Дайджест новостей по ИБ за 01 – 29 июля 2016 г.

Блоги:

Обзор антитеррористического "пакета Яровой" от Сергея Борисова.

Алексей Лукацкий размышлял, почему стоит посетить InfoSecurity Russia и как удержать посетителя у стенда; доказал, что санкции и курс на импортозамещение не повлияли на развитие отечественного рынка ИБ.

Михаил Емельянников подготовил обзор Федерального закона "О внесении изменений в Федеральный закон "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт" и отдельные законодательные акты Российской Федерации" от 03.07.2016 N 290-ФЗ.

Статьи:

Преступления в банковской сфере 7 - 13 июля 2016.

Обзор кибератак за 1 - 15 июня 2016 от hackmageddon (англ.).

Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться.

Ищем уязвимости в коде: теория, практика и перспективы SAST.

Пример базы Keepass для сетевого администратора.

Президент утвердил перечень поручений по вопросам отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности.

Онлайн-детектив: сколько можно заработать на услугах бизнес-разведки.

Как взламывают сайты (через уязвимости, по вине сотрудников или подрядчиков) и как от этого уберечься.

Дайджест последних достижений в области криптографии. Выпуск первый.

Российские банки стали мишенью для атак через SWIFT.

О работе, нюансах и трудностях WAF ModSecurity.

Топ-10 фич Windows 10 для ИТ-специалистов.

Ручная проверка сертификатов SSL/TLS (англ.).

Обход WAF с помощью HTTP-заголовков (англ.).

Советы по безопасной игре в Pokemon GO (англ.).

Обход UAC в Windows 10 через Disk Cleanup (англ.).

Компрометация системы через Microsoft Web Point-and-Print Protocol (MS-WPRN).

Защита от "SYN Flood"-атаки с помощью synsanity (англ.).

Законодательство:

Указание Банка России от 20.05.2016 N 4023-У "О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства".

Извещение ФСБ по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет».

Документы:
OUCH! Афера «Руководитель» – июльский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:

cve-search - инструмент для локального поиска и обработки CVE (Common Vulnerabilities and Exposures) и CPE (Common Platform Enumeration).

NoMoreRansom - проект, содержащий расшифровщики шифрователей-вымогателей (см. обзор).

Parrot Security OS 3.1 - Linux-дистрибутив для проведения тестирования на проникновение, форензики, реверс инжиниринга.

Списки подозрительных (suspicious) доменов от SANS Internet Storm Center.

Аналитика:

Уязвимости корпоративных информационных систем — 2015: внутри хуже, чем снаружи. Источник: Positive Technology.

Уязвимости веб-приложений 2016 - отчет содержит статистику, собранную в ходе работ по анализу защищенности веб-приложений в  2015 году. (см. краткий отчет). Источник:  Positive Technologies.

Статистика основных угроз безопасности в сетях SS7 мобильной связи (2016) - в отчете проанализирована защищенность сетей SS7 операторов разных стран, обслуживающих от 10 до 70 миллионов абонентов (см. краткий отчет). Источник: Positive Technologies.

Кибербезопасность промышленных систем: ландшафт угроз - в исследовании представлен обзор текущей ситуации в области безопасности АСУ по всему миру в том, что касается уязвимостей и уязвимых компонентов АСУ, доступных через интернет. Источник: Лаборатория Касперского.

SAP Cyber Threat Intelligence report – July 2016 - отчет, дающий представление о последних угрозах и уязвимостях в данных системах.

Отчёт ICS-CERT за май-июнь 2016 г. (см. краткой обзор от Алексея Комарова).

Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России за период с 01 июня 2015 г. по 31 мая 2016 г.