Дайджест информационной безопасности №198 за период с 19 по 30 октября 2020

Новости законодательства

• Министерство цифрового развития, связи и массовых коммуникаций РФ утвердило временные рекомендации по переходу органов государственной власти и органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования при взаимодействии с гражданами и организациями. Это будет осуществляться с помощью клиентской части «Сервиса защищенного взаимодействия».

Новости ИБ

• Американская корпорация Microsoft за неделю вывела из строя более 90% оборудования операторов сети ботов TrickBot, деятельность которой угрожала избирательному процессу в США в преддверии выборов президента в ноябре.
• Компания Oracle выпустила обновления безопасности Critical Patch Update (CPU), исправляющие 402 уязвимости в различных продуктах. В новом CPU также содержится информация о ранее выпущенных исправлениях, с которыми клиентам рекомендуется ознакомиться.
• Агентство национальной безопасности США опубликовало список с подробным описанием 25 уязвимостей, которые чаще всего используются «правительственными» хакерскими группами из Китая. Все уязвимости являются известными, и производители уже выпустили для них исправления.
• В России может быть введена идентификация администраторов доменов в зонах .ru и .рф через использующуюся в госуслугах Единую систему идентификации и аутентификации (ЕСИА). Данный вопрос Минцифры предложило вынести на обсуждение президиума правительственной комиссии по цифровому развитию.
• Киберпреступная группировка Maze решила завершить свою деятельность после того, как стала одним из наиболее заметных и известных глобальных игроков в сфере хакерских атак с использованием вредоносного вымогательского ПО. Впервые о группе стало известно в мае 2019 г.
• Киберпреступники всех мастей эксплуатируют опасную уязвимость в MDM-решениях MobileIron, исправленную еще в июле. MDM-системы используются на предприятиях для управления мобильными устройствами работников и позволяют системным администраторам с одного центрального сервера развертывать на них сертификаты, приложения, списки для контроля доступа, а также стирать данные с украденных устройств.
• Совет по финансовой стабильности (Financial Stability Board, FSB) опубликовал набор эффективных методов реагирования на киберинциденты и восстановления финансовых институтов. FSB рекомендует властям и организациям использовать этот инструментарий для повышения эффективности реагирования на киберинциденты и действий по восстановлению.

Интересные посты русскоязычных блогов по ИБ

• Недавно европейский орган European Union Agency for Cybersecurity (ENISA) выпустил документ ENISA Threat Landscape 2020 (ETL). В случае, когда организация не обязана использовать БДУ ФСТЭК, но ей нужна актуальная модель угроз, данный документ можно использовать как лучшую практику. Сергей Борисов разобрал, почему это так и поделился своими выводами по анализу документа.
• Александр Морковчин поделился опытом о том, как перезагрузить ИБ с помощью процессного моделирования. По мнению автора, этот подход всегда улучшал управляемость ИБ-процессов, поэтому он подготовил краткую методичку о том, как правильно их «перезагрузить».
• Алексей Комаров привел основные тезисы из презентации представителя ФСТЭК по вопросам реализации федерального закона о безопасности КИИ, снабдив их ссылками на соответствующий тайминг доклада. Так как доклад сам достаточно объёмный, автор ограничился исключительно темой изменений, внесённых в Требования по обеспечению безопасности значимых объектов КИИ РФ в 2020 году.
• По мнению Валерия Комарова, вопрос с определением объектов КИИ среди имущества субъекта КИИ за почти три года исполнения 187-ФЗ не прояснился. Проблема не только в определении сфер функционирования ИС/АСУ/ИТКС. Остро встает вопрос об определении самих сущностей — ИС/АСУ/ИТКС. В своем цикле заметок автор попробовал разобраться с АСУ. Часть2. Часть3.
• Компания ROI4CIO в блоге на Хабре осветила общие проблемы безопасности систем типа АСУ ТП, их слабые места и теоретические способы защиты. Также автор познакомил с аппаратными и программными продуктами защиты и сравнил их по основным параметрам: обнаружение угроз нулевого дня и аномалий, интеграция, анализ трафика, инвентаризация устройств, особенности.

Интересные посты англоязычных блогов по ИБ

• Исследователи в области кибербезопасности рассказали о новых рисках, связанных с предварительным просмотром ссылок в популярных мессенджерах. По словам специалистов, соответствующие функциональные возможности могут раскрыть IP-адреса и даже загрузить в фоне на устройство гигабайты данных.
• Richard Bejtlich поделился своим мнением о MITRE ATT&CK, в частности о том, что «тактику» нужно понимать как «цель».
• Susan Morrow затронула тему реактивной и проактивной безопасности и чем отличаются эти два подхода. Она говорит о трех преимуществах проактивной безопасности: большой эффективности такого подхода, согласно отчёту CRAE, активном предотвращении утечки данных и соблюдении законодательства о защите данных.
• Troy Hunt рассказал об использовании шрифтов в url и как это связано с фишингом.
• Justine Kurtz составила список самого противного вредоносного ПО 2020 года, куда вошли ботнет Emotet, троян TrickBot, программа-вымогатель Conti/Ryuk, троян Ursnif, троян IcedID, программа-вымогатель Maze и другое вредоносное ПО.

Исследования и аналитика

• Компания InfoWatch подготовила исследование утечек информации ограниченного доступа из сфер промышленности, ТЭК и транспорта. Согласно отчету, в 2019 году в этой отраслевой группе зарегистрировано на 42% больше утечек, чем годом ранее (в мире). В России рост числа утечек составил 177%. А в мировой сфере более 41% утечек связано с кражей или потерей производственных ноу-хау и коммерческих секретов, тогда как в России — только 24%.
• Компания «Доктор Веб» представила обзор вирусной активности для мобильных устройств за сентябрь 2020 года. В сентябре общее число угроз, выявленных на Android-устройствах, возросло на 3.75%. В каталоге Google Play были выявлены новые вредоносные приложения, такие как многофункциональные трояны семейств Android.Joker и Android.Triada, а также очередной троян-кликер.
• Компания Cisco опубликовала отчет «2020 Consumer Privacy Survey» с результатами исследования приватности пользователей во время пандемии. В ходе исследования специалисты хотели понять, как люди по всему миру находят баланс между необходимостью делиться своей информацией и сохранением конфиденциальности, а также между важностью обеспечения конфиденциальности данных и введением новых правил в этой сфере.
• Отчет Verizon Data Breach Investigations Report 2020 обобщает 3 950 подтвержденных утечек данных из 81 страны. Согласно отчету, 45% нарушений связаны со взломом, 70% нарушений были совершены внешними субъектами, а наиболее часто сообщаемый ущерб от взлома составлял 32 200 долларов. Основные выводы отчета можно найти в блоге InfosecInstitute.
• Первый отчет Synack Cybersecurity Diversity and Inclusion Report освещает текущие проблемы в отрасли и достижения для женщин и меньшинств. 77 процентов респондентов-женщин заявили, что чувствуют себя «сидящими на одном месте» в своих организациях.
• Исследователи из Университета Карнеги-Меллона пришли к выводу, что нейронные сети, обученные для изучения подходов злоумышленников к брутфорсу паролей, могут использоваться для обеспечения минимальной безопасности паролей без необходимости сочетать разные регистры, числа и символы.
• Институт Ponemon провел исследование Revealing the Cultural Divide Between Application Security and Development, в котором подробно описаны культурные различия между командами по обеспечению безопасности приложений и разработчиками, у которых отсутствует общее видение того, как быстро и безопасно поставлять программные возможности на рынок. Эти результаты показывают, какое серьезное влияние такое несоответствие может оказать на организации, включая способность сохранять конкурентоспособность в критические периоды цифровой трансформации.

Громкие инциденты ИБ

• Индийский фармацевтический гигант Dr Reddy’s был вынужден отключить все свои серверы центров обработки данных по всему миру на целый день после того, как подвергся кибератаке.
• Крупная утечка данных, жертвой которой стала компания Nitro, затронула параллельно корпорации Google, Apple, Microsoft, Chase и Citibank. По словам исследователей, некие киберпреступники продают базы данных, содержащие 1 Тб внутренних документов Nitro Software за стартовую сумму в $80 000.
• Французский IT-гигант Sopra Steria подвергся кибератаке с использованием вымогательского ПО Ryuk, в результате чего часть его компьютерных сетей оказалась зашифрованной.
• В Москве есть как минимум 15 тыс. скомпрометированных частных камер. Это устройства в квартирах, магазинах, банках, торговых центрах и других частных организациях. Доступ к камерам злоумышленники планируют использовать, чтобы создать альтернативную систему распознавания лиц. Уязвимые частные камеры позволяет найти поисковик Shodan.
• Неизвестные киберпреступники взломали один из крупнейших психотерапевтических центров в Финляндии, похитив личные данные десятков тысяч пациентов клиники. Теперь хакеры требуют выкуп, угрожая в противном случае обнародовать конфиденциальную информацию, включая записи сессий терапии.
• Злоумышленники воспользовались системой ОКС-7 (SS7), объединяющей мобильные сети всего мира, и с ее помощью получили доступ к аккаунтам в Telegram и почтовым ящикам нескольких крупных игроков на рынке криптовалют.
• Компания по обеспечению кибербезопасности Trustwave заявила, что обнаружила хакера, продававшего данные о 186 миллионах американских избирателей. Как уточняется, эти базы данных содержат подробную информацию о гражданах, в том числе их политическую принадлежность.
• Сайт парламента Киргизии подвергся хакерской атаке. Группа хакеров The Black Pirate разослали с почты пресс-службы законодательного собрания Киргизии сообщение, что они взломали сайт парламента.