Дайджест новостей по ИБ за 02 — 16 марта 2020 г.

Блоги:

Алексей Лукацкий написал обзор карточных игру по ИБ: Cert Michelin Awareness Card Game, SECWEREWOLF, d0x3d!, Backdoors & Breaches, Black Hat; задался риторическим вопросом: "Бывают ли квалифицированные кадры в аутсорсинговых SOC?".

Андрей Прозоров прогнозирует как коронавирус COVID-19 повлияет на ИБ-отрасль; поделился самыми полезными ссылками по GDPR.

Антон Лопаницын ракссказал как борется с фишинговыми сайтами для icloud и разоблачает их создателей.

Браян Кребс (Brian Krebs) напомнил о рисках, связанных с браузерными расширениями (англ.).

Статьи:

Let's Encrypt отзывает свыше 3 млн. сертификатов.

Обзор уязвимостей за неделю (от 02 марта 2020).

Распространенные техники обхода антивируса (англ.).

Дорожная карта по развитию MITRE ATT&CK на 2020 г. (англ.).

Распространенные атаки на Kerberos (англ.).

Поиск вредоноса на зараженном хосте: LOKI IOC Scanner, Discovery (MITRE ATT&CK), DeepBlueCLI (англ.).

Кража учетных записей в Windows с помощью программ, имитирующих запросы UAC и экран блокировки (англ.).

Настройка безопасности Windows Server с помощью PowerShell Desired State Configuration (DSC).

Документы:

Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources - в документе описаны случаи, которые могут привести к юридическим рискам при проведении киберразведки в Интернете, например, приобретение скомпрометированных данных (англ.). Источник: Министерство юстиции США.

Обзор операций, совершенных без согласия клиентов финансовых организаций за 2019 год. Источник: ФинЦЕРТ.

Simulating a Cyberattack on the Energy Industry: A Playbook for Incident Response - документ содержит примеры сценариев кибератак, которые могут быть применимы в киберучениях для регуляторов, АСУТПшников или ИБ-специалистов. Источник: Siemens.

Программное обеспечение/сервисы:

FuzzBench - бесплатный сервис для сравнения фаззеров (см. описание).

Ресурсы:

Видео с "AppSec California 2020".

Видео с "CS3STHLM 2019".

Дайджест новостей по ИБ за 17 февраля — 02 марта 2020 г.

Блоги:

Алексей Лукацкий предлагает ФСТЭК и ФСБ для определения требований к лицензиатам на мониторинг ИБ использовать концепцию системы сертификации компаний с точки зрения кибербезопасности от МинОбороны США (Cybersecurity Maturity Model Certification, CMMC).

Сергей Борисов рекомендует использовать двухфакторную аутентификацию в корпоративных системах, т.к. требования к 2FA прописаны в НПА и международных стандартах.

Комментарии Александра Леонова к отчету “The Total Economic Impact™ Of Rapid7 InsightVM“.

Обзор секции ФСТЭК "Актуальные вопросы защиты информации" на ТБ-форуме 2020 от Валерия Комарова.

Nixu CyberBogies: карточки для разработки модели нарушителя ИБ.

Статьи:

Как мы создали ханипот, который нельзя разоблачить.

Обзор уязвимостей за неделю (от 24 февраля 2020).

Обновление KB4532693 для Windows 10 удаляет файлы.

Обзоры докладов представителей ФСТЭК на "ТБ Форум 2020".

Практический подход с использованием инструментов с открытым исходным кодом для красных (Red Teaming) и синих (Blue Teaming) команд (англ.).

Тестирование на проникновение морских судов: годовой обзор (англ.).

Sysmon не протоколирует все события создания процессов, например, запуск калькулятора или "песочниц" (англ.).

Пассивный метод перечисления пользователей через OneDrive (англ.).

Поиск утекших паролей в Active Directory (англ.).

Обнаружение бокового перемещения через WinSCP (англ.).

Kr00k (CVE-2019-15126) – уязвимость в Wi-Fi-чипах Broadcom и Cypress, которая позволяет перехватывать и дешифровать трафик, зафишрованный WPA2.

Рекомендации по безопасной настройке веб-серверов (англ.).

Аналитика:

Procurement Guidelines for Cybersecurity in Hospitals - рекомендации по кибербезопасности для больниц по приобретению товаров и услуг (краткий обзор от Сергея Борисова). Источник: ENISA.

Исследование утечек конфиденциальной информации из организаций финансового сегмента в 2019 г. Источник: InfoWatch.

Мобильная вирусология 2019. Источник: Касперский.

Мероприятия:

5 марта 2020 года пройдёт встреча московского отделения сообщества OWASP.

Ресурсы:

Видео с "RECON MONTREAL 2019".

Видео с "BSides Tampa 2020".

Презентации с XII Уральского форума "Информационная безопасность финансовой сферы".

Обзор Код ИБ: Ростов-на-Дону 2020

13 февраля в Ростове-на-Дону состоялась ставшая уже традиционной конференция "Код ИБ".

Мероприятие посетило свыше 200 участников из них около 40% присутствовало впервые (согласно результатами живого опроса). В этом году в числе спикеров были представители ФСТЭК, ГосСОПКА и Управления "К".

Из интересного:

Начальник отдела координации и оценки эффективности обеспечения безопасности объектов КИИ в СКФО и ЮФО Николай Иванович Чернов представил таблицу с анализом состояния работ, выполняемых субъектами КИИ по созданию систем безопасности ЗОКИИ в ЮФО.

Представитель ГосСОПКА Пшеничный Денис Викторович посоветовал представлять в НКЦКИ информацию об инцидентах, связанных со сбоями, вызнанными установкой обновлений ОС Windows и другим сторонним ПО (например, в случае, если обновление антивирусного агента привело к сбою сети).

Заместитель начальника отдела "К" ГУ МВД России по Ростовской области Вячеслав Кудрич рассказал о трех самых распространенных обращениях, которые к ним поступают: телефонное мошенничество (звонки и смс), вирусы-шифровальщики, детская порнография.

Доклады партнеров мероприятий стали менее маркетинговыми и более практичными: с примерами неправильной настройки предлагаемых решений, которые приводят к инцидентами; с анализом угроз и примерами реагирования на инциденты.

В этом году впервые был организован "Открытый микрофон" - за 5-10 минут любой желающий мог поделиться примерами из ИБ-практики. Из желающих оказался только я. Рассказывал про процесс приоритезации закрытия уязвимостей у нас в компании.

Также из новинок организаторы придумали игру-симулятор, целью которой являлось повышение осведомленности по ИБ пользователей. Не было ограничений: по бюджету, времени проведения обучения, первоначальному уровню знаний обучающихся, сфере деятельности компании. Участники разбились на три команды. Каждая команда подошла к выполнению заданий по-своему (получилось как-то само собой): одни выступали с методологией обучения, другие - с процессом проведения обучения, третьи - с конкретными инструментами. 

С итогами конференции можно ознакомиться здесь (см. "Читать итоги"). Презентации и видео будут доступны на "Код ИБ: Академия".

К сожалению, городские и областные конференции по ИБ часто невозможны посетить полностью, т.к. приходится отвлекаться на рабочие вопросы либо возвращаться на рабочее место. Одним из решений данной проблемы может стать посещение таких мероприятий как "Код ИБ: Профи", когда тебя командируют на пару дней в другой город и без веских на то причин не трогают. Ближайший "Код ИБ: Профи" состоится 26-27 марта в Москве.