Дайджест информационной безопасности №174 за период с 4 по 15 ноября 2019 года

Новости законодательства

Новости ИБ

  • Кибермошенники разработали новую схему получения банковских данных — она связана с обманом сотрудников банков, которым предлагают от имени работодателя пройти аттестацию. Поверивший такому приглашению работник вводит логин и пароль от рабочей почты, которая может содержать данные о клиентах без паролей и защиты.
  • В структуре МВД России вскоре появятся специализированные подразделения, усилия которых направят на борьбу с хакерами, компьютерными взломщиками и преступниками, похищающими средства со счетов, не вламываясь в банковское хранилище, а стуча по клавишам ноутбука.
  • Национальный центр кибербезопасности Финляндии (NCSC-FI) предупредил о появлении нового вредоноса, поражающего устройства QNAP NAS. Теперь же предупреждение о новой угрозе опубликовали и специалисты немецкого CERT, подчеркнув, что вредонос QSnatch уже заразил более 7000 устройств в одной только Германии.
  • Генеральная прокуратура РФ предложила правки в Кодекс этики и служебного поведения федерального государственного гражданского служащего органов прокуратуры РФ, обязав гражданских служащих предоставлять в установленном порядке сведения об адресах сайтов или страниц сайтов в интернете, на которых они размещали свои персональные данные.
  • Герман Греф объявил о создании альянса в сфере искусственного интеллекта, объединяющего ключевых российских игроков этой сферы — Сбербанк, «Яндекс», Mail.Ru Group, «Газпром-нефть», МТС и Российский фонд прямых инвестиций. Куратором проекта выступит Минэкономики. По словам Г. Грефа, альянс будет создан в открытом формате, поэтому принять участие в нем смогут компании любых размеров.
  • Исследователи безопасности обнаружили ряд уязвимостей в прошивке нескольких маршрутизаторов Cisco для малого бизнеса. Проблемы, затрагивающие двухгигабитные маршрутизаторы WAN VPN Cisco RV320 и RV325, связаны с наличием вшитых хэшей паролей, а также статические сертификаты X.509 с соответствующими парами открытых и закрытых ключей и одним статическим ключом Secure Shell (SSH).
  • Министерство промышленности и торговли РФ предложило запретить использование зарубежных флеш-накопителей и жёстких дисков при закупках для критически важных объектов. Проект постановления о запрете, подготовленный Минпромторгом, опубликован на федеральном портале проектов нормативных актов.
  • Компании Google, ESET, Lookout и Zimperium объявил о создании App Defense Alliance, чьей целью, как следует из названия, станет выявление вредоносных приложений и защита пользователей. Компании объединят механизмы обнаружения угроз и в итоге улучшат механизмы проверки безопасности, которые Android-приложения проходят перед публикацией в Play Store.
  • Глобальный центр кибербезопасности (Global Cyber Security Center, GCSC) разработал платформу под названием CERTrating для оценки уровня зрелости компьютерных групп реагирования на чрезвычайные ситуации (computer emergency response team, CERT) и услуг по обеспечению безопасности, предоставляемых пользователям.

Интересные посты русскоязычных блогов по ИБ

  • Следуя нормативной базе, компаниям сначала необходимо смоделировать угрозы, а потом разработать меры их нейтрализации. Но в условиях постоянно появляющихся угроз система меняется достаточно оперативно, что затрудняет внесение правок в модель угроз. В таких условиях и родилась концепция “нулевого доверия” или Zero Trust, появившаяся в 2010-м году у компании Forrester. Алексей Лукацкий кратко рассказал об этом инновационном подходе, который придется совмещать с требованиями регуляторов по моделированию угроз.
  • Эксперты Ростелеком-Солар попытались разобраться, каковы реальные возможности применения ИИ в SOC. Существует много подходов к классификации искусственного интеллекта — с точки зрения типов систем, эволюционных волн развития направления, типов обучения и т.д. В данном посте на Хабре рассмотрена классификация типов ИИ с точки зрения инженерного подхода.
  • Если вы занимаетесь защитой персональных данных по GDPR, то в какой-то момент вам придется разобраться с темой и научиться проводить Data protection impact assessment (DPIA). Общие требования к этой оценке определены в GDPR в Article 35 Data protection impact assessment и Article 36 Prior consultation. Сам текст небольшой, всего 2 страницы, и это создает ошибочное ощущение, что проводить DPIA легко и просто. К сожалению, это не так, и в этой заметке Андрей Прозоров поделился своими наблюдениями и наработками по теме.
  • Валерий Естехин поделился ответом на вопрос – за что Банк России может наказать банки при проверке ИБ. Автор сделал обзор отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 01.09.2018 – 31.08.2019 и выделил в нем специальный раздел «Результаты проверок». Это и есть самые частые нарушения при проверке ИБ банков и именно на них стоит ориентироваться при подготовке к проверке.

Интересные посты англоязычных блогов по ИБ

  • При разработке методологии реагирования на инциденты и планировании учений по поиску угроз важно иметь процессы и инструменты мониторинга, предназначенные для работы с большими объемами данных. Важно, чтобы аналитик мог отличить индикаторы компрометации от случайного шума. Внедрение решений для статистического анализа может помочь с фильтрацией данных, чтобы в первую очередь привлечь внимание аналитика к наиболее важным функциям.
  • Антон Чувакин посвятил пост теме использования стратегии «Multi-SIEM» и что делать, если нужно работать с несколькими SIEM-системами одновременно. По мнению автора, если есть проблемы с SIEM, то лучший вариант — это оптимизация существующего решения, а не покупка нового. Автор уверен, что не нужно приобретать более одного SIEM-решения.
  • Обнаружение и классификация данных на предприятии имеет решающее значение для любой стратегии защиты данных. Но это может быть достаточно сложно из-за постоянно меняющегося ландшафта кибербезопасности, трудности объединения процессов в различных средах и огромного масштаба задач. Joanne Godfrey привела 5 советов по разработке эффективных процессов для обнаружения и классификации данных.
  • Ключевой частью процесса обеспечения безопасности является настройка политик, специфичных для сети организации и соответствующих ожидаемому поведению. Это облегчает обнаружение аномальных событий, которые могут указывать на нарушение. Поскольку злоумышленники часто не знают о том, как структурирована ваша сеть, эти политики могут блокировать или обнаруживать атаку в процессе, или затруднять атакующему продвижение по сети. Ниже приведен набор рекомендаций по реализации политик безопасности в сети.

Исследования и аналитика

  • Эксперты Positive Technologies обнаружили и изучили хак-группировку Calypso, которая действует с 2016 года и нацелена на государственные учреждения. В настоящее время группа активна на территории шести стран: по данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%).
  • Еще один отчет Positive Technologies посвящен APT-атакам на топливно-энергетический комплекс России: обзор тактик и техник. По мнению 60% респондентов, представляющих ТЭК и промышленность, риск успешной кибератаки является критически опасным для их компаний, но при этом всего 11% участников опроса уверены, что компания сможет противостоять APT. 55% респондентов сообщили, что их организации уже становились жертвами кибератак. Каждый четвертый участник отметил, что одним из последствий таких атак становились простои инфраструктуры.
  • Исследование Digital Security обнаружило, что подавляющее большинство российских банков не соответствуют базовым требованиям к настройке безопасности веб-ресурсов. Нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. По данным исследования, самой распространенной уязвимостью является программа BEAST — от нее не защищены 79% кредитных организаций.
  • Лаборатория Касперского опубликовала отчет по DDoS-атакам в третьем квартале 2019 года. По итогам квартала общее число DDoS-атак увеличилось на треть (32%) по сравнению с аналогичным периодом 2018 года. Более половины атак в сентябре (60%) были направлены на ресурсы, связанные со сферой образования, учащиеся с большой долей вероятности могли организовать атаки из хулиганских побуждений.
  • «Доктор Веб» представил обзор вирусной активности в октябре 2019 года. В октябре статистика серверов Dr.Web зафиксировала повышение роста общего числа обнаруженных угроз по сравнению с сентябрем. При этом количество уникальных угроз уменьшилось на 6.86%. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office, а также фишинговые рассылки.
  • «Доктор Веб» также опубликовал обзор вирусной активности для мобильных устройств в октябре 2019 года. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ – в частности, троянцев-кликеров Android.Click, которые подписывали пользователей на платные услуги. Среди найденных угроз также были вредоносные приложения семейства Android.Joker. Они тоже подписывали жертв на дорогостоящие сервисы и могли выполнять произвольный код.
  • Компания BI.ZONE представила отчет о международном онлайн-тренинге по борьбе с глобальными киберугрозами Cyber Polygon, подготовленный при поддержке Всемирного экономического форума (ВЭФ) и активном участии Интерпола. Тренинг показал, что обмен данными между организациями из разных отраслей значительно повышает общий уровень киберустойчивости, а также позволяет защитить компании даже от тех угроз, которым они не смогли противостоять при индивидуальном реагировании. Кроме того, при обмене данными время отражения кибератак сократилось в 7 раз.
  • Компания ESET провела исследование о состоянии информационной безопасности белорусских компаний. Согласно ответам респондентов, 71% компаний столкнулись с внутренними киберугрозами. Наиболее распространенными внутренними угрозами для бизнеса стали уязвимости в ПО, потеря сотрудниками корпоративных мобильных устройств и проблемы с безопасностью на стороне провайдера.
  • Ежегодный отчет Verizon Payment Security Report по безопасности платежных карт и соблюдению PCI DSS обязателен к прочтению для тех, кто отвечает за безопасность данных или соблюдение стандартов безопасности, таких как GDPR, HIPAA или FISMA. Отчет содержит рекомендации реализации проактивной защиты и определяет новые инструменты, которые могут помочь перевести управление соответствием требованиям на новые уровни.
  • Согласно отчету Akamai 2019 State of the Internet / Security: Media Under Assault, число атак на технологические и медиа-компании почти удвоились в период с января 2018 по июнь 2019 года, а также 35% всех атак с использованием учетных данных были нацелены на эти отрасли. В отчете рассмотрены источники, методы и тенденции в этой растущей угрозы, а также почему сфера видео-медиа привлекает больше атак с использованием учетных данных, чем любая другая.
  • Ежегодные убытки компаний от кибератак в глобальном масштабе к 2021 году будут превышать 6 трлн долларов, прогнозирует старший аналитик исследовательского агентства Wikibon Дэйв Велланте (Dave Vellante). По его словам, эти убытки, в частности, включают расходы на восстановление компьютерных систем, пострадавших от взлома, а также потери от снижения производительности труда.
  • Глобальный дефицит специалистов по информационной безопасности достиг 4,07 миллиона, из них в США не хватает около 500 тысяч сотрудников, говорится в отчёте некоммерческой ассоциации лидеров информационной безопасности (ISC)2. Как пишут исследователи, больше всего возможностей для роста ИБ-специалистов в Азиатско-Тихоокеанском регионе, так как там не хватает около 2,6 миллиона сотрудников для работы в сфере кибербезопасности.
  • Команда исследователей безопасности из Университета Пердью и Университета штата Айова (США) обнаружила почти десяток уязвимостей в стандарте мобильной связи пятого поколения (5G). Эксплуатация уязвимостей позволила осуществить несколько атак, таких как отслеживание местоположение, передача ложных аварийных оповещений и полное отключение 5G-соединения телефона от сети.

Громкие инциденты ИБ

  • На специализированном форуме выставили на продажу данные примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». В банке подтвердили утечку, заявив, что она затрагивает небольшое число клиентов и не создает угрозы для денег на счетах.
  • Направленные атаки шифровальщика вывели из строя как минимум две испанские компании в один день: консалтинговая фирма Everis, принадлежащая NTT Data Group и работающая в сфере ИТ, а также радиокомпанию Sociedad Española de Radiodifusión (Cadena SER).
  • Хакеры, заявляющие о блокировке компьютеров мексиканской нефтегазовой корпорации Petroleros Mexicanos, требуют выплаты 5 миллионов долларов в биткоинах. Взлом, зафиксированный в воскресенье, вывел из строя корпоративные компьютеры на территории Мексики, и вынудил компанию отключить ряд систем, включая платёжную, сообщили источники на условиях анонимности.
  • Крупный провайдер ASP.NET, компания SmarterASP.NET, обслуживающая более 440 000 клиентов, в минувшие выходные поверглась атаке вымогателя. В результате все данные на серверах клиентов оказались зашифрованы.
  • На черном рынке в продаже появилась база данных вкладчиков ВТБ, информация состоит из 5 тысяч строк. ВТБ заявил, что в сеть утекли неактуальные данные клиентов, их информационной безопасности ничего не угрожает, утечка не содержит никаких данных, необходимых для доступа к счетам.
  • Один из крупнейших производителей спортивной атрибутики Boardriders подвергся кибертаке с использованием вредоносного ПО, затронувшей также некоторые из его дочерних компаний — QuikSilver и Billabong. Атака вынудила компанию отключить свои компьютерные системы по всему миру.

Обзор событий предстоящих недель 18.11 – 29.11

Посетить

Послушать

Поделиться записью: