Дайджест информационной безопасности №190 за период с 22 июня по 3 июля 2020

Новости ИБ

• Компания Google сообщила о некоторых изменениях в настройках конфиденциальности для пользователей во время использования мобильных приложений Google. Новая политика будет распространяться на всех пользователей, начиная с 24 июня. Все данные об их поисковых запросах, местоположении и голосовых командах, осуществленных с помощью помощника Google Ассистент, будут автоматически удаляться через 18 месяцев.
• Сенаторы США представили на этой неделе законопроект, призванный защитить интересы США в области национальной безопасности и положить конец технологиям шифрования, используемым террористами и преступниками для сокрытия незаконной деятельности.
• Эксперты из некоммерческой организации Shadowserver Foundation опубликовали предупреждение, где в очередной раз рекомендовали компаниям не оставлять принтеры доступными через интернет для всех желающих. По словам экспертов, как правило, ежедневно они обнаруживают около 80 000 принтеров, доступных в онлайне через порт IPP.
• Компания Cynet, разработавшая автономную платформу для защиты от утечек, интегрировала движок CyAI непосредственно в VirusTotal. Таким образом, CyAI будет снабжать VirusTotal данными о новых киберугрозах. За счёт этого, как полагают разработчики, сервис сможет выявлять вредоносные программы, которым удалось обойти другие защитные решения.
• Браузеры Safari и Mozilla теперь автоматически будут отклонять TLS-сертификаты, срок действия которых составляет более 398 дней. Подобное решение уже было озвучено Apple в начале года, но теперь и другие разработчики браузеров сочли его разумным. Поддержали решение и в Google.
• Минтрансу России выделят 525 млн. рублей на защиту от кибератак транспортной инфраструктуры. Финансирование пилотного проекта будет осуществлено за счет средств федпроекта «Информационная безопасность».
• По словам директора международной информационной безопасности МИД РФ Андрея Крутских, инфраструктурные цифровые объекты России с начала года подверглись кибервоздействиям более миллиарда раз.
• Корпорация Microsoft продолжает работать над своим планом, предусматривающим вложение в «Интернет вещей» суммы в $5 млрд в течение ближайших четырех лет. В рамках плана Microsoft приобрела компанию CyberX, работающую в сфере ИБ для IoT.

Интересные посты русскоязычных блогов по ИБ

• Эксперты Ростелеком-Solar рассказали о том, как правильно планировать Red Teaming и какая нужна начальная подготовка. Не стоит недооценивать этот этап – ведь в ходе планирования определяется главное: тип работ, модель нарушителя, существенные особенности проекта и общий сценарий Red Teaming.
• Валерий Комаров поделился результатами круглого стола «Информационная безопасность: вызовы современности» на Алтае. На секции выступали начальники отделов ИБ субъектов Федерации и руководителей АРСИБ.
• Валерий Естехин описывает основные тезисы нового Положении Банка России от 08.04.2020 № 716‑П “О требованиях к системе управления операционным риском в кредитной организации и банковской группе” и делится мнением о нём.
• Авторы этой статьи на Хабре в подробностях рассказали о том, как им удалось обнаружить уязвимость CVE-2020–8555 в Kubernetes. Хотя изначально она и выглядела не очень опасной, в сочетании с другими факторами её критичность у некоторых облачных провайдеров оказалась максимальной.

Интересные посты англоязычных блогов по ИБ

• Doug Helton примерил подход эпидемиологии на проблему безопасности. Всемирная организация здравоохранения (ВОЗ) описывает трехэтапный процесс отслеживания контактов: идентификационный номер контакта, затем выяснение, с кем контактировали лица с подтвержденными случаями и, наконец, последующее наблюдение. Эта схема может быть эффективно применена для отслеживания угроз в сети.
• Recorded Future делится частью главы «Анализ угроз для анализа рисков» из своей книги «Справочник по анализу угроз: переход к программе разведки безопасности», в которой описывается процесс анализа угроз, построение модели риска и влияние вероятности на угроз на риски.
• Louis Columbus описывает плюсы ИИ в задаче удалённого мониторинга безопасности, в частности, при анализе видео. В статье приводятся основные алгоритмы: алгоритмы контролируемого обучения, необучаемые алгоритмы обучения, алгоритмы обучения с подкреплением.

Исследования и аналитика

• Компания «Ростелеком-Солар» представляет результаты исследования «Группы особого контроля: какие риски несут компании увольняющиеся сотрудники». Исследование показало: более 60% российских компаний называют уходящих специалистов виновниками утечек информации, в 13% случаев речь идет о передаче новому работодателю конфиденциальной информации об условиях сделок и тендеров, секретных разработок и ноу-хау с предыдущего места работы.
• Специалисты компании Digital Security провели исследование популярных в России веб-сайтов с целью выяснить, насколько легко они позволяют пользователям удалить свои учёные записи. Более половины популярных интернет-ресурсов не позволяют удалить свой аккаунт простым нажатием кнопки.
• Компания ESET провела исследование о состоянии ИТ-инфраструктуры стартапов и микробизнеса во время пандемии. Выяснилось, что треть предпринимателей (33%) столкнулись с различными видами киберугроз в этот период. Наиболее распространенной стал спам — его выбрали 36% респондентов. Каждая пятая компания (21%) пострадала от банковских троянов, 13% — от фишинговых атак и 12% — от шифраторов.
• Ponemon Institute выпустил ежегодный доклад The Cyber Resilient Organization, спонсируемый компанией IBM. Уже пятый год это исследование углубленно изучает способность организаций предотвращать, обнаруживать, сдерживать и реагировать на кибератаки. В докладе рассмотрены изменения в киберустойчивости и определяются подходы и лучшие практики, которые организации используют для повышения своей киберустойчивости.
• WatchGuard Technologies выпустила отчет Internet Security Report for Q1 2020. В нем рассказывается о том, что 67% всех вредоносных программ в первом квартале были доставлены через HTTPS, поэтому организации, не имеющие решений, способных проверять зашифрованный трафик, пропустят две трети входящих угроз. Кроме того, 72% зашифрованных вредоносных программ были классифицированы как атаки нулевого дня.
• Исследователи Secureworks Counter Threat Unit (CTU) представили отчет об изменениях в поведении угроз и извлеченные уроки за март-апрель 2020. Согласно отчету, безопасность удаленного доступа имеет важное значение в текущей рабочей среде, а большие нарушения начинаются с небольших вторжений.
• Использование приложений с открытым исходным кодом (OSS) будет продолжать расти, так как скорость разработки продолжает ускоряться. В отчете Forrester The State of Application Security 2020 говорится о последствиях использования OSS для безопасности. Согласно отчету, число зарегистрированных уязвимостей OSS увеличилось почти на 50% по сравнению с 2018 годом.
• В отчете Synack 2020 State of Compliance Report говорится о том, что финансовые услуги — наиболее привлекательная отрасль для кибератак, и они подвержены взлому на 150% больше, чем в других отраслях. Из отчета можно узнать наиболее эффективные методологии для тестирования соответствия требованиям безопасности, о том, что краудсорсинговое тестирование будут использовать 50% организаций к 2020 году и почему 44% респондентов проводят тестирование ежемесячно или чаще.
• Согласно анализу Linklaters, произошло значительное увеличение количества уведомлений о нарушении данных в органы по защите данных, причем среднее увеличение количества уведомлений составило 66% по сравнению с 1 годом действия Общего регламента ЕС по защите данных («GDPR») (с 25 мая 2018 года по 24 мая 2019 года). Однако Великобритания сообщила о снижении этой тенденции.
• В апреле компания NordLocker опросила 1400 интернет-пользователей в США и Великобритании, обнаружив, что более 50% респондентов стали жертвами вредоносной киберактивности. Британцы уверенно держатся на уровне 55%, в то время как 67% американцев признаются, что сталкивались с вредоносной кибератакой. Компьютерные вирусы, фишинговые мошенничества и украденные пароли были одними из наиболее распространенных инцидентов, связанных с кибербезопасностью.
• Ата Хаксил, эксперт в области компьютерной инженерии, опубликовал результаты своего масштабного исследования практик использования паролей. Хаксил проанализировал более миллиарда скомпрометированных учётных данных. По словам аналитика, один из каждых 142 проанализированных паролей представлял комбинацию цифр «123456».
• Компания Accenture пересмотрела обзор по трендам развития технологий на 2020 г. (Technology Vision 2020) в связи с пандемией и глобальным кризисом. Перемены в жизни людей беспрецедентны и оказывают влияние на многие отрасли. Аналитики Accenture объяснили, какие тренды повлияют на людей и бизнес в эпоху постпандемии.
• Эксперты Check Point раскрыли сложную фишинговую кампанию, нацеленную на сбор корпоративных данных и компрометацию учетных записей Microsoft Office 365. Чтобы избежать обнаружения, злоумышленники использовали серверы известных организаций — Оксфордского университета, компаний Adobe и Samsung.

Громкие инциденты ИБ

• Данные нескольких миллионов пользователей Telegram оказались выложены в даркнете. База данных позволяет узнать номера телефонов по никнеймам и содержит уникальные идентификаторы пользователей мессенджера.
• Операторы известной программы-вымогателя Maze утверждают, что им удалось взломать системы LG Electronics — одного из крупнейших производителей электроники и бытовой техники. Киберпреступники уточнили, что в их распоряжении имеются конфиденциальные внутренние данные.
• Крупнейшая американская корпорация Xerox Corporation также стала очередной жертвой операторов программы-вымогателя Maze, как заявляют киберпреступники. Сам техногигант не подтвердил, но и не опроверг факт атаки.
• Руководство Калифорнийского университета в Сан-Франциско (UCSF) было вынуждено заплатить хакерам $1,14 млн за восстановление доступа к данным, заблокированным из-за кибератаки.
• В середине июня 2020 года в даркнете на продажу выставили базу онлайн-школы английского языка Skyeng, насчитывающую 5 000 000 строк. По данным издания, в базе содержатся сведения об учителях, учениках и всех работниках компании, включая телефоны, адреса электронной почты и идентификаторы в Skype.
• Хакер атаковал DeFi-протокол и похитил из его пулов токены на сумму минимум в $500 000. Одним из первых о проблеме сообщил аналитик Стивен Чжэн. Затем информацию о краже подтвердили представитель биржи 1inch и соучредитель Balancer Labs.
• Азербайджанские хакеры опубликовали личные данные около тысячи граждан Армении, зараженных коронавирусом, сообщил эксперт по информационной безопасности Самвел Мартиросян. В файлах опубликовали новые личные данные носителей коронавируса – имена, адреса и мобильные телефоны. На этот раз паспортных данных нет.