Дайджест информационной безопасности №202 за период с 14 по 25 декабря 2020

Новости ИБ

• В 2020 году Компьютерная команда экстренной готовности США US-CERT внесла в Национальную базу уязвимостей 17 447 новых уязвимостей – четвертый подряд рекордный показатель за год (предыдущий рекорд был зафиксирован в 2019 году – 17 306).
• МВД России организует в своей структуре киберполицию. Заместитель Министра внутренних дел Игорь Зубов отметил, что в условиях пандемии коронавируса общий уровень преступности в России остался прежним, но в разы выросло число киберпреступлений.
• Специалисты Palo Alto Networks обнаружили ботнет PgMiner, который специализируется на взломе плохо защищенных баз PostgreSQL с целью установки майнеров.
• 11 декабря 2020 года Федеральный совет Швейцарии выступил с инициативой о введении обязанности сообщать о произошедших кибератаках. Если предложение будет поддержано парламентом, операторов критически важных инфраструктурных объектов обяжут сообщать о кибератаках и обнаружении брешей в системе безопасности.
• Команда безопасности Facebook выявила и заблокировала учетные записи членов вьетнамской хак-группы APT32, которая использовала социальную сеть для распространения своего вредоноса.
• Создатели Qbot выпустили новую версию Windows-зловреда, поместив загрузчик и бот в единый dll-файл. Банковский троян также получил новый защитный механизм, позволяющий ему стартовать перед выключением ПК и автоматически удалять следы своего присутствия при перезагрузке системы или по ее выходе из спящего режима.
• Sophos и ReversingLabs опубликовали базу для ИБ-исследователей, насчитывающую 20 миллионов образцов исполняемых файлов для Windows, включая 10 миллионов семплов вредоносных программ.
• Еврокомиссия опубликовала новую стратегию Евросоюза по кибернетической безопасности на ближайшие 10 лет. Предлагается создать сеть оперативных центров с широким использованием искусственного интеллекта, которая будет способна обнаруживать признаки кибернападений и противодействовать им прежде, чем атака нанесет ущерб.

Интересные посты русскоязычных блогов по ИБ

• Сергей Борисов в своей статье разобрал отчет NIS Investments Report, выпущенный ENISA. В отчёте проводится анализ объема бюджетов на ИБ и состава входящих в него трат, а также опираются на данные таких исследований, как Gartner. Автор упоминает о возможных параллелях с бюджетами на СОИБ ОКИИ в РФ.
• Андрей Прозоров проанализировал новую европейскую стратегию кибербезопасности. В статье выделены основные направления стратегии и инструменты для ее осуществления. Также автор обращает внимание на Директиву об устойчивости критически важных объектов.
• Сергей Зеленский поделился своим опытом подготовки и сдачи экзамена на международный сертификат в области тестирования на проникновение OSCE от Offensive Security.
• Елена Трещёва в своей статье поделилась своим видением параметров эффективности, по которым можно оценивать работу SOC. Описаны особенности контроля SLA, ведения статистики событий ИБ, работа с заказчиком, а также перечислены важные для отслеживания на дашбордах аномалии.

Интересные посты англоязычных блогов по ИБ

• Gert Svaiko в своей статье рассказал о 10 самых распространенных атаках на веб-сайты и способах защиты от них. Описаны атаки типа XSS (межсайтовый скриптинг), DDoS (распределённая атака типа отказ в обслуживании), атака man-in-the-middle и другие.
• Steve Swick, директор службы безопасности American Electric Power, в своей статье дал 5 рекомендаций для обеспечения киберзрелости организации. Основными автор считает анализ угроз и обмен данными об угрозах, а также советует искать талантливых безопасников внутри организации и не бояться делиться данными с правительством.
• Warren Axelrod в своей статье размышляет о судьбе CISO в компании, и о том, что руководитель безопасности может почувствовать последствия кибератаки на себе, даже если он предупреждал руководство компании о недостаточности мер защиты. В статье говорится о мерах, которые могут предотвратить замалчивание проблем: отдельный отчёт по ИБ руководству и выделение бюджета службы ИБ из ИТ-бюджета.
• Laura Paine рассказала о безопасности приложений и о том, какую роль играют динамическое и статическое тестирование безопасности приложений (DAST и SAST), анализ состава программного обеспечения (SCA) и тестирование на проникновение для поддержки методологии AppSec.

Исследования и аналитика

• Согласно статистике Positive Technologies «Итоги внешних пентестов — 2020», каждую неделю блокируются около 1100 веб-атак — нелигитимных запросов, релевантных для конкретных приложений. Чаще всего атакуют веб-сервисы компаний сферы финансов — 39%, госучреждений — 31%, интернет-магазинов — 15% и платформ онлайн-обучения — 9%.
• Positive Technologies опубликовали информацию о новых проблемах безопасности 5G сетей в отчёте «5G Standalone core security research». С помощью найденных уязвимостей злоумышленники могут запустить атаки вида DoS, лишить абонентов доступа в интернет, а также перехватить трафик пользователей.
• Эксперты проанализировали десять наиболее активных форумов в дарквебе, где представлены услуги по взлому сайтов, покупке и продаже баз данных и доступов к веб-ресурсам. Анализ показал, что в подавляющем большинстве случаев на этих форумах, ищут исполнителя-хакера, а в семи из десяти объявлений основной целью является получение доступа к веб-ресурсу.
• Dr.Web представил обзор вирусной активности в ноябре 2020 года. В ноябре анализ данных статистики Dr.Web показал незначительное уменьшение общего числа обнаруженных угроз — на 1.75% по сравнению с октябрем. Количество уникальных угроз при этом увеличилось на 5.26%. Чаще всего пользователей атаковали программы для показа рекламы, а также троянские загрузчики и установщики.
• Аналитики Linux Foundation изучили практики разработчиков софта с открытым исходным кодом (FOSS-сообщество) и пришли к выводу, что девелоперы уделяют менее 3% своего времени вопросам безопасности и устранению уязвимостей. Более того, никто не планирует менять такой подход.
• В «Отчете о рисках  данных, 2021 год», компания Varonis проанализировала 4 миллиарда файлов в 56 финансовых организациях по всему миру на базе случайной выборки результатов аудита киберрисков. Выяснилось, что в среднем сотрудник финансовой организации имеет доступ к 13% всех данных, хранящихся в компании. В крупнейших финансовых организациях более 20 миллионов файлов доступны любому сотруднику.
• По данным отчета Tripwire, 78% специалистов по безопасности, работающих в сфере розничной торговли, сообщили, что ИБ-отдел их организации принял дополнительные меры предосторожности в преддверии праздников 2020 года. 35% участников опроса указали, что COVID-19 несет полную ответственность за дополнительные инвестиции в безопасность.
• В отчете Nozomi Networks OT/IoT Security Report 2020 за 1 полугодие говорится о ландшафте угроз OT/IoT, тактиках и приемах известных злоумышленников, основных уязвимостях АСУ ТП в 2020 году и их влиянии на риски, а также приведены рекомендации по защите сетей OT/IoT.
• Для подготовки отчета ESG Impact of XDR on the Modern SOC были опрошены 388 специалистов по ИТ и кибербезопасности из организаций США и Канады, ответственных за оценку, закупку и управление стратегиями, процессами и технологиями обнаружения и реагирования. В отчете основное внимание уделяется восприятию и ценности XDR и раскрывается ряд интересных идей о том, как команды приоритизируют инвестиции для противодействия атакам.
• Компания Veriff проанализировала миллионы сеансов и конечных точек по всему миру.  Veriff 2020 Fraud Report выявил общее увеличение попыток мошенничества с использованием личных данных на 11% во второй половине 2020 года, в том числе трехкратное увеличение общих показателей в годовом исчислении в финансовых технологиях и в секторе мобильности.
• Специалисты Orange Cyberdefense опубликовали углубленный анализ состояния угроз в 2020 году. Как показали результаты исследования, за последний год было обнаружено необычно большое количество уязвимостей в продуктах безопасности, особенно тех, которые необходимы для удаленной работы. Менее 19% уязвимостей исправляются в течение 7 дней после получения уведомления.

Громкие инциденты ИБ

• Стало известно о масштабной атаке на цепочку поставок, от которой пострадала компания SolarWinds и ее клиенты, среди которых были Министерство финансов США, Национальная администрация по информатике и телекоммуникациям при Министерстве торговли США, а также ИБ-компания FireEye. Компрометация SolarWinds также затронула Национальное управление по ядерной безопасности США (NNSA) и Microsoft.
• Группа хакеров под названием Pay2Key сообщила, что ей удалось похитить большой объем информации из компании Habana Labs, приобретенной корпорацией Intel. В течение последнего месяца эта хакерская группа совершила диверсии против нескольких израильских фирм.
• Хакеры взломали американскую систему “SIPRNET”, которая используется для внутренней коммуникации в правительстве США. Систему отключили на несколько часов, фактически оставив без средств связи с Минобороны армию США.
• Киберзащитная фирма Citizen Lab сообщила о крупной кампании цифрового шпионажа, направленной против сотрудников телекомпании «Аль-Джазира». По данным экспертов, злоумышленники, воспользовавшись ранее неизвестной уязвимостью в iOS, взломали смартфоны десятков журналистов.