Ведущие эксперты в области информационной безопасности поделятся мнением о новостях последних дней.
Почти 50% действий хакеров сложно отличить от активности пользователей
| Специалисты компании Positive Technologies поделились результатами внутреннего тестирования на проникновение. В ходе пентестов эксперты выяснили, что почти 50% всех действий киберпреступников могут ничем не отличаться от обычной деятельности пользователей и администраторов. |
Если мы говорим о том как видны, на первый взгляд, несвязанные действия хакера в информационной системе. То может показаться, что это ряд стандартных действий системы или легального пользователя. Однако есть множество систем позволяющих строить корреляции этих событий, выискивать аномалии и идентифицировать данные действия как подозрительные (это как минимум). Например при помощи систем типа UEBA, SIEM, NGFW, NAD.
Если компания не проводила ранее такого типа работ как тестирование на проникновение результат работы пентестеров может быть стремительным, но вполне ожидаемым. Однако если компания Заказчика готова и имеет SOC и опыт противодействия злоумышленникам проект превращается в шахматную партию.
Можем отметить, что главным итогом работ по проведению тестирования на проникновение является разработка дорожной карты построения процессов информационной безопасности и внедрения необходимых технологий защиты. После построение системы защиты команда Заказчика должна быть готовой не только противостоять базовым техникам пентестеров но и иметь возможность фиксировать и отражать методы скрытого обхода систем защиты используемые RedTeam.
Руководитель направления ИБ , Максим Прокопов
В России хотят увеличить штрафы за утечку персональных данных в 10 раз
В России предлагают увеличить максимальные штрафы за утечку персональных данных. Согласно проекту новой редакции КоАП, размещённому на ресурсе regulation.gov.ru, штрафы могут вырасти с 50 до 500 тысяч рублей для юридических лиц, с 20 до 300 тыс. для ИП, для должностных лиц — с 10 до 100 тысяч, обычных граждан — с 2 тыс. до 20 тыс. |
Мне кажется это хорошей идеей, особенно если учесть количество утечек персональных данных за последние 5 лет. Facebook и Google стабильно штрафуют на крупные суммы за нарушение GDPR и это позволяет им развиваться в сфере информационной безопасности. У Банков РФ утечки ПДн происходят гораздо чаще, только штрафы за нарушение ФЗ-152 гораздо меньше, чем нарушение GDPR. Судебная практика показывает, что Роскомнадзор и суды не горят желанием штрафовать за нарушение обработки ПДн и многие компании отделываются предупреждением, а потом в новостях мы видим, как в очередной раз люди находят документы, содержащие ПДн, на свалках. Быть может высокие штрафы позволят крупным юр. лицам заботиться тщательнее о безопасности ПДн.
Руководитель отдела аналитики ГК Axxtel , Анастасия Голдобина
ФСБ выступила против расширенного использования биометрии россиян
| Федеральная служба безопасности (ФСБ) России выступила с резкой критикой проекта по расширению использования биометрических данных граждан через единую систему. Проект предлагал использовать биометрию граждан для проведения любых финансовых операций не только российским банкам, но и другим участники финрынка. Основная причина жёсткой позиции ФСБ — риск утечки персональных данных. |
ФСБ России никогда не спешила с согласованием такого рода законопроектов, и, я думаю, это вполне оправданно. Кто может сказать, сколько финансовых организаций действительно реализует современные требования по безопасности? Как показывает практика аудитов ПДн, организации не в полной мере осознают, зачем и почему это надо делать. Хотя первые движения в области обеспечения безопасности ПДн компании должны были начать делать еще в далеком 2006 году, когда на свет появился 152-ФЗ "О персональных данных", сейчас 2020 год, а воз и ныне там.
Зачастую система ИБ сводится к наличию средств антивирусной защиты и минимальных настроек безопасности в AD. При этом требования к идентификации и аутентификации пользователей, управлению правами доступа пользователей соблюдаются либо формально, либо вовсе проигнорированы. А ведь есть еще требования к правилам МЭ и выявления угроз безопасности информации...
На данный момент компании просто не готовы к расширенному использованию биометрии. И это надо признать как факт.
Эксперт защиты информации по требованиям Законодательства ГК Axxtel , Павел Расстрига
Мошенники взламывали серверы на АЗС ради бесплатного топлива.
| Двое питерских злоумышленников с помощью вредоносного ПО совершили более 417 бесплатных заправок на АЗС на сумму свыше 2,1 млн рублей. Вредоносное ПО было установлено в результате взлома серверов АЗС и позволяло злоумышленнику сразу после заправки любого количества топлива автоматически производить возврат денежных средств на банковскую карту. |
Новость об использовании брешей в ПО серверов АЗС обнажает несколько распространённых проблем безопасности промышленных систем. С одной стороны, она показывает, насколько для злоумышленников может быть упрощён процесс взлома - сейчас можно относительно просто купить вредоносное ПО для взлома серверов и получать свою выгоду с компьютерных преступлений, не имея для этого специальных знаний. С другой стороны, возможность такого "лёгкого" взлома могла быть обусловлена недостатками в исходном коде используемого ПО. Тогда могло быть допущено сразу 2 ошибки - отсутствие действительно надёжной авторизации соединений на стороне сервера и доступность серверов АЗС из внешней сети. Хотя злоумышленники признали вину, ресурс уже украден и реализован, а АЗС несёт убытки. Таким образом, сложившаяся ситуация - яркий пример того, что может случиться при отсутствии защиты критических для бизнеса автоматизированных систем управления, и повод задуматься об их безопасности.
Эксперт в области защиты АСУТП систем ГК Axxtel, Дмитрий Жандаров
До встречи в следующем выпуске!
