Дайджест новостей по ИБ за 08 — 28 декабря 2020 г.

 Блоги:

Обзор мероприятия "SOCstock" от Алексея Лукацкого.

Александр Веселов выяснил, что лицензиат ФСБ вправе осуществлять лицензируемые виды деятельности на объектах заказчика при условии внесения адресов этих объектов в договор оказания услуг между лицензиатом и заказчиком.

Андрей Прозоров сравнил российский и европейский подходы по защите персональных данных: GDPR и 152-ФЗ.

Статьи:

Google тестирует новый менеджер паролей, который использует учетную запись Google и не зависит от Chrome.

 

Еврокомиссия представила стратегию кибербезопасности Евросоюза на ближайшие 10 лет + краткий обзор от Андрея Прозорова.

 

Доксинг: что случается с вашими личными данными.

 

Лучшие менеджеры паролей 2020г. (англ.).

 

Обновление до WordPress 5.6 может нарушить работу сайта (англ.).

 

FireEye поделилась правилами для обнаружения использования украденных у них инструментов для Red Team (см. обзор инструментов) (англ.).

 

Журналы:

Вопросы кибербезопасности №5 (39).

 

Документы:

ENISA опубликовала руководство по обеспечению безопасности телекомов и 5G-сетей (англ.).

 

Законодательство:

План проведения плановых проверок на 2021 год. Источник: ФСТЭК.

 

План проведения плановых проверок юридических лиц и индивидуальных предпринимателей Управления Федеральной службы по надзору в сфере связи, технологий и массовых коммуникаций по Ростовской области на 2021 год. Источник: Управления Роскомнадзора по Ростовской области.

 

Программное обеспечение/сервисы:

TinyCheck - анализатор вредоносного Wi-Fi-трафика (требуется установка на отдельное устройство, например, на Raspberry Pi).

 

Аналитика:

NIS Investments Report - анализ объема бюджетов на ИБ КИИ и состава входящих на него трат (см. обзор от Сергея Борисова). Источник: ENISA.

Ресурсы:

Видео с "The Standoff Russia".

 

Материалы с "SOC-Форум Live".

 

Презентации и видео с семинара РКН для операторов ПДн 2020 (обзор от Валерия Комарова).

 

SOREL-20M - датасеты для обнаружения вредононых PE-файлов от Sophos и ReversingLabs.

Обзор The Standoff

[обновлено 12.05.2021]

 

В связи со сложившейся эпидемиологической ситуацией юбилейный Positive Hack Days было решено перенести, а вместо него в режиме онлайн прошла кибербитва "The Standoff".

 

Как отметили организаторы: "The Standoff — киберполигон, где лучшие offensive- и defensive-специалисты России и зарубежья борются друг с другом за ресурсы виртуальной копии нашего мира. Здесь воссозданы цифровые двойники компаний различных отраслей с соответствующими производственными цепочками, бизнес-сценариями и технологическим ландшафтом."

 

В рамках мероприятия также звучали доклады, затрагивающие актуальные темы информационной безопасности, были интервью со спикерами и участниками, круглые столы, а также выступления вендоров.

 

Ниже обзор докладов, которые мне понравились.

 

Мыслить как "преступник"-программист. Дмитрий Скляров (руководитель отдела анализа приложений Positive Technologies) поведал историю о том, как он создал декриптор для расшифровки файлов, испорченных вирусом-шифровальщиком. Автору удалось угадать методы и алгоритмы, которые использовал злоумышленник для зашифровки файлов, и рассказать о сложных вещах простым и понятным языком.

 

 

Threat intelligence: разбираемся в понятиях на практике. Калинин Антон (руководитель группы аналитиков CyberART) свой доклад начал с теории: основные термины; отличия IoC от IoA и их детектирование в IT-инфраструктуре; источники информации об угрозах; виды фидов и способы их сбора; проверка на релевантность. В практической части Антон подробно рассказал о том, как организованы TI-процессы в их компании.

 

Панельная дискуссия "SOC, который работает и окупается". В качестве спикеров были приглашены Александр Бабкин (Газпромбанк), Эмиль Алтынбаев (Гринатом) и Дмитрий Гадарь (Тинькофф банк). Участники обсуждали следующие темы: история развития SOC в их организациях; сложности, с которыми столкнулись при внедрении; задачи SOC; KPI; ресурсы для внедрения и сопровождения SOC; пентестеры и red team против SOC; использование опенсорса и самописного ПО для задач SOC; автоматизации первой линии; подготовка кадров и передача опыта; взаимодействие SOC с другими подразделениями.

 

"Как заработать на ИБ? Можно ли при этом развить индустрию и выйти в мировые лидеры?" Сергей Мацоцкий (основатель и совладелец группы ИТ-компаний «ГС-Инвест»), Александр Галицкий (со-основатель и Управляющий Партнер Almaz Capital Partners) и Юрий Максимов (генеральный директор Positive Technologies) обсуждали, смогут ли российские ИТ-решения занять лидирующие позиции на мировой арене и как этого достичь; можно ли заработать на высоких технологиях, ИТ и ИБ не только компаниям, но и простым людям; по каким критериям выбирать компанию для инвестиций и как привлечь инвесторов. В целом инвестиции растут, но они стали более избранными. В Росси есть только интерес к данной области.

 

"Гитхабификация информационной безопасности" (читать статью на Хабре).  Джон Ламберт (Microsoft Threat Intelligence Center) представил в виде пирамиды процесс обмена опытом в ИБ-сообществе для эффективного противостояния злоумышленникам: накопление и сохранение знаний (MITRE ATT&CK), методы обнаружения (Sigma), анализ данных (Jupyter) и распространение знаний  (GitHub-репозитории ИБ-проектов). Кроме того, спикер утверждает, что данный подход ускоряет рост профессиональных компетенций ИБ-специалистов.

 Далее Джон рассказал, как эксперт/организация может внести свой вклад в ИБ-сообщество.

С похожей темой выступил Антон Кутепов (старший специалист отдела экспертных сервисов и развития, Positive Technologies). В презентации "Улучшение общего состояния безопасности, или Как работает Open Security Collaboration Development" спикер сделал краткий экскурс в OSCD, огласил результаты первого и второго спринтов, а также привел примеры написания и проверки тестов Atomic Red Team и правил Sigma.

"Дорогая, я автоматизировал Honeypot! Инфраструктура и автоматизация Honeypot". Маттиас Майдингер (инженер по разработке ПО в компании VMRay) описал схему своей хонейпот-инфраструктуры, поделился достоинствами и недостатками процесса автоматизации хонейпотов, а также рассказал, как он использовал полученные данные.

Общие впечатления.

Что понравилось:

- бесплатная регистрация;

- новый формат киберполигона;

- новые секции с докладами.

Что не понравилось:

- записи докладов прерываются на вопросах (порой ответы представляют бОльшую ценность, чем сам доклад);

- некоторые записи докладов на Youtube имеют ограниченный доступ;

- нет ссылок на презентации.

P.S. По традиции я просмативаю все доклады данного мероприятия. Как правило, это занимает около 6 месяцев. Поэтому буду выкладывать информацию по мере ознакомления с ней. 

 

Дайджест новостей по ИБ за 23 ноября — 08 декабря 2020 г.

Блоги: 

Судебная практика: штраф за трансграничную передачу информации о сдающих экзамен и его результатах.

 

Статьи:

Lookalike-домены и защита от них.

 

Как избежать ошибок в построении SOC. Лайфхаки от Тинькофф Банка.

 

Удаление Adobe Flash Player в Windows.

 

Полезные плагины для Burp Suite Professional.

 

Стоит ли устанавливать необязательное исправление Windows 10?

 

Настройки конфиденциальности в macOS (англ.).

 

Обзор бесплатных утилит для цифровой криминалистики (англ.).

 

Форензика: поиск следов взлома (англ.).

 

Журналы:

Infosecurity Magazine, Digital Edition, Q3, 2020, Volume 17, Issue 3.

 

Документы:

OUCH! Безопасность для разных поколений – декабрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

 

Аналитика:

The Prioritization to Prediction Report Series - отчеты посвящены теме по управлению уязвимостями. Источник: Kenna Security.

 

Ресурсы:

Видео с "Black Hat USA 2020".