Дайджест информационной безопасности №201 за период с 30 ноября по 11 декабря 2020

Новости законодательства

  • Министерство цифрового развития, связи и массовых коммуникаций РФ проанализировало около 100 различных заявлений от производителей ПО и сформировало список отечественных программ, рекомендованных к предустановке на новые мобильные устройства.

Новости ИБ

  • В конце ноября компания VMware сообщила о 0-day уязвимости CVE-2020-4006 в своей продукции, обнаруженной специалистами АНБ. Сначала специалисты компании рассказали о временных способах защиты от бага, а в конце прошлой недели наконец выпустили исправления.
  • В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установившие пакеты jdb.js и db-json.js оказались заражены трояном удаленного доступа njRAT. Оба пакета были удалены из npm в начале текущей недели.
  • Викрам Фатак, проработавший 11 лет в NSS Labs, открыл организацию CyberRatings.org в Остине, штат Техас, которая будет составлять рейтинги, отчеты и анализировать продукты и услуги безопасности. Первым выпуском новой организации будут рейтинги продуктов, основанные на новых и неопубликованных данных тестирования NSS Labs.
  • Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).
  • Компания Google обновила десктопную версию Chrome, закрыв восемь уязвимостей. Четыре из них оценены как очень опасные. Апдейт 87.0.4280.88 уже раздается на Windows, macOS и Linux в автоматическом режиме.
  • В Microsoft Teams обнаружена червеобразная RCE-уязвимость. Результатом эксплуатации проблемы является полная потеря конфиденциальности и целостности для конечных пользователей.
  • Тринадцать стран Европы, в том числе Германия, Франция и Испания, объединили усилия с целью инвестирования в производство процессоров и полупроводников. Государства намерены развивать свои технологии в области полупроводников, в том числе технологии, являющиеся ключевыми для производства взаимосвязанных устройств и обработки данных, чтобы конкурировать с США и азиатскими странами.

Интересные посты русскоязычных блогов по ИБ

  • 1 октября вступило в силу Положение ЦБ РФ № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Аналитики компании «Инфосистемы Джет» поделились своим видением подходов к выполнению требований регулятора и подготовили краткую инструкцию, которая поможет разобраться в управлении операционным риском в целом и рисками для информационной безопасности (ИБ) и информационных систем (ИС) в частности.
  • Через день после проведения SOC-Forum Live в США состоялось еще одно онлайн-мероприятие, целиком посвященное теме SOC – SOCstock. Алексей Лукацкий опубликовал краткий обзор мероприятия. Если на SOC-Forum Live больше говорилось об аутсорсинговых услугах SOC, различных кейсах при расследовании, взаимодействии с ГосСОПКОЙ, работе с заказчиками, то на SOCstock шла речь об автоматизации, персонале, выгорании, threat hunting’е, threat intelligence, зрелости SOCов.
  • Андрей Прозоров сравнил европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Автор привел полный текст выступления Контемирова Юрия Евгеньевича, начальника Управления по защите прав субъектов ПДн, из записи публичного семинара для операторов персональных данных от Роскомнадзора, который прошел 26 ноября 2020.
  • 23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России “Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации”. Сергей Борисов поделился своими комментариями к документу.
  • Валерий Комаров подготовил обзор конференции «Кибербезопасность цифрового предприятия», прошедшей в рамках Форума All-over-IP 04.12.2020. Организаторам удалось второй раз собрать интересный состав докладчиков по КИИ. Автор привел доклады различных субъектов КИИ и ФСТЭК, а также отметил наглядную демонстрацию двух полюсов отношения к 187-ФЗ в стране.

Интересные посты англоязычных блогов по ИБ

  • Paul German в своей статье затронул тему поиска угроз. Автор рассказал, почему пассивный подход может быть слишком опасным и почему охота за угрозами работает на практике.
  • Matthew Jerzewski в своей статье пишет, что для устранения и контроля уязвимостей безопасности, которые могут привести к взлому, организации должны держать политику управления уязвимостями в актуальном состоянии. Он перечислил четыре пункта, которые должна включать хорошая политика управления уязвимостями.
  • Nathan King рассказал об опасностях зависимости оценки уязвимостей безопасности. Автор затронул тему стандарта CVSS (общая система оценки уязвимостей) и объяснил разницу между уязвимостями и недостатками.
  • Согласно данным недавнего отчета, только 60% офисных работников во всем мире считают, что их компания устойчива к кибератакам. Почти каждый четвертый (23%) признается, что не знает наверняка, в то время как почти каждый пятый (18%) категорически считает, что это не так. Justine Kurtz прокомментировала основные выводы отчета.

Исследования и аналитика

  • По статистике «Ростелекома», представленной в ходе SOC-Форума, за 2020 год центр мониторинга и реагирования на кибератаки Solar JSOC зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики.
  • Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.
  • Лаборатория Касперского отслеживает деятельность более чем 900 APT-групп и в отчете «Обзор активности APT-групп в 2020 году» постарались осветить наиболее интересные тенденции и события за последние 12 месяцев (отчеты за I, II и III кварталы 2020 года). Эксперты отметили, что ни один разработчик защитных решений не может полностью охватить в своих расследованиях действия всех злоумышленников.
  • Компания ESET рассказала об обнаружении нового вредоносного ПО Crutch, авторство которого приписывают хак-группе Turla. Crutch способен обходить некоторые уровни защиты, злоупотребляя законной инфраструктурой (в данном случае — Dropbox), чтобы влиться в обычный сетевой трафик, при этом похищая документы и получая команды от своих операторов.
  • Группа ученых из Университета Карнеги-Меллона провела исследование 100 тыс. лучших по версии рейтинга Alexa Top web-сайтов с целью узнать сколько из них работают только с одним DNS-провайдером. Результаты исследования показали, что в 2020 году 89,2% от всех web-сайтов используют стороннего DNS-провайдера, а не управляют собственным DNS-сервером.
  • Исследователи из компании Prevasio изучили 4 000 000 общедоступных образов Docker, размещенных на Docker Hub, и обнаружили, что более половины из них имеют критические уязвимости, а несколько тысяч образов содержат вредоносные или потенциально опасные элементы.
  • Уязвимости в программном обеспечении с открытым исходным кодом могут оставаться незамеченными в течение более четырех лет, прежде чем будут обнаружены. Согласно ежегодному отчету GitHub State of the Octoverse, использование проектов, компонентов и библиотек с открытым исходным кодом стало более распространенным, чем когда-либо.
  • Check Point Research сообщили, что в ноябре количество фишинговых писем, написанных от лица служб доставки выросло на 440% по сравнению с октябрем. Наиболее резкий рост был отмечен в Европе, на втором и третьем местах по числу фишинговых кампаний оказались Северная Америка и Азиатско-Тихоокеанский регион. Чаще всего (в 56% случав) мошенники рассылали письма от лица DHL.
  • Компания ESET опубликовала отчет «Тенденции кибербезопасности 2021: безопасность в нестабильные времена». В отчете отмечается неизгладимый след, который пандемия оставила на бесчисленных киберрисках. Среди основных тенденций названы рост угрозы программ-вымогателей и эволюция Интернета вещей.
  • Рабочая группа по борьбе с фишингом APWG опубликовала отчет о тенденциях фишинговой активности за третий квартал 2020 года. В отчет включены более двухсот тысяч уникальных фишинговых веб-сайтов, обнаруженных в августе и сентябре. Согласно отчету, SSL-шифрование для фишинговых сайтов опережает развертывание SSL для обычных веб-сайтов, а на 10% увеличилось число атак BEC, исходящих из бесплатных учетных записей веб-почты.
  • Специалисты Сybernews проанализировали 15 миллиардов паролей, фигурировавших в тех или иных утечках. Согласно отчёту, только 2 миллиарда изученных паролей оказались уникальными. Большинство используют менее восьми символов, при этом сами пароли не только очень короткие, но и достаточно легко угадываются.
  • По данным компании McAfee, потери от киберпреступности стоят мировой экономике более $1 триллиона, что составляет приблизительно 1% глобального ВВП. В сравнении с показателями 2018 года эта цифра увеличилась более чем на 50%. Аналитики отметили, что подавляющее большинство компаний (92%), повстречавшись с киберпреступниками, потеряли не только денежные средства. Также отмечается постоянный рост частоты и мощности кибератак.
  • По данным отчета WebRoot «COVID-19 Clicks: как фишинг заработал на глобальном кризисе», 3 из 10 сотрудников во всем мире переходили по фишинговым ссылкам в прошлом году. В США это 1 из 3. В отчете приведены советы, как предприятиям и частным лицам оставаться устойчивыми к фишинговым атакам.
  • Компания Forescout обнаружила в интернет-протоколах с открытым исходным кодом 33 уязвимости, делающие миллионы встраиваемых устройств открытыми для кибератак, в том числе для перехвата информации, отказа в обслуживании и захвата полного контроля. В перечень затронутых устройств входят смарт-датчики «умного» дома, в том числе для управления освещением, сканеры штрих-кодов, промышленное сетевое оборудование и даже АСУ ТП.

Громкие инциденты ИБ

Обзор событий предстоящих недель 14.12 – 25.12

Вебинары

Поделиться записью: