Новости законодательства
Банк России подготовил проект «О внесении изменений в Указание Банка России от 10 декабря 2015 года № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных».
Новости ИБ
Разработчики Google выпустили новую версию Chrome для Windows, Mac и Linux (96.0.4664.110), в которой устранили серьезную уязвимость нулевого дня, уже находящуюся под атаками. Инженеры компании сообщают, что обнаруженная в браузере проблема получила идентификатор CVE-2021-4102 и уже используется хакерами, то есть для нее существуют доступные эксплоиты. Однако никаких подробностей об этих атаках в Google пока не сообщают, давая пользователям больше времени на установку патчей.
В компоненте GNOME AccountsService был обнаружен баг (CVE-2021-3939), который в руках злоумышленников может привести к повышению прав в Ubuntu. Эксперты подчёркивают, что с помощью уязвимости злоумышленники могут получить root в системе — безграничные привилегии.
17 декабря Apache опубликовала внеочередное обновление безопасности Log4j (за номером 2.17.0). Это уже третий срочный релиз библиотеки, вышедший в декабре: два предыдущих патча справились с уязвимостью Log4Shell, но открыли новые бреши в корпоративных системах.
Киберпреступники начали использовать критическую уязвимость удаленного выполнения кода Log4Shell (CVE-2021-44228) в библиотеке с открытым исходным кодом Apache Log4j для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter.
Эксперты Kaspersky ICS CERT обнаружили малварь PseudoManuscrypt, которая с 20 января по 10 ноября 2021 года атаковала более 35 000 компьютеров в 195 странах мира, включая Россию. В числе атакованных — значительное число промышленных и государственных организаций, включая предприятия военно-промышленного комплекса и исследовательские лаборатории.
Правительство Японии намерено обязать ведущие компании связи, энергетики, финансов, здравоохранения, транспорта, коммунальной инфраструктуры принять юридически обязательные меры по защите от кибертерроризма. Соответствующие планы действий они будут обязаны предоставить властям и ввести в действие в 2022 финансовом году, начиная с 1 апреля.
Разработчики Mozilla исправили баг, связанный с облачным буфером обмена Cloud Clipboard. Из-за бага в буфер попадали имена пользователей и пароли, которые могли быть раскрыты третьими лицами.
Компания Microsoft предупредила клиентов о двух уязвимостях повышения привилегий (CVE-2021-42287 и CVE-2021-42278) в службе каталогов Active Directory, эксплуатация которых позволяет злоумышленникам легко перехватывать контроль над доменами Windows.
Интересные посты русскоязычных блогов по ИБ
Компания Бастион подготовила базовую карту законодательства РФ по защите информации и рассказала как ей пользоваться.
@mikhail_konyk ответил на вопрос, как сохранить приватность данных, чтобы использовать их для обучения нейронных сетей на удаленных машинах. В своем посте автор привел обзор метода Crypton из статьи Crypton: Training Neural Networks over Encrypted Data, который позволяет использовать для обучения нейронных сетей зашифрованные данные.
Команда BI.ZONE разработала и выложила на GitHub собственный сканер на основе YARA-правила. Он сканирует память процессов Java на наличие сигнатур библиотеки Log4j. При этом сканирование идет не снаружи, а изнутри — то есть не из сети, а прямо на хосте.
Эксперт Positive Technologies рассмотрел концепцию безопасной разработки DevSecOps (или SecDevOps) в целом: объяснил, что это за концепция, что она дает бизнесу, разработчикам, инженерам DevOps и безопасникам, какие инструменты можно при этом использовать и насколько трудоемко их внедрение.
Тесалин Василий рассказал о таких сущностях, как трансформеры и BERT (Bidirectional Encoder Representation from Transformers), а также о задачах безопасности, а именно о распознавании именованных сущностей (NER) в домене кибербезопасности.
Интересные посты англоязычных блогов по ИБ
Dotan BarNoy посвятил блог такой растущей угрозе безопасности, как неиспользуемые удостоверения и рассказал, что делать чтобы эффективно устранять риски, связанные с ними. В начале мая 2021 года компания Colonial Pipeline была взломана через устаревшую учетную запись VPN.
Отчеты SOC 2 помогают компаниям оценить риски безопасности своих поставщиков и подтвердить, что у них есть базовые методы обеспечения безопасности для защиты конфиденциальной информации. Эта статья поможет прояснить, на что обращать внимание при получении отчета SOC 2 и где найти технические детали и конфигурации безопасности.
Блог (ISC) ² посвящен теме системной авторизации. Авторизация формализует процесс принятия решений, помещая четкие директивы и подотчетность на первый план, где они могут быть четко задокументированы. Роль уполномоченного должностного лица чрезвычайно важна для организации. Сертификация CAP от (ISC) ² была разработана, чтобы помочь людям обрести практические знания и с уверенностью брать на себя эту роль.
Центр управления безопасностью (SOC) может многому научиться из того, чему научились ИТ-подразделения во время революции SRE. В следующем посте серии Антон Чувакин извлек уроки для SOC, основанные на другом принципе SRE - развивающейся автоматизации.
Исследования и аналитика
Эксперты компании R-Vision опубликовали результаты исследования по использованию Threat Intelligence (TI) в России: как российские компании используют данные TI, каким образом их обрабатывают и с какими сложностями сталкиваются. Опрос проводился среди ИБ- и ИТ-специалистов посредством онлайн-анкетирования.
Компания Group-IB подготовила ряд отчетов Hi-Tech Crime Trends, в которых анализирует угрозы уходящего 2021 года и делает прогнозы на год грядущий. Одним из интересных наблюдений экспертов стал тот факт, что в начале 2021 года хак-группа MoneyTaker, похоже, совершила хищение в одном из российских банков, совершив атаку на автоматизированное рабочее место клиента Банка России (АРМ КБР).
Лаборатория Касперского опубликовала отчет по результатам года Kaspersky Security Bulletin 2021. Статистика. Согласно отчету, в течение года 15,45% компьютеров интернет-пользователей в мире хотя бы один раз подверглись веб-атаке класса Malware.
Согласно анализу программ-вымогателей от Лаборатории Касперского, в 2021 году операторы программ-шифровальщиков усовершенствовали свой арсенал, сфокусировавшись на атаках на крупные организации. За три первых квартала 2021 года эксперты обнаружили 32 новых семейства шифровальщиков и почти 11 тысяч новых модификаций зловредов этого типа. Почти каждая вторая атака программы-шифровальщика в РФ совершалась на госкомпании и промышленные предприятия.
Исследователи в области кибербезопасности из Дармштадтского технического университета, университета Брешии и лаборатории Secure Mobile Networking Lab сообщили о проблеме, затрагивающей миллиарды устройств Wi-Fi. По словам экспертов, с помощью Bluetooth-компонента устройства можно похищать пароли и управлять трафиком на микросхеме Wi-Fi.
Эксперты компании Group-IB оценили ущерб для клиентов российских банков от мошеннической схемы с использованием подложных платежных систем в 3,15 млрд рублей. Такие данные приведены в отчете компании, который анализирует актуальные киберугрозы для банков и финансовых организаций в 2020-2021 годах.
Компания PricewaterhouseCoopers опубликовала отчет об извлеченных уроках из разрушительной атаки программы-вымогателя в мае 2021 года на систему общественного здравоохранения Ирландии. Исследование показало, что между первым вторжением и запуском программы-вымогателя прошло почти два месяца. Выяснилось, что в пострадавших больницах установлены десятки тысяч устаревших систем Windows 7, и что ИТ-администраторы системы здравоохранения не смогли отреагировать на многочисленные предупреждающие знаки о неизбежности массированной атаки.
Найдена уязвимость удаленного выполнения кода (RCE), которая затрагивает абсолютно любое приложение (серверное и клиентское), использующее уязвимую версию библиотеки log4j. Признавая важность этой уязвимости, инструкторы SANS провели срочную прямую трансляцию в понедельник, 13 декабря, чтобы поделиться деталями, которые они узнали об эксплуатации, а также о том, как ее обнаружить. атаковать, а также защищаться от нее. Запись трансляции доступна по ссылке.
В 2021 году рынок независимых исследований уязвимостей стремительно вырос, а сумма выплаченных вознаграждений в рамках программ bug bounty утроилась, достигнув почти $37 млн. Об этом сообщается в отчете компании HackerOne, предоставляющей услуги по управлению программами bug bounty.
Согласно данным исследования DataDome, защита мобильных приложений и API-интерфейсов от автоматических угроз является главным приоритетом для предприятий онлайн-торговли. 45% опрошенных респондентов указали, что стоимость человеко-часов, потраченных на устранение угроз, является основным воздействием бот-атак, за которыми следуют потеря дохода (41%) и потеря доверия клиентов (39%).
В официальном документе (ISC)² «Внедрение облачных технологий и нехватка навыков» рассматривается, почему нехватка квалифицированных специалистов оказывается одним из самых серьезных препятствий для внедрения облачных технологий. Одним из факторов нехватки опыта у сотрудников, упомянутых в исследовании, является отсутствие наставничества.
Сеть Комиссии США по религиозной свободе содержала бэкдор, предоставлявший хакерам возможность контролировать сеть, а именно выполнять код с правами системы и перехватывать трафик с зараженных устройств. По словам специалистов ИБ-компании Avast, многочисленные попытки проинформировать ведомство о проблеме оказались безуспешными.
Команда Check Point Research обнаружила новый вариант ботнета Phorpiex. Ранее он был известен sextortion-вымогательствами и криптоджекингом. Его новая версия, которую назвали Twizt, работает без управления командными серверами. По оценкам экспертов, Twist уже смог украсть криптовалюту на сумму почти полмиллиона долларов методом криптовырезки.
Команды безопасности предприятий испытывают трудности с отказом от простого выявления уязвимостей и переходом на эффективное реагирование и устранение. К такому выводу пришли специалисты ИБ-компании Vulcan Cyber по результатам нового исследования, посвященного корпоративным программам приоритизации и устранения угроз безопасности.
Результаты исследования MITRЕ Engenuity 2021 Managed Services Report: No Rest for the Wary подчеркивают существенно низкий уровень доверия организаций к поддержке управляемых услуг по сравнению с их собственными технологиями, людьми и процессами. 65% респондентов заявили, что они используют подход к обеспечению безопасности, основанный на учете угроз, а 41% используют оценки ATT&CK для оценки решений поставщиков оконечных устройств.
Darktrace выявил, что наиболее целевая отрасль сместилась из финансового и страхового секторов в 2020 году в сектор информационных технологий и связи в 2021 году. Сектор информационных технологий и связи включает, среди прочего, поставщиков телекоммуникационных услуг, разработчиков программного обеспечения и поставщиков услуг управляемой безопасности.
Громкие инциденты ИБ
По данным Group-IB, хакерская группировка MoneyTaker похитила деньги российского банка с его корсчёта в Центробанке. Последний раз такое удавалось кибермошенникам в 2018 году.
Хакеры атаковали информационную систему Райффайзенбанка. Злоумышленники воспользовались новой уязвимостью Log4Shell. Банк зафиксировал попытку взлома и остановил ее, сохранность клиентских данных не пострадала.
Компания Microsoft призвала администраторов частных серверов Minecraft, расположенных на собственном хостинге, как можно скорее обновиться до последних версий. Дело в том, что их атакует вымогатель Khonsari, использующий критическую уязвимость Log4Shell.
Программа-вымогатель Conti использует критически важный эксплойт Log4Shell для получения быстрого доступа к внутренним экземплярам VMware vCenter Server и шифрования виртуальных машин.
Производитель решений для управления персоналом Kronos подвергся кибератаке с использованием вымогательского ПО, которая, вероятно, на многие недели вывела из строя его облачные продукты.
Поставщик логистических услуг Hellmann Worldwide Logistics стал жертвой кибератаки. Причины ее до сих пор неизвестны, служба безопасности компании работает над выяснением.
20 декабря неизвестные злоумышленники скомпрометировали официальную группу «Яндекс Go» в VK и разослали подписчикам (а их у группы более 360 000) сообщение о фальшивом розыгрыше призов.
Хакерская группировка Sharp Boys опубликовала объявление о продаже данных израильтян. В своем обращении в твиттере хакеры заявили о взломе сайтов http://lametayel.co.il и http://tiuli.com. Благодаря этому им удалось получить базу личных данных объемом 500 Гб. Она содержит информацию почти о 3 млн пользователей.