Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 3

Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 3
ИБ-сообщество не хочет отказываться от термина black hat из-за расовых стереотипов

432942002348120e0cdc2e7ff1dedb1f.jpg

ИБ-сообщество отрицательно отреагировало на призывы отказаться от терминов white hat и в особенности black hat из-за расовых стереотипов после того как вице-президент Google по инженерии Дэвид Кляйдермахер отказался от своего запланированного выступление на конференции Black Hat USA 2020.

Я согласна с ИБ-сообществом и считаю, что придираться до названий терминов – некорректно, т.к. термины: black hat, white hat были сформированы достаточно давно и подразумевают под собой не желание притеснения какой-либо расы по цвету кожи, а сравнение двух противоположностей, которые сложились задолго до формирования термина "расизм".
Я не знаю причин, по которой данная инициатива от Google была вынесена на широкую аудиторию. Но если компании с мировыми именами и дальше продолжат предлагать подобные инициативы, скоро окажется так, что все спорные ситуации будут превращаться в выискивание поводов для обвинения там, где их не подразумевалось.
Комичность ситуации будет состоять в том, что если инициативу примут и новые термины введут, в ИБ-сообществе появится огромная путаница в терминологии: большинство полезной информации придется переделывать, ведь в интернете сформировался огромный пласт информации, связанный с этими терминами.


1721a33c89d1c30def69b4735e34abe6.png

МИД: С начала года КИИ России атаковали более миллиарда раз

652d85898d179edb7e665a0ceb14c2cf.jpg

Андрей Крутских, директор департамента международной информационной безопасности МИД России, рассказал, что объём кибератак, нацеленных на критическую информационную инфраструктуру (КИИ) страны с января 2020 года превысил один миллиард.

Эта тенденция напрашивалась сама собой и одним из катализаторов данной ситуации, как ни странно, стала мировая эпидемиологическая обстановка. Наши регуляторы относительно быстро среагировали на эту ситуацию и были выданы адекватные и реалистичные требования . Вендоры же были готовы предоставить организациям необходимые средства и ресурсы в организации безопасного удаленного доступа. И этим моментом службам ИТ и ИБ надо было воспользоваться. И на моей практике многие так и сделали. По сути, заказчик получил бесплатный пилот комплексной системы безопасности по реализации удаленного доступа. В этой ситуации окажется больше довольных, нежели разочарованных. Посудите сами:
1) Исходя из того, как мы справимся с данной проблемой, можно будет понять, готовы ли мы и наша страна перейти в новую эпоху цифрового развития.
2) Сотрудники могут работать удаленно, и те, кто ценит свою работу, будут выполнять ее ни чуть не хуже, а может, даже и продуктивнее. А те, кто и так был малоэффективен, отсеются сразу.
3) Собственники фирм смогут задуматься об оптимизации расходов по аренде
4) Вендоры получат колоссальный опыт и перспективы расширения бизнеса.
Некоторые компании уже сейчас начали задумываться по переходе на "постоянную удаленку", и в этом нет ничего, страшного или плохого. Мир развивается, технологии идут вперед и мы должны идти вместе с ними.
Не стоит этого бояться, но надо рационально подходить к решению данной проблемы, и уж тем более ответственно подходить к созданию распределенных систем безопасности объектов КИИ.

Данные, которые огласил Андрей Крутских, в очередной раз показывают, что наше бездействие может привести к плачевным результатам, которые могут затронуть не только бизнес, но и жизни людей.


591fae9410f3a995f5c7380f33d8733d.png
Европейский институт телекоммуникационных стандартов установил новый стандарт кибербезопасности для IoT устройств

04b9d0eb58600437845ed465d7f14836.jpg

Новый стандарт кибербезопасности для интернета вещей (IoT) был представлен Техническим комитетом по кибербезопасности Европейского института телекоммуникационных стандартов (ETSI). Стандарт получил название ETSI EN 303 645, и он призван предотвратить масштабные атаки на устройства, подключенные к интернету.

Безусловно, появление стандартов безопасности устройств IoT - это очень позитивное веяние. "Умных" устройств становится больше, количество их пользователей также растёт, а области применения постоянно расширяются: помимо потребительских устройств IoT может использоваться в здравоохранении и производстве. В то же время мы прекрасно помним ботнет Mirai, пользовавшийся неизменёнными паролями учётных записей администраторов. Пустяковая уязвимость привела к заражению огромного количества устройств IoT. Поэтому очень важно обеспечивать безопасность таких устройств, опираясь на лучшие практики. В качестве лучших практик целесообразно использовать стандарты, разработанные компетентными специалистами, и стандарт ETSI EN 303 645 может стать важным шагом на пути к построению безопасных инфраструктур IoT.


ec0c179d1d896ec0d7450154e4a315b6.png

ЕСПЧ принял иск о применении системы распознавания лиц в Москве

57810be2e0eae95613677c5ba9268222.jpg

Европейский суд по правам человека (ЕСПЧ) зарегистрировал жалобу на незаконное применение системы распознавания лиц, действующей в столице России. Обратившиеся считают, что для функционирования системы распознавания лиц в Москве нет никаких законных оснований, поскольку для её работы используются биометрические данные россиян, которые можно получить только с их согласия.

Довольно разносторонняя ситуация, которую каждый может интерпретировать по-разному.
С одной стороны, биометрические данные человека характеризуются как персональные данные не ниже 3 категории, а при определённых обстоятельствах могут относиться даже к первой. Это довольно серьезный уровень, поэтому негодование активистов можно понять. Ведь не известно, как обрабатываются эти данные и как хранятся, обеспечивается ли должный уровень защищенности для такой информации.
С другой стороны, данная система призвана обеспечивать безопасность, помогать противостоять терроризму и выявлению потенциальных правонарушителей, поиску беглых преступников. Я думаю, это тоже нужно учитывать.
Как итог, системы распознавания лиц имеют место, но информация, которую такие системы собирают, нужно защищать соответственно ее важности, соблюдая законодательство в сфере ИБ и руководствуясь документами и рекомендациями по защите персональных данных.


84b9ef3f188ed8ede66b5eeab21d5837.png

Пароль «123456» был обнаружен 7 млн раз среди миллиарда утекших учетных данных

3f4ea641906bfe9ccca9238a359da35b.jpg

В рамках одного из крупнейших исследований, посвященного повторному использованию паролей, специалист Ата Хакчил провел анализ более одного миллиарда утекших учетных данных и обнаружил, что каждый 142-й пароль является распространенным "123456".

Новость стара, как мир, и всё же не утратила своей актуальности.

На самом деле, один из простых и основных компонентов защиты учётных данных пользователей до сих пор находится в "зоне риска", так как при создании паролей используется принцип - "чтобы было быстро запомнить". Это в корне неправильно.

В связи с развитием технологий и вычислительных возможностей компьютера, даже 12 символьные пароли, в скором времени утратят свою актуальность, потому что атаки класса "bruteforce" реализуются злоумышленниками быстрее, нежели раньше. Даже использование специальных символов, цифр и символов верхнего и нижнего регистра не панацея.


Поэтому исходя из опыта внедрения систем аутентификации различной сложности могу рекомендовать пользователям одно хорошее решение – использование парольных фраз. Преимущества данного подхода:
  • Парольная фраза может иметь хорошую длину (увеличиваем сложность, благодаря увеличению количества комбинаций для перебора);
  • Легче запомнить (например, "ЯкрутоПридумываюПароли!№1" в конечном счёте будет выглядеть как "ZrehnjGhblevsdf.Gfhjkb!№1". Как вам?)
  • Можно добавить немного "соли" в виде использования спец. символов и цифр, что не усложнит запоминание пароля (пример, выше).
Применение такого инструмента в своей повседневной информационной жизни позволит попасть в 32% пользователей, не использующие пароль "123456". Круто же!

1720330bf3c6ff0f2f6e730c0da29065.png


До встречи в следующем выпуске!

Наш блог на Яндекс.Дзен
black hat IoT информационная безопасность кии парольная политика персональные данные
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ООО «Акстел-Безопасность»

ГК Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.