Дайджест информационной безопасности №200 за период с 16 по 27 ноября 2020

Новости законодательства

• 23 ноября 2020 года ФСБ России представила для общественного обсуждения проект документа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации». Проект Требований конкретизирует меры по криптозащите и гармонизирует требования ФСБ с ранее выпущенными требованиями ФСТЭК. Комментарии к проекту в блоге Александра Веселова.
• В Государственную думу РФ внесен законопроект о штрафах для операторов связи, которые не применили оборудование для устойчивой работы интернета на территории России. Законопроект внесли глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн и его первый заместитель Сергей Боярский.
• Законопроект об ответственности для социальных сетей за нарушение российского законодательства подготовлен, он предусматривает штрафы за неудаление противоправного контента. Александр Хинштейн пояснил, что речь не идет об оборотных штрафах, но не стал уточнять размер планируемых санкций.

Новости ИБ

• Компания Microsoft представила собственный чип безопасности Pluton, который будет отвечать за защиту будущих Windows-устройств как на аппаратном, так и программном уровнях.
• Члены Общественной палаты (ОП) РФ намерены предложить Федеральному собранию принять цифровой кодекс, объединяющий законодательство об интернете в единый документ.
• Авторы TrickBot создали новый облегченный инструмент, предназначенный для сбора данных о сети жертвы с целью развития атаки. В настоящее время вредоносный скрипт, который в Advanced Intel нарекли LightBot, распространяется через спам-рассылки и отдается со страниц, созданных злоумышленниками на веб-сервисе Google Документы.
• Издание ZDNet сообщает, что злоумышленники активно сканируют сеть в поисках незащищенных файлов ENV,  то есть ищут токены API, пароли и учетные данные для входа в БД, которые были случайно загружены и забыты на веб-серверах.
• VMware выпустила обходной путь для устранения критической  уязвимости нулевого дня CVE-2020-4006 в нескольких компонентах VMware Workspace One, который позволяет злоумышленникам выполнять команды в операционных системах Linux и Windows, используя расширенные привилегии.
• 22 интерфейса прикладного программирования (API) в 16 различных решениях Amazon Web Services могут быть использованы злоумышленниками, чтобы получить информацию о внутренней структуре облачной учетной записи организации для осуществления целевых атак против отдельных пользователей. Для проведения атак преступникам достаточно иметь 12-значный идентификатор AWS целевой организации, который используется и публикуется публично.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий опубликовал презентацию на тему построения эффективного процесса повышения осведомленности по ИБ. В первой части презентации показаны некоторые примеры и лайфхаки по этому вопросу.
• Андрей Прозоров попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO).
• Валерий Естехин привел ответы Банка России на вопросы банков, связанные с проблемами при использовании АСОИ ФинЦЕРТ.
• Еще одна статья Валерия Естехина посвящена плану действий служб ИБ и ИТ по приведению системы управления рисками ИБ и ИС в соответствие требованиям Положения Банка России от 08.04.2020 № 716‑П.
• Недавно сообщество OWASP опубликовало документ Vulnerability Management Guide (OVMG)  – по сути, руководство по построению процесса управления уязвимостями. Сергей Борисов рассмотрел подробнее наиболее интересные моменты документа.

Интересные посты англоязычных блогов по ИБ

• Brian Krebs рассказал, почему надо быть осторожным, разрешая сайту отправлять уведомления в браузере. Проводится анализ сети PushWelcome, раскрываются риски, которые могут стоять за разрешением уведомлений.
• Warren Axelrod в своей статье поделился мнением, какие уроки кибербезопасности можно извлечь из пандемии. Проводятся параллели между сдерживанием распространения коронавируса и предотвращением вторжения в компьютерную сеть.
• Stephen Pritchard порассуждал об OSINT и задался вопросом: что такое разведка с открытым исходным кодом и как она используется? В посте раскрывается история подхода OSINT, подробно описываются примеры и методы современного применения. Также автор приводит список инструментов OSINT.
• Команда THE RECORDED FUTURE поделилась главой из своей книги и рассказала о жизненном цикле аналитики безопасности. В главе раскрываются шесть этапов жизненного цикла системы безопасности и приводятся их описания.

Исследования и аналитика

• Лаборатория Касперского опубликовала отчет по развитию информационных угроз в третьем квартале 2020 года.
• Group-IB исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и дала прогноз по развитию киберугроз на предстоящий год. Согласно отчету Hi-Tech Crime Trends 2020-2021, наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков. Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний.
• Эксперты Positive Technologies проанализировали 36 семейств ВПО, которые были активны в последние 10 лет и в которых присутствуют функции обнаружения и обхода средств виртуализации (песочниц). Анализ показал, что четверть всех вредоносных программ, вошедших в исследование, была активна в 2019―2020 годах, не менее 23 APT-группировок по всему миру использовали в своих атаках программы из этой выборки, 69% ВПО использовалось с целью шпионажа.
• Павел Корнилов поделился результатами сравнение уровня зрелости платформ Threat Intelligence на российском рынке. Рассмотрены четыре актуальных, по мнению авторов, решения класса TIP: MISP, R‑Vision TIP, Anomali ThreatStream и OpenCTI. Оценка выполнена по методике агентства Европейского союза по сетевой и информационной безопасности (ENISA).
• Согласно новому отчету, опубликованному исследователями из компании Intel 471, в настоящее время более 25 хак-групп предлагают свои услуги по схеме «вымогатель как услуга» (Ransomware-as-a-Service, RaaS). По сути они сдают вредоносное вымогательское ПО в аренду другим преступникам.
• Компания Verizon опубликовала  отчет о кампаниях по кибершпионажу, основанный на материалах Verizon Data Breach Investigations Report (DBIR) за последние семь лет. Как выяснили эксперты, в случаях кибершпионажа более 80% преступников действовали в интересах правительств стран и только 4% были связаны с организованной преступностью. Бывшие сотрудники компаний и организаций составили 2% от всех кибершпионов.
• Исследователи из NordPass изучили 275 699 516 паролей, фигурировавших в утечках 2020 года. В результате эксперты составили список из 200 самых распространённых учётных данных.
• Компания Armorblox провела анализ пяти фишинговых кампаний, которые они называют «верхушкой глубокого айсберга». Исследователи сообщили о росте числа кибератак, использующих сервисы Google в качестве оружия для обхода средств защиты и кражи учетных данных, данных кредитных карт и другой личной информации.
• Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в октябре 2020 года. Исследователи сообщают, что трояны Trickbot и Emotet по-прежнему возглавляют рейтинг самых распространенных вредоносных ПО в октябре. Они стали причиной резкого увеличения числа атак программ-вымогателей на больницы и медицинские учреждения по всему миру.
• В отчете Sophos 2021 threat report эксперты дали прогноз развития атак вымогателей в предстоящем году. В докладе сообщается, что такие группы, как Ryuk, Ragnar Locker и даже Maze, которые нацелены на крупные атаки с многомиллионными требованиями, продолжат свою работу, но стоит также ожидать активности начинающий хакеров, нацеленных на большие объемы мелкой добычи.
• Новое исследование Debate Security показывает, что проблемы эффективности кибербезопасности больше связаны с экономическими проблемами, чем с проблемами технологий. Было обнаружено, что оценка эффективности систем кибербезопасности не была постоянным фактором при принятии решений компаний о выборе технологий.
• Как показало исследование Cybersecurity Workforce Study 2020 (ISC) 2 впервые в истории дефицит кадровых ресурсов в сфере кибербезопасности сократился. В то время как компании сталкиваются с множеством новых проблем безопасности при переходе на удаленную работу из-за COVID-19, нехватка специалистов ИБ сократилась с 4,07 миллиона до 3,12 миллиона в год. Удовлетворенность работой профессионалов в области кибербезопасности выше, чем когда-либо.
• Компания Kratikal подготовила статистику кибератак во время пандемии Covid-19 во втором квартале 2020 года. Согласно отчету, обнаружение кибератак, связанных с пандемией, выросло на 605%. Атаки на пользователей облачных сервисов достигли почти 7,5 миллионов во втором квартале, учитывая тот факт, что облачные сервисы популярны среди людей, работающих из дома.
• CrowdStrike, Inc. объявила о выпуске исследования CrowdStrike Global Security Attitude Survey 2020 , проведенного независимой исследовательской компанией Vanson. В частности, в этом году в отчете говорится о продолжающемся распространении программ-вымогателей, об увеличении озабоченности по поводу национальных государственных субъектов и о необходимости ускорения как цифровых преобразований, так и преобразований в области безопасности.
• В период с января по октябрь текущего года в базу сервиса Google Безопасный просмотр (Safe Browsing) было суммарно занесено 2,02 млн новых фишинговых сайтов — почти на 20% больше, чем за весь 2019 год. Согласно статистике Google, в этом году ее защитный сервис в среднем фиксировал по 46 тыс. фишинговых сайтов в неделю.

Громкие инциденты ИБ

• В результате хакерской атаки на японскую риелторскую компанию Token Corporation были похищены 657 тысяч данных клиентов.
• Представители Capcom обнародовали новое заявление, в котором уведомляют своих клиентов об утечке данных. Capcom признала, что хакеры украли не только конфиденциальные корпоративные документы, но также информацию клиентах и сотрудниках компании. В общей сложности пострадали около 350 000 человек, хотя точную цифру еще только предстоит определить.
• В начале текущей недели крупный поставщик решений для управляемого веб-хостинга Managed[.]com пострадал от вымогательской атаки. Компания была вынуждена отключить все свои серверы, инцидент затронул даже клиентские сайты. По данным СМИ, ответственность за эту атаку лежит на операторах вымогателя REvil.
• В сети опубликован список эксплоитов для 50 тыс. уязвимых VPN-устройств Fortinet. Все устройства подвержены известной и уже исправленной уязвимости обхода каталога в Fortinet FortiOS SSL VPN (CVE-2018-13379).
• Spotify сбросил пароли до 350 тысяч учетных записей, которые были взломаны в результате атаки с заполнением данных. Базу данных нашли исследователи vpnMentor.
• Хакер похитил данные из федеральной базы пациентов ряда новгородских медицинских учреждений. Также он заявил, что может взломать базы данных в других регионах.
• Южнокорейский торговый гигант E-Land был вынужден временно закрыть почти половину своих магазинов, чтобы восстановиться после атаки с использованием вымогательского ПО.
• Английский футбольный клуб «Манчестер Юнайтед» сообщил об инциденте безопасности, затронувшем его внутренние компьютерные системы. Руководство клуба затрудняется сказать, получили ли злоумышленники доступ к данным болельщиков и покупателей магазинов.
• Компания Sophos заявила о проблеме с правами доступа к инструменту, используемому для хранения информации о клиентах, которые обратились в службу поддержки Sophos. Из-за ошибки компании произошла утечка информации, включая такие данные как имя и фамилия, адреса электронной почты и номера телефонов клиентов.