Новости ИБ за 22 - 29 ноября 2013 года

Блоги:

Обзор кибератак за 1-15 ноября 2013г. (англ.).

Сергей Борисов описал персональные риски, которые могут возникнуть при несанкционированном доступе к вашему мобильному устройству.

Статьи:

Обзор корпоративных IPS-решений на российском рынке.

Эксперты «Лаборатории Касперского» опубликовали исследование вредоносного ПО VKCrаsh.exe и Neverquest.

Должностное лицо привлекли к административной ответственности за неправомерный отказ работнику организации в предоставлении информации, касающейся обработки его персональных данных.

Совершение административного правонарушения за непредставление в государственный орган информацию, необходимую Управлению для реализации его полномочий по ведению реестра операторов, осуществляющих обработку персональных данных.

Настройка анонимного серфинга в Mozilla Firefox.

Обзор Preliminary Cybersecurity Framework.

ФСБ рекомендует чиновникам перейти на отечественные сервисы электронной почты.

SANS подготовил сборник полезных ресурсов по разработке эксплойтов: методология, утилиты, ссылки (англ.).

Установка и настройка сканера уязвимостей OpenVAS.

Взлом SAP NetWeaver Portal.

Мероприятия:

Открытый конкурс научно-исследовательских работ, посвященных анализу криптографических качеств хэш-функции ГОСТ Р 34.11-2012.

ФСТЭК России предлагает рассмотреть проект методического документа «Меры по защите информации в государственных информационных системах» и направить предложения и замечанию по нему до 20 декабря 2013 г.

Ресурсы:

Noise Security Bit #2 [ZeroNights Edition]. Выпуск посвящен конференциям ZeroNights и PoC.

Презентации с конференции «Конкурентная разведка и аналитические системы для бизнеса и госсектора».

Учебный курс по эффективному лечению ОС Windows от вредоносных программ. Автор: VirusInfo.

Запись вебинара «DLP не софт, а решение задач заказчика».

Новости ИБ за 1 - 22 ноября 2013 года

Блоги:

Обзор кибератак за 16-31 октября 2013г. (англ.).

Сергей Борисов провел сравнительный анализ сканеров безопасности: MaxPatrol, QualysGuard, OUTSCAN и HIAB.

Алексей Комаров сравнил скорость и сложность применения парольной защиты при частой и редком разблокировании компьютера.

Статьи:

Извлечение данных из поврежденных мобильных устройств.

Основные методы атак на онлайн-банкинг (англ.).

Подборка ссылок на утилиты для пентестинга, форензики и хакинга (англ.).

Криминалистическое исследование sim-карт: структура файловой системы, безопасность, программы (англ.).

Основные классы уязвимостей гипервизора VMware vSphere и возможные пути защиты от их эксплуатации.

SANS подготовил сборник полезных ресурсов по тестированию на проникновение: программы, блоги и твиттеры пентестеров.

Как потерпеть неудачу, когда тебя назначили руководителем службы ИБ за 8 простых шагов?

Обзор онлайн-сервисов для DDoS-тестирования (нагрузочного тестирования).

Журналы:

Information Security/Информационная безопасность #5/2013.

Документы:

Отчет «Мобильная безопасность: от риска к выручке» - рассматриваются угрозы, которые представляет для бизнеса повсеместное распространение мобильных устройств, и возможности, которые это распространение открывает. Источник: КПМГ.

Hierarchy of Cybersecurity Needs. В отчете отражен аналог пирамиды потребностей по Маслоу для пользователей Интернета, который взят за основу при обеспечении кибербезопасности государства. Источник: Microsoft.

Руководство по анализу безопасности платформы SAP NetWeaver ABAP. В данном документе представлен детальный анализ самой распространенной платформы для бизнес-приложений. Авторы: Александр Поляков, Кирилл Никитенков.

20 критичных механизмов безопасности для эффективной защиты от киберугроз. Перевод документа «Twenty Critical Security Controls for Effective Cyber Defense».

Отчет «Безопасность информации в корпоративных информационных системах. Внутренние угрозы». Источник: аналитический Центр InfoWatch.

Стандарты финансовых операций. Унифицированные форматы электронных сообщений и бизнес процессы, применяемые для управления денежными средствами – проект национального стандарта РФ, предназначенный для унификации сообщений, применяемых для Управления денежными средствами.  Источник: Национальный платежный совет.

Ответы  на  вопросы,  связанные  с  применением  отдельных  норм Федерального  закона  от  27.06.2011  № 161-ФЗ  «О  национальной платежной  системе»,  Положения  Банка  России  от  24.12.2004  № 266-П «Об  эмиссии  платежных  карт  и  об  операциях,  совершаемых  с  их

использованием»  и  Положения  Банка  России  от  16.07.2012  № 385-П  «О правилах  ведения  бухгалтерского  учета  в  кредитных  организациях, расположенных на территории Российской Федерации». 

Application Security Guide For CISOs. В документе изложена информация по обоснованию затрат на безопасность приложений, управлению рисками безопасности приложений, созданию, поддержанию и улучшению программы безопасности приложений и пр. Автор: OWASP.

Законодательство:

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666 "Об утверждении критериев оценки материалов и (или) информации, необходимых для принятия решений Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой Российской Федерации по контролю за оборотом наркотиков, Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека о включении доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет", а также сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие запрещенную информацию, в единую автоматизированную информационную систему "Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено".

Программное обеспечение:

EMET 4.1 - это служебная программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении.

WebSurgery - набор инструментов для тестирования безопасности интернет-приложений.

САНТИ – открытый бесплатный веб-антивирус (см. обзор).

Аналитика:

Обзор вирусной активности в октябре 2013 года. Источник: Dr.Web.

Мобильные угрозы в октябре 2013 года. Источник: Dr.Web.

Обзор информационных угроз октября 2013 года. Источник: ESET.

Статистика кибератак за октябрь 2013г. (англ.). Источник: Hackmageddon.com.

Спам в третьем квартале 2013г. Источник: Лаборатория Касперского.

Развитие информационных угроз в третьем квартале 2013 года. Источник: Лаборатория Касперского.

Инциденты информационной безопасности в России за 3 квартал 2013 года. Источник: LETA.

Мероприятия:

Олимпиада по компьютерной криминалистике от Group-IB. Результаты исследования принимаются до 23 декабря 2013г.

Ресурсы:

Видеолекции от команды PentestIT, в которых продемонстрированы различные методики тестирования на проникновение (penetration testing).

Записи выступлений с Passwords^13 (Passwordscon), проходившей 30-31 июля 2013г. в Лас Вегасе.

Noise Security Bit Podcast (noisebit). В первом выпуске речь об Intercepter-NG, а так же эксклюзивная история об Эдварде Сноудэне.

Материалы с ZeroNight 2013.

Презентации с IV международной конференции «Защита персональных данных».

Новости ИБ за 25 октября – 1 ноября 2013 года

Блоги:

Обзор кибератак за 1-15 октября 2013г. (англ.).

Сергей Борисов рассмотрел перспективы использования Google-glass в сфере информационной безопасности, а Алексей Лукацкий – риски, связанные с использованием данных устройств.

Арбитражный спор, связанный с несанкционированным списанием денежных средств с расчетного счета клиента через систему ДБО.

Статьи:

Цифровая криминалистика: обнаружение редактирования фотографий с помощью метода «Error Level Analysis» (англ.).

Классификация инсайдеров и методы борьбы с ними.

Национальный платежный совет (НПС) намерен создать и легализовать единую негосударственную межбанковскую базу данных о потенциальных мошенниках.

DOS-атака и методы её предотвращения (англ.). 

Классификация вредоносных программ.

Три банковских сайта были заражены по схожему принципу заражения сайта PHP.NET.

Подборка полезных ссылок по информационной безопасности.

Журналы: 

PenTest Open Magazine 08/2013. 

Hacker5 Magazine October 2013. 

Документы: 

Microsoft Security Intelligence Report Volume 15 – отчет об уязвимостях и вредоносном ПО за первое полугодие 2013 года. 

Законодательство:

Приказ Федеральной службы государственной статистики (Росстат) от 20 августа 2013 г. N 329 г. «О перечне персональных данных, обрабатываемых в Федеральной службе государственной статистики в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций». Данный документ можно использовать как шаблон.

Программное обеспечение:

Lynis v1.3.1 – утилита для аудита безопасности в системах Unix / Linux.

Аналитика:

50 самых опасных хостов. Сентябрь 2013. Источники: Group-IB, HostExploit.

Статистика уязвимостей веб-приложений 2012 - данный отчет содержит обзорную статистику уязвимостей веб-приложений, полученную в ходе работ по анализу защищенности, выполненных экспертами компании Positive Technologies в 2012 году (см. краткий обзор).

Отчет «Лаборатории Касперского»: Java под ударом – эволюция эксплойтов в 2012-2013 гг.

Ресурсы:

Видео выступлений с PHDays 2013.

Видео. О мерах безопасности использования банковских карт

В данном случае это фейк, но в реальности подобные случаи встречаются.

Еще один пример из жизни, правда, связан с паспортными данными:

Кстати, по подобной фотографии Жерара Депардье записали на церемонию бракосочетания в Чертановском ЗАГСе Москвы.

Новости ИБ за 18 - 25 октября 2013 года

Статьи:

Список инструментов для компьютерной криминалистики (англ.).

TrueCrypt подвергнут независимому аудиту.

Сюжеты из кинофильмов, в которых засветилась утилита Nmap (англ.).

Законопроект «О персональных данных» успешно прошел рассмотрение в Совете Федерации + комментарии Михаила Емельянникова.

Взлом «Transcend WiFi SD»-карт. Статья написана с намерением поиска и использования багов, часть из которых позволяют аутентифицироваться под root’ом, а также для определения эксплоита, позволяющего это сделать.

Журналы:

Security Kaizen Magazine 11 Issue (oct./Dec. 2013) – журнал по информационной безопасности.

Документы:

Five Principles for Shaping Cybersecurity Norms - принципы, которые должны лежать в основе международных обсуждений по «нормам кибербезопасности» (англ.). Источник: Microsoft.

Глобальное исследование утечек конфиденциальной информации в I полугодии 2013 года. Источник: InfoWatch.

Статистика уязвимостей систем дистанционного банковского обслуживания (2011—2012). Источник: Positive Technologies.

Концепция работы с любыми устройствами (Any Device) Cisco - это планирование производительного, безопасного и конкурентоспособного будущего - рассматриваются этапы и бизнес-решения, которые лица, ответственные за информацию, безопасность, информационные технологии и разработку средств защиты информации, должны рассматривать в начале пути к использованию любых устройств.. Источник: Cisco.

Квартальный отчет PandaLabs (апрель - июнь 2013) - статистика угроз, полученная от облачной системы сканирования вредоносных программ, за 2 квартал.

Программное обеспечение:

FGscanner – perl-скрипт для поиска на веб-сервере скрытых страниц и каталогов, которые не индексируются.

Ghiro – утилита для цифровой криминалистики, позволяющая проводить анализ изображений.

mimikatz v2.0 - утилита для восстановления паролей в среде Windows.

OWASP Xenotix XSS Exploit Framework V4.5 – фреймворк для обнаружения и эксплуатации уязвимостей.

Аналитика:

Статистика кибератак за сентябрь 2013г. (англ.). Источник: Hackmageddon.com.

Спам в сентябре 2013. Источник: Лаборатория Касперского.

Ресурсы:

Презентации и записи выступлений с SecureWorld 2013.

Материалы с вебинара LETA «Создание в организации программы повышения осведомленности в области ИБ».

BugsCollector - база данных уязвимостей (см. описание сервиса).

Видеовыступления с Infobez-Expo 2013.

Digital Attack Map – карта DDOS-атак в режиме реального времени.

На сайте проекта "Так Безопасно!" опубликована новая партия картинок-плакатов-скринсейверов.

Популярно об информационной безопасности – проект от BISA (бывший DLP-Эксперт); сборник коротких видеолекций, повествующих об основах информационной безопасности.

Видео. Осведомленность работников в области информационной безопасности

Проведение самооценки по требованиям СТО БР ИББС-1.0

В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:

1. Оценка частного показателя не должна быть выше оценки уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.

2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:

М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4

Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.

3. На результат EV¹_ОЗПД влияют групповые показатели М1-М5, М8, М10, на EV²_ОЗПД - М1-М6, М8, М10, на EV_ООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EV_M6 - М6.

4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).

5. Устные свидетельства и наблюдения подтверждаются подписью опрашиваемого члена комиссии.

6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации, размещенной на сайте Банка России, круговых диаграмм должно быть две: 

- круговая диаграмма, содержащая 32 сектора, которые отражают оценки  групповых показателей;

- круговая диаграмма, содержащая 3 сектора, которые отражают оценки  по трем направлениям.

7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС‑1.0‑20хх» помимо оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих обработку персональных данных (EV_ООПД), оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС‑1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (EV¹_ОЗПД) и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС‑1.0 (R) необходимо также включить:

— если в ИСПДн используется СКЗИ — оценку степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (EV²_ОЗПД);

— если в ИСПДн не используется СКЗИ — оценку группового показателя М6 «Обеспечение информационной безопасности при использовании средств криптографической защиты информации» применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные» (EV_M6).

Хотелось также напомнить, что в соответствии с п.14 Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 необходимо направить в адрес ГУБЗИ  Центрального Банка России, откуда оно будет направлено регуляторам, но не позже 31 декабря (в дальнейшем – один раз в три года).

Автоматизация процесса самооценки по требованиям СТО БР ИББС-1.0 

xls-файл (см. инструкцию по использованию  от разработчика).

Формирование круговых диаграмм отображения результатов самооценки