станций Supermicro уязвимы перед удаленными атаками из-за проблем, связанных с BMC (Baseboard Management Controller) материнских плат. Баги получили общее название USBAnywhere.
• На компьютерах с операционной системой Windows обнаружили вредоносную программу, способную обманом получить доступ к устройствам пользователей. Набор программ под названием Domen создает фейковые окна-оповещения о необходимости обновления программ. Если пользователь кликает на соответствующий значок, злоумышленники могут получить удаленный доступ к устройству.
• Компания FireEye выпустила SharPersist — бесплатный набор инструментов с открытым исходным кодом для тестирования эффективности средств защиты от хакерских атак. С его помощью организации могут тестировать эффективность своих систем защиты против кибератак и улучшать их.
• Минкомсвязь РФ совместно с “Ростелекомом” договорились о создании на территории Дальневосточного федерального университета (ДВФУ) киберполигона для обучения и тренировки специалистов в области информационных технологий современным практикам обеспечения безопасности.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий посвятил статью теме «Уберизации» SOCов (термин произошел от бизнес-модели компании Uber). На российском рынке центров мониторинга ИБ есть только две альтернативы – построить SOC самостоятельно или заказать услугу в аутсорсинговом SOCе. Но есть еще и третий вариант – обратиться к компании, которая сдает платформу для управления SOCами в аренду. Интересно, что у третьего варианта есть очень неплохие перспективы в России, о чем и рассказал Алексей.
• Объекты промышленности и организации нефтегазового и энергетического комплекса являются одним из ключевых интересов современных злоумышленников. Проведение аудита безопасности АСУ ТП и систем SCADA позволяет оценить защищенность ключевых элементов промышленной сетевой инфраструктуры от возможных злонамеренных внутренних и внешних воздействий. В статье компании Red Delta на Хабре описаны 3 основных шага проведения аудита безопасности АСУ ТП.
• Компания DataLine поделилась с читателями Хабра примерами соблюдения 152-ФЗ и PCI DSS в одном облаке. Авторы статьи описали плюсы синергии PCI DSS и 152-ФЗ для своих клиентов. Такое соединение стандартов не просто про два в одном флаконе, но и, что более важно, соединение бумажной и практической безопасности.
• Способ отображения информации об инциденте играет важнейшую роль в понимании и установлении причин инцидента. Игорь Агурьянов, главный эксперт Центра киберзащиты Сбербанка рассказал про использование графов при расследованиях инцидентов, в рамках которых изучаются связи однородных элементов. Он рассмотрел кейсы с отображением на графе разнородных элементов, информация о которых получена из различных источников.
• Сергей Борисов сделал обзор последних изменений лучших практик безопасности из Австралии. В течение года австралийский регулятор перешел к риск-ориентированному подходу, в котором организации используют ISM (Information Security Manual) как фреймворк для выбора мер защиты от актуальных рисков.

Интересные посты англоязычных блогов по ИБ

• Cisco опубликовала четыре руководства для специалистов по реагированию на инциденты, чтобы им было легче расследовать взлом производимого Cisco оборудования. Опубликованные руководства содержат пошаговые инструкции на тему того, как извлечь необходимую для проведения компьютерной криминалистики информацию из скомпрометированного оборудования. При этом объясняется, как сохранить целостность всех данных.
• Антон Чувакин в своем посте поделился своим видением о том, как соотнести индикаторы Threat Intelligence с прошлыми наблюдениями в рабочей среде – такими как журналы и другая «прошлая» телеметрия. В данном контексте «прошлое» определяется как события, которые произошли до того, как данные об угрозе оказались у вас.
• Большинство правоохранительных органов столкнулись с тем, насколько сложно внедрить программный продукт для цифровой криминалистики в свой рабочий процесс, поскольку он имеет свои собственные уникальные эксплуатационные требования. В блоге Forensic Focus описаны 4 способа, которыми программное обеспечение нового поколения для криминалистической экспертизы должно адаптироваться к существующему рабочему процессу.
• Безусловно, не существует 100% гарантии от вымогателей, но есть несколько рекомендаций, благодаря которым можно подготовиться к ним и минимизировать ущерб. В блоге Symantec Майкл Смит рассказал про основные шаги для защиты от вымогателей с помощью дерзкого плана реагирования на инциденты.
• Биометрия хотя и предлагает более строгую форму аутентификации, чем имена пользователей и пароли, но она сопряжена со своими рисками. Украденные отпечатки пальцев, поддельные руки, синтезирование голоса и другие методы свидетельствуют о том, что у биометрии много проблем. Dark Reading описал 7 взломов и атак, которые заставляют усомниться в абсолютной биометрической безопасности.

Исследования и аналитика

• Аналитический центр компании InfoWatch провел исследование инцидентов информационной безопасности, повлекших утечки из государственных организаций и коммерческих компаний по вине привилегированных пользователей. По итогам 2018г. в мире доля утечек информации ограниченного доступа, случившихся по вине привилегированных пользователей информационных систем и различных корпоративных архивов, составила 5,1%. В России этот показатель оказался почти вдвое выше — 9,6%.
• Целевые атаки вымогателей резко возросли за последние два с половиной года. Злоумышленники постепенно проникают по сетям жертв и шифруют как можно больше компьютеров и заставляя жертв выплачивать выкуп. Отчет Symantec Targeted Ransomware: An ISTR Special Report подробно раскрывает преобладающие целевые семьи вымогателей, часто используемые векторы инфекции и лучшие практики для защиты от этих угроз.
• Компания Secureworks представила обзор событий и тенденций в мире информационной безопасности с мая по июнь 2019 года в отчете Threat Intelligence Executive Report 2019: Vol. 4. Среди основных трендов аналитики выделили усиление иранской кибер-активности, угрозу пост-вторжения вымогателей и бурное развитие Emotet.
• Ponemon Institute опубликовал отчет о нарушении информационной безопасности за 2019 год Cost of a Data Breach Report. Отчет показал, что в настоящее время средняя утечка данных обходится компаниям в 3,92 миллиона долларов, что составляет 12%-ное увеличение затрат от взломов за последние пять лет. В отчете показано, что основными факторами, провоцирующими рост расходов, являются долгосрочные финансовые затраты на устранение утечки и сложный процесс восстановления после внешних атак.
• Согласно отчету CRITICALSTART по оценке состояния реагирования на инциденты в SOC, аналитики по-прежнему сталкиваются с подавляющим числом аллертов каждый день. Чтобы справиться с ними, менеджеры безопасности просто пытаются нанять больше аналитиков или игнорировать определенные типы предупреждений. 7% аналитиков отрабатывают 50 инцидентов за день, что требует сокращения времени обработки аллертов. Комментарии к отчету можно прочитать в блоге Алексея Лукацкого.
• AIG, одна из крупнейших страховых компаний в мире, опубликовала отчет, в котором говорится, что в списке главных угроз, которые наносят ущерб бизнесу, появился новый лидер – Business E-mail Compromise (BEC). В настоящее время эта угроза является основной причиной кибер-потерь, составляя 23%.
• Отчет The 2019 Hacker-Powered Security Report содержит крупнейшее хранилище данных о хакерской активности и уязвимостях и объединяет их в простой для навигации отчет, содержащий информацию, тенденции и истории успеха. В отчете также освещены тенденции выплаты вознаграждений (bag bounty), средние и максимальные значения вознаграждений.
• Согласно новому отчету Arkose Labs Q3 Fraud and Abuse report, более половины логинов в социальных сетях являются мошенническими. В частности, 53% входов в социальные сети являются мошенническими, а 25% всех новых учетных записей в социальных сетях также поступают от мошенников.
• В отчете компании FireEye Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment рассмотрены шаги, которые организации могут предпринять для защиты от вымогателей. Эти рекомендации также могут помочь организациям расставить приоритеты для наиболее важных шагов, необходимых для сдерживания и минимизации воздействия вымогателя.

Громкие инциденты ИБ

• В интернете оказались персональные данные 703 тыс. из 732 тыс. сотрудников РЖД. Через несколько часов администратор сайта, опубликовавший эти данные, закрыл к нему доступ. После появления информации об утечке представитель компании объявили о начале проверки.
• Компания «Ив Роше» (Yves Rocher), специализирующаяся на производстве косметических товаров, сообщила об утечке персональных данных миллионов клиентов. Помимо частных лиц, пострадала и сама компания — были скомпрометированы конфиденциальные внутренние документы.
• Миллионы телефонных номеров пользователей Facebook по всему миру утекли в Интернет, в том числе жителей Штатов и Британии. СМИ сообщают, что около 419 миллионов личных записей о пользователях оказались в свободном доступе.
• Компания Imperva сообщила об утечке данных своих клиентов. Пострадала часть пользователей сервиса Cloud WAF — облачного файерволла для веб-приложений, ранее известного как Incapsula. В открытом доступе оказалась часть базы данных о клиентах, зарегистрированных до 15 сентября 2017 г. В утекший массив данных попали адреса электронной почты, захэшированные пароли, а также API-ключи и клиентские SSL-сертификаты небольшой части клиентов.
• Американские военные провели серию кибератак на компьютерную сеть Корпуса Стражей Исламской революции (КСИР), отвечающую за ракетные пуски. Атакующие также повредили некоторые иранские системы связи и компьютерные сети.
• Сотрудник страховой компании Euler Hermes Group рассказал о краже денег у одного из своих клиентов весной этого года с помощью софта на базе искусственного интеллекта. Голосом генерального директора мошенники распорядились перевести деньги со счета компании на свой счет.
• Представители Foxit Software, разрабатывающей популярный инструмент Foxit Reader, предупредили, что неизвестные хакеры скомпрометировали официальный сайт компании и похитили пользовательские данные.
• Бразильская хак-группа клонировала дебетовые карты более 2000 клиентов немецкого банка Oldenburgische Landesbank (OLB) и похитила со счетов 1,5 млн евро, обналичив средства пользователей по всей Бразилии.

Обзор событий предстоящих недель 09.09 – 20.09

Посетить

• 9-13 сентября, Ялта – Инфоберег 2019.
• 10 сентября, Иркутск – Код ИБ Иркутск.
• 10-11 сентября, Ростов-на-Дону – «IV Всероссийская конференция по информационной безопасности и импортозамещению».
• 12 сентября, Москва – Конференция «ИнфоТеКС ТехноФест».
• 12 сентября, Москва – Конференция «Fortinet Security Day 2019».
• 17 сентября, Баку – IDC Digital Transformation Roadshow 2019 «Цифровая трансформация для повышения эффективности бизнеса».
• 17-19 сентября, Санкт-Петербург – «PKI-Форум Россия 2019».
• 18-20 сентября, Сочи – Конференция Kaspersky Industrial Cybersecurity Conference 2019.
• 19 сентября, Москва – Конференция компании Check Point «CPX Russia 2019».
• 19 сентября, Москва – Конференция по мобильной криминалистике – «MOBILE FORENSICS DAY 2019».

Послушать

• 11 сентября, 16:00 – Вебинар АИС “Создание безопасных АСУ ТП на базе технологий Физприбор».
• 19 сентября, 14:00 – Вебинар Positive Technologies «КИИ и ГосСОПКА: обзор изменений законодательства за 2019 год».