Дайджест новостей по ИБ за 06 — 27 мая 2019г.

Блоги:

Алексей Лукацкий сформулировал ключевые области, которые стоит брать во внимание во время оценки ущерба от возможных инцидентов ИБ; привел обзор когнитивных искажений, которые могут приводить к неправильной оценке рисков кибербезопасности.

Валерий Комаров привел примеры возможных правовых последствий использования несертифицированных средств защиты информации.

Судебная информация: Для получения информации о том, как обрабатываются в банке его персональные данные, гражданин должен прийти лично.

Статьи:

 Как защитить свой ПК/ноубук и уничтожить информацию на флешке, HDD или SSD.

Почему прошивки с открытым исходным кодом важны для безопасности.

В ОС Windows обнаружена критическая RCE-уязвимость (CVE-2019-0708).

Сравнение промышленных систем обнаружения вторжений: ISIM vs. KICS.

Введение о слепой инъекции blind XSS.

Социальная инженерия с помощью программ Universal Windows Platform (APPX).

Противостояние 2019: Jet Security Team заняла первое место в защите.

Нашумевшие утечки данных пользователей за январь — апрель 2019.

В 19% популярнейших Docker-образов нет пароля для root.

Опасность внутриигрового сбора данных.

Топ-10 VPN-сервисов.

Обзор систем противодействия банковскому мошенничеству (антифрод).

Продаём под электронный ключ правительство, коммерсантов, квартиры. (версия УЦ СКБ Контур).

«Коммерсантъ» раскрыл участившуюся схему кражи денег у терминалов Сбербанка.

Лучшие практики для обеспечения информационной безопасности избирательных систем (англ.).

Распространенные небезопасные настройки, связанные с миграцией на почтовые сервисы Microsoft Office 365, и рекомендации по их устранению (англ.).

R-пакеты для кибербезопасности (англ.).

Специальные ключи реестра для Windows 10 (англ.).

Журналы:

Infosecurity Magazine, Q2, 2019, Volume 16, Issue 2. Тема номера: "Сила нейродиверсификации".

Документы:

The Sedona Conference Commentary on Data Privacy and Security Issues in Mergers & Acquisitions Practice - документ об обеспечении безопасности данных и защите персональных данных в случае слияния или поглощения организаций (см. краткий обзор от Натальи Храмцовской).

Законодательство:

Положение ЦБ РФ 09.01.2019 N 672-П "Положение о требованиях к защите информации в платежной системе Банка России".

Положение ЦБ РФ 17.04.2019 N 683-П "Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

Положение ЦБ РФ от 17.04.2019 N 684-П "Положение об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

Программное обеспечение/сервисы:

poma.nsfocus.com - веб-сервис от NSFOCUS для анализа вредоносных файлов.

Kali Linux 2019.2 - дистрибутив для тестирования на проникновение.

Nessus Essentials (бывш. Nessus Home) - бесплатный сканер уязвимости для личного использования. Предназначен для использования студентами, преподавателями и людьми, начинающими карьеру в области кибербезопасности, помогающий легко и быстро освоить оценку уязвимости и отточить свои навыки.

Vulmap - скрипт для обнаружения уязвимого ПО для Windows и Linux-систем (см. описание).

Аналитика:

Спам и фишинг в первом квартале 2019 года. Источник: Лаборатории Касперского.

Ресурсы:

Видео с "NolaCon 2019".