Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

• обнаружение и защита от атак на государственную ИТ-инфраструктуру;

• тестирование, сертификация и аккредитация ИТ-продуктов и услуг;

• информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);

• разработка единых и обязательных стандартов по ИБ;

• и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3).

В этой статье нападающие узнают, что coerce можно осуществлять не только с 445/tcp порта, а защитники обнаружат, как можно надежно запретить принуждение к аутентификации.

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за август 2022 года рассмотрим: результаты работы технического комитета по стандартизации «Защита информации» (ТК 362), импортозамещение в критической информационной инфраструктуре, новый порядок информирования об инцидентах и измененные правила категорирования, новые формы уведомления Роскомнадзора и требования к оценке вреда субъектам персональных данных, возвращение платы за единую биометрическую систему и аккредитация на право владения государственными информационными системами для идентификации и аутентификации.

В обзоре за июль 2022 года рассмотрим: ряд изменений в области защиты персональных данных, в том числе реформа 152-ФЗ, размещение биометрических персональных данных в единой биометрической системе и обновленный перечень стран, адекватно защищающих права субъектов персональных данных, изменения в области защиты критической информационной инфраструктуры, среди которых: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; результаты работы ТК 362, изменения в Уголовный кодекс РФ и Кодекс об административных правонарушениях, связанные с защитой государственной тайны и персональных данных, использованием технических средств защиты информации РФ; дополнения к требованиям для кредитных финансовых организаций и другое.

В целях усиления защиты прав граждан на неприкосновенность частной жизни в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) внесены изменения, принятые Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ).

В обзоре изменений за июнь 2022 года рассмотрим: новые документы во исполнение Указа Президента №250; Концепцию информационной безопасности в сфере здравоохранения; постановления Правительства РФ о размещении биометрических персональных данных в единой биометрической системе, проекты федеральных законов, предлагающих ввести ответственность за нарушение обработки биометрических персональных данных; изменения в программы профессиональной переподготовки от ФСТЭК России; новые условия по защите информации от Банка России и другие новости в нормативном поле информационной безопасности.

Автор: Александр Ендальцев, аналитик УЦСБ

Импортозамещение стало важным событием на российском рынке, в том числе на рынке информационной безопасности. Хоть тема импортозамещения не нова, однако, современные реалии создали новые стимулы к использованию отечественных решений в области информационной безопасности.

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.

Автор: Евгений Баклушин, руководитель направления

Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.

С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.

В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.

Автор: Прохор Садков, старший аналитик

Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и требование о получении согласия на их обработку в Законе Республики Беларусь № 455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».

Если российская компания имеет свое представительство на территории Республики Беларусь или осуществляет обработку ПДн от имени или в интересах государственного органа, юридического лица и гражданина Республики Беларусь, то она должна учитывать требования российского и белорусского законов о ПДн.

Применимость закона не установлена в случаях, когда иностранные организации обрабатывают ПДн граждан Белоруссии, но не имеют своего представительства на его территории. Например, если российская компания владеет сайтом рассчитанным на белорусскую аудиторию.

В этой статье мы рассмотрим насколько эти законы отличаются и к каким особенностям белорусского законодательства о ПДн должны быть готовы российские компании.

Мы продолжаем серию обзоров  методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).

Почему FRAP?

Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:

Существенное сокращение времени и усилий на проведение оценки.

Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.

Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.

Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.

Автор: Аналитический центр УЦСБ

Здравствуйте! Если вы открыли эту статью, значит у вас уже имеется представление о необходимости обеспечения информационной безопасности (ИБ). И вы понимаете, что обеспечение ИБ является не самоцелью, а одним из процессов для достижения целей организации и минимизации потенциального ущерба. При этом одним из более действенных способов аргументировать затраты на обеспечение ИБ является оценка рисков ИБ.

Итак, введем понятие: риск – влияние неопределенности на достижение поставленных целей (ГОСТ Р ИСО 31000-2019).

При этом риск ИБ определяется через возможность того, что угрозы будут реализовываться через использование уязвимостей и, тем самым, наносить ущерб организации. Как правило, идентификации угроз, уязвимостей и ущерба достаточно для идентификации рисков ИБ. В дальнейших статьях мы увидим, что идентификация этих составляющих может вызвать некоторые трудности.

Что же представляет собой управление рисками ИБ? В общем случае процесс включает в себя следующие этапы:

Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.

Думаю, большинство, увидев администратора домена в списке сессий очередного скомпрометированного хоста поспешит расчехлить mimikatz и будет несомненно право. Но мы рассмотрим уже достаточно частые ситуации, когда lsass.exe защищен антивирусом либо же и вовсе перед нами lsaIso.exe с аппаратной изоляцией адресного пространства. Автор mimikatz почти сразу предложил известное решение. Но оно потребует перелогон админа, а значит это не совсем 0-click метод, зависящий от удачного стечения обстоятельств.

На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.

Когда к руководителю предприятия приходят специалисты по информационной безопасности с целью согласовать бюджет на проведение работ или внедрение системы защиты, первый вопрос, который появляется у руководителя: «Сколько это стоит?». ИБшники называют сумму и в ответ получают утверждение, что это обязательно нужно согласовать с «бизнесом». Далее следует планирование собрания, приглашение всех заинтересованных лиц, оглашение повестки и, наконец, встреча. Обсуждение длится несколько часов и в конце «бизнес» говорит: «Это дорого, вырастет наценка на продукцию – потеряем клиентов. Да и сказки все это, фильмов про хакеров насмотрелись. Посмотрите, работает же все!». У второй стороны существенного контраргумента нет.

В чем же ошибка сотрудников ИБ в этой ситуации? Нужен был реальный кейс, понятый руководителю и «бизнесу». Он должен содержать знакомые названия (организации, оборудования, продукции) и накладываться на их предприятие (виды деятельности должны быть одинаковыми или довольно приближенными друг к другу), а еще его должно быть легко проверить. Источник не должен находиться на каких-то небольших узконаправленных форумах или кружках по интересам.

Отлично. С необходимостью кейса и его критериями разобрались, но, добавив его в защитную презентацию по бюджету для ИБ, можно услышать: «Ну где-то раз что-то случилось, но мы тут причем…». И что нужно в ответ? Правильно – много кейсов. Но где их взять? Подразделение ИБ на предприятиях обычно не обладает такими ресурсами и временем, чтобы потратить их на серьезные поиски. Да, раньше была база RISI, но она не обновляется с 2014 года. Аргументы-то нужны свежие.

Когда происходит взлом какой-то системы, зачастую возникает необходимость выяснить, как система была взломана, какие компоненты были скомпрометированы, какая информация была похищена, и кто произвел атаку. Ветвь криминалистики, отвечающая на вопросы такого рода, называется компьютерной криминалистикой или форензикой.

Одна из важнейших техник форензики – анализ дампов памяти, сделанных на потенциально скомпрометированных системах. Дамп памяти – это файл, содержащий данные из оперативной памяти компьютера, в том числе данные запущенных процессов. Именно поэтому их анализ так важен: если система была скомпрометирована, и на ней запущено вредоносное программное обеспечение, эксперт по компьютерной криминалистике сможет обнаружить это, изучая дамп.

Существует множество инструментов для анализа дампов памяти, наиболее популярные из которых – фреймворки volatility и rekall, оба с открытым исходным кодом. Однако самих по себе инструментов может оказаться недостаточно: исследователю полезно иметь алгоритм, который помогал бы действовать эффективно, систематично и не упускать важные детали. Один такой алгоритм под названием SANS Six-Step Investigative Methodology был предложен институтом SANS.

SANS Six-Step Investigative Methodology

Описание методологии SANS Six-Step можно найти на одном из постеров SANS.

Алгоритм, как следует из названия, состоит из шести шагов.

В процессе тестирования на проникновение мобильных приложений на Android часто необходимо выяснить, каким образом приложение общается с сервером, с какими адресами происходит взаимодействие, как выглядят запросы, какие данные передаются. Но не всегда это удается сделать.

В наше время для взаимодействия компонентов веб-приложений используется протокол HTTPS, в основе которого лежат протоколы HTTP и TLS. Просто так перехватить трафик приложения не выйдет, т.к. он зашифрован. Можно, конечно, использовать прокси сервер, который с помощью своего сертификата сможет расшифровать трафик приложения и увидеть все запросы. Однако и средства защиты приложений не стоят на месте. Многие мобильные приложения используют SSL Pinning.

SSL Pinning – это внедрение SSL сертификата, который используется на сервере в код мобильного приложения. Таким образом, приложение не использует хранилище сертификатов устройства и не будет работать с сертификатом, который мы ему подсунули.

Разведка сетевых ресурсов компании главным образом заключается в брутфорсе поддоменов с последующим ресолвом найденных сетевых блоков. Далее могут быть найдены новые домены 2 уровня и процедура повторяется снова. Это позволяет найти новые IP-адреса на каждой итерации.

Этот метод, пожалуй, самый эффективный. Однако встречались такие ситуации, когда целая подсеть /24 оставалась не найденной.

В наши дни появилось еще одно мощное средство — passive dns, которое позволяет сделать то же самое что и классический DNS-ресолв, но используя специальный API. Это может быть, к примеру, «virustotal» или «passive-total». Эти сервисы записывают DNS запросы и ответы, которые собираются с популярных DNS-серверов. Преимущество этого подхода в том, что нам не нужен брутфорс. Мы просто указываем IP-адрес и получаем все известные DNS записи. Или, наоборот, указывая DNS мы получаем все IP-адреса, которые ассоциированы с данным именем. У данного подхода есть неоспоримое преимущество — мы можем найти старые сервера сайтов, которые ресолвились раньше. Ведь в конце концов старые сайты наиболее вероятно будут содержать уязвимости.

Несмотря на описанные выше техники существует еще несколько чуть менее популярных, но всё же дающих результаты. В данной статье мы рассмотрим ещё две методики разведки — поиск IP-адресов по географическим данным (geo2ip) и нахождение IP-адресов по имени компании (reverse-whois).

Geo2ip

Что такое geoip, думаю, знают многие из нас. Он используется достаточно часто как разработчиками, так и администраторами. Однако geoip используется главным образом в направлении ip → geo. В нашем же случае это не так интересно. Забавно, но перед тем, как разработать собственное решение, не было найдено ни одной библиотеки, позволяющей делать запросы в обратном направлении geo → ip. Поэтому было решено написать собственный инструмент, более того что реализуется это не так уж и сложно.

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.

В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:

• Доменное имя
• IP-адрес запрошенного доменного имени
• Дату и время ответа
• Тип ответа
• и т.д.

Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.

Рисунок 1. Passive DNS (взят с сайта Ctovision.com)