Дайджест информационной безопасности №180 за период с 3 по 14 февраля 2020

Новости законодательства

• ФСТЭК опубликовала проект поправок в приказ о защите объектов КИИ на портале нормативных правовых актов 6 февраля. Новые требования ФСТЭК запретят организациям, находящимся под контролем иностранных физических и юридических лиц, заниматься поддержкой программно-аппаратных средств в объектах защиты КИИ. С комментариями к правкам можно ознакомиться в блоге Алексея Лукацкого.
• НКЦКИ (Национальный координационный центр по компьютерным инцидентам) обозначил состав технических параметров инцидентов ИБ, которые необходимо указывать при информировании ГосСОПКА. Помимо этого, регулятор опубликовал форматы представления данных о вышеозначенных инцидентах.

Новости ИБ

• Минкомсвязи РФ предложило разработать механизм, позволяющий гражданам отзывать свое согласие на обработку персональных данных. Помимо прочего, это позволит им защитить себя от спама, считают в министерстве.
• К концу текущего года государственный НИИ «Восход» запланировал создание национального удостоверяющего центра. Новая структура будет выдавать сайтам в Рунете отечественные цифровые сертификаты, использующие российское шифрование. Применение этих сертификатов будет обязательным для сайтов органов власти и организаторов распространения информации.
• Министерство промышленности и торговли РФ предложило сократить закупки иностранной радиоэлектронной техники отечественными госкомпаниями. Как предлагает ведомство, представители государства в совете директоров должны инициировать обсуждение технологической зависимости компаний от иностранной радиоэлектроники.
• До конца следующего года в России должен появиться центр тестирования технических средств и программного обеспечения криптографической защиты информации. С 2024 года все значимые платежные системы должны использовать отечественные защитные модули. Однако российских разработок пока единицы, и они помимо соответствия требованиям ЦБ должны быть совместимы с существующими средствами международных платежных систем.
• Генпрокуратура подготовила концепцию спецресурса для сбора от граждан информации о кибермошенничествах в финансовой среде. Сейчас структуры, занимающиеся сбором и исследованием этих данных, с физлицами не взаимодействуют, что затрудняет обмен информацией. Спецресурс через портал госуслуг будет агрегировать сведения от населения и взаимодействовать с другими структурами для оперативной помощи гражданам.
• Специалисты SonicWall предупредили о волне атак на умные системы контроля доступа в зданиях, которые злоумышленники затем используют для организации DDoS-атак. Исследователи объясняют, что атаки направлены на устройства Linear eMerge E3, производства компании Nortek Security & Control.
• ФБР предупредило компании частного сектора об активной хакерской кампании, ориентированной на поставщиков ПО. Злоумышленники стремятся скомпрометировать цепочку поставок, заразив разработчиков трояном Kwampirs.

Интересные посты русскоязычных блогов по ИБ

• В преддверии конференции ФСТЭК Алексей Лукацкий поделился своими рациональными предложениями по улучшению 17 приказа ФСТЭК, в частности о приоритезации защитных мер. По аналогии с некоторыми зарубежными стандартами, где все защитные меры разбиты на категории по приоритету, Алексей взял на себя смелость предложить следующие Топ10 защитных мер из 17-го приказа, с которых стоит начать построение системы защиты в первую очередь. Другие рекомендации Алексея касаются привязке защитных мер к угрозам и «экселизации».
• В сравнительном анализе обозреватели Anti-Malware сопоставили средства и модули доверенной загрузки, представленные на сегодняшний день на российском рынке. сравнительный анализ поможет детально разобраться во всём многообразии функций и характеристик представленных продуктов, что, возможно, сыграет ключевую роль при выборе того или иного решения конечным пользователем.
• В блоге Cisco Алексей Лукацкий рассмотрел кейсы для систем анализа сетевого трафика (NTA) применительно к целям кибербезопасности. Алексей показал, как такие решения можно применить для обнаружения очень непростых, целенаправленных и очень эффективных кампаний под названием DNSpionage и Sea Turtle.
• Специалисты компании Acribia поделились с читателями случаями, которые происходили у заказчиков в области управления уязвимостями. Авторы рассказали, показали и ответили на вопрос, почему управление уязвимостями – это почти всегда не про уязвимости, и простого «мы за вас отфильтруем из 1 000 000 уязвимостей до реально важного минимума» недостаточно.

Интересные посты англоязычных блогов по ИБ

• Всемирный экономический форум опубликовал Руководство по кибербезопасности. Оно устраняет разрыв между руководителями с техническим бэкграундом и без такового, и предназначено для руководителей высшего звена, отвечающих за разработку, реализацию и управление кибербезопасностью и устойчивостью организации. Автор статьи блога Tripwire рассказал про 10 принципов кибер-устойчивости в цифровом мире, представленных в данном руководстве.
• Метрики позволяют команде безопасности выявлять ошибки на ранних этапах и исправлять их до того, как они перерастут в серьезные проблемы. Joshua Goldfarb рассказал, как правильно подойти к разработке надежных метрик для измерения своего прогресса, производительности и рисков.
• Технические средства ИБ и данные являются необходимыми составляющими безопасности, но натренированные глаза аналитика и процесс расследования являются решающими факторами в эффективном переходе от предупреждений к действиям. В статье FireEye рассказывается о недавних расследованиях FireEye Managed Defense, на примере которых можно узнать об используемом инструментарии в расследовании и как устроен процесс анализа.
• В статье в блоге IMB говорится об основных преимуществах, которые может дать внедрение искусственного интеллекта в работу аналитиков SOC. По мнению автора, ИИ может способствовать упрощению обнаружения угроз, процессов расследования и реагирования, повышению производительности и удовлетворенности работой, а также снижению стоимости нарушений безопасности.

Исследования и аналитика

• Эксперты Positive Technologies проанализировали сетевую активность крупных компаний (со штатом более тысячи человек) из ключевых отраслей экономики в России и СНГ 1. По результатам глубокого анализа сетевого трафика в 97% компаний была обнаружена подозрительная сетевая активность, а в 81% компаний — активность вредоносного ПО.
• «Доктор Веб» выпустил обзор вирусной активности в январе 2020 года. Статистика по вредоносному и нежелательному ПО показывает преобладание вредоносных расширений для браузеров, нежелательных и рекламных программ. В почтовом трафике по-прежнему доминирует вредоносное ПО, использующее уязвимости документов Microsoft Office. Вместе с тем двукратно возросло количество обнаружений банковского трояна Trojan.SpyBot.699.
• Компания Qrator Labs подготовила ежегодный отчет о кибербезопасности в 2019 году. В отчете рассмотрены две самые интересные темы прошлого года: SYN-ACK-амплификации и BGP-«оптимизации». Также авторы осветили и то, что будет происходить с их командой и продуктом в текущем году.
• Компания BI.ZONE стала официальным участником международной инициативы Всемирного экономического форума «Укрепление киберустойчивости в авиационном секторе». Одним из результатов работы стал аналитический отчет рабочей группы ВЭФ, в котором были обозначены основные киберриски, угрожающие современной авиации.
• Компания ESET представила отчет по кибербезопасности мобильных устройств в 2019 году. В нем рассмотрены уязвимости iOS и Android, наиболее распространенные угрозы и способы защиты от них.  По данным отчета, Android является самой распространенной мобильной ОС в мире, на ее долю в настоящее время приходится 76% рынка. Доля пользователей iOS составляет 22%.
• Imperva Research Labs представила статистический анализ DDoS-атак сетевого уровня в 2019 году в отчете 2019 Global DDoS Threat Landscape Report. В 2019 году была зафиксирована крупнейшая в истории атака на уровне сети и приложений, которая достигла 580 миллионов пакетов в секунду (PPS). Больше всего атак пришлось на долю игровой индустрии (35,92%) и азартных игр (31,25%). На другой стороне спектра — бизнес с 3,37% и финансы с 2,95%.
• Tripwire в партнерстве с Dimensional Research провели опрос 342 специалистов по безопасности о том, насколько они ощущают нехватку навыков и как они намерены решать эту проблему в будущем. Согласно исследованию Cybersecurity Skills Gap Report 2020, 83% экспертов по безопасности чувствуют себя более перегруженными работой в 2020 году, чем в начале 2019 года. Подавляющее большинство (85%) также заявили, что за последние несколько лет стало сложнее нанимать квалифицированных специалистов по безопасности.
• Эксперты компании Check Point опубликовали отчет о брендах, которые наиболее часто используются злоумышленниками в ходе фишинговых кампаний. По словам специалистов, чаще всего преступники имитировали известные бренды, чтобы похитить личную информацию или учетные данные пользователей.
• Компания IBM составила ежегодный индекс киберугроз IBM X-Force Threat Intelligence Index 2020 для оценки изменения работы хакеров за последние годы. Среди основных проблем в кибербезопасности в IBM назвали некорректную настройку компаниями облачных систем на фоне существенного роста этого сегмента, вирусы-шифровальщики, которые используют банковские трояны для атак, а также случаи, когда мошенники выдают себя за крупные технологические компании. В 2019 году мошенники воспользовались известными уязвимостями в 30% случаев взлома.
• Компания FireEye исследовала хакерскую кампанию, использующую новый тип бэкдора — «Minebridge», который в основном был ориентирован на финансовые компании США в этом году. Кампания началась около 7 января, она предусматривает установку бэкдора Minebridge в корпоративные сети для доставки других вредоносных программ и предоставления злоумышленникам возможности сопоставить инфраструктуру.
• Норвежский совет потребителей опубликовал обширный отчет о том, как индустрия онлайн-рекламы нарушает конфиденциальность потребителей. Компания предъявила юридические жалобы против шести компаний, основываясь на данном исследовании, выявляющем систематические нарушения конфиденциальности, теневыми компаниями, собирающими и делящимися множеством персональных данных.
• Nominet опубликовал отчет CISO Stress Report – Life Inside The Perimeter: One Year On, on the working life of the CISO. В докладе этого года более подробно рассматривается влияние продолжающегося стресса на психическое здоровье и личную жизнь CISOs, а также причины стресса, включая плохое равновесие в трудовой жизни и отсутствие поддержки со стороны правления.

Громкие инциденты ИБ

• 2 февраля 2020 года в сети была выставлена на продажу база клиентов микрофинансовых организаций (МФО), содержащая данные 1,2 млн человек. В распоряжении журналистов оказался «пробник» этого дампа, содержащий около 800 записей, включая Ф.И.О., номера телефонов, адреса электронной почты, даты рождения и паспортные данные.
• Ирану удалось отразить самую масштабную кибератаку в истории страны. Атака была направлена на создание неполадок в работе интернета в Иране. По словам заместителя министра информационных и коммуникационных технологий Ирана, к произошедшему причастны хакеры-наемники. В настоящее время иранская инфраструктура подвергается второй волне атаки, отметил замминистра.
• В Сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты, помогает выбрать и получить заем в банке. Данные клиентов Альфа-Кредит содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач. База содержала более 44 тыс. записей с указанием ФИО клиентов, суммой и видом запрашиваемого кредита, номерами телефона, адресами электронной почты, городом и регионом проживания.
• Ошибка программного обеспечения, которое использовали на государственном налоговом портале Дании, сделала доступными персональные идентификационные номера 1,26 млн датских граждан. Ошибку удалось выявить и устранить только спустя пять лет. Ошибка произошла на TastSelv Borger, официальном портале самообслуживания датской налоговой администрации, куда датские граждане заходят, что регистрироваться и платить налоги онлайн.
• Хакерская группировка взломала два официальных аккаунта социальной сети Facebook в сервисе микроблогов Twitter, Официальный представитель Twitter подтвердил изданию, что аккаунты Facebook «были взломаны через стороннюю платформу». Ответственность за взлом взяла на себя саудовская хакерская группировка OurMine, которая также продвигает свои услуги по обеспечению информационной безопасности.
• Из-за проблемы, связанной с приложением израильской партией «Ликуд», в которой состоит израильский премьер-министр Биньямин Нетаньяху, могла произойти утечка данных 6,5 млн человек. Проблему обнаружил разработчик из компании Verizon Ran Bar-Zik. Местные СМИ уже подтвердили выводы исследователя.