Дайджест новостей по ИБ за 12 — 29 мая 2017 г.

Блоги:

Обзор ПП-555 от Алексея Лукацкого и Сергея Борисова.

Алексей Лукацкий рассказал, почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ.

Статьи:

Обзор кибератак с 01 по 15 апреля 2017 года от hackmageddon (англ.).

Windows XP снова под атакой: на этот раз используется эксплойт АНБ под названием «EsteemAudit».

Wikileaks опубликовала новые файлы из цикла Vault 7: AfterMidnight и Assassin.

В России будет сформирован единый портал персональных данных.

Цена бесплатных антивирусов.

Специалисты FinCERT стали участвовать в проверках банков.

Обзор рынка Security GRC в России.

Сравнение систем контроля действий привилегированных пользователей (PUM) 2017.

Информационная безопасность: образование и карьера.

Прокачай терминал! Полезные трюки, которые сделают тебя гуру консоли.

Как найти аккаунты и личные данные человека в сети.

Вскрываем Windows. Легкие способы получить права админа на компьютере.

Большие ожидания: почему технологиям UEBA не стать серебряной пулей.

Фишинг «своими руками». Опыт компании «Актив», часть первая.

Защита Windows от вируса-шифровальщика WannaCry (WannaCrypt, WCry и WanaCrypt0r 2.0).

AV-Comparatives: проактивная защита от шифровальщика WannaCry.

The European Banking Authority опубликовало руководство по оценке риска в области информационных и коммуникационных технологий (англ.).

Веб-шеллы на фишинговых сайтах (англ.).

Кража учетных данных Windows через scf-файл и Google Chrome (англ.).

Сравнение XML и JSON с точки зрения безопасности (англ.).

Законодательство:

Постановление от 18 мая 2017 года №596 "О мерах по сокращению затрат предпринимателей на содержание и обслуживание контрольно-кассовой техники".

Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и дейтельности по разработке и производсту средств защиты конфиденциальной информации за 2016 год.

Документы:

ГОСТ Р 57429-2017 «Судебная компьютерно-техническая экспертиза. Термины и определения».

Программное обеспечение/сервисы:

Netsim - игровой симулятор для обучения основам безопасного функционирования компьютерных сетей.

Обновлены продукты ProcDump v9, Autoruns v13.71, BgInfo v4.22, LiveKd v5.62, Process Monitor v3.33, Process Explorer v16.21.

file2pcap - инструмент для создания pcap-файла из файла, который потом можно использовать для создания или тестирования правил для Snort (см. описание).

PT BlackBox Scanner - сервис для выявления уязвимостей веб-приложений (см. описание).

Аналитика:

Безопасность АСУ ТП: итоги 2016 года - результаты анализа уязвимостей и доступных через сеть Интернет-компонентов АСУ ТП. Источник: Positive Technologies.

Развитие информационных угроз в первом квартале 2017 г. Источник: Лаборатория Касперского.

Мероприятия:

Принять участие в разработке Mobile Security Testing Guide (MSTG).

Ресурсы:

Видео с "NolaCon 2017".

Видео с "Converge 2017".

Видео с "BSides Detroit 2017".

Онлайн-курс «Функциональная безопасность компьютерных систем».

Частная модель угроз безопасности информации конфиденциального характера для банка

В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

Ранее многие банки использовали Отраслевую модель угроз безопасности ПДн, взятую из Рекомендации в области стандартизации ЦБР РС БР ИББС-2.4-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010). Но в связи с изданием информации Банка России от 30.05.2014 документ утратил силу. Сейчас её нужно разрабатывать самому.

Не многие знают, что с выходом Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" РС БР ИББС-2.9-2016 (РС БР ИББС-2.9-2016) произошла подмена понятий. Теперь при определении перечня категорий информации и перечня типов информационных активов рекомендуется ориентироваться на содержание п.6.3 и 7.2  РС БР ИББС-2.9-2016. Раньше это был п.4.4 Рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 (РС БР ИББС-2.2-2009). Я даже обращался в ЦБ за разъяснениями:

Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда.

В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

 

Определение актуальности угроза ИБ

Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009,  таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

• угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных - УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
• угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных - УБИ.175;
• угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных - УБИ.192;

В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

Актуальные угрозы источника угроз "Неблагоприятные события природного, техногенного и социального характера" можно определить, ориентируясь на статистику МЧС РФ о чрезвычайных ситуациях и пожарах.

Актуальные угрозы источника угроз "Террористы и криминальные элементы" можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей "Преступления в банковской сфере".

На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

За основу я взял таблицу "Отраслевая модель угроз безопасности ПДн" из РС БР ИББС-2.4-2010. Колонки "Источник угрозы" и "Уровень реализации угрозы" заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки "Типы объектов среды" и "Угроза безопасности". Последнюю я переименовал в "Последствия реализации угрозы", как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

В качестве примера рассмотрим "УБИ.192: Угроза использования уязвимых версий программного обеспечения":
Описание угрозы: угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
Источники угрозы: внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
Объект воздействия: прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
Последствия реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности.

Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка).

Перечень объектов среды я скомпоновал из п.7.3 РС БР ИББС-2.9-2016, п.4.5 РС БР ИББС-2.2-2009 и из описания УБИ. Уровни реализации угрозы представлены в п.6.2 СТО БР ИББС-1.0-2014.

Т.о. данная угроза затрагивает следующие уровни: уровень сетевых приложений и сервисов; уровень банковских технологических процессов и приложений.

Тоже самое проделал с другими угрозами ИБ.

В результате получилась такая таблица:

Частная модель угроз ИБ from Сергей Сторчак

P.S. Кстати, для создания моделей угроз можете использовать сервис Булата Шамсутдинова (с некоторыми оговорками, естественно). 
 

Дополнительная литература:

Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли от Минкомсвязи.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год.
Методический документ ФСТЭК России «Меры ЗИ в государственных ИС».

Дайджест новостей по ИБ за 21 апреля — 12 мая 2017 г.

Блоги:

Алексей Лукацкий в качестве государственно-частного партнерства привел пример последнего документа ФСТЭК по SOC; написал заметки про «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКИ» (часть 1, часть 2, часть 3).

Сергей Борисов рассмотрел требования по анализу уязвимостей ГИС в соответствии с приказом ФСТЭК России №17.

Андрей Прозоров поделился  своим твиттер-листом иностранных специалистов по ИБ.

Статьи:

Обзор инцидентов безопасности за периоды с 24 по 30 апреля 2017 года от securitylab.

Преступления в банковской сфере с 1 по 30 апреля 2017 года.

Обзор кибератак с 16 по 31 марта 2017 года от hackmageddon (англ.).

Обзор уязвимостей за 21 - 28 апреля, 28 апреля - 5 мая от US-CERT (англ.).

WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению.

Введение в криптографию и шифрование, часть первая.

Wikileaks опубликовал шестую части дампа Vault 7 под названием «Scribbles».

Проверяем работодателя. 4 вида мошенничества и способы борьбы с ними.

Сравнение веб-сканера сайтов Rescan.Pro с сервисами antivirus-alarm и 2ip.

Мобильные устройства в корпоративной среде: риски и угрозы XXI века.

Обзор инструментария и тренировочных площадок для повышения навыков по компьютерной криминалистике (форензике).

Как правильно настроить межсетевой экран или Check Point Security Best Practices.

Поисковик Shodan научили искать управляющие серверы малвари.

Борьба с ложными срабатываниями в продуктах от Лаборатории Касперского.

Как включить двухфакторную аутентификацию в TeamViewer.

Wap-Click: простой вариант поиметь (денег с) абонента.

Hacksplaining — интерактивный курс по веб-уязвимостям.

Уязвимость в протоколе SS7 уже несколько лет используют для перехвата SMS и обхода двухфакторной аутентификации.

Приложение-ловушка: удивительный мир ботов Tinder.

Стартап Nomx, предлагающий защищенное железо для email-серверов, использует устаревшее ПО и содержит уязвисти.

Угрозы для беспроводной корпоративной сети WPA2-Enterprise и способы защиты.

Использование DNS-туннеля для связи с C&C.

StringBleed – обход SNMP-аутентификации в маршрутизаторах различных производителей.

OWASP TOP-10 2017: помогает ли оно создавать более безопасные приложения? (англ.).

Добавление DNS-записей типа CAA станет частью процесса выдачи сертификата (англ.).

Обновления для  Microsoft Office в Windows 7, 8.1 и 10 (англ.).

Поиск через Shodan прямой трансляции с беспилотников (англ.).

Выполнение VBScript через форму в Outlook (англ.).

Насколько безопасны мобильные банковские приложения?

Использование надстроек Microsoft Office 2013 в качестве вектора заражения и метода сохранения состояния (persistence techniques).

Документы:

OUCH! Безопасность детей в сети – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:

threat-model.com - сервис создания моделей угроз.

Kali Linux 2017.1 - дистрибутив для тестирования на проникновение.

Gixy — open source от Яндекса, который сделает конфигурирование Nginx безопасным.

Обновлены продукты Sysmon v6, Autoruns v13.7, AccessChk v6.1, Process Monitor v3.32, Process Explorer v16.2, LiveKd v5.61 и BgInfo v4.21.

Аналитика:

DDoS-атаки в первом квартале 2017 года. Источник: Лаборатория Касперского.

Спам и фишинг в первом квартале 2017 года. Источник: Лаборатория Касперского.

Атаки на веб-приложения 2016 -  данные, полученные в ходе пилотных проектов по внедрению межсетевого экрана прикладного уровня PT Application Firewall в 2016 году (см. краткий обзор). Источник: Positive Technologies.

Мероприятия:

15 июля 2017 в Орле состоится «Pentestit Security Conference 2017».

Ресурсы:

Презентации с «OPCDE DXB 2017».

Презентации с «HITBSecConf2017 – Amsterdam».

Видео с «OWASP AppSec California 2017».

Видео с «BSidesCharm 2017».

Видео с «BSides Nashville 2017».

Мастер-класс «Процесс организации борьбы с фишингом» от Алексея Лукацкого.

Видео «Правоприменительная практика в области персональных данных» от «ДиалогНаука».

findsecuritysolution.net - критерии выбора поставщика услуг нейтрализации DDoS-атак (см. описание).

ИБшнику (МФИ Софт) - подкаст эксперта по информационной безопасности МФИ Софт Александра Суханова.

Мой доклад "Веб-сервисы на страже безопасности"

[обновлено 05.05.2017г.] 
Выкладываю материалы своего выступления на "Rostov Security Meetup #2" от 29.04.2017

Веб-сервисы на страже безопасности from Сергей Сторчак

Материалы других спикеров можно найти в группе vk.com/ibrostov

P.S. выступал с докладом впервые, поэтому немного перенервничал из-за чего спешил и оговаривался.