Дайджест информационной безопасности №196 за период с 21 сентября по 2 октября 2020

Новости законодательства

  • Министерство цифрового развития, связи и массовых коммуникаций вынесло на общественное обсуждение проект поправок в федеральный закон 149-ФЗ «Об информации, информационных технологиях и о защите информации». Как следует из пояснительной записки, в документе предлагается запретить DoH (DNS over HTTPS), DoT (DNS over TLS) и ESNI и даже на TLS 1.3.

Новости ИБ

  • Национальный координационный центр по компьютерным инцидентам (НКЦКИ) с 7 сентября 2020 года начал публиковать статистику о результатах своей деятельности. Туда входит информация о вредоносной активности в цифровом пространстве, а также рекомендации по обеспечению защиты. Статистика НКЦКИ размещается в разделе «Статистика НКЦКИ» сайта safe-surf.ru.
  • В 2021 году в России планируется запуск государственной платформы, основная задача которой состоит в отслеживании фишинговых сайтов и утечек персональных данных. По новой версии федерального проекта «Информационная безопасность», на создание этой платформы с 2021 по 2024 год будет потрачено 1,4 млрд руб.
  • В Госдуме хотят ужесточить ответственность иностранных интернет-компаний за неисполнение российского законодательства. На основе экспертных предложений готовится законопроект, который может повысить фиксированные и ввести оборотные штрафы, а также допустить замедление трафика сервисов в России по решению суда. В первую очередь нововведения могут коснуться Facebook и Twitter, не исполняющих требования по локализации данных россиян.
  • Европол запустил новый проект под названием No More Ransom, призванный помочь жертвам вымогательского ПО восстановить свои данные без уплаты выкупа. В рамках проекта был запущен сайт, позволяющий не только определить, какую программу-вымогатель использовали злоумышленники, но и предоставляющий свыше сотни бесплатных утилит-декрипторов, полученных Европолом от более чем 150 партнеров из правоохранительных органов, научных организаций и ИБ-компаний по всему миру.
  • Уязвимость CVE-2020-8207 в программной платформе для цифрового рабочего пространства Citrix Workspace, исправленная в июле нынешнего года, имеет вторичный вектор атаки, который позволяет злоумышленникам повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.
  • Специалисты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), предупредили о растущей активности инфостилера LokiBot (он же Loki и Loki PWS; не следует путать с одноименным трояном для Android), которая увеличивается с июля текущего года.
  • Инженеры компании Microsoft  предупреждают, что хакеры начали эксплуатировать проблему Zerologon (CVE-2020-1472), исправленную в рамках августовского «вторника обновлений». Многие специалисты называют Zerologon самой опасной ошибкой текущего года.
  • Исследователи кибербезопасности из компании OTORIO обнаружили критические уязвимости в популярных промышленных системах удаленного доступа. Их эксплуатация позволяет запретить доступ к производственным цехам, взломать корпоративные сети, подделать данные и похитить конфиденциальную информацию.

Интересные посты русскоязычных блогов по ИБ

  • Евгений Касперский рассказал в блоге про случай смерти пациентки вследствие атаки ransomware-малвари DoppelPaymer в г. Дюссельдорф. Автор привел технические делали инцидента и дал свои комментарии по расследованию.
  • DDoS-Guard в своём блоге рассказали, как можно защитить хостинг от DDoS-атак. Были приведены общие сведения о классификации таких атак, выделены главные вопросы, с помощью которых можно определить уровень защищённости хостинга, и приведены методы выстраивания защиты.
  • Сергей Борисов в своём блоге провёл анализ новой версии «Security and Privacy Controls for Information Systems and Organizations»( NIST 800-53). Он выделил отличия от прошлой версии, а также дал краткое описание самого документа и возможных сценариев его использования.
  • Selectel в своём блоге опубликовали перевод статьи Martin Hron о взломе «умной» кофемашины. На примере кофеварки можно увидеть, как может быть устроено устройство IoT и насколько оно уязвимо для взлома.
  • Иван Елкин в блоге QIWI поделился информацией о работе нового сервиса Leak-Search, предназначенного для поиска утечек исходных кодов компаний. В заметка рассказывается об истории проекта и о том, как именно проводится поиск. В статье также затронута этическая сторона вопроса использования сервиса.

Интересные посты англоязычных блогов по ИБ

  • Эксперты из компании Cisco изучили базы данных MITRE ATT&CK и рассказали о векторах угроз, на которых сотрудники служб кибербезопасности предприятий должны сосредоточить свои усилия.
  • Ana Mezic рассказала о причинах, по которым платформа кибербезопасности, основанная на правилах, всегда терпит неудачу. Это ограничения правил в случае возникновения непредвиденных обстоятельств, трудоёмкий процесс написания правил, наличие ложных срабатываний и человеческий фактор.
  • Rhand Leal в своей статье рассуждает о том, как расставить приоритеты в инвестициях в безопасность с помощью количественной оценки рисков. В статье дана информация о том, чем количественная оценка отличается от качественной и как количественно оценить риски.
  • Sophos представило руководство для пользователей по выбору поставщика услуг MDR. В нем приведены ключевые вопросы, которые следует задать сервис-провайдеру на этапе выбора.

Исследования и аналитика

  • Специалисты Group-IB рассказали о русскоязычной хак-группе OldGremlin, которая игнорирует негласное правило «не работать по РУ» и активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
  • Во время пандемии COVID-19 возросло количество кибератак на промышленные предприятия с использованием брутфорс-атак на протокол RDP. Об этом сообщается в отчете «Лаборатории Касперского» за первое полугодие 2020 года. Согласно отчету, рост числа атак на RDP совпадает с ростом числа организаций, начавших использовать RDP во время пандемии COVID-19.
  • «Ростелеком-Солар» назвал ключевые уязвимости в ИТ-инфраструктурах госорганизаций и органов власти. Порядка 90% госструктур уязвимы не только для продвинутых кибергруппировок, но и для злоумышленников с низким уровнем квалификации (киберхулиганов). Основные ИБ-проблемы связаны с отсутствием своевременного обновления ПО и базовых средств защиты, а также недостаточной защитой закрытых сегментов сети.
  • В Ростелеком-Солар также проанализировали атаки злоумышленников за последние полгода. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT столкнулись с атаками на RDP, новыми оболочками известного ВПО и методами сокрытия Mimikatz.
  • По данным отчета WatchGuard о вредоносной активности, за второй квартал 2020 года общее количество выявленных атак на организации с использованием вредоносного ПО сократилось на 8%, число атак с использованием вредоносного ПО, недетектируемого с помощью антивирусных систем, базирующихся на сигнатурах, возросло на 12%. Так, в 7 из 10 кибератак на организации во втором квартале текущего года использовалось вредоносное ПО, способное обходить антивирусы, полагающиеся на сигнатуры.
  • По данным IBM Security X-Force за второй квартал 2020 года, количество атак с использованием программ-вымогателей, которые удалось устранить с помощью IBM Security X-Force Incident Response, увеличилось более чем в три раза по сравнению с предыдущим кварталом. На них приходится 32% инцидентов, на которые команда IBM отреагировала в период с апреля по июнь 2020 года.
  • Отчет Netwrix о киберугрозах за 2020 год показал, что каждая четвертая организация считает, что она подвержена большему риску, чем до пандемии. Из них 63% сообщили об увеличении частоты кибератак и 60% обнаружили новые бреши в безопасности в результате перехода на удаленную работу. А 85% руководителей по информационной безопасности заявили, что они пожертвовали кибербезопасностью, чтобы быстро обеспечить удаленную работу.
  • Microsoft опубликовала отчёт Digital Defense, в котором рассматриваются наиболее важные события и тренды мира кибербезопасности. Состоящий из 88 страниц документ охватывает период с июля 2019 по июнь 2020 года. Microsoft считает, что пандемия COVID-19 оказала минимальное влияние на кибератаки этого года. Хотя корпоративный фишинг продемонстрировал существенный рост.
  • Исследователи из компании Bitdefender в своем отчете «10 из 10» подвели итоги опроса 6724 специалистов в области информационной безопасности в крупных организациях по всему миру. Отчет показал пробелы в знаниях о новых угрозах и разрыв между скоростью, с которой компаниям необходимо адаптироваться, и их уровнем кибербезопасности. У 67% ИБ-экспертов подготовлена определенная стратегия на случай возникновения кибервойны, тогда как 22% вовсе не имеют составленного плана действий.
  • Считается, что значок замка или пометка «безопасный» в адресной строке сайта говорит о его защищенности, однако, по утверждениям ИБ-экспертов, таким визуальным подсказкам не стоит слепо доверять. Согласно результатам исследования Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group, APWG), во втором квартале 2020 года наблюдался всплеск фишинговых атак, причем 80% фишинговых сайтов использовали SSL-сертификаты.
  • Отчет 2021 Tag Cyber Security Annual содержит более 300 страниц о рыночных перспективах и тенденциях отрасли открытых ключей. В отчете приведены мнения специалистов о том, как команды могут справиться со своим криптографическим беспорядком.

Громкие инциденты ИБ

Обзор событий предстоящих недель 05.10 – 16.10

Посетить

Онлайн-конференции

Вебинары

Полезные ресурсы

  • DevSecOps Talks – сообщество профессионалов, объединяющее всех специалистов «триады» – разработка, безопасность и эксплуатация. Здесь делятся новостями рынка, интересными технологиями, аналитикой и лучшими практиками!
Поделиться записью: