Дайджест информационной безопасности №179 за период с 20 по 31 января 2020

Новости законодательства

• ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Тезисно о содержании письма ФСТЭК и комментарии к нему можно прочитать в блоге Алексея Лукацкого.
• ЦБ впервые перечислил перечень рисков при сборе и хранении биометрии не только в ЕБС, но и во внутренних базах банков. Регулятор намерен следить за безопасностью всех слепков лица и голоса, которые сдают россияне, а не только за теми, что направляются в ЕБС. Об этом говорится в проекте указания Банка России, который внесен в Госдуму вместе с поправками в законопроект о биометрии. В документе также говорится о необходимости шифровать биометрические данные криптографическими ключами, которые прошли проверку ФСБ.

Новости ИБ

• В рамках Технического комитета 194 «Кибер-физические системы» на базе РВК разработана серия из девяти проектов предварительных национальных стандартов (ПНСТ) в области Сенсорных сетей, Интернета вещей и Промышленного интернета вещей. Результатом утверждения данных документов станет развитие в стране решений и приложений для цифровых систем с использованием IoT и IIoT, которые не будут зависеть от конкретного вендора. Публичное обсуждение проектов стандартов продлится до 31 марта 2020 года.
• Зампред правления «Сбербанка» Станислав Кузнецов предлагает выработать единые стандарты реагирования на атаки хакеров и развивать обмен опытом между частными организациями и властями страны. Причем эти меры необходимо внедрить срочно, чтобы противостоять киберугрозам. В «Сбербанке», по его словам, уже выработали стратегию, однако сделать ее обязательной для всех могут только власти.
• Правительство РФ подготовило положительный проект официального отзыва на законопроект о блокировке опасных переписок по электронной почте. Законопроект будет поддерживаться властями при условии его доработки. Во избежание неправильного толкования представляется целесообразным определить в тексте Федерального закона понятие «организатор сервиса обмена сообщениями».
• Совместное расследование, проведенное изданиями Vice Motherboard и PCMag, обнаружило, что антивирус Avast собирает пользовательские данные, которые затем перепродаются таким гигантам, как Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit и многим, многим другим.
• В Майами в рамках конференции S4 состоялось соревнование Pwn2Own Maiami, организатором которого традиционно выступает Zero Day Initiative. На этот раз white hat хакеры пробовали свои силы во взломе промышленных систем управления и соответствующих протоколов.
• Правительство Великобритании обнародовало законопроект, направленный на защиту IoT-устройств. Законопроект содержит три основных требования для производителей «умных» устройств. В частности, все пароли пользовательских IoT-устройств должны быть уникальными и без возможности сбросить их до «универсальных» заводских настроек.
• В законодательные органы штата Нью-Йорк в США внесены сразу два законопроекта, запрещающих использовать деньги налогоплательщиков для выплат выкупа в случае кибератак на госучреждения. Республиканский проект предусматривает создание специального фонда, деньги из которого пойдут на усиление киберзащиты государственных и муниципальных учреждений.
• В Минэкономики предложили создать российский аналог GitHub в рамках реализации национальной стратегии развития ИИ до 2030 года. Необходимость создания аналога GitHub объясняется риском отключения России от зарубежных хранилищ кода «из-за репутационных и санкционных рисков». В российский репозиторий предлагается копировать наиболее востребованные программы из зарубежных открытых источников.
• Министр связи предложил открыть силовикам персональные данные граждан, а также сведения от банков, операторов мобильной связи и интернет-сервисов. Сейчас для доступа к банковской информации, записям телефонных переговоров, сообщениям и почте требуется решение суда. Вероятно, воплотить идею Шадаева будет невозможно без изменения законодательства и конституции.

Интересные посты русскоязычных блогов по ИБ

• 16 января NIST опубликовал итоговую версию документа 1.0 Privacy Framework. Указанный документ представляется как добровольный инструмент (лучшая практика), который поможет вам выполнять законодательство в области защиты персональных данных. Сергей Борисов выделил самые интересные моменты данного документа, которые могут быть полезны при выполнении российского законодательства в области защиты ПДн либо европейского GDPR.
• Алексей Лукацкий поделился презентацией службы реагирования на инциденты Cisco. По результатам более 100 проведенных расследований у заказчиков, они сформулировали 7 ключевых наблюдений/уроков в расследовании инцидентов, которые могут помочь избежать своих ошибок и улучшить безопасность компании.
• В продолжение темы облачной безопасности на Хабре, компания МТС рассказала об эволюции WAF и о том, что лучше выбрать: железо, ПО или облако. В статье сказано про технологические возможности WAF в облаке и особенности облачных WAF с точки зрения организационных моментов и управления.
• Валерий Комаров изучил вопрос, как ФСТЭК проверяет правильность действий субъекта КИИ по категорированию и сколько времени отведено субъекту КИИ на формирование и утверждение акта категорирования. В статье приведены типовые нарушения порядка категорирования, выявленные ФСТЭК.
• R‑Vision продолжила публикацию гайда MITRE переводом главы «Покупка и ожидания от SIEM. Рекомендации при внедрении». В главе рассмотрены ключевые параметры архитектуры и реализации SIEM и оценка возможностей существующих коммерческих предложений. А также приведены некоторые рекомендации и наблюдения с точки зрения архитектуры и эксплуатации.

Интересные посты англоязычных блогов по ИБ

• В связи с ростом целевых атак вредоносных программ Emotet, Агентство по кибербезопасности и инфраструктурной безопасности (CISA)  представила рекомендации пользователям и администраторам по защите от Emotet, а также указала ресурсы для получения информации о защите от Emotet и других вредоносных программ.
• Инсайдерские угрозы — одна из самых сложных на сегодняшний день проблем, которая не решается популярными средствами безопасности. Это также одна из самых сложных моделей атак на практике. Chetan Conikee посвятил серию постов темам классификации инсайдеров и видам индикаторов инсайдерских атак, а также классификации инцидентов неправомерного использования ресурсов инсайдерами.
• Ценность метрик заключается в их способности понятно рассказывать о том или ином вопросе бизнеса, получая отклик у заинтересованных сторон. Эту возможность легко упустить, если группы безопасности используют неправильные метрики — слишком технические или подробные, или неправильно доносят правильные метрики. Curtis Simpson рассказал, как получить максимальную отдачу от метрик безопасности и избежать наиболее распространенных ошибок.

Исследования и аналитика

• Команда аналитиков InfoWatch проанализировала утечки конфиденциальной информации, затронувшие государственный сектор: различные силовые структуры, центральные органы власти и компании в государственной собственности. Исследователи выяснили, что большая часть подобных инцидентов носит умышленный характер.
• Еще одно исследование InfoWatch посвящено судебной практике, касающейся дел об утечках конфиденциальных данных. Эксперты постарались выявить самые основные проблемы применения законов в части защиты информации. Согласно отчёту специалистов, каждое четвёртое подобное дело в суде оборачивается вынесением реального или условного срока. При этом максимальная сумма ущерба по делу об утечках в 2018 году составила 14 миллионов рублей.
• Специалисты из аналитического центра «Гарда Технологии» провели анализ теневого рынка баз данных российских банков за 2019 год. Эксперты проанализировали более 350 объявлений о продаже баз данных финансовых организаций, размещенных на подпольных торговых площадках и в специальных группах в социальных сетях. В открытой продаже в 2019 году находились данные 70 064 796 клиентов 42 финансовых организаций России, большая часть из которых не были привязаны к регионам и городам. Средняя стоимость информации составляла около 175 тыс. руб. за 45 тыс. данных клиентов банков.
• Эксперты компании Check Point выпустили отчет Cyber Security Report 2020, рассказывающий о главных трендах в сфере информационной безопасности за минувший год. В отчете освещены основные инструменты, которые киберпреступники используют для атак на организации по всему миру. Согласно отчету, 28% организаций по всему миру подверглись атакам ботнетов, что на 50% больше, чем в 2018 году.
• Согласно отчету Dragos Inc. 2020 North American Electric Cyber Threat Perspective report, семь из 11 хакерских групп нацелены на североамериканские электрические и нефтегазовые компании. Одними из главных активностей стали PARISITE, нацеленная на известные уязвимости VPN, и кампания MAGNALLIUM, сосредоточенная изначально на нефтегазовом секторе, но расширившаяся и до энергетического сектора.
• Отчет компании Coveware Q4 Ransomware Marketplace report объединяет анонимизированные данные о вымогателях из обращений, обработанных и разрешенных с помощью платформы реагирования на инциденты Coveware. В этом отчете рассматриваются такие данные, как средняя сумма выкупа, скорость восстановления данных и векторы атак вымогателей. В четвертом квартале вымогатели также начали эксфильтрировать данные жертв и угрожать их обнародованием, если выкуп не будет выплачен.
• Специалисты компании Upstream, специализирующейся на безопасности мобильных устройств, сообщают, что им удалось выявить 98 тыс. вредоносных приложений для Android. Эксперты отметили, что в общей сумме этим программам удалось проникнуть на 43 млн Android-устройств. Приблизительно 50% выявленных вредоносных приложений располагались на площадке официального магазина Google Play Store.

Громкие инциденты ИБ

• Стало известно о крупной хакерской атаке на Mitsubishi Electric, в ходе которой был получен несанкционированный доступ по крайней мере к 120 компьютерам и 40 серверам компании. К этой масштабной утечке причастны две группы китайских хакеров.
• В январе Сбербанк столкнулся с мощнейшей в его истории DDoS-атакой, проведённой на два ресурса кредитного учреждения, которая была в 30 раз мощнее, чем самая мощная атака за всю историю Сбербанка. Атака была произведена с помощью автономных IoT-устройств и банк выдержал ее в автоматизированном режиме без каких-либо последствий.
• Издание ZDNet обратило внимание, что на популярном хакерском форуме недавно был опубликован огромный список из 515 000 учетных данных Telnet для множества серверов, роутеров и различных умных девайсов. Дамп включает IP-адреса устройств, имена пользователей и пароли, а также информацию о протоколе, который можно использовать для удаленного управления устройствами.
• На хакерском форуме Joker Stash выставлены на продажу сведения платежных карт 30 млн американцев и миллиона иностранных граждан. Эксперты считают, что выложенная хакерами база была украдена из компании Wawa, крупной сети магазинов и автозаправочных станций на восточном побережье США. Скомпрометированы такие данные, как номера карт, сроки истечения сроков действия. Согласно заявлению Wawa, PIN-коды и номера CVV украдены не были, однако журналисты обнаружили CVV в предоставленном им продавцами образце данных.
• Злоумышленники предприняли попытку несанкционированного доступа к порталу госуслуг Татарстана. В результате этого киберпреступники «могли получить доступ к части данных портала госуслуг РТ». Заявление по факту попытки несанкционированного доступа направлено в Управление ФСБ РФ по РТ.
• Греческие правительственные сайты подверглись DDoS-атаке 23 января вечером, сообщил официальный представитель кабмина Стелиос Петсас. Атаки привели к нарушению работы конкретных страниц. Сразу же были активированы контрмеры по ограничению трафика. Нормальная работа возобновилась, без каких-либо технических последствий.
• Произошла утечка списка клиентов сети магазинов «Красное и Белое» вместе с их персональными данными. В распространяемом текстовом файле находятся ровно 100 тыс. записей, содержащих: ФИО (иногда вместе с текстом «Утеряна» и датой), дату рождения (редко) и номер телефона. Скорее всего это список держателей скидочных карт данной розничной сети.
• Немецкая компания Buchbinder, известная на рынке аренды автомобилей, оставила незащищенным свой сервер. В результате утекли данные порядка 3 млн клиентов, включая известных лиц. Скомпрометированы такие записи персональных данных, как имена клиентов, адреса электронной почты, номера телефонов, даты рождения, номера регистрационных знаков автомобилей. Кроме того, утекли некоторые банковские реквизиты. История данных начинается с 2003 г.