Дайджест информационной безопасности №192 за период с 20 июля по 7 августа 2020

Новости законодательства

• Министерство экономического развития РФ разработало законопроект, выводящий обработку персональных данных граждан из-под отдельных норм ряда законов. В частности, предлагается вывести обработку персональных данных из-под действия законов «О связи», «О персональных данных» и «Об основах охраны здоровья граждан» в связи с принятием федерального закона «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» (в части развития технологий искусственного интеллекта и больших данных).
• Центральный Банк РФ посчитал нецелесообразным создание организации, занимающейся управлением персональными данными россиян. С учетом перспектив развития существующей системы обмена информацией и устранения обнаруженных барьеров на данном этапе введение института информационного агента для операторов данных может не потребоваться.
• На сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения». Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения. Комментарии можно прочитать в блоге Сергея Борисова.

Новости ИБ

• Компания Microsoft назначила официальную дату прекращения поддержки небезопасных версий протокола Transport Layer Security (TLS) 1.0 и 1.1 в Office 365. Согласно сообщению под номером MC218794 в административном центре Microsoft 365, поддержка TLS 1.0 и 1.1 в Office 365 будет прекращена 15 октября 2020 года.
• Соцсеть Facebook создаст изолированную симуляцию своей платформы с ботами вместо реальных пользователей. Такой подход поможет найти уязвимые места и устранить их, а также бороться с мошенниками и «троллями» — людьми, которые ради провокации в резкой форме пытаются доказать, что только их мнение является единственно правильным.
• Специалисты нашли критические уязвимости в промышленных VPN-шлюзах, которые позволяют потенциальному атакующему перезаписывать данные, выполнять вредоносный код или команды, а также вызывать DoS. Среди уязвимых VPN исследователи выделили Secomea GateManager M2M, промышленные VPN-серверы от Moxa и HMS Networks eCatcher VPN. Самым проблемным оказалась реализация Secomea GateManager.
• Япония начала работу над глобальным сервисом квантового распределения ключей. В рамках проекта до 2024 года планируется построить сеть, включающую более 100 квантовых криптографических устройств и 10000 пользователей по всему миру.
• Киберцентр НАТО в Таллине (NATO Cooperative Cyber Defence Centre of Excellence, NATO CCDCOE) выпустил новый справочник самых популярных техник, использующихся исследователями безопасности для изучения вредоносного ПО. В «Malware Reverse Engineering Handbook» коротко рассказывается о методах анализа исполняемых файлов вредоносного ПО, атакующего Windows-ПК.

Интересные посты русскоязычных блогов по ИБ

• Эксперты Ростелеком-Солар рассказали, почему классический SOC не защитит АСУ ТП. В статье рассказывается, чем отличаются технологии и процессы корпоративного SOC от SOC индустриального и особенности работы с хостами и уязвимостями в АСУ ТП. Подчеркивается, что для атак, направленных на АСУ ТП, гораздо больший вес приобретает информация о TTP — тактиках и подходах злоумышленников к атаке, которая позволит соответствующим образом адаптировать защитные механизмы и подходы к мониторингу и выявлению угроз в сегменте.
• Недавно европейский орган регулирования кибербезопасности в Европе ENISA утвердил свою новую стратегию. Документ простой, с красивым дизайном. В нем агентство определяет свою миссию, ценности и стратегические цели — условно, это те направления, на которые оно планирует тратить бюджет и усилия сотрудников. Сергей Борисов изучил документ и выделил основные его цели.
• Компания Gals Software описала в блоге, как снизить стоимость владения SIEM-системой и зачем нужен Central Log Management (CLM). В статье говорится о различиях подходов к лицензированию, описывается что такое CLM и рекомендации по ее использованию, рассказывается о конкретной системе такого класса — Quest InTrust.

Интересные посты англоязычных блогов по ИБ

• Warren Axelrod поразмышлял о показателях кибербезопасности по угрозам, атакам, уязвимостям и инцидентам, которые используются для принятия решений, проводя параллели с эпидемией коронавируса.
• Aryeh Goretsky рассказал об атаках с использованием уязвимости Thunderspy. Он вкратце описал интерфейс Thunderbolt, особенности его реализации (в частности, прямой доступ к памяти — DMA), особенности реализации атаки и возможные способы защиты.
• Anton Chuvakin обратил внимание некоторые проблемы SIEM систем, в частности, неполные данных на входе, и один из способов решения проблемы — использование XDR.
• В блоге Forensic Focus авторы рассказали о последних новостях и исследованиях стандартов цифровой криминалистики. Разбираются 2 американских и 2 европейских предложения: от Научной рабочей группы по цифровым свидетельствам (SWGDE), Комитета по научным областям (OSAC) и Комитета по научным областям цифровых и мультимедийных материалов Национального института стандартов и технологий США (NIST) и требования правоохранительных органов к мобильной криминалистике и цепочке поставок (в рамках проектов FORMOBILE и LOCARD).

Исследования и аналитика

• InfoWatch подготовила отчет COVID-19: утечки периода пандемии (1 полугодие 2020). Статистика инцидентов (утечек) позволила определить, по каким каналам чаще происходили утечки, кто являлся основным виновником и в каких странах были публичные случаи разглашения информации по теме распространения коронавируса.
• Компания «Доктор Веб» опубликовала Исследование APT-атак на государственные учреждения Казахстана и Киргизии. Анализ показал, что заражение началось задолго до обращения — в марте 2017 года.
• Компания «Доктор Веб» представила обзор вирусной активности за июнь 2020 года. За прошедший месяц количество обнаруженных угроз увеличилось более чем в два раза по сравнению с маем. Согласно статистике, наиболее активным угрозами остаются рекламные программы и трояны-загрузчики.
• Еще одни обзор «Доктор Веб» касается вирусной активности для мобильных устройств за июнь 2020 года. В течение первого летнего месяца наблюдалось снижение активности Android-угроз на устройствах пользователей. При этом в каталоге Google Play были выявлены новые вредоносные программы.
• Компания Canalys обнародовала прогноз по мировому рынку средств обеспечения информационной безопасности на текущий год. Общая стоимость поставок, охватывающая, в частности, безопасность конечных точек, сетевую безопасность, безопасность веб-сайтов, а также анализ уязвимостей, достигнет 43,1 миллиарда долларов США. Даже в худшем сценарии Canalys рынок кибербезопасности, по прогнозам, вырастет на 2,5% в 2020 году.
• Компания Forrester опубликовала отчет о проблемах, с которыми сталкиваются организации при создании программ поддержки безопасности и потребностей разработчиков. Отчет «Build a Developer Security Champions Program» предложил основу для создания успешной программы AppSec. Ключевыми моментами отчета являются важность встраивания AppSec там, где разработчики нуждаются в этом больше всего, необходимость финансирования программы и пять важнейших шагов, которые следует учитывать при построении программы.
• В отчете компании Cisco «Big Security in a Small Business World» эксперты развенчали распространенные мифы о кибербезопасности SMB. Данные отчета охватывают малые и средние предприятия с численностью сотрудников от 250 до 499 человек. Согласно отчету, у 72% компаний есть выделенные сотрудники, которые занимаются разведкой угроз, по сравнению с 76% крупных компаний, а у 86% SMB есть четкие метрики оценки эффективности безопасности, по сравнению с 90% крупных организаций.
• Sumo Logic объявила о результатах глобального опроса 2020 State of SecOps and Automation, который выявил препятствия, с которыми сталкиваются профессионалы в области безопасности на пути модернизации SOC. В 70% компаний более чем удвоился объем алертов безопасности за последние пять лет. В 99% случаев большие объемы предупреждений вызывают проблемы у сотрудников, а 83% говорят, что их ИБ-специалисты испытывают «тревожную усталость».
• В докладе Check Point «The Cyber Attack Trends 2020 Mid-Year Report» освещены тенденции, которые киберпреступники используют для нападения на организации по всему миру во всех отраслях промышленности. В отчете представлена информация, необходимая для изучения текущих угроз, тенденций и тактики, используемых во всем мире.
• Последний отчет Check Point о фишинге брендов за 2 квартал 2020 года показывает, что Google и Amazon были самыми имитируемыми брендами в попытках фишинга, в то время как Apple (ведущий фишинговый бренд в 1 квартале) опустилась с 1-ого на 7-е место в 1 квартале. Общее количество выявленных случаев фишинга брендов остается стабильным по сравнению с 1 кварталом 2020 года.
• Компания LogRhythm выпустила отчет The State of the Security Team: Are Executives the Problem? Выводы из него достаточно интересны: 93% специалистов по безопасности не имеют инструментов для обнаружения известных угроз безопасности, а 92% утверждают, что они все еще нуждаются в соответствующих превентивных решениях для устранения существующих пробелов в безопасности.
• Специалисты компании IBM опубликовали  ежегодный отчет «Cost of a Data Breach Report», в рамках которого было проанализировано 500 компаний и организаций, столкнувшихся со взломами сетей и утечками данных. В настоящее время утечки данных обходятся компаниям в среднем в $3,86 млн. Хотя этот показатель и снизился на 1,5% по сравнению с 2019 годом, крупные инциденты, затрагивающие более 50 млн записей, могут обойтись компаниям вплоть до $392 млн.
• SophosLabs опубликовала отчет о штамме вымогателей, известном как ProLock, который интересен не столько своей реализацией, сколько своей эволюцией.
• В отчете SANS Benefits and Adoption Rate of TLS 1.3 представлены данные тестирования скорости и безопасности TLS 1.3 по сравнению с TLS 1.2 в основных библиотеках TLS, а также оценка внедрения TLS 1.3 на 500 лучших веб-сайтах в бизнесе, розничной торговле, технологиях и новых секторах.

Громкие инциденты ИБ

• В интернете обнаружились данные 20 млн пользователей бесплатных VPN-сервисов, среди которых могут быть как минимум десятки тысяч россиян. Утечка показала незащищенность сервисов, обещающих анонимность в интернете, и может привести как к спам-рассылкам и фишингу, так и к шантажу пользователей, решивших получить доступ к запрещенным в РФ сайтам, считают эксперты.
• Испанская государственная железнодорожная компания Adif стала жертвой вымогателей REvil. В результате двух успешных вредоносных кампаний злоумышленникам, по их словам, удалось похитить около 800 ГБ данных, включая персональную информацию и данные бухгалтерского учета.
• Компания Garmin была вынуждена временно отключить ряд сервисов из-за атаки шифровальщика. В настоящее время Garmin проводит масштабные «ремонтные работы», чтобы справиться с последствиями атаки. Были временно отключены официальный сайт, сервис синхронизации пользовательских данных Garmin Connect, сервис авиационных баз данных, а также некоторые производственные линии в Азии.
• Хакер под псевдонимом frankknox, выставил на продажу на подпольной торговой площадке доступ к правительственным и коммерческим сетям Великобритании и Австралии.
• Финансово-технический «единорог», компания Dave, уведомила своих клиентов об утечке данных. В общей сложности в сеть попала информация 7 516 625 пользователей, включая настоящие имена, номера телефонов, email-адреса, даты рождения и домашние адреса.
• Операторы вымогательского ПО Nefilim опубликовали незашифрованные файлы, похищенные у дочерней компании Dussmann Group в результате кибератаки. На их web-сайте выложены два архива, содержащие украденные файлы объемом в 14 ГБ, включая множество документов Word, изображений, бухгалтерских отчетов и чертежей AutoCAD.
• Данные почти 1 млн. российских водителей выставили на продажу. Продавец требует за базу с VIN-кодами и ПТС $1500. В базе злоумышленников информация за 2019 год. По мнению специалистов, база могла быть создана для продаж страховых полисов.
• Операторы шифровальщика Maze сдержали свое обещание: не получив выкупа от LG Electronics и Xerox, злоумышленники опубликовали на своем сайте похищенные у компаний данные. Так, хакеры обнародовали 50,2 Гб данных, которые они похитили из внутренней сети LG, а также 25,8 Гб данных, принадлежащие компании Xerox.
• Онлайн-сервис CouchSurfing, который позволяет пользователям находить объекты для проживания по время путешествий или самим предоставлять жилье другим подписчикам, расследует инцидент, в результате которого хакеры украли персональные данные 17 млн человек и начали распространять эту информацию в Сети.