Дайджест новостей по ИБ за 12 — 29 мая 2017 г.

Блоги:

Обзор ПП-555 от Алексея Лукацкого и Сергея Борисова.

Алексей Лукацкий рассказал, почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ.

Статьи:

Обзор кибератак с 01 по 15 апреля 2017 года от hackmageddon (англ.).

Windows XP снова под атакой: на этот раз используется эксплойт АНБ под названием «EsteemAudit».

Wikileaks опубликовала новые файлы из цикла Vault 7: AfterMidnight и Assassin.

В России будет сформирован единый портал персональных данных.

Цена бесплатных антивирусов.

Специалисты FinCERT стали участвовать в проверках банков.

Обзор рынка Security GRC в России.

Сравнение систем контроля действий привилегированных пользователей (PUM) 2017.

Информационная безопасность: образование и карьера.

Прокачай терминал! Полезные трюки, которые сделают тебя гуру консоли.

Как найти аккаунты и личные данные человека в сети.

Вскрываем Windows. Легкие способы получить права админа на компьютере.

Большие ожидания: почему технологиям UEBA не стать серебряной пулей.

Фишинг «своими руками». Опыт компании «Актив», часть первая.

Защита Windows от вируса-шифровальщика WannaCry (WannaCrypt, WCry и WanaCrypt0r 2.0).

AV-Comparatives: проактивная защита от шифровальщика WannaCry.

The European Banking Authority опубликовало руководство по оценке риска в области информационных и коммуникационных технологий (англ.).

Веб-шеллы на фишинговых сайтах (англ.).

Кража учетных данных Windows через scf-файл и Google Chrome (англ.).

Сравнение XML и JSON с точки зрения безопасности (англ.).

Законодательство:

Постановление от 18 мая 2017 года №596 "О мерах по сокращению затрат предпринимателей на содержание и обслуживание контрольно-кассовой техники".

Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и дейтельности по разработке и производсту средств защиты конфиденциальной информации за 2016 год.

Документы:

ГОСТ Р 57429-2017 «Судебная компьютерно-техническая экспертиза. Термины и определения».

Программное обеспечение/сервисы:

Netsim - игровой симулятор для обучения основам безопасного функционирования компьютерных сетей.

Обновлены продукты ProcDump v9, Autoruns v13.71, BgInfo v4.22, LiveKd v5.62, Process Monitor v3.33, Process Explorer v16.21.

file2pcap - инструмент для создания pcap-файла из файла, который потом можно использовать для создания или тестирования правил для Snort (см. описание).

PT BlackBox Scanner - сервис для выявления уязвимостей веб-приложений (см. описание).

Аналитика:

Безопасность АСУ ТП: итоги 2016 года - результаты анализа уязвимостей и доступных через сеть Интернет-компонентов АСУ ТП. Источник: Positive Technologies.

Развитие информационных угроз в первом квартале 2017 г. Источник: Лаборатория Касперского.

Мероприятия:

Принять участие в разработке Mobile Security Testing Guide (MSTG).

Ресурсы:

Видео с "NolaCon 2017".

Видео с "Converge 2017".

Видео с "BSides Detroit 2017".

Онлайн-курс «Функциональная безопасность компьютерных систем».

Частная модель угроз безопасности информации конфиденциального характера для банка

В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

Ранее многие банки использовали Отраслевую модель угроз безопасности ПДн, взятую из Рекомендации в области стандартизации ЦБР РС БР ИББС-2.4-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010). Но в связи с изданием информации Банка России от 30.05.2014 документ утратил силу. Сейчас её нужно разрабатывать самому.

Не многие знают, что с выходом Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" РС БР ИББС-2.9-2016 (РС БР ИББС-2.9-2016) произошла подмена понятий. Теперь при определении перечня категорий информации и перечня типов информационных активов рекомендуется ориентироваться на содержание п.6.3 и 7.2  РС БР ИББС-2.9-2016. Раньше это был п.4.4 Рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 (РС БР ИББС-2.2-2009). Я даже обращался в ЦБ за разъяснениями:

Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда.

В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

 

Определение актуальности угроза ИБ

Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009,  таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

• угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных - УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
• угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных - УБИ.175;
• угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных - УБИ.192;

В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

Актуальные угрозы источника угроз "Неблагоприятные события природного, техногенного и социального характера" можно определить, ориентируясь на статистику МЧС РФ о чрезвычайных ситуациях и пожарах.

Актуальные угрозы источника угроз "Террористы и криминальные элементы" можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей "Преступления в банковской сфере".

На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

За основу я взял таблицу "Отраслевая модель угроз безопасности ПДн" из РС БР ИББС-2.4-2010. Колонки "Источник угрозы" и "Уровень реализации угрозы" заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки "Типы объектов среды" и "Угроза безопасности". Последнюю я переименовал в "Последствия реализации угрозы", как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

В качестве примера рассмотрим "УБИ.192: Угроза использования уязвимых версий программного обеспечения":
Описание угрозы: угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
Источники угрозы: внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
Объект воздействия: прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
Последствия реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности.

Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка).

Перечень объектов среды я скомпоновал из п.7.3 РС БР ИББС-2.9-2016, п.4.5 РС БР ИББС-2.2-2009 и из описания УБИ. Уровни реализации угрозы представлены в п.6.2 СТО БР ИББС-1.0-2014.

Т.о. данная угроза затрагивает следующие уровни: уровень сетевых приложений и сервисов; уровень банковских технологических процессов и приложений.

Тоже самое проделал с другими угрозами ИБ.

В результате получилась такая таблица:

Частная модель угроз ИБ from Сергей Сторчак

P.S. Кстати, для создания моделей угроз можете использовать сервис Булата Шамсутдинова (с некоторыми оговорками, естественно). 
 

Дополнительная литература:

Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли от Минкомсвязи.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год.
Методический документ ФСТЭК России «Меры ЗИ в государственных ИС».

Дайджест новостей по ИБ за 21 апреля — 12 мая 2017 г.

Блоги:

Алексей Лукацкий в качестве государственно-частного партнерства привел пример последнего документа ФСТЭК по SOC; написал заметки про «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКИ» (часть 1, часть 2, часть 3).

Сергей Борисов рассмотрел требования по анализу уязвимостей ГИС в соответствии с приказом ФСТЭК России №17.

Андрей Прозоров поделился  своим твиттер-листом иностранных специалистов по ИБ.

Статьи:

Обзор инцидентов безопасности за периоды с 24 по 30 апреля 2017 года от securitylab.

Преступления в банковской сфере с 1 по 30 апреля 2017 года.

Обзор кибератак с 16 по 31 марта 2017 года от hackmageddon (англ.).

Обзор уязвимостей за 21 - 28 апреля, 28 апреля - 5 мая от US-CERT (англ.).

WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению.

Введение в криптографию и шифрование, часть первая.

Wikileaks опубликовал шестую части дампа Vault 7 под названием «Scribbles».

Проверяем работодателя. 4 вида мошенничества и способы борьбы с ними.

Сравнение веб-сканера сайтов Rescan.Pro с сервисами antivirus-alarm и 2ip.

Мобильные устройства в корпоративной среде: риски и угрозы XXI века.

Обзор инструментария и тренировочных площадок для повышения навыков по компьютерной криминалистике (форензике).

Как правильно настроить межсетевой экран или Check Point Security Best Practices.

Поисковик Shodan научили искать управляющие серверы малвари.

Борьба с ложными срабатываниями в продуктах от Лаборатории Касперского.

Как включить двухфакторную аутентификацию в TeamViewer.

Wap-Click: простой вариант поиметь (денег с) абонента.

Hacksplaining — интерактивный курс по веб-уязвимостям.

Уязвимость в протоколе SS7 уже несколько лет используют для перехвата SMS и обхода двухфакторной аутентификации.

Приложение-ловушка: удивительный мир ботов Tinder.

Стартап Nomx, предлагающий защищенное железо для email-серверов, использует устаревшее ПО и содержит уязвисти.

Угрозы для беспроводной корпоративной сети WPA2-Enterprise и способы защиты.

Использование DNS-туннеля для связи с C&C.

StringBleed – обход SNMP-аутентификации в маршрутизаторах различных производителей.

OWASP TOP-10 2017: помогает ли оно создавать более безопасные приложения? (англ.).

Добавление DNS-записей типа CAA станет частью процесса выдачи сертификата (англ.).

Обновления для  Microsoft Office в Windows 7, 8.1 и 10 (англ.).

Поиск через Shodan прямой трансляции с беспилотников (англ.).

Выполнение VBScript через форму в Outlook (англ.).

Насколько безопасны мобильные банковские приложения?

Использование надстроек Microsoft Office 2013 в качестве вектора заражения и метода сохранения состояния (persistence techniques).

Документы:

OUCH! Безопасность детей в сети – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:

threat-model.com - сервис создания моделей угроз.

Kali Linux 2017.1 - дистрибутив для тестирования на проникновение.

Gixy — open source от Яндекса, который сделает конфигурирование Nginx безопасным.

Обновлены продукты Sysmon v6, Autoruns v13.7, AccessChk v6.1, Process Monitor v3.32, Process Explorer v16.2, LiveKd v5.61 и BgInfo v4.21.

Аналитика:

DDoS-атаки в первом квартале 2017 года. Источник: Лаборатория Касперского.

Спам и фишинг в первом квартале 2017 года. Источник: Лаборатория Касперского.

Атаки на веб-приложения 2016 -  данные, полученные в ходе пилотных проектов по внедрению межсетевого экрана прикладного уровня PT Application Firewall в 2016 году (см. краткий обзор). Источник: Positive Technologies.

Мероприятия:

15 июля 2017 в Орле состоится «Pentestit Security Conference 2017».

Ресурсы:

Презентации с «OPCDE DXB 2017».

Презентации с «HITBSecConf2017 – Amsterdam».

Видео с «OWASP AppSec California 2017».

Видео с «BSidesCharm 2017».

Видео с «BSides Nashville 2017».

Мастер-класс «Процесс организации борьбы с фишингом» от Алексея Лукацкого.

Видео «Правоприменительная практика в области персональных данных» от «ДиалогНаука».

findsecuritysolution.net - критерии выбора поставщика услуг нейтрализации DDoS-атак (см. описание).

ИБшнику (МФИ Софт) - подкаст эксперта по информационной безопасности МФИ Софт Александра Суханова.

Мой доклад "Веб-сервисы на страже безопасности"

[обновлено 05.05.2017г.] 
Выкладываю материалы своего выступления на "Rostov Security Meetup #2" от 29.04.2017

Веб-сервисы на страже безопасности from Сергей Сторчак

Материалы других спикеров можно найти в группе vk.com/ibrostov

P.S. выступал с докладом впервые, поэтому немного перенервничал из-за чего спешил и оговаривался. 

Дайджест новостей по ИБ за 07 — 21 апреля 2017 г.

Блоги:

Комментарии Натальи Храмцовской к Федеральному закону от 28 марта 2017 года № 46-ФЗ «О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации», позволяющего транслировать в Интернет судебного заседания по уголовному делу.

Сергей Борисов описал причины, по которым методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн не подходит для моделирования угроз ГИС.

Впечатления Евгения Олькова о "Cisco Connect 2017".

Статьи:

Обзор кибератак с 01 по 15 марта 2017 года от hackmageddon (англ.).

Обзор инцидентов безопасности за периоды с 03 по 09 апреля, с 10 по 16 апреля  2017 года от securitylab.

Обзор уязвимостей за 31 марта - 07 апреля от US-CERT (англ.).

The Shadow Brokers опубликовали еще одну порцию хакерских инструментов АНБ + анализ дампа от Nettitude Labs.

Wikileaks опубликовала данные о Grasshopper - инструменте ЦРУ для создания Windows-малвари.

Узявимости 1С-Битрикс.

Форма обратной связи может нарушать закон о персональных данных и стать причиной блокировки сайта.

Обновился список TOP-10 уязвимостей от OWASP.

SIEM — слабое звено в сетевой обороне.

Аудит уязвимостей с помощью Vulners.

Наиболее любопытные моменты из отчета о деятельности Lazarus.

Методы обхода защитных средств веб-приложений при эксплуатации SQL-инъекций, XSS-векторов.

Об опасностях беспроводных клавиатур и мышей.

Интеграция ИС с ЕСИА посредством SAML 2.0.

Взлом замков методом бампинга.

Восстановление данных с RAW-раздела с помощью TestDisk.

SE Labs: динамическое тестирование антивирусов. 1 квартал 2017 года.

AV-Comparatives: динамическое тестирование антивирусов. Март 2017.

AV-Comparatives: тестирование защиты от вредоносных программ. Март 2017.

AV-Test: тестирование программ для резервного копирования. Страховка от шифровальщиков.

AV-Test: лучшие антивирусы для Android. Март 2017.

У InfoWatch утекла база клиентов. Компания утверждает, что размещенные данные не соответствуют действительности, а сама «утечка» является итогом компиляции не принадлежащих компании данных.

Исследование Intel Boot Guard.

Гарантированное уничтожение информации c SSD.

Chrome, Firefox и Opera уязвимы перед фишинговой техникой и Unicode в именах доменов.

Начало работы с вооружением WMI: административные задачи; восстановление ntds.dit с помощью службы теневого копирования тома (англ.).

"Тестовые войны" в антивирусной индустрии (англ.).

Обнаружение удаленного выполнения команд (RCE) с помощью Sysmon, журналов событий Windows и ELK (англ.).

Обновилась FORTIFY - функция безопасности для Android (англ.).

Законодательство:

Обновлен перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79. Источник: ФСТЭК России.

Программное обеспечение/сервисы:

Koodous - веб-платформа для исследования вредоносных Android-приложений, позволюящая в том числе обмениваться информацией между ИБ-аналитиками (аналог VirusTotal для APK-файлов).

TestMyAV - набор вредоносов для "независимого" тестирования антивирусных средств защиты.

Аналитика:

Доклад об осуществлении государственного контроля (надзора) и об эффективности такого контроля (надзора) за 2016 год. Источник: Роскомнадзор.

Мероприятия:

Конкурс от журнала «Хакер»: расскажи об интересном хаке, трюке или программе и получи подписку!

29 апреля в 18:00 в Южном IT-парке (Ростов-на-Дону, ул. Суворова ул. 91) состоится Security meetup #2.

Принять участие в опросе «Защита корпоративных сетей в России – 2017».

Ресурсы:

Презентации с встречи московского отделения ISACA по Security Awareness.

Презентации с VI Форума АЗИ «Актуальные вопросы информационной безопасности».

Материалы c "Russian Open Source Summit 2017" (см. секцию 3. «Информационная безопасность»).

Видео с "AIDE 2017".

Дайджест новостей по ИБ за 03 — 07 апреля 2017 г.

Статьи:

Обзор инцидентов безопасности за период с 27 марта по 02 апреля 2017 года.

Обзор уязвимостей за 24 марта - 01 апреля от US-CERT (англ.).

Splunk + Check Point, пример анализа логов вашего фаервола.

ATMitch: зловред для удаленного управления банкоматами.

Хакеры захватили DNS-инфраструктуру банка, скомпрометировав 36 доменов.

Улучшенные инструменты конфиденциальности в Windows 10: больше прозрачности и настроек.

«Прослушка» беспроводных клавиатур и мышей. Как защититься от атак.

Справочник пентестера по основным командам и утилитам. Часть 2.

Настройка резервного копирования информации в облако Microsoft Azure Backup.

Microsoft отказалась исправлять уязвимость нулевого дня CVE-2017-7269 в ОС Windows Server 2003.

Ошибки установки Windows 10 Creators Update и их решения.

Определение численности российских войск на Южных Курилах при помощи материалов в открытом доступе.

Введение в Security GRC.

Как использовать средство проверки системных файлов (System File Checker, SFC) для восстановления системных файлов Windows 10.

Исследователи рассказали об атаках Bluenoroff - «дочке» группы хакеров Lazarus.

Сравнение списков от Alexa и Cisco Umbrella для использования в качестве белых списков (англ.).

Как Windows обрабатывает Unicode (англ.).

Начало работы с вооружением WMI: краткая история; изучение классов, свойств и методов WMI (англ.).

VirusTotal хранит загружаемые для проверки файлы (в том числе содержащие чувствительную информацию), которые могут быть доступны злоумышленникам (англ.).

Документы:

OUCH! Парольные фразы – апрельский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Lazarus Under The Hood - отчет об известной деятельности Lazarus. Источник: Лаборатория Касперского/

Программное обеспечение/сервисы:

USB Canary - утилита под Linux, которая позволяет контролировать устройства, подключенные по USB (см. обзор).

hashcat v3.5.0 - утилита для восстановления паролей.

Аналитика:

«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2017 года.

Динамика и особенности импортозамещения в информационной безопасности (апрель 2017г.) - результаты опроса по импортозамещению в сфере ИБ. Источник: Код безопасности.

Кибербезопасность в России. Исследование - результат опроса среди профессионалов в сфере кибербезопасности о применяемых методологиях обеспечения безопасности. Источник: Cisco.

Отчет Cisco по информационной безопасности за 2017 год - отчет содержит исследования, выводы и перспективы в области кибербезопасности за 2017 год. Источник: Cisco.

Неправительственный доклад Международной Агоры. Свобода интернета 2016: на военном положении - доклад посвящен обзору ограничений свободы интернета в России, полученных в результате постоянного мониторинга ситуации, проводившегося на протяжении 2016 года. Источник: itzashita.ru

Мероприятия:

27.04.2017, 23.05.2017, 19.06.2017 Управление Роскомнадзора по Ростовской области проведет бесплатные семинары по теме: «Практика применения Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Ресурсы:

Материaлы конференции "BIS Summit St. Petersburg 2017".

Дайджест новостей по ИБ за 27 марта – 3 апреля 2017 г.

Блоги:

Брюс Шнайер осветил проблему автоматизации реагирования на инциденты безопасности (англ.).

Результаты опроса "Популярные утилиты и техники атак" от Барта Блейза (Bart Blaze).

Статьи:

Преступления в банковской сфере 27 февраля 2017 - 30 марта 2017.

Обзор инцидентов безопасности за период с 20 по 16 марта 2017 года от securitylab. 

Обзор судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации». Штрафы за работу без лицензии ФСБ.

Импортозамещение антивирусов для рабочих станций в России. Выбираем варианты миграции.

Ошибки «умной» медицины.

Кросс-браузерные методы слежения.

Руководство по работе с Apache/ModSecurity (англ.).

Список опенсорсных межсетевых экранов уровня приложений (Web Application Firewall'ов) (англ.).

Morphisec обнаружила новый фреймворк для совершения бесфайловых атак (англ.).

Журналы:

eForensics OPEN: 2016 Compilation - номер включает ряд статей, опубликованных в 2016 году. Источник: eForensics

!Безопасность Деловой Информации № 17. Тема номера: "Киберстойчивость".

(IN)SECURE Magazine № 53 (март 2017). Тема номера: "2017: The new frontier".

Вопросы кибербезопасности № 19.

Документы:
OWASP Mobile Security Testing Guide - руководство по тестированию безопасности мобильных приложений.

iOS Security (iOS 10) - документ содержит подробную информацию о функциях и технологиях безопасности, реализованных в iOS 10. Источник: Apple

Аналитика:

Анализ судебной практики за 2016 год по спорам в результате хищений через каналы ДБО. Источник: RTM Group

Ответы на часто задаваемые вопросы по программе Associate Qualified Security Assessor (QSA). Источник: PCI Security Standards Council

Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2016. Источник: Лаборатория Касперского.

Ресурсы:

Видео с "Bloomcon 2017".

Видео с "Cyphercon 2.0".

Видео с "BSides NOVA 2017".

Видео с "BSides Indy 2017".

Видео с "BSides Tampa 2017".