Дайджест новостей по ИБ за 29 мая — 16 июня 2017 г.

Блоги:

Впечатления о «PHDays VII» от Алексея Лукацкого.

Андрей Прозоров описал базовые принципы People-Centric Security (PCS).

Сергей Борисов опубликовал ответы ФСБ относительно выполнения Инструкции ФАПСИ №152.

Впечатление о "Противостояние" на Positive Hack Days VII от Андрея Дугина (часть 1, часть 2), Solar Security, ЦАРКА Казахстан, Перспективный мониторинг и других участников.

Статьи:

Обзор инцидентов безопасности за периоды с 22 по 28 мая, с 29 мая по 4 июня, с 12 по 18 июня 2017 года от securitylab.

Антифишинг-дайджест c 25 мая по 1 июня, cо 2 по 8 июня, c 9 по 15 июня 2017 года.

Нигерийский фишинг: атаки на промышленные компании.

WannaCry в промышленных сетях: работа над ошибками.

Специалисты Group-IB доказали связь Lazarus с Северной Кореей и изучили инструментарий группы.

Фишинг «своими руками». Опыт компании «Актив», часть вторая.

Технический комитет Центробанка России подготовил ГОСТ в сфере ИБ для финансовых организаций.

Почему ФСТЭК почти не проверяет участников ВЭД?

Wikileaks опубликовал информацию об инструментарии из дампа Vault 7 под названием CherryBlossom – многоцелевом фреймворке для взлома домашних роутеров.

Поддельные (фейковые) новости.

AV-Test: тестирование 13 корпоративных антивирусов для Windows 10.

AV-Comparatives: динамическое тестирование антивирусов. Май 2017.

Cloak and Dagger: дыра во всех версиях Android.

Подготовка платформы для Check Point Security CheckUP R80.10 и его настройка.

Роутеры, векторы атак и другие приключения Шурика.

HexRaysPyTools: декомпилируй с удовольствием.

Ошибка 0x8024401c в Windows 10 при поиске обновлений на WSUS.

Тест российских средств электронной подписи и шифрования документов.

Внедрение DLP-системы на предприятии.

Win32/Industroyer: новая угроза для промышленных систем управления.

US-CERT. Hidden Cobra - инфраструктура северокорейского ботнета для проведения DDoS-атак.

Настройки двухфакторной аутентификации по смарт-картам и USB-токенам JaCarta PKI на основе цифровых сертификатов X.509 в OpenVPN.

Внедрение SSL-сертификата (Certificate pinning) для Android и iOS: защита от атаки «человек посередине» (англ.).

Бесплатные инструменты для проверки безопасности учетной записи AWS (англ.).

Подборка веб-ресурсов для повышения навыков по хакингу (англ.).

Google анонсировал  reCAPTCHA Android API (англ.).

Обход NGFW/WAF с помощью обфускации формата данных (англ.).

Как извлечь пароль из браузера? (англ.).

Журналы:

OUCH! Уроки WannaCry – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Infosecurity Magazine, Digital Edition, Q2, 2017, Volume 14, Issue 2.

Законодательство:

О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ. Источник: ФСБ РФ.

Заявление руководителя Роскомнадзора Александра Жарова: о «дырах» в системе блокировок Роскомнадзором запрещенной информации в сети Интернет.

Программное обеспечение/сервисы:

pwned - консольная утилита для доступа к сервису Троя Ханта (Troy Hunt) "Have I been pwned?".

Лицензия на анализатор PVS-Studio для специалистов по информационной безопасности.

TAILS v3.0 - Debian-дистрибутив для обеспечения приватности и анонимности в сети.

Nmap 7.50 - сканер безопасности.

ICS-Security-Tools - репозиторий c полезным материалом по безопасности АСУ ТП (ICS)

Аналитика:

Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2017 года.

Rapid7 Threat Report Q1 2017 -  отчет о ландшафте угроз для организаций за отчетный период. Источник: Rapid7.

Утечки данных. Россия. 2016 год - отчет об исследовании инцидентов, связанных с компрометацией информации ограниченного доступа, зафиксированных в российских коммерческих и некоммерческих компаниях, государственных органах и организациях в 2016 году и обнародованных в СМИ, блогах, социальных сетях. Источник: InfoWatch.

Корпоративные информационные системы: тестирование на проникновение. Сценарии атак - в отчете представлены типовые сценарии атак, которые успешно моделировались в тестированиях на проникновение за последние три года. Источник: Positive Technologies.

2017 Security Awareness Report - результаты опроса специалистов по ИБ. Источник: SANS.

Ресурсы:

Security Onion Cheat Sheet.

 

Видео с "AppSec EU 2017".

Видео с "ShowMeCon 2017".

Видео с "Circle City Con 2017".

Материалы с "IT&Security Forum 2017".

Материалы с "РусКрипто 2017".

Юмор. Дезинформация

Наткнулся на видео с интересным названием "Канал Порошенко слил мои личные данные в эфире". Решил его просмотреть.

Я не знаю, кто такой Анатолий Шарий (кажется, известный блогер), но видео эпичное.

Рекомендую всем досмотреть до конца!  

Дайджест новостей по ИБ за 12 — 29 мая 2017 г.

Блоги:

Обзор ПП-555 от Алексея Лукацкого и Сергея Борисова.

Алексей Лукацкий рассказал, почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ.

Статьи:

Обзор кибератак с 01 по 15 апреля 2017 года от hackmageddon (англ.).

Windows XP снова под атакой: на этот раз используется эксплойт АНБ под названием «EsteemAudit».

Wikileaks опубликовала новые файлы из цикла Vault 7: AfterMidnight и Assassin.

В России будет сформирован единый портал персональных данных.

Цена бесплатных антивирусов.

Специалисты FinCERT стали участвовать в проверках банков.

Обзор рынка Security GRC в России.

Сравнение систем контроля действий привилегированных пользователей (PUM) 2017.

Информационная безопасность: образование и карьера.

Прокачай терминал! Полезные трюки, которые сделают тебя гуру консоли.

Как найти аккаунты и личные данные человека в сети.

Вскрываем Windows. Легкие способы получить права админа на компьютере.

Большие ожидания: почему технологиям UEBA не стать серебряной пулей.

Фишинг «своими руками». Опыт компании «Актив», часть первая.

Защита Windows от вируса-шифровальщика WannaCry (WannaCrypt, WCry и WanaCrypt0r 2.0).

AV-Comparatives: проактивная защита от шифровальщика WannaCry.

The European Banking Authority опубликовало руководство по оценке риска в области информационных и коммуникационных технологий (англ.).

Веб-шеллы на фишинговых сайтах (англ.).

Кража учетных данных Windows через scf-файл и Google Chrome (англ.).

Сравнение XML и JSON с точки зрения безопасности (англ.).

Законодательство:

Постановление от 18 мая 2017 года №596 "О мерах по сокращению затрат предпринимателей на содержание и обслуживание контрольно-кассовой техники".

Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и дейтельности по разработке и производсту средств защиты конфиденциальной информации за 2016 год.

Документы:

ГОСТ Р 57429-2017 «Судебная компьютерно-техническая экспертиза. Термины и определения».

Программное обеспечение/сервисы:

Netsim - игровой симулятор для обучения основам безопасного функционирования компьютерных сетей.

Обновлены продукты ProcDump v9, Autoruns v13.71, BgInfo v4.22, LiveKd v5.62, Process Monitor v3.33, Process Explorer v16.21.

file2pcap - инструмент для создания pcap-файла из файла, который потом можно использовать для создания или тестирования правил для Snort (см. описание).

PT BlackBox Scanner - сервис для выявления уязвимостей веб-приложений (см. описание).

Аналитика:

Безопасность АСУ ТП: итоги 2016 года - результаты анализа уязвимостей и доступных через сеть Интернет-компонентов АСУ ТП. Источник: Positive Technologies.

Развитие информационных угроз в первом квартале 2017 г. Источник: Лаборатория Касперского.

Мероприятия:

Принять участие в разработке Mobile Security Testing Guide (MSTG).

Ресурсы:

Видео с "NolaCon 2017".

Видео с "Converge 2017".

Видео с "BSides Detroit 2017".

Онлайн-курс «Функциональная безопасность компьютерных систем».

Частная модель угроз безопасности информации конфиденциального характера для банка

В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

Ранее многие банки использовали Отраслевую модель угроз безопасности ПДн, взятую из Рекомендации в области стандартизации ЦБР РС БР ИББС-2.4-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010). Но в связи с изданием информации Банка России от 30.05.2014 документ утратил силу. Сейчас её нужно разрабатывать самому.

Не многие знают, что с выходом Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" РС БР ИББС-2.9-2016 (РС БР ИББС-2.9-2016) произошла подмена понятий. Теперь при определении перечня категорий информации и перечня типов информационных активов рекомендуется ориентироваться на содержание п.6.3 и 7.2  РС БР ИББС-2.9-2016. Раньше это был п.4.4 Рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 (РС БР ИББС-2.2-2009). Я даже обращался в ЦБ за разъяснениями:

Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда.

В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

 

Определение актуальности угроза ИБ

Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009,  таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

• угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных - УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
• угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных - УБИ.175;
• угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных - УБИ.192;

В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

Актуальные угрозы источника угроз "Неблагоприятные события природного, техногенного и социального характера" можно определить, ориентируясь на статистику МЧС РФ о чрезвычайных ситуациях и пожарах.

Актуальные угрозы источника угроз "Террористы и криминальные элементы" можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей "Преступления в банковской сфере".

На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

За основу я взял таблицу "Отраслевая модель угроз безопасности ПДн" из РС БР ИББС-2.4-2010. Колонки "Источник угрозы" и "Уровень реализации угрозы" заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки "Типы объектов среды" и "Угроза безопасности". Последнюю я переименовал в "Последствия реализации угрозы", как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

В качестве примера рассмотрим "УБИ.192: Угроза использования уязвимых версий программного обеспечения":
Описание угрозы: угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
Источники угрозы: внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
Объект воздействия: прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
Последствия реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности.

Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка).

Перечень объектов среды я скомпоновал из п.7.3 РС БР ИББС-2.9-2016, п.4.5 РС БР ИББС-2.2-2009 и из описания УБИ. Уровни реализации угрозы представлены в п.6.2 СТО БР ИББС-1.0-2014.

Т.о. данная угроза затрагивает следующие уровни: уровень сетевых приложений и сервисов; уровень банковских технологических процессов и приложений.

Тоже самое проделал с другими угрозами ИБ.

В результате получилась такая таблица:

Частная модель угроз ИБ from Сергей Сторчак

P.S. Кстати, для создания моделей угроз можете использовать сервис Булата Шамсутдинова (с некоторыми оговорками, естественно). 
 

Дополнительная литература:

Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли от Минкомсвязи.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год.
Методический документ ФСТЭК России «Меры ЗИ в государственных ИС».

Дайджест новостей по ИБ за 21 апреля — 12 мая 2017 г.

Блоги:

Алексей Лукацкий в качестве государственно-частного партнерства привел пример последнего документа ФСТЭК по SOC; написал заметки про «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКИ» (часть 1, часть 2, часть 3).

Сергей Борисов рассмотрел требования по анализу уязвимостей ГИС в соответствии с приказом ФСТЭК России №17.

Андрей Прозоров поделился  своим твиттер-листом иностранных специалистов по ИБ.

Статьи:

Обзор инцидентов безопасности за периоды с 24 по 30 апреля 2017 года от securitylab.

Преступления в банковской сфере с 1 по 30 апреля 2017 года.

Обзор кибератак с 16 по 31 марта 2017 года от hackmageddon (англ.).

Обзор уязвимостей за 21 - 28 апреля, 28 апреля - 5 мая от US-CERT (англ.).

WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению.

Введение в криптографию и шифрование, часть первая.

Wikileaks опубликовал шестую части дампа Vault 7 под названием «Scribbles».

Проверяем работодателя. 4 вида мошенничества и способы борьбы с ними.

Сравнение веб-сканера сайтов Rescan.Pro с сервисами antivirus-alarm и 2ip.

Мобильные устройства в корпоративной среде: риски и угрозы XXI века.

Обзор инструментария и тренировочных площадок для повышения навыков по компьютерной криминалистике (форензике).

Как правильно настроить межсетевой экран или Check Point Security Best Practices.

Поисковик Shodan научили искать управляющие серверы малвари.

Борьба с ложными срабатываниями в продуктах от Лаборатории Касперского.

Как включить двухфакторную аутентификацию в TeamViewer.

Wap-Click: простой вариант поиметь (денег с) абонента.

Hacksplaining — интерактивный курс по веб-уязвимостям.

Уязвимость в протоколе SS7 уже несколько лет используют для перехвата SMS и обхода двухфакторной аутентификации.

Приложение-ловушка: удивительный мир ботов Tinder.

Стартап Nomx, предлагающий защищенное железо для email-серверов, использует устаревшее ПО и содержит уязвисти.

Угрозы для беспроводной корпоративной сети WPA2-Enterprise и способы защиты.

Использование DNS-туннеля для связи с C&C.

StringBleed – обход SNMP-аутентификации в маршрутизаторах различных производителей.

OWASP TOP-10 2017: помогает ли оно создавать более безопасные приложения? (англ.).

Добавление DNS-записей типа CAA станет частью процесса выдачи сертификата (англ.).

Обновления для  Microsoft Office в Windows 7, 8.1 и 10 (англ.).

Поиск через Shodan прямой трансляции с беспилотников (англ.).

Выполнение VBScript через форму в Outlook (англ.).

Насколько безопасны мобильные банковские приложения?

Использование надстроек Microsoft Office 2013 в качестве вектора заражения и метода сохранения состояния (persistence techniques).

Документы:

OUCH! Безопасность детей в сети – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:

threat-model.com - сервис создания моделей угроз.

Kali Linux 2017.1 - дистрибутив для тестирования на проникновение.

Gixy — open source от Яндекса, который сделает конфигурирование Nginx безопасным.

Обновлены продукты Sysmon v6, Autoruns v13.7, AccessChk v6.1, Process Monitor v3.32, Process Explorer v16.2, LiveKd v5.61 и BgInfo v4.21.

Аналитика:

DDoS-атаки в первом квартале 2017 года. Источник: Лаборатория Касперского.

Спам и фишинг в первом квартале 2017 года. Источник: Лаборатория Касперского.

Атаки на веб-приложения 2016 -  данные, полученные в ходе пилотных проектов по внедрению межсетевого экрана прикладного уровня PT Application Firewall в 2016 году (см. краткий обзор). Источник: Positive Technologies.

Мероприятия:

15 июля 2017 в Орле состоится «Pentestit Security Conference 2017».

Ресурсы:

Презентации с «OPCDE DXB 2017».

Презентации с «HITBSecConf2017 – Amsterdam».

Видео с «OWASP AppSec California 2017».

Видео с «BSidesCharm 2017».

Видео с «BSides Nashville 2017».

Мастер-класс «Процесс организации борьбы с фишингом» от Алексея Лукацкого.

Видео «Правоприменительная практика в области персональных данных» от «ДиалогНаука».

findsecuritysolution.net - критерии выбора поставщика услуг нейтрализации DDoS-атак (см. описание).

ИБшнику (МФИ Софт) - подкаст эксперта по информационной безопасности МФИ Софт Александра Суханова.

Мой доклад "Веб-сервисы на страже безопасности"

[обновлено 05.05.2017г.] 
Выкладываю материалы своего выступления на "Rostov Security Meetup #2" от 29.04.2017

Веб-сервисы на страже безопасности from Сергей Сторчак

Материалы других спикеров можно найти в группе vk.com/ibrostov

P.S. выступал с докладом впервые, поэтому немного перенервничал из-за чего спешил и оговаривался. 

Дайджест новостей по ИБ за 07 — 21 апреля 2017 г.

Блоги:

Комментарии Натальи Храмцовской к Федеральному закону от 28 марта 2017 года № 46-ФЗ «О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации», позволяющего транслировать в Интернет судебного заседания по уголовному делу.

Сергей Борисов описал причины, по которым методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн не подходит для моделирования угроз ГИС.

Впечатления Евгения Олькова о "Cisco Connect 2017".

Статьи:

Обзор кибератак с 01 по 15 марта 2017 года от hackmageddon (англ.).

Обзор инцидентов безопасности за периоды с 03 по 09 апреля, с 10 по 16 апреля  2017 года от securitylab.

Обзор уязвимостей за 31 марта - 07 апреля от US-CERT (англ.).

The Shadow Brokers опубликовали еще одну порцию хакерских инструментов АНБ + анализ дампа от Nettitude Labs.

Wikileaks опубликовала данные о Grasshopper - инструменте ЦРУ для создания Windows-малвари.

Узявимости 1С-Битрикс.

Форма обратной связи может нарушать закон о персональных данных и стать причиной блокировки сайта.

Обновился список TOP-10 уязвимостей от OWASP.

SIEM — слабое звено в сетевой обороне.

Аудит уязвимостей с помощью Vulners.

Наиболее любопытные моменты из отчета о деятельности Lazarus.

Методы обхода защитных средств веб-приложений при эксплуатации SQL-инъекций, XSS-векторов.

Об опасностях беспроводных клавиатур и мышей.

Интеграция ИС с ЕСИА посредством SAML 2.0.

Взлом замков методом бампинга.

Восстановление данных с RAW-раздела с помощью TestDisk.

SE Labs: динамическое тестирование антивирусов. 1 квартал 2017 года.

AV-Comparatives: динамическое тестирование антивирусов. Март 2017.

AV-Comparatives: тестирование защиты от вредоносных программ. Март 2017.

AV-Test: тестирование программ для резервного копирования. Страховка от шифровальщиков.

AV-Test: лучшие антивирусы для Android. Март 2017.

У InfoWatch утекла база клиентов. Компания утверждает, что размещенные данные не соответствуют действительности, а сама «утечка» является итогом компиляции не принадлежащих компании данных.

Исследование Intel Boot Guard.

Гарантированное уничтожение информации c SSD.

Chrome, Firefox и Opera уязвимы перед фишинговой техникой и Unicode в именах доменов.

Начало работы с вооружением WMI: административные задачи; восстановление ntds.dit с помощью службы теневого копирования тома (англ.).

"Тестовые войны" в антивирусной индустрии (англ.).

Обнаружение удаленного выполнения команд (RCE) с помощью Sysmon, журналов событий Windows и ELK (англ.).

Обновилась FORTIFY - функция безопасности для Android (англ.).

Законодательство:

Обновлен перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79. Источник: ФСТЭК России.

Программное обеспечение/сервисы:

Koodous - веб-платформа для исследования вредоносных Android-приложений, позволюящая в том числе обмениваться информацией между ИБ-аналитиками (аналог VirusTotal для APK-файлов).

TestMyAV - набор вредоносов для "независимого" тестирования антивирусных средств защиты.

Аналитика:

Доклад об осуществлении государственного контроля (надзора) и об эффективности такого контроля (надзора) за 2016 год. Источник: Роскомнадзор.

Мероприятия:

Конкурс от журнала «Хакер»: расскажи об интересном хаке, трюке или программе и получи подписку!

29 апреля в 18:00 в Южном IT-парке (Ростов-на-Дону, ул. Суворова ул. 91) состоится Security meetup #2.

Принять участие в опросе «Защита корпоративных сетей в России – 2017».

Ресурсы:

Презентации с встречи московского отделения ISACA по Security Awareness.

Презентации с VI Форума АЗИ «Актуальные вопросы информационной безопасности».

Материалы c "Russian Open Source Summit 2017" (см. секцию 3. «Информационная безопасность»).

Видео с "AIDE 2017".