Дайджест информационной безопасности №188 за период с 25 мая по 5 июня 2020

Новости законодательства

• Министерство юстиции РФ разработало проект новой редакции Кодекса об административных правонарушениях (КоАП), в рамках которого максимальные штрафы за утечку персональных данных предлагается увеличить с 50 тыс. до 500 тыс. руб. для юридических лиц. Для индивидуальных предпринимателей штрафы вырастут с 20 тыс. до 300 тыс. руб., должностных лиц — с 10 тыс. до 100 тыс. руб., остальных граждан — с 2 тыс. до 20 тыс. руб. Комментарии к КОАП можно прочитать в блоге Сергея Борисова.
• Государственная Дума приняла во втором и третьем чтениях поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации» в части уточнения порядка ограничения доступа к информации, распространяемой с нарушением авторских или смежных прав. В соответствии с законом интернет-приложения, нарушающие авторские и смежные права, должны быть заблокированы.
• Принятие законопроекта о расширении использования биометрических данных граждан через единую систему откладывается. По нему возникли разногласия, причем наиболее жесткую позицию занимает Федеральная служба безопасности (ФСБ), которая в предложенном подходе видит риски утечки персональных данных.

Новости ИБ

• Разработчики Chrome объявили, что с релизом Chrome 84 в июле 2020 года  будет включена по умолчанию новая системы защиты от спама через уведомления. После указанной даты Chrome будет блокировать и скрывать все всплывающие окна с уведомлениями, которые «созданы для введения в заблуждение, обмана или вынуждают пользователей разрешить показ уведомлений».
• ИБ-специалисты из Microsoft предупредили компании о новых кибератаках с использованием вымогательского ПО PonyFinal. Первые атаки с использованием PonyFinal были зафиксированы в апреле нынешнего года в Индии, Иране и США. Операторы вредоноса также неоднократно атаковали организации в сфере здравоохранения.
• Минкомсвязь России не поддержала законодательную инициативу депутатов Госдумы о разблокировке мессенджера Telegram во время чрезвычайных ситуаций и периода повышенной готовности.
• Команда китайских ученых обнаружила новый способ злоупотребления HTTP-пакетами для амплификации трафика, атак на сайты и сети доставки контента (content delivery network, CDN). Атака получила название RangeAmp и, по сути, она представляет собой новый метод DoS’а, использующий некорректные имплементации атрибута Range Requests.
• Специалист в области кибербезопасности из Дели выявил критическую уязвимость в функции «Вход с Apple» (Sign in with Apple), которую разработчики представили в июне 2019 года. В ответ корпорация выплатила эксперту щедрое вознаграждение. Если бы злоумышленники взяли на вооружение эту брешь, им бы удалось получить контроль над аккаунтами пользователей.
• Международная организация по стандартизации (ISO) в ответ на COVID-19 предоставила бесплатный доступ к стандартам по управлению рисками и непрерывности бизнеса:
  • ISO 22301:2019 Security and resilience – Business continuity management systems –Requirements
  • ISO 22395:2018 Security and resilience – Community resilience – Guidelines for supporting vulnerable persons in an emergency
  • ISO 22320:2018 Security and resilience – Emergency management – Guidelines for incident management
  • ISO 22316:2017 Security and resilience – Organizational resilience – Principles and attributes
  • ISO 31000:2018 Risk management – Guidelines.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий поделился презентацией с мероприятия GDPR Day, на которой он рассказал, как технически защищать персональные данные в соответствии с ФЗ-152 и GDPR.
• Для финансовых организаций РФ именно ГОСТ 57580 имеет возможность стать основой для создания эффективной системы защиты информации. Сергей Борисов рассказал, почему стандарт можно отнести к приоритетной из лучших практик.
• Евгений Касперский сделал очередной обзор ситуации с кибер-мошенничеством за последний месяц. По сравнению с апрелем в мае цифры значительно снизились до обычных значений. Как предполагает Евгений, причина в том, что после апрельских краж запасы в хранилищах злодеев иссякли и в мае им нужно было монетизировать улов. Поэтому расслабляться не стоит.
• Виталий Манцулич в своей статье описывает результаты исследований, показывающие влияние различных факторов на прохождение сотрудниками программы повышения осведомлённости ИБ и делится опытом разработки «Курса обучения «Безопасность паролей» и «Игры по ИБ» на основе WebTutor.

Интересные посты англоязычных блогов по ИБ

• Dan Virgillito рассказывает об одном из методов фишинга: отправка поддельной накладной/счёта. Описывается общая схема работы мошенников, причины по которым письмо можно считать подозрительным и меры, которые могут помочь не попасться на удочку мошенников.
• Dejan Kosutic привел основные проблемы, с которыми сталкивается бизнес во время пандемии, такие как проблемы непрерывности операций или проблемы безопасности связи и данных. Он рассказал, на основе каких стандартов (например, ISO 22301 или ISO 9001) можно выстроить процессы в компании, чтобы минимизировать негативное влияние пандемии.
• SophosLabs провели расследование вредоносной кампании с использованием вымогателей Netwalker. Ряд вредоносных программ и связанных с ними файлов раскрывает подробности о методах, которые злоумышленники использовали для взлома сетей, повышения своих привилегий и распространения вредоносных программ на рабочие станции в ходе недавних атак. SophosLabs опубликовал список показателей компрометации для образцов, полученных для этого анализа, на своей странице Github .
• Защита аэропорта и защита облачных приложений имеют больше общего, чем можно себе представить. И два основных принципа предотвращения угроз аэропорта прекрасно иллюстрируют, почему виртуальные и контейнерные NGFW жизненно важны для безопасности в облаке.

Исследования и аналитика

• По данным отчета «Стеганография в таргетированных атаках на промышленные предприятия» от экспертов Kaspersky ICS CERT, целями серии таргетированных атак, которую они наблюдают с начала 2020 года, стали в том числе поставщики оборудования и программного обеспечения для промышленных предприятий.
• InfoWatch представила первое исследование структуры утечек персональных данных. В отчете раскрываются следующие цифры: сколько утечек персональных данных и по каким каналам произошло в разных компаниях мира и России за 2019, какова доля умышленных утечек персональных данных в мире и в России, в каких сферах и секторах бизнеса утечки персональных данных случаются чаще и по каким каналам происходили утечки персональных данных в 2019.
• Алексей Лукацкий опубликовал первое глубоĸое исследование внутренностей российсĸих SOC, которых оказалось совсем не много. Всего 40 ĸомпаний заявили о наличии у себя SOC. Согласно исследованию, тольĸо половина российсĸих SOCов входит в службу ИБ. Другие 38% центров являются отдельной, независимой от ИБ и ИТ струĸтурой.
• Специалисты компании Group-IB опубликовали исследование, посвященное новейшим методам атак шифровальщиков. Эксперты рассказывают, что по сравнению с предыдущим периодом в 2019 атаки вымогателей возросли на 40%, а размер среднего требуемого выкупа и вовсе увеличился в разы. Всего за один год средний размер выкупа вырос с 6 000 до 84 000 долларов.
• В отчете Лаборатории Касперского «Дети в интернете 2020» рассмотрены изменения в поведении детей в сети произошли в течение года и в период пандемии. За основу для отчета взята статистика, собранная решением Kaspersky Safe Kids, обеспечивающим защиту детей от нежелательного контента в интернете.
• Эксперты компании Positive Technologies проанализировали уровень защищенности корпоративных информационных систем и представили обзор наиболее распространенных недостатков безопасности, методов атак, а также рекомендации по повышению уровня защищенности. Для проведения исследования были отобраны 28 выполненных в 2019 году работ по внешнему тестированию на проникновение инфраструктуры тех компаний, которые разрешили использовать обезличенные данные.
• Специалисты компании Google подсчитали, что примерно 70% проблем с безопасность в кодовой базе Chrome связаны с управлением памятью. Теперь в компании пытаются понять, как лучше решить эту проблему.
• Европейское агентство по сетевой и информационной безопасности (ENISA) опубликовало новый отчет и сопутствующий репозиторий, посвященные мерам и источникам информации, которые могут помочь экспертам по безопасности, операторам IT и критической инфраструктуры в странах Евросоюза заблаговременно обнаруживать инциденты сетевой безопасности. Документ направлен на оценку методов, инструментов, действий и источников информации для проактивного обнаружения инцидентов.
• Специалисты Veracode проанализировали 351 тыс. внешних библиотек в 85 тыс. приложений и обнаружили, что 70% настольных и мобильных приложений содержат как минимум одну уязвимость, связанную с использованием библиотеки с открытым исходным кодом. По словам специалистов, бесплатные централизованные хранилища кода, предоставляющие готовые «строительные блоки» для разработчиков, представляют опасность.
• Специалисты компании Qihoo 360 раскрыли подробности об одном из крупнейших ботнетов в Китае под названием DoubleGuns. Данный ботнет атакует только китайских пользователей и насчитывает миллионы жертв.
• Компания Verizon опубликовала отчет 2020 Data Breach Investigations Report (DBIR), в котором были проанализированы 32 002 инцидента безопасности в 16 различных отраслях промышленности и четырех различных регионах мира. Как и в прошлом году, большинство нарушений – 86% – имеют финансовую мотивацию, а большинство – 70%– вызвано посторонними лицами. Кража учетных данных, социальные атаки и ошибки по-прежнему вызывают большинство нарушений. Эти тактики оказываются эффективными для нападающих, поэтому они возвращаются к ним снова и снова.
• В отчете PulseSecure об удаленной работе в 2020 году рассматривается, как предприятия реагируют на ускоренное внедрение WorkFromHome во время пандемии, и в нем описываются основные проблемы, проблемы, стратегии и ожидаемые результаты. 33% американских компаний ожидают перехода некоторых должностей на постоянную удаленную работу и более половины (55%) планируют увеличить свой бюджет для безопасной удаленной работы в ближайшем будущем.
• Как выяснили аналитики института CyLab, лишь треть пользователей (21 из 63) меняет свои пароли после официальных сообщений об утечке данных. Свои выводы исследователи строили на подлинном веб-трафике конкретных пользователей Сети. И только 9 пользователей, понимающих опасность утечки, выбрали стойкие пароли. Остальные же установили слабые учётные данные.
• По результатам исследования Veeam «2020 Data Protection Trends», более половины компаний по всему миру испытывают трудности на пути к цифровой трансформации из-за ненадежных устаревших технологий. 44% компаний отметили недостаток навыков и экспертизы в сфере ИТ как еще один барьер на пути к успеху.
• ИБ-компания IT Governance составила список публично раскрытых инцидентов, затронувших персональные данные пользователей различных сервисов по всему миру. По подсчетам специалистов, в прошлом месяце утекло 8,8 млрд записей, и 8,3 млрд приходится на один-единственный инцидент с оператором мобильной связи в Таиланде, который оставил в открытом доступе базы данных с DNS-запросами и данными сетевого протокола Netflow.

Громкие инциденты ИБ

• Неизвестный злоумышленник выставил на продажу в сети более трех десятков баз данных SQL, похищенных у online-магазинов в разных странах. В общей сложности преступник продает более 1,5 млн записей, но количество похищенных данных может быть намного больше
• У компании AIS — крупнейшего в Таиланде сотового оператора — утекла база из более чем 8 миллиардов интернет-записей. Количество пострадавших, чьи сведения об онлайн-активности попали в открытый доступ, оценивается в несколько миллионов человек.
• Киберпреступники из группировки REvil опубликовали на своей странице конфиденциальные данные электроэнергетической компании Elexon. Опубликованные данные включают 1280 файлов, в том числе паспорта сотрудников Elexon и конфиденциальную информацию компании.
• Хакерам удалось взломать сети компании Digital Management Inc. (DMI), предоставляющей управляемые сервисы безопасности SpaceX и NASA. Как глубоко киберпреступники проникли в сети компании, неизвестно. Судя по всему, они получили доступ к связанной с NASA инфраструктуре DMI и похитили из неё файлы космического агентства.
• Компания Westech International подтвердила, что подверглась кибератаке. Компания занимается предоставлением услуг по инженерному сопровождению и поддержанию работоспособности американских ядерных ракет Minuteman III. Хакеры из группировки MAZE получили доступ к сети компании, зашифровали и украли некоторые данные, хранившиеся на компьютерах, и потребовали выкуп.
• Источники Kyodo сообщили, что из-за кибератаки на телекоммуникационную компанию NTT Communications в открытом доступе могли оказаться данные Сил самообороны Японии, в частности о коммуникационном оборудовании.
• Операторы вымогательского ПО Maze на своем сайте опубликовали данные кредитных карт, похищенные у государственного банка Коста-Рики (Banco de Costa Rica, BCR). Злоумышленники угрожают публиковать подобную информацию в Сети каждую неделю.
• Группа хакеров Anonymus Brazil опубликовала в социальных сетях личные данные президента Жаира Болсонару, его семьи и нескольких политических союзников, заявил один из сыновей президента, советник Карлос Болсонару.
• Проект Joomla сообщает, что один из членов команды оставил незашифрованную резервную копию портала Joomla Resources Directory в бакете Amazon Web Services S3, принадлежащем его собственной компании.