⌨️Обнаружен новый вектор атаки — «MalDoc in PDF», позволяющий уйти от детектирования путём встраивания вредоносных документов Word в PDF.

Один из таких файлов, который попался японским исследователям, выглядит в глазах большинства антивирусных движков документом в формате PDF. При этом офисные приложения могут открыть его как обычный Word (.doc).

Такие файлы называются «полиглотами». Они могут быть использованы злоумышленниками для ухода от детектирования или запутывания различных анализаторов. В одной части такого документа может находиться абсолютно безобидный код, в другой — вредоносная нагрузка.

❗️Эксперты AKTIV.CОNSULTING напоминают, что нужно внимательно и серьезно относиться к присылаемым извне файлам, в том числе в форматах .doc и .pdf.

Запускать их следует только убедившись в том, что источник является доверенным. Если есть сомнения, рекомендуем использовать средства безопасного тестирования и предварительного просмотра («песочницы»).

Подробнее

💬tg_AC

⚡️В государственный реестр сертифицированных средств защиты информации ФСТЭК России были внесены изменения, а именно возобновлены некоторые сертификаты соответствия.

Так, к примеру, срок действия программного комплекса VMware vSphere with Operations Management 6 продлен до 21 ноября 2024, хотя ранее его действие было прекращено 31 марта 2022 года.

▶️В списке изменений также значатся сертификаты следующих производителей: Huawei, Cisco, Oracle, FortiGate, SAP, Microsoft и других.

📌Проверить сроки действия сертификатов можно по ссылке.

Источник: Zlonov

❗️UPD: Вероятно, была допущена некая ошибка. Государственный реестр сертифицированных СрЗИ был вновь обновлен, и сроки прекращения действия сертификатов были возвращены к исходным значениям.

💬tg_AC

💡11 мая приказом ФСБ России №213 утвержден Порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих ФОИВ, высшим исполнительным органам государственной власти субъектов РФ, госфондам, госкорпорациям и иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами КИИ РФ либо используемых ими.

Согласно тексту документа мониторинг защищенности осуществляется только в отношении информационных ресурсов, имеющих непосредственное подключение к информационно-телекоммуникационной сети «Интернет» и /или сопряженных с нею с использованием технологии трансляции сетевых адресов.

🗣Алексей Филиппов, методолог по ИБ AKTIV.CОNSULTING, специально для BIS Journal рассмотрел Приказ ФСБ № 213 и напомнил, что до 1 сентября 2023 года (т.е. уже до завтра!) организации – субъекты КИИ, информационная инфраструктура которых имеет такие подключения (сопряжения), должны направить на адрес электронной почты monitoring@fsb.ru следующую информацию:

✅Доменные имена и внешние сетевые адреса информационных ресурсов, принадлежащих организациям либо используемых ими;

✅Адреса электронной почты, предназначенные для ведения переписки с органами безопасности по вопросам осуществления мониторинга защищенности.

📍Читать статью

💬tg_AC

⚡️⚡️⚡️ Важное дополнение к новости выше.
Вероятно, была допущена некая ошибка. Государственный реестр сертифицированных СрЗИ был вновь обновлен, и сроки прекращения действия сертификатов были возвращены к исходным значениям.

https://reestr.fstec.ru/reg3

🫥Мы продолжаем рассказывать про важные регуляторные события, которые сильно повлияли на всех участников КИИ.

Сегодня рассмотрим роль ИБ при импортозамещении.

Тема импортозамещения и Указа Президента №166 о технологической независимости за последний год стала базовой в вопросах обеспечения безопасности КИИ. Рядом стоит Указ Президента №250, который обязывает, в том числе, субъекты КИИ переходить на российские средства защиты информации. В этой связи для многих роль службы ИБ зачастую ограничивается именно вопросами импортозамещения СЗИ.

Какова же роль службы ИБ при импортозамещении именно прикладного ПО, на котором построены основные технологические и/или бизнес-процессы?

🚩 В условиях стихийного перехода на новые решения необходимо оценивать риски информационных угроз, связанные с самим переходом и его последствиями. И здесь служба ИБ должна если не курировать вопросы безопасности, то быть частью группы, сопровождающей изменения.

🚩 Много опасений вызывает скорость, с которой разрабатываются или дорабатываются отечественные решения для целей импортозамещения. С одной стороны, нужно обеспечить необходимую функциональность, с другой – соответствовать требованиям безопасности, тем более есть конкретные указания ФСТЭК России по использованию в ЗО КИИ прикладного ПО, которое соответствует требованиям безопасной разработки (БРПО).

🚩 Отдельно можно выделить проблему безопасности Open Source. Не секрет, что большинство современных решений использует открытый код, но не все разработчики тестируют его должным образом. Минцифры говорят о создании российского репозитария с внедренным процессом анализа уязвимостей, что в перспективе повысит уровень безопасности. Сейчас же можно выстраивать процессы БРПО в случае собственной разработки или ограничиться взаимодействием только с вендорами, которые могут подтвердить внедренные процессы безопасной разработки.
#КИИ

Продолжение следует…

💬tg_AC

✅Сегодня, 1 сентября, вступает в силу приказ Минтруда об утверждении профессионального стандарта для специалиста по информационной безопасности в кредитно-финансовой сфере (КФС). Основными задачами специалистов станут: управление рисками ИБ, обеспечение защиты информации, операционной надежности (киберустойчивости) в организациях КФС.

✅Также с 1 сентября Банк России совместно с Финансовой академией запустили обновленную образовательную программу магистратуры по направленности «Управление информационной безопасностью в финансово-банковской сфере». Данная магистерская программа направлена на формирование как профессиональных и узконаправленных компетенций, так и управленческих навыков и soft-skills в соответствии с профессиональным стандартом «Специалист по информационной безопасности в КФС».


💭Анастасия Харыбина, руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС, считает, что введение проф.стандарта, а также обновленная магистерская программа в долгосрочной перспективе будут способствовать улучшению ситуации с кадровым голодом на рынке.

Но! Эксперт также обратила внимание, что с выходом профессионального стандарта возникают требования к уже работающим специалистам по ИБ, которым не все сотрудники могут соответствовать. Решением проблемы может стать постепенное внедрение необходимых требований и помощь в этом вопросе со стороны Банка России.

💬tg_AC

🫥Продолжаем рассуждать про роль информационной безопасности в импортозамещении.

Импортозамещение для организации – это всегда дополнительные ресурсы, поэтому с целью их оптимизации многие начинают рассматривать для себя использование программного обеспечения с SaaS-моделью. И здесь кроется огромный пласт пока еще не решенных вопросов, связанных с обеспечением ИБ. Многие специалисты понимают, что за облачными решениями будущее, но как разделить ответственность между организацией и провайдером, ведь часть контура безопасности выносится на сторону последнего.

📄Несмотря на то, что в настоящее время нет регуляторики, описывающей требования к ИБ-аутсорсингу, уже сейчас нужно выстраивать процессы таким образом, чтобы субъекты КИИ могли управлять соответствующими рисками, так как это зона их прямой ответственности. В начале сентября наши эксперты подробно разберут тему ИБ-аутсорсинга в новом выпуске подкаста "Безопасный выход".

Создание архитектуры процессов, перечисленных в этом и прошлом постах, а также их внедрение требует точечных компетенций, которыми не должны обладать штатные специалисты, так как ситуация с импортозамещением сложилась, можно сказать, нештатная.

📌И здесь подключается профессиональное сообщество в виде консультантов, которые способны собрать проектную команду под уникальные потребности конкретной организации, тем самым ускорить процесс и снизить операционные издержки.
#КИИ

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Минцифры: все операторы связи будут обязаны передавать в Роскомнадзор данные абонентов
Соответствующий документ размещен на портале нормативных правовых актов.

🗣Бизнес получит платный доступ к информации из госсистем
Правительство должно разработать принципы очистки данных от любых конфиденциальных сведений.

🗣Спрос на услуги предотвращения киберинцидентов увеличивается на 20–40% год к году
Сейчас объем данных услуг оценивается на уровне 15 млрд рублей— около 8% от всего рынка ИБ.

🗣Доля россиян, беспокоящихся о безопасности своих детей в интернете, за год увеличилась с 11% до 30%
Эксперты отмечают, что резкий рост обусловлен участившимися случаями интернет-мошенничества, нарушения безопасности и угроз для детей в цифровой среде.

🗣Банки начинают гарантировать людям защиту от телефонных мошенников
Накануне «Тинькофф» объявил о готовности в течение суток возвращать похищенные таким способом деньги.

🗣Компания Apple объявила набор желающих присоединиться к своей программе Bug Bounty в 2024 году
С момента запуска программы в 2019 участники обнаружили 130 критических уязвимостей iPhone, 37 из которых были найдены за прошедшие полгода.

🗣Новый банковский троянец научился использовать редкий протокол
Вредоносная программа может быстро передавать большое количество данных и скрываться от обнаружения.

💬tg_AC

​​📝 Перечень НПА, подлежащих оценке применения в 2024 году,
‌‎в сфере обработки ПДн

Минцифры подготовило проект Перечня нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 году,
‌‎в сфере обработки персональных данных. Данный перечень включает следующие НПА:

• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

• Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

• Приказ Роскомнадзора от 22.07.2015 № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи».

• Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

⌨️В первой половине 2023 года средняя продолжительность кибератак сократилось до 8 суток, что на два дня короче, чем было в 2022 году. Эксперты компании Sophos уверены, что это позволяет ИБ-специалистам оперативнее реагировать на угрозы, сокращая время активности злоумышленников в скомпрометированных сетях.

При этом специалисты отмечают, что киберпреступники также становятся быстрее. Опытные и хорошо обеспеченные ресурсами хакеры проводят свои кибератаки с еще большей скоростью, несмотря на улучшение мер безопасности со стороны многих организаций по всему миру.

❗️Одной из новых тактик, которую активно используют хакеры, является запуск атак тогда, когда большинство сотрудников службы кибербезопасности отсутствует на рабочем месте. К примеру, 81% атак программ-вымогателей, проанализированных экспертами, были осуществлены в нерабочее время. Почти половина (43%) таких атак была выявлена либо в пятницу, либо в субботу.

Кроме того, специалисты обратили внимание, что злоумышленники стали быстрее получать доступ к системам Active Directory. Теперь этот процесс занимает всего около 16 часов. Исследование показало, что большинство сервисов Active Directory защищены лишь с помощью Microsoft Defender. Этот метод оказался неэффективным в 43% случаев атак в I полугодии 2023 года, в то время как в 2022 году этот показатель составлял 36%.

Источник: Cisoclub

🫥Сегодня хотим рассмотреть ещё одно важное регуляторное событие, которое сильно повлияло на всех участников КИИ, а именно вовлечение менеджмента в ИБ.

Указ Президента №250 возложил на руководителей организаций, в том числе субъектов КИИ, персональную ответственность за обеспечение информационной безопасности. Помимо этого, в Указе говорится о требовании по созданию службы ИБ и передачи полномочий по обеспечению ИБ на заместителя руководителя организации. Для субъектов КИИ это зачастую означает перестройку всех процессов по информационной безопасности, а для менее зрелых – постановку функции ИБ с нуля.

Персональная ответственность требует от руководителя понимания процессов ИБ и их влияния на бизнес. Естественно, руководитель организации не должен обладать глубокими знаниями по защите информации, поэтому функция обеспечения процессов ИБ ложится на заместителя руководителя организации.

💡Для заместителя по ИБ Постановлением Правительства было утверждено типовое положение, которое описывает квалификационные требования, требования к опыту работы, а также должностные обязанности. По сути, это топ-менеджер с соответствующей управленческой квалификацией, который также хорошо понимает вопросы цифровизации и автоматизации для предприятий своей отрасли и, разумеется, обладает высокой экспертизой по информационной безопасности и управлению рисками информационных угроз.
#КИИ

💬tg_AC

💫AKTIV.CОNSULTING станет участником ежегодной межотраслевой Конференции по вопросам регуляторики в сфере информационной безопасности, которая пройдет 10 октября в Москве. Организатором мероприятия выступает Ассоциация пользователей стандартов по информационной безопасности АБИСС.

⚡️На конференции AKTIV.CОNSULTING представит свой стенд, на котором все желающие смогут пообщаться с нашими экспертами, узнать подробнее об услугах компании и задать любые интересующие вопросы. Также в деловой программе встречи в качестве спикера выступит ведущий консультант по ИБ Александр Моисеев.

Конференция по вопросам регуляторики в сфере информационной безопасности призвана объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям. Программа мероприятия формируется программным комитетом на основании присланных заявок и не предполагает спонсорских докладов.

‼️Любой желающий, чья деятельность связана с реализацией требований по информационной безопасности, может выступить в качестве спикера конференции. Участие с докладом или мастер-классом бесплатное. Срок подачи заявок на доклад — до 20 сентября.

Узнать больше о форматах участия в конференции можно на сайте мероприятия.

💬tg_AC

🗣Шведские ученые разработали новый тип генератора случайных чисел для шифрования, что делает обмен цифровой информацией безопаснее, дешевле и экологически чище. Данное новшество, по мнению исследователей, открывает путь к новому виду квантовой коммуникации.

Шифрование остается основной стратегией обеспечения безопасности данных. Различные генераторы случайных чисел предоставляют разные уровни случайности и, следовательно, безопасности. Наиболее безопасным является аппаратный метод на основе квантовых явлений - так называемый квантовый генератор случайных чисел (QRNG).

📌Особенностью нового QRNG является использование светодиодов на основе кристаллического материала — перовскита. Благодаря свойствам перовскитов новый генератор случайных чисел обладает потенциалом быть дешевым и экологически чистым.

💬tg_AC

⚡️Приглашаем вас на вебинар «Практические вопросы проведения категорирования КИИ», который состоится 13 сентября в 11:00.

Эксперты Ассоциации АБИСС поделятся практическими советами по реализации требований законодательства в области защиты КИИ. Особое внимание будет уделено такому важному этапу как «категорирование».

В рамках вебинара эксперты обсудят:

⏩ особенности расчета финансовых показателей при категорировании;

⏩ на что стоит обратить внимание при категорировании объектов КИИ;

⏩ практику расчета показателя №9;

⏩ последние изменения в правилах категорирования;

⏩ исполнение 250 Приказа.


Ведущие вебинара:
• Федор Музалевский, RTM Group
• Александр Иванцов, Deiteriy Compliance
• Александр Хонин, Angara Security
• Александр Моисеев, AKTIV.CОNSULTING

Участие в вебинаре бесплатное.
Необходима предварительная регистрация.

13 сентября, 11:00
Не пропустите!

▶️Узнать подробнее и зарегистрироваться

💬tg_AC

⏳Контроль времени простоя или деградации в технологических процессах финансовых организаций.

Положения Банка России №787-П и №779-П предъявляют требования к операционной надежности (ОН) определенного набора технологических процессов финансовых организаций (ФО). Для этих целей ФО внедряют организационные и технические условные системы «контроля», которые выявляют, регистрируют и реагируют на инциденты ОН, а также обеспечивают восстановление после них.

✔️Для исполнения нормативных требований компании финансовой отрасли могут ограничиться предложенным ЦБ перечнем техпроцессов. Но если организация внедряет и в дальнейшем использует системы контроля, не стоит ли дополнить требуемый список теми технологическими процессами, которые влияют на достижение интересов самой организации?

Действительно, в части случаев перечни техпроцессов из Положений №787-П и №779-П будут совпадать с теми процедурами, которые обеспечивают бизнес-процессы, приносящие основную часть доходов. Но в некоторых ситуациях могут быть расхождения.

💡Для выявления и устранения таких расхождений, а также для большей отдачи бизнесу от системы контроля, можно воспользоваться известными методами анализа влияния на бизнес (BIA) или сценарным анализом. И уже в дальнейшем по результатам этих методов принять решение о расширении практик контроля на иные технологические процессы организации.
#опернадежность

💬tg_AC

⚙️Согласно исследованию команды «Экспресс 42» больше четверти опрошенных компаний в России отмечают нехватку знаний в области выстраивания процессов DevSecOps.

В отчете «Исследование состояния DevOps в России» приняли участие более 2000 специалистов и руководителей из организаций различных сфер деятельности. Лидирующими отраслями по количеству опрошенных стали информационные технологии, финансы и банковское дело, а также ритейл.

Исходя из результатов опроса, эксперты обнаружили рост интереса к DevSecOps (выстраиванию процессов безопасности разработки ПО), как к отдельному направлению деятельности в организациях. Респонденты стали обособлять DevSecOps от работы основных core-команд ИБ (сетевой безопасности, администрирования СЗИ, комплаенса, и т.п.).

❗Согласно отчету 27% респондентов признаются в недостатке знаний и опыта в области DevSecOps. При этом 42% опрошенных ставят перед своими командами цели по повышению безопасности разрабатываемых ими продуктов.

Эксперт AKTIV.CОNSULTING Александр Моисеев отмечает, что причинами этого могут быть:

▶️появление большого числа регуляторных требований за последнее время (ЦБ РФ, ФСТЭК России, Минцифры);

▶️обострившиеся атаки на инфраструктуру отечественных компаний (в т.ч. при помощи эксплуатации уязвимостей заимствованных компонент и библиотек);

▶️повышение инженерной культуры и внедрение лучших практик разработки (особенно это касается IT-вендоров и тех IT-команд, которые занимаются поддержкой высоконагруженных проектов);

▶️повышение зрелости бизнеса в этом направлении (многие компании поняли ценность DevSecOps для своей деятельности).

Подробнее ознакомиться с исследованием вы можете по ссылке.

💬tg_AC