Дайджест информационной безопасности №178 за период с 1 по 17 января 2020

Новости законодательства

• Принятие законопроекта по сбору биометрических данных приостановлено, в 2020 году не ожидается принятия кардинальных решений по использованию биометрии. Cбор биометрических данных пока не носит массового характера, данная форма работы для граждан является новой и не очень востребованной.
• Думский комитет по госстроительству и законодательству дал отрицательное заключение на законопроект сенатора Андрея Клишаса, который предложил блокировать электронную почту пользователя за распространение запрещенной информации.

Новости ИБ

• Минкомсвязь РФ в 2020 году планирует четыре раза провести учения по обеспечению устойчивой работы Рунета. Первый из четырех этапов состоится 20 марта. В ходе него планируется отработать блокировку трафика, зашифрованного с использованием технологий DNS поверх HTTPS и DNS поверх TLS. Применение криптографических протоколов для передачи данных DNS, предположительно, позволит затруднить перехват трафика.
• MITRE выпустила новую матрицу техник, тактик и процедур злоумышленников — на этот раз для промышленных систем. Это первая версия, которая готовилась более двух лет, но которая продолжает наполняться новыми TTP.
• Исследователи представили метод атаки Shambles, который преподносится как первая практическая реализация атаки на алгоритм SHA-1, которую можно использовать для создания фиктивных цифровых подписей PGP и GnuPG. Исследователи полагают, что теперь все практические атаки на MD5 могут применяться и для SHA-1, хотя пока всё ещё требуют значительных ресурсов для осуществления.
• C 14 января 2020 г. компания Microsoft прекращает поддержку операционной системы Windows 7 и Windows 7 Server. Отмена поддержки операционных систем может стать проблемой для российских банков. По идее они оперативно должны перейти на Windows 10. Кроме проблем в работе, отсутствие техподдержки противоречит требованиям информбезопасности в рамках профильного ГОСТа и нормативных актов Федеральной службы по техническому и экспортному контролю (ФСТЭК).
• Intel выпустила обновления безопасности для устранения уязвимостей в нескольких продуктах. Аутентифицированный злоумышленник с локальным доступом может использовать некоторые из этих уязвимостей для повышения привилегий. Агентство по кибербезопасности и инфраструктурной безопасности (CISA) рекомендует пользователям и администраторам ознакомиться c рекомендациями Intel и применить необходимые обновления/

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий на основе своей практики построения и аудита SOC-ов пришел к выводу, что двух одинаковых SOCов не бывает, поскольку SOC строится исходя из разных предпосылок и задач. Пока что нет универсального ответа на вопрос «Что такое SOC?», поэтому важно сначала договориться о терминах, прежде чем сравнить себя с другими SOCами на рынке.
• В рамках своего курса по законодательству Алексей Лукацкий обновил ответ на вопрос  «может ли ГОСТ быть обязательным?». Учитывая, что Банк России активно помещает свои требования по ИБ в ГОСТы и планы по развитию ГОСТов достаточно агрессивные, то стоит понимать, каков статус у этого документа и насколько он является обязательным для финансовых организаций.
• Эксперты из Ангары опубликовали заметку о том, как стать SOC-аналитиком и какими навыками и компетенциями должен обладать аналитик SOC. На первое место они поставили знание законодательства по ИБ. Альтернативную точку зрения на компетенции аналитика SOC представил и Алексей Лукацкий.
• Директор Центра экспертизы R‑Vision Валерий Богдашов подвел итоги саммита субъектов КИИ и перечислил наиболее волнующие аудиторию вопросы. Участникам саммита удалось поделиться своим видением и опытом по части этих вопросов, обсудить различные точки зрения и получить комментарии регулятора. В статье Валерий привел короткое резюме основных моментов обсуждений.

Интересные посты англоязычных блогов по ИБ

• Steve King рассказал на портале BankInfo Security, почему тесты на проникновение так важны. Автор привел пример проведения пентеста в компании, методы нахождения дыр безопасности и итоговые результаты. Он подчеркивает важность и выгодность пентестов, поскольку финансовые затраты не сравнимы с затратами на сложные технологичные средства обеспечения безопасности или судебные издержки в случае реализации атаки.
• Антон Чувакин поделился своими мыслями на тему правильности постулата «Знай своего врага в лицо» в наши дни. Насколько зависит фактическая безопасность от знания врага? Автор считает, что предотвращать большинство угроз можно и нужно без знаний о враге, мощная базовая защита оттолкнет многих преступников. Однако для точного обнаружения знание врага необходимо в совокупности со способностью эффективно использовать и применять эти знания.
• Robert Calvert поделился опытом и извлеченными уроками от проведения штабных учений (tabletop exercise) по реагированию на инциденты. Цель штабного учения состоит в том, чтобы выделить области для улучшения работы команды, например, чтобы выявить неоднозначные полномочия или конфликтующие процессы в дружественной атмосфере, т.е. без последующих наказаний. Учения помогут выявить разрозненность команд в своих процессах планирования.
• Блог Института Infosec посвящен TCP-трафику в Wireshark, любое отклонение которого от нормальной структуры может быть достойно более пристального внимания. Анализ TCP может быть использован для реагирования на инциденты, поскольку по TCP может передаваться широкий спектра атакующего трафика. Однако некоторые атаки выполняются на самом уровне TCP, в том числе с использованием протокола сканирования и усиления DDoS.

Исследования и аналитика

• Европейская комиссия опубликовала плановый отчет о том, как обстоят дела с защитой интеллектуальной собственности в странах за пределами Европейского союза. Россия вошла в топ стран, где защита прав интеллектуальной собственности причиняет наибольший экономический ущерб интересам ЕС.
• Специалисты из компании Dragos в отчете North American Electric Cyber Threat Perspective зафиксировали растущее число киберпреступных группировок, нацеленных на энергетические компании в Северной Америке. По мере того, как злоумышленники вкладывают больше усилий и денег на приобретение новых возможностей, риск разрушительного нападения на электроэнергетический сектор значительно возрастает.
• Отчет Verizon’s 2019 Payment Security Report выявил, что в 2018 году только 36,7% компаний полностью соответствуют стандарту безопасности данных индустрии платежных карт (PCI DSS). Действительно, за последние несколько лет соответствие PCI DSS неуклонно снижалось. Интересным выводом стало нарушение соответствия PCI DSS по всему миру, в частности организации в Азиатско-Тихоокеанском регионе (АТР) наиболее соответствовали стандарту 69,6%, по сравнению с 48% в Европе.
• Новое исследование Allianz Global Corporate & Specialty (AGCS) отражает основные страхи генеральных директоров. Аналитики AGCS оросили 2 718 директоров из ста стран. 39% назвали основным страхом киберриски: фишинг, атаки и вымогатели. Утечки и сбои в работе также вызывают беспокойства, поскольку способны спровоцировать судебные тяжбы с клиентами и инвесторами, которых затронули данные киберинциденты.
• SAP выпустила 6 патчей (Security Notes) и в рамках своего январского дня обновлений 2020 SAP Security Patch Day, причем все они касаются уязвимостей средней степени тяжести. Наиболее важным из них является недостаток межсайтового скриптинга (XSS) в адаптере Rest интеграции процессов SAP. Уязвимость отслеживается как CVE-2020-6305 и имеет оценку CVSS 6.1.
• LastPass проанализировал более 47 000 компаний с целью получить представление о поведении в области безопасности по всему миру. Третий отчет Annual Global Password Security report отражает изменения в практике защиты паролей по всему миру и рассказывает о том, в каких регионах компании все еще подвергают себя риску. В отчете выделены ключевые тенденции в зависимости от размера компании, сектора и местоположения, предоставлен анализ и рекомендации для ИТ и менеджмента по необходимым мерам.
• The Computing Technology Industry Association (CompTIA) опубликовала отчет Industry Trends Analysis 2020. В этой публикации дается обобщенный взгляд на ландшафт, в котором ИТ-специалисты, включая специалистов по безопасности, окажутся вовлеченными в предстоящий год. Мировая технологическая индустрия уже стоит 5,2 триллиона долларов, CompTIA прогнозирует, что она будет расти со скоростью 3,7% в 2020 году. Отчет также освещает перспективы и сомнения относительно карьеры людей в области технологий.

Громкие инциденты ИБ

• Северокорейские хакеры атаковали пользователей Telegram. Со слов представителей «Лаборатории Касперского», хакеры из северокорейской группировки Lazarus распространяли вредоносное ПО через мессенджер Telegram. Жертвами атак стали жители Великобритании, Польши, России и Китая. Точная сумма ущерба не известна.
• 31 декабря 2019 года международная система денежных переводов Travelex была атакована шифровальщиком Sodinokibi (он же REvil). Для защиты данных и предотвращения распространения малвари компания была вынуждена отключить свои системы. В результате клиенты потеряли возможность пользоваться сайтом и приложением Travelex или осуществлять платежи с помощью кредитных или дебетовых карт в более чем 1500 магазинах по всему миру.
• В Сети обнаружена база данных типа NoSQL объемом порядка 22 ГБ. В хранилище находились данные более 56 млн американских граждан. Информация была собрана из открытых источников и принадлежала компании CheckPeople.com.
• Многочисленные южнокорейские знаменитости, использующие смартфоны Samsung Galaxy, стали жертвами хакеров-вымогателей. В руки взломщиков попали контакты, текстовые сообщения, фото и видео, размещавшиеся в облачном сервисе Samsung. Злоумышленники требуют выкуп, угрожая в случае отказа раскрыть всю конфиденциальную информацию с устройства.