🗣Рекомендуем тем, кто интересуется пентестом и Bug Bounty, хочет разобраться в DevOps или чья работа связана с уязвимостями, канал «Дневник Безопасника».

Автор канала — middle-пентестер, который раскрывает секреты популярных методов оценки безопасности компьютерных систем.

💛Какой платформой автоматизации можно воспользоваться для оптимизации пентеста, и как её установить?

💛Как бороться с атакой Pastejacking, которая манипулирует данными в буфере обмена пользователя?

💛Какие импакты можно получить от эксплуатации XSS?


Заходите и узнавайте!

️️️Кроме того, автор канала участвует в большом количестве ИТ/ИБ мероприятий. Поэтому с ним можно пообщаться и обсудить все грани пентеста не только онлайн, но и при встрече.

⬇️

✅Летом ЦБ РФ опубликовал два проекта Положений:

1. О платформе цифрового рубля.
2. О требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

И если первый проект был рассмотрен и широко освещен во многих средствах массовой информации, то второй незаслуженно обошли стороной и редко упоминали в СМИ.

Давайте восполним этот пробел и рассмотрим основные моменты второго Положения:

➡️Согласно документу участники цифровой платформы должны размещать свою инфраструктуру, обеспечивающую операции с цифровым рублем, в выделенных сегментах сети. Для защиты инфраструктуры будет необходимо опираться на ГОСТ Р 57580.1. Данный документ знаком участникам рынка, и его требования уже давно выполняются в рамках иных финансовых операций.

➡️К инфраструктуре, обеспечивающей операции с цифровым рублем, предъявляются требования стандартного (2) уровня защиты информации. В то же время значимые кредитные организации должны будут применять меры усиленного (1) уровня защиты информации.

➡️Участники должны проводить оценку соответствия требованиям к защите информации не реже 1 раза в 2 года, с привлечением лицензиата по технической защите конфиденциальной информации.

➡️На данный момент уровень оценки соответствия защиты информации должен быть не ниже 3 для всех участников, а с 1 января 2024 года — не ниже 4.

➡️Участники должны обеспечить ежегодный пентест и анализ уязвимостей выделенных сегментов.

➡️В рамках проекта предъявляются также требования к защите с использованием СКЗИ.


Из всего вышесказанного можно сделать вывод, что для банков-участников данные предписания уже знакомы, и выполнить их будет несложно. И хотя исполнение таких требований неминуемо приведет к финансовым и временным тратам внутри организаций-участников, реализация платформы цифрового рубля может привлечь банкам много новых клиентов и нивелировать затраты.
#цифровой_рубль

💬tg_AC

🗣За полгода шифровальщик LostTrust проник в сети 53 организаций. Вредоносная программа появилась в интернете в марте этого года, но широкую известность приобрела только в прошлом месяце, когда начала использовать собственный сайт утечек в сети Tor.

↔️Чтобы охватить максимально возможное количество целевых файлов, зловред принудительно завершает мешающие ему службы Windows. В создаваемой вредоносом записке сказано, что его операторы таким образом привлекают внимание к брешам в ИТ-инфраструктуре, на защиту которой нельзя жалеть средств.

💬tg_AC

⌨️Какие факторы сдерживают применение Bug Bounty в России?

Нехватка правоприменительной практики по данной теме, а также отсутствие в законодательстве определения как самих исследований, так и их границ, являются одними из ключевых препятствий.

💡Это создает риски не только для заказчиков Bug Bounty, но и также для «белых хакеров», чьи действия могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со статьей 272 УК РФ.


⏺К сожалению, такие прецеденты уже были: в августе 2021 года возбудили уголовное дело о попытке взлома компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина.

Спецслужбы подозревали в этом бывшего сотрудника техподдержки интернет-провайдера «Макснет Системы». Сам специалист утверждал, что не занимался взломом, а, наоборот, пытался пресечь атаку на ресурсы клиентов извне, проверяя их роутеры на наличие уязвимостей. Осложнило дело то, что он не получил разрешения у клиента на сканирование сетевого оборудования.


✅С другой стороны, движение в сторону снятия ряда юридических барьеров идет. Куратором данного процесса выступает Минцифры. В мае 2022 года директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин анонсировал планы по запуску программы Bug Bounty для госсистем. Для начала «белым хакерам» предложили проверить на уязвимости сайт «Госуслуг».

Летом 2022 года появилась информация, что Министерство работает над созданием правовой базы для Bug Bounty. В начале октября прошлого года Владимир Бенгин сообщил ряду СМИ, что ведомство прорабатывает вопрос внедрения практики применения программ Bug Bounty для всех владельцев государственных информационных систем.

📄Представители Министерства не озвучивали точных сроков, в которые может быть разработана и принята правовая база для применения Bug Bounty. Мы надеемся, что это случится в ближайшее время и расширит область применения подобных услуг. #bugbounty

💬tg_AC

🫥 Как встроить элементы безопасности в процессы разработки прикладного ПО в соответствии с отраслевыми стандартами и требованиями регуляторов?

✅На Конференции по вопросам регуляторики в сфере информационной безопасности Александр Моисеев рассмотрит особенности реализации требований к безопасной разработке ПО в промышленных организациях, а также на реальных примерах разберет необходимые шаги по внедрению элементов безопасности в процессы разработки прикладного ПО.

📍Эксперт станет одним из спикеров сессии 3 «Безопасная разработка — лучшие практики и нормативы сезона 2023-2024», на которой будут рассмотрены процессы безопасной разработки с точки зрения регуляторных требований и их практического применения.

Конференция по вопросам регуляторики в сфере информационной безопасности состоится уже 10 октября.

➡️ Успейте зарегистрироваться по ссылке.


💬tg_AC

☯️Какие риски, связанные с цифровым рублем, возможны с точки зрения кибербезопасности?

Даже несмотря на приведенные в этом посте требования ЦБ по обеспечению безопасности информации, нужно понимать, что это не панацея.

▶️По мере роста популярности цифрового рубля возможно появление новых схем преступной деятельности. Для этого прежде всего могут использовать низкий уровень осведомленности населения о том, как работает новая форма денег, что в итоге приведет к созданию мошеннических сайтов и возникновению лже-консультантов по вопросам работы с цифровым рублем.

▶️Несмотря на высокий уровень защиты системы, всё ещё невозможно исключить риск социальной инженерии, когда человек сам предоставляет преступникам свои конфиденциальные данные и доступ к счету. И хоть в случае с цифровыми деньгами отследить мошенников будет проще, это их вряд ли остановит. На каждый вариант защиты они придумают несколько новых идей, как эту защиту обойти.

Решение данной проблемы уже давно известно: необходимо повышать уровень грамотности населения в области кибербезопасности. И это касается не только цифрового рубля, но и финансовой системы в целом. #цифровой_рубль

💬tg_AC

⚙️Как выработать комплексный подход к обеспечению операционной надежности?

Сегодня в финансовой организации около половины доходов уходит на операционную деятельность, также создаются резервы, уплачиваются налоги и другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса.

⏺Максимизируя прибыль, менеджмент сильно сокращает операционные расходы, а значит заметно снижает качество услуг. Как следствие, в финансовой организации в перспективе уменьшается доходная часть.

⏺С другой стороны, если не сдерживать операционные расходы, в т.ч. и на обеспечение безопасности услуг, они будут стремиться к уровню доходов, а бенефициары могут остаться без прибыли и возможности инвестирования в развитие бизнеса.

Как найти золотую середину в определении размера расходов на обеспечение операционной надежности? Мы будем говорить об этом в следующих постах. #опернадежность

➡️ Подробнее в статье эксперта AKTIV.CОNSULTING Олега Симакова.

💬tg_AC

🗣Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация.

Утечка затронула данные 6791 человек. Теперь всем пострадавшим будут предоставлены бесплатные услуги кредитного мониторинга и восстановления личности.

💬tg_AC

​​📖 Сведения о принятых национальных и международных стандартах за III квартал 2023 года

ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за III квартал 2023 года.

📣Новостной дайджест прошедшей недели

🗣Минцифры раскрыло планы по запуску программ bug bounty
В 2023 году ведомство хочет запустить программы поиска уязвимостей за вознаграждение для 20 информационных систем.

🗣«ГосТех» призвал отказаться от открытого ПО
Глава платформы подчеркнул, что с момента проектирования в программные продукты должны закладываться безопасные решения.

🗣Бизнес-сообщество предложило поднимать штраф компаниям за каждую утечку персональных данных
Рассчитывать оборотный штраф за повторную утечку предлагают таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения.

🗣Для хранения отечественного софта к 2027 году может быть создана система защищенных репозиториев
Первоначально в нее будет включено около 30% доверенных отечественных решений, а к 2030 году этот показатель достигнет 80%.

🗣Более 150 млн рублей потратил Росбанк на внедрение цифрового рубля
Самые большие затраты пришлись на информационную безопасность.

🗣ИИ проверят на устойчивость к кибератакам
По результатам проверки будет получена оценка сохранения системой работоспособности в условиях внешнего воздействия.

🗣За полгода в России утекло 705 млн. записей с персональными данными граждан
В мировом масштабе число утечек конфиденциальной информации возросло в 2,4 раза, если сравнивать с показателями предыдущего отчетного периода.

💬tg_AC

🫥Как правильно определить объем расходов на обеспечение операционной надежности?

Для этого будет полезно связать инциденты, с которыми сталкивается финансовая организация при осуществлении своей операционной деятельности, и возможный ущерб от них.

Проведение такого анализа состоит из шести этапов:
1. Инициация
2. Определение границ анализа
3. Разработка шкалы критичности
4. Обследование процессов финансовых организаций
5. Анализ данных
6. Подведение итогов

Далее о каждом этапе подробнее.

➡️Первый этап — инициация

Собираем команду и определяемся с целями анализа. Рекомендуем включать в команду специалистов следующих направлений:
✅ИБ;
✅ИТ;
✅управление рисками;
✅представители бизнеса и бизнес-юнитов, понимающих как устроены бизнес-процессы внутри компании.

Формируя цели анализа, можно опираться на текущую ситуацию и задачи организации в настоящий момент. Цели могут быть оформлены в аналитический отчет, который готовится для принятия решений руководством. Помимо этого, можно изучить бизнес-кейс, где описаны планируемые изменения в организации, а также дорожную карту, разработанную на несколько лет. В рамках этих стратегических планов полезно посмотреть, чем компания рискует и как события могут повлиять на ее доходы. #опернадежность

💬tg_AC

❌ На прошлой неделе в России произошел масштабный сбой в работе китайской экосистемы Xiaomi — приложения и устройства просто перестали работать. Вскоре проблему частично исправили, а в Xiaomi сообщили, что случившееся стало результатом сбоя на оборудовании.

Чем подобные сбои чреваты для российских предприятий?

В промышленности используется широкий класс умных устройств. Это всевозможные умные датчики, исполнительные устройства, системы видеоаналитики и т.п., которые применяются в производственных линиях, при изготовлении продукции, для учета потребляемых ресурсов. Зачастую умные устройства IoT могут иметь подключения к платформам сбора, накопления и обработки данных, построенных на принципах облачных технологий.

↙️При негативном сценарии развития событий оборудование может превратиться в кирпич, а работа целых экосистем продуктов остановлена. Если умные устройства и обрабатываемые ими данные будут использованы со злым умыслом, может быть нанесен реальный ущерб жизням и здоровью людей, экологии и экономике.

Подробнее в комментарии нашего эксперта Александра Моисеева.

💬tg_AC

⚡️В Москве стартовала Конференция АБИСС по вопросам регуляторики информационной безопасности.

Наш эксперт Варвара Шубина кратко рассказала о мероприятии и поделилась, что сегодня ждет гостей и участников встречи.

⬇️Подробности — на видео!⬇️

Будем держать вас в курсе происходящего на конференции и по возможности делиться ключевыми тезисами.

💬tg_AC

​​​​🫥 Изменения в 149-ФЗ в части облаков

Хасин Е. В. (Заместитель директора Департамента обеспечения кибербезопасности Минцифры) в ходе пленарной сессии конференции АБИСС
по вопросам регуляторики
информационной безопасности анонсировал (но не раскрыл подробностей) скорое внесение изменения в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования (в т.ч. по ИБ?) области облачных вычислений.

Наш эксперт Алексей Филиппов делится важной информацией с сессии "КИИ – теория и практика исполнения законодательства", которая прошла в рамках Конференции АБИСС по регуляторике информационной безопасности.

🔽
🔽
🔽