Дайджест информационной безопасности №172 за период с 7 по 18 октября 2019 года

Новости законодательства

• Члены Совета Федерации подготовили новый законопроект о блокировке электронной почты пользователей, которые распространяют незаконные и запрещенные сведения в интернете. В то же время будут скорректированы положения закона об ограничениях переписки. Предложение уже внесено в Госдуму.

Новости ИБ

• ФСТЭК опубликовала изменения в Государственный реестр сертифицированных средств защиты информации за 3 квартал 2019 года. Обзор изменений можно прочитать в блоге Алексей Комарова. Алексей кратко рассказал про новые сертификаты, их в этот раз немного, а также отметил, что один сертификат был добавлен ФСТЭК России уже после завершения квартала.
• Президент РФ утвердил национальную стратегию развития искусственного интеллекта на период до 2030 года. Соответствующий указ опубликован на официальном интернет-портале правовой информации в пятницу. Президент также поручил правительству РФ до 15 декабря разработать федеральный проект «Искусственный интеллект», который будет включен в нацпрограмму «Цифровая экономика».
• Разработчики OpenSSH представили очередную версию пакета программ для работы по протоколам SSH 2.0 и SFTP. Релиз OpenSSH 8.1. устранил серию опасных уязвимостей, позволявших определить приватные ключи и вмешаться в защищенный обмен данными.
• Глава Центробанка Эльвира Набиуллина заявила о необходимости налаживать координацию между бизнесом и властями в вопросах борьбы с хакерами. Она призвала повышать ответственность за киберпреступления.
• Компания Microsoft и Национальный институт стандартов и технологий США (NIST) объединили свои усилия для создания руководства по применению исправлений безопасности в корпоративном секторе. Системные администраторы смогут использовать практическое руководство Special Publication 1800 от NIST для организации или оптимизации внутренних процедур исправлений в компании.
• Госдума РФ намерена установить на уровне закона фильтрацию звонков, поступающих от мошенников. Уже ведется работа и готовятся решение по объединению усилий телекоммуникационных операторов, регуляторов и правоохранительных органов.
• Исследователи из голландской компании Tesorion создали утилиту для восстановления файлов, заблокированных шифровальщиком Nemty. Декриптор пока доступен по запросу на сайте разработчиков, однако в перспективе им можно будет воспользоваться через ресурс NoMoreRansom.

Интересные посты русскоязычных блогов по ИБ

• Лука Сафонов опубликовал видеозаписи двух вебинаров Александра Дмитренко о методах атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое. Данный материал будет полезен как специалистам по информационной безопасности, так и системным администраторам.
• Специалист УЦСБ рассказал о том, как можно использовать Passive DNS в качестве источника дополнительной информации для исследователя. Passive DNS позволяет восстанавливать историю изменений DNS данных с возможностью индексации и поиска, отстраивать связи между доменными именами, NS серверами и IP-адресами. Это позволяет строить карты исследуемых систем, отслеживать изменения такой карты от первого обнаружения до текущего момента и облегчает выявления аномалий в трафике.
• Алексей Лукацкий в очередной раз осветил проблему приоритезации инцидентов. Для многих это является достаточно большой проблемой. Алексей предложил вариант классификации инцидентов на основании оценки ущерба. А от этого уже зависит и время реагирования, и режим работы группы реагирования, и лицо, принимающее решение. Когда инцидентов становится больше – только приоритезация позволяет выполнять правильные действия в правильное время.

Интересные посты англоязычных блогов по ИБ

• Борьба за безопасность сегодня идет не между компанией и конкретным мошенником, а скорее между компанией и целой киберпреступной экосистемой. Мошенничество развивается, и, по мнению Кевина Госсчака (Kevin Gosschalk) единственным решением может стать устранение финансового стимула преступника.
• В блоге компании McAfee представлена вторая часть аналитического обзора по состоянию кибербезопасноти в 2019 году. На этот раз авторы рассмотрели природу угроз кибербезопасности и вопрос того, как организации меняют культуру и подход к планированию инвестиций, чтобы не стать следующей жертвой.
• Бюджетные тренды расходов на кибербезопасность говорят о том, чему сегодня научились CISO, и о рисках, которые не дают руководителям спать по ночам. Jasmine Henry привел 11 статистических данных о расходах CISO, которые помогут составить собственный бюджет кибербезопасности на 2020 год.

Исследования и аналитика

• Согласно отчету ФинЦЕРТ Банка России за сентябрь 2018 – август 2019 года, противостоять масштабной кибератаке не смогут 78% российских финансовых учреждений. Лишь 22% респондентов из финансовой отрасли считают, что их компания готова отразить мощные и длительные кибератаки. Основными источниками утечек персональных данных оказались не банки, а интернет-магазины и государственные базы данных. Специалисты отмечают, что 97% хищений со счетов физлиц — это результат обмана или злоупотребления доверием (социальная инженерия).
• Positive Technologies опубликовали отчет про «APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник». Эксперты проанализировали десяти APT-группировок, атаковавших финансовые компании за последние два года, и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.
• Лучший способ отслеживать атаки и получать общее представление о деятельности киберпреступников — использовать ханипоты (специальные ловушки). Согласно отчету Лаборатории Касперского «Интернет вещей (IoT): история зловредов», ловушки ЛК обнаружили 105 миллионов атак на устройства IoT с 276 000 уникальных IP-адресов за первые шесть месяцев года. Пользуясь слабой безопасностью продуктов IoT, киберпреступники активизируют свои попытки по созданию и монетизации бот-сетей IoT.
• По итогам опроса, проведенного институтом Ponemone (США) совместно с Siemens, среди представителей коммунальных услуг, киберугрозы представляют намного больший риск для операционных технологий (ОТ), чем для информационных. 56% респондентов сообщили по крайней мере об одной успешной атаке, связанной с потерей конфиденциальной информации или сбоем в среде операционных технологий в прошлом году, тогда как 4% более 10 раз столкнулись с подобными инцидентами.
• Атаки на банкоматы, в ходе которых используются специальные вредоносные программы и техника джекпотинга, больше не приносят злоумышленникам нормального дохода. По данным организации European Association for Secure Transactions (EAST), за первую половину 2019 года преступные группы, промышляющие ATM-атаками, выручали менее €1000 за одну успешную кампанию.
• Компания ESET изучила шпионскую платформу Attor, которая применялась для таргетированных атак на пользователей из России и Восточной Европы. По данным исследователей, атаки велись как минимум с 2013 года. Программа отправляет злоумышленникам снимки экрана, записи аудио, набранный текст и содержимое буфера обмена.
• Spamhaus представила статистику по ботнетам за 3 квартал. Аналитики продолжают наблюдать рост количества доменных имен, используемых злоумышленниками для управления ботнетами. В период с июля по сентябрь активисты фиксировали в среднем 1300 новых C&C-серверов в месяц. В одном только июле в базу Spamhaus было занесено 1587 адресов C&C.
• Эксперты Европола представили результаты исследования актуальных киберугроз. По словам аналитиков, наибольшую опасность сегодня представляет активность шифровальщиков и зловредов, которые охотятся за разнообразными пользовательскими данными.
• Государства-члены Евросоюза при поддержке Комиссии и Европейского агентства по кибербезопасности опубликовали отчет о скоординированной оценке рисков ЕС по кибербезопасности в сетях пятого поколения (5G). Этот важный шаг является частью реализации Рекомендации Европейской комиссии, принятой в марте 2019 года, для обеспечения высокого уровня кибербезопасности сетей 5G по всему ЕС.
• Согласно отчету Webroot Threat Report: Mid-Year Update о ландшафте безопасности за 1 полугодие, 1 из 50 URL-адресов являются вредоносными, почти треть фишинговых сайтов используют HTTPS, а эксплойты Windows 7 выросли на 75% с января. В целом, компьютеры, использующие операционную систему Windows 7, в два раза чаще подвержены заражению, чем компьютеры на базе Windows 10. В этом отчете также подчеркивается важность обучения пользователей, так как фишинговые приманки стали более персонализированными.

Громкие инциденты ИБ

• База с кодами от 75000 подъездов в Москве и Подмосковье оказалась абсолютно бесплатно доступной в интернете. В ней можно найти цифровые ключи к домофонам и механическим замкам. Часть из опубликованных кодов, как показала практика, действуют до сих пор.
• Злоумышленники скомпрометировали инфраструктуру облачной платформы для электронной коммерции Volusion и внедрили вредоносный код, похищающий данные банковских карт, введенные пользователями в онлайн-формы. В настоящее время вредоносный код все еще не удалили с серверов Volusion, и он по-прежнему компрометирует клиентские магазины компании.
• Частный французский телевизионный канал M6, входящий в медиагруппу Le Groupe M6 и являющийся одним из крупнейших в стране, пострадал от вымогательской атаки. В результате инцидента ни один из теле- и радиоканалов компании не пропал из эфира.
• На аукцион выставлена база данных с личной информацией более 92 млн граждан Бразилии. Вероятно, это связано со взломом хранилища одной из правительственных организаций. В базе есть такие сведения, как имена, имена матерей, половая принадлежность, даты рождения и ID-номера налогоплательщиков. К настоящему времени база уже неоднократно продана через ряд подпольных форумов.
• Известный ИБ-журналист сообщил о взломе кардерского ресурса BriansClub (BriansClub[.]at), на котором покупали и продавали ворованные банковские карты, и крупной утечке данных оттуда. Похищенные у BriansClub данные содержат более 26 миллионов записей о кредитных и дебетовых картах, попавших в руки злоумышленников через взломанные интернет-магазины и точки розничной торговли за последние четыре года.

Обзор событий предстоящих недель 21.10 – 01.11

Посетить

• 21-23 октября, Москва – Московский международный форум инновационного развития 2019.
• 22 октября, Екатеринбург – Конференция Road Show SearchInform.
• 22-25 октября, Москва – Say Future Forum.
• 24 октября, Баку – Конференция Road Show SearchInform.
• 24 октября, Пермь – Конференция «Код информационной безопасности».
• 24 октября, Челябинск – Конференция Road Show SearchInform.
• 24 октября, Ташкент – IDC Digital Transformation Roadshow 2019 «Цифровая трансформация для повышения эффективности бизнеса».
• 24 октября, Ярославль – Семинар Softline: Security Day.
• 29 октября, Краснодар – Конференция Road Show SearchInform.
• 30 октября, Москва – XV Russia Risk Conference.
• 30 октября, Москва – Oблачные технологии. От экспериментов к масштабным инновациям в бизнесе.
• 31 октября, Нур-Султан – Fortinet Security Day: Безопасность данных в цифровом мире.

Послушать

• 22 октября, 10:00 – Вебинар компании Infowatch «Автоматическая защита веб-приложений. Как защитить бизнес от онлайн-угроз».
• 22 октября ,11:00 – Вебинар компании Диалог-Наука «От положения Банка России к ГОСТ 57580».
• 24 октября, 10:00 – Вебинар компании Infowatch «Управление качеством исходного кода бизнес-приложений».
• 24 октября, 11:00 – Вебинар компании Ростелеком «Сервис контроля уязвимостей на базе Qualys в российском облаке».
• 24 октября, 11:00 – Вебинар компании «Код безопасности»: Быстрое внедрение vGate. Разбор реальных кейсов.
• 29 октября ,11:00 – Вебинар компании Диалог-Наука «Cymulate BAS. Симуляция атак и взломов по всей цепочке Kill Chain».
• 29 октября, 11:00 – Вебинар Softline: Cisco Security.
• 31 октября, 11:00 – Вебинар компании «Код безопасности»: Разрушение мифов про vGate.