Рост количества кибератак и ежедневные сообщения об утечках персональных данных пользователей – это новые реалии информационного мира. Уберечь компании от этих проблем помогают эксперты по информационной безопасности (ИБ). Круг обязанностей коллег по устранению киберугроз широк, однако есть определенные компетенции, которые ценятся в этой сфере. В нашей статье подробно расскажем о навыках, которые пригодятся, если вы хотите начать карьеру или уже работает в сфере ИБ.

За последние несколько лет картина российского ИТ-мира сильно изменилась. Число атак на информационные системы предприятий и компаний возросло лавинообразно. Сегодня любой организации стоит быть готовой к тому, что объектом вторжения может стать ее ИТ-инфраструктура, и сделать все, чтобы оно не увенчалось успехом.

Так сложилось, что в русском языке слово «хакер» имеет скорее негативное значение – умелец, который проникает в информационные системы организаций, чтобы нарушить работу или украсть данные. На самом деле это искажение. Хакер – это специалист, который умеет мыслить нестандартно, находить обходные, неочевидные пути к своим целям и использовать их.

Как и у любой силы, у этой есть темная и светлая стороны. Киберситхи взламывают системы с преступными намерениями. Киберджедаи ищут слабые места в информационной безопасности организации, чтобы их усилить. Они действуют только во благо компании и всегда задумываются о последствиях своих действий. В вакансиях киберджедаев называют специалистами по анализу защищенности, инженерами аудита информационной безопасности и инженерами кибербезопасности. В ИТ-мире они известны как пентестеры, от penetration test – тест на проникновение.

В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.

Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

• обнаружение и защита от атак на государственную ИТ-инфраструктуру;

• тестирование, сертификация и аккредитация ИТ-продуктов и услуг;

• информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);

• разработка единых и обязательных стандартов по ИБ;

• и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3).

В этой статье нападающие узнают, что coerce можно осуществлять не только с 445/tcp порта, а защитники обнаружат, как можно надежно запретить принуждение к аутентификации.

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за август 2022 года рассмотрим: результаты работы технического комитета по стандартизации «Защита информации» (ТК 362), импортозамещение в критической информационной инфраструктуре, новый порядок информирования об инцидентах и измененные правила категорирования, новые формы уведомления Роскомнадзора и требования к оценке вреда субъектам персональных данных, возвращение платы за единую биометрическую систему и аккредитация на право владения государственными информационными системами для идентификации и аутентификации.

В обзоре за июль 2022 года рассмотрим: ряд изменений в области защиты персональных данных, в том числе реформа 152-ФЗ, размещение биометрических персональных данных в единой биометрической системе и обновленный перечень стран, адекватно защищающих права субъектов персональных данных, изменения в области защиты критической информационной инфраструктуры, среди которых: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; результаты работы ТК 362, изменения в Уголовный кодекс РФ и Кодекс об административных правонарушениях, связанные с защитой государственной тайны и персональных данных, использованием технических средств защиты информации РФ; дополнения к требованиям для кредитных финансовых организаций и другое.

В целях усиления защиты прав граждан на неприкосновенность частной жизни в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) внесены изменения, принятые Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ).

В обзоре изменений за июнь 2022 года рассмотрим: новые документы во исполнение Указа Президента №250; Концепцию информационной безопасности в сфере здравоохранения; постановления Правительства РФ о размещении биометрических персональных данных в единой биометрической системе, проекты федеральных законов, предлагающих ввести ответственность за нарушение обработки биометрических персональных данных; изменения в программы профессиональной переподготовки от ФСТЭК России; новые условия по защите информации от Банка России и другие новости в нормативном поле информационной безопасности.

Автор: Александр Ендальцев, аналитик УЦСБ

Импортозамещение стало важным событием на российском рынке, в том числе на рынке информационной безопасности. Хоть тема импортозамещения не нова, однако, современные реалии создали новые стимулы к использованию отечественных решений в области информационной безопасности.

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.

Автор: Евгений Баклушин, руководитель направления

Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.

С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.

В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.

Автор: Прохор Садков, старший аналитик

Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и требование о получении согласия на их обработку в Законе Республики Беларусь № 455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».

Если российская компания имеет свое представительство на территории Республики Беларусь или осуществляет обработку ПДн от имени или в интересах государственного органа, юридического лица и гражданина Республики Беларусь, то она должна учитывать требования российского и белорусского законов о ПДн.

Применимость закона не установлена в случаях, когда иностранные организации обрабатывают ПДн граждан Белоруссии, но не имеют своего представительства на его территории. Например, если российская компания владеет сайтом рассчитанным на белорусскую аудиторию.

В этой статье мы рассмотрим насколько эти законы отличаются и к каким особенностям белорусского законодательства о ПДн должны быть готовы российские компании.

Мы продолжаем серию обзоров  методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).

Почему FRAP?

Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:

Существенное сокращение времени и усилий на проведение оценки.

Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.

Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.

Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.

Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.

Думаю, большинство, увидев администратора домена в списке сессий очередного скомпрометированного хоста поспешит расчехлить mimikatz и будет несомненно право. Но мы рассмотрим уже достаточно частые ситуации, когда lsass.exe защищен антивирусом либо же и вовсе перед нами lsaIso.exe с аппаратной изоляцией адресного пространства. Автор mimikatz почти сразу предложил известное решение. Но оно потребует перелогон админа, а значит это не совсем 0-click метод, зависящий от удачного стечения обстоятельств.

На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.