Как стать автором
Обновить
40
Карма
2
Рейтинг
Уральский Центр Систем Безопасности @USSCLTD

Компания

Обзор изменений в законодательстве за май 2022

Информационная безопасность *

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 2K
Комментарии 8

Критическая информационная инфраструктура Индии

Информационная безопасность *

Автор: Евгений Баклушин, руководитель направления

Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.

С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.

В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.

Читать далее
Рейтинг 0
Просмотры 2K
Комментарии 3

Как российским компаниям соответствовать требованиям закона о защите персональных данных Республики Беларусь?

Информационная безопасность *

Автор: Прохор Садков, старший аналитик

Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и требование о получении согласия на их обработку в Законе Республики Беларусь № 455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».

Если российская компания имеет свое представительство на территории Республики Беларусь или осуществляет обработку ПДн от имени или в интересах государственного органа, юридического лица и гражданина Республики Беларусь, то она должна учитывать требования российского и белорусского законов о ПДн.

Применимость закона не установлена в случаях, когда иностранные организации обрабатывают ПДн граждан Белоруссии, но не имеют своего представительства на его территории. Например, если российская компания владеет сайтом рассчитанным на белорусскую аудиторию.

В этой статье мы рассмотрим насколько эти законы отличаются и к каким особенностям белорусского законодательства о ПДн должны быть готовы российские компании.

Читать далее
Всего голосов 4: ↑2 и ↓2 0
Просмотры 1K
Комментарии 2

Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process

Информационная безопасность *

Мы продолжаем серию обзоров  методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).

Почему FRAP?

Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:

Существенное сокращение времени и усилий на проведение оценки.

Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.

Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.

Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 1.7K
Комментарии 0

Что такое риск информационной безопасности? Зачем его оценивать? И как это сделать?

Я пиарюсь

Автор: Аналитический центр УЦСБ

Здравствуйте! Если вы открыли эту статью, значит у вас уже имеется представление о необходимости обеспечения информационной безопасности (ИБ). И вы понимаете, что обеспечение ИБ является не самоцелью, а одним из процессов для достижения целей организации и минимизации потенциального ущерба. При этом одним из более действенных способов аргументировать затраты на обеспечение ИБ является оценка рисков ИБ.

Итак, введем понятие: риск – влияние неопределенности на достижение поставленных целей (ГОСТ Р ИСО 31000-2019).

При этом риск ИБ определяется через возможность того, что угрозы будут реализовываться через использование уязвимостей и, тем самым, наносить ущерб организации. Как правило, идентификации угроз, уязвимостей и ущерба достаточно для идентификации рисков ИБ. В дальнейших статьях мы увидим, что идентификация этих составляющих может вызвать некоторые трудности.

Что же представляет собой управление рисками ИБ? В общем случае процесс включает в себя следующие этапы:

Читать далее
Всего голосов 1: ↑0 и ↓1 -1
Просмотры 3.1K
Комментарии 5

Two steps from domain admins

Информационная безопасность *

Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.

Думаю, большинство, увидев администратора домена в списке сессий очередного скомпрометированного хоста поспешит расчехлить mimikatz и будет несомненно право. Но мы рассмотрим уже достаточно частые ситуации, когда lsass.exe защищен антивирусом либо же и вовсе перед нами lsaIso.exe с аппаратной изоляцией адресного пространства. Автор mimikatz почти сразу предложил известное решение. Но оно потребует перелогон админа, а значит это не совсем 0-click метод, зависящий от удачного стечения обстоятельств.

На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3.6K
Комментарии 0

Производство же работает, зачем нам эти сказки про хакеров? Или реальные киберинциденты в промышленности

Я пиарюсь

Когда к руководителю предприятия приходят специалисты по информационной безопасности с целью согласовать бюджет на проведение работ или внедрение системы защиты, первый вопрос, который появляется у руководителя: «Сколько это стоит?». ИБшники называют сумму и в ответ получают утверждение, что это обязательно нужно согласовать с «бизнесом». Далее следует планирование собрания, приглашение всех заинтересованных лиц, оглашение повестки и, наконец, встреча. Обсуждение длится несколько часов и в конце «бизнес» говорит: «Это дорого, вырастет наценка на продукцию – потеряем клиентов. Да и сказки все это, фильмов про хакеров насмотрелись. Посмотрите, работает же все!». У второй стороны существенного контраргумента нет.

В чем же ошибка сотрудников ИБ в этой ситуации? Нужен был реальный кейс, понятый руководителю и «бизнесу». Он должен содержать знакомые названия (организации, оборудования, продукции) и накладываться на их предприятие (виды деятельности должны быть одинаковыми или довольно приближенными друг к другу), а еще его должно быть легко проверить. Источник не должен находиться на каких-то небольших узконаправленных форумах или кружках по интересам.

Отлично. С необходимостью кейса и его критериями разобрались, но, добавив его в защитную презентацию по бюджету для ИБ, можно услышать: «Ну где-то раз что-то случилось, но мы тут причем…». И что нужно в ответ? Правильно – много кейсов. Но где их взять? Подразделение ИБ на предприятиях обычно не обладает такими ресурсами и временем, чтобы потратить их на серьезные поиски. Да, раньше была база RISI, но она не обновляется с 2014 года. Аргументы-то нужны свежие.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 2.9K
Комментарии 8

Как обнаружить вредонос: методология SANS

Информационная безопасность *

Когда происходит взлом какой-то системы, зачастую возникает необходимость выяснить, как система была взломана, какие компоненты были скомпрометированы, какая информация была похищена, и кто произвел атаку. Ветвь криминалистики, отвечающая на вопросы такого рода, называется компьютерной криминалистикой или форензикой.

Одна из важнейших техник форензики – анализ дампов памяти, сделанных на потенциально скомпрометированных системах. Дамп памяти – это файл, содержащий данные из оперативной памяти компьютера, в том числе данные запущенных процессов. Именно поэтому их анализ так важен: если система была скомпрометирована, и на ней запущено вредоносное программное обеспечение, эксперт по компьютерной криминалистике сможет обнаружить это, изучая дамп.

Существует множество инструментов для анализа дампов памяти, наиболее популярные из которых – фреймворки volatility и rekall, оба с открытым исходным кодом. Однако самих по себе инструментов может оказаться недостаточно: исследователю полезно иметь алгоритм, который помогал бы действовать эффективно, систематично и не упускать важные детали. Один такой алгоритм под названием SANS Six-Step Investigative Methodology был предложен институтом SANS.

SANS Six-Step Investigative Methodology

Описание методологии SANS Six-Step можно найти на одном из постеров SANS.

Алгоритм, как следует из названия, состоит из шести шагов.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 3.6K
Комментарии 0

Откручивание SSL пиннинга в Android приложениях

Информационная безопасность *

В процессе тестирования на проникновение мобильных приложений на Android часто необходимо выяснить, каким образом приложение общается с сервером, с какими адресами происходит взаимодействие, как выглядят запросы, какие данные передаются. Но не всегда это удается сделать.

В наше время для взаимодействия компонентов веб-приложений используется протокол HTTPS, в основе которого лежат протоколы HTTP и TLS. Просто так перехватить трафик приложения не выйдет, т.к. он зашифрован. Можно, конечно, использовать прокси сервер, который с помощью своего сертификата сможет расшифровать трафик приложения и увидеть все запросы. Однако и средства защиты приложений не стоят на месте. Многие мобильные приложения используют SSL Pinning.

SSL Pinning – это внедрение SSL сертификата, который используется на сервере в код мобильного приложения. Таким образом, приложение не использует хранилище сертификатов устройства и не будет работать с сертификатом, который мы ему подсунули.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 12K
Комментарии 5

Разведка с geo2ip и reverse-whois

Информационная безопасность *Сетевые технологии *DNS *

Разведка сетевых ресурсов компании главным образом заключается в брутфорсе поддоменов с последующим ресолвом найденных сетевых блоков. Далее могут быть найдены новые домены 2 уровня и процедура повторяется снова. Это позволяет найти новые IP-адреса на каждой итерации.

Этот метод, пожалуй, самый эффективный. Однако встречались такие ситуации, когда целая подсеть /24 оставалась не найденной.

В наши дни появилось еще одно мощное средство — passive dns, которое позволяет сделать то же самое что и классический DNS-ресолв, но используя специальный API. Это может быть, к примеру, «virustotal» или «passive-total». Эти сервисы записывают DNS запросы и ответы, которые собираются с популярных DNS-серверов. Преимущество этого подхода в том, что нам не нужен брутфорс. Мы просто указываем IP-адрес и получаем все известные DNS записи. Или, наоборот, указывая DNS мы получаем все IP-адреса, которые ассоциированы с данным именем. У данного подхода есть неоспоримое преимущество — мы можем найти старые сервера сайтов, которые ресолвились раньше. Ведь в конце концов старые сайты наиболее вероятно будут содержать уязвимости.

Несмотря на описанные выше техники существует еще несколько чуть менее популярных, но всё же дающих результаты. В данной статье мы рассмотрим ещё две методики разведки — поиск IP-адресов по географическим данным (geo2ip) и нахождение IP-адресов по имени компании (reverse-whois).

Geo2ip

Что такое geoip, думаю, знают многие из нас. Он используется достаточно часто как разработчиками, так и администраторами. Однако geoip используется главным образом в направлении ip → geo. В нашем же случае это не так интересно. Забавно, но перед тем, как разработать собственное решение, не было найдено ни одной библиотеки, позволяющей делать запросы в обратном направлении geo → ip. Поэтому было решено написать собственный инструмент, более того что реализуется это не так уж и сложно.

Читать далее
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 7.2K
Комментарии 1

Passive DNS в руках аналитика

Информационная безопасность *Анализ и проектирование систем *Сетевые технологии *DNS *

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.


В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:


  • Доменное имя
  • IP-адрес запрошенного доменного имени
  • Дату и время ответа
  • Тип ответа
  • и т.д.

Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.


image

Рисунок 1. Passive DNS (взят с сайта Ctovision.com)

Читать дальше
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 5.5K
Комментарии 2

Аналитическая записка. Обзор приказа Минэнерго РФ от 6 ноября 2018 года N 1015

Законодательство в IT
Авторы

К.Е. Полежаев, Аналитик
А.А. Заведенская, Помощник аналитика

Список использованных сокращений

АРМ – Автоматизированное рабочее место
АСУТП – Автоматизированная система управления технологическим процессом
БДУ – Банк данных угроз
ИБ – Информационная безопасность
МЭ – Межсетевой экран
НДВ – Недокументированные (недекларированные) возможности
ПО – Программное обеспечение
СрЗИ – Средства защиты информации
СУМиД – Система удаленного мониторинга и диагностики основного технологического оборудования
ФСБ России – Федеральная служба безопасности Российской Федерации
ФСТЭК России – Федеральная служба по техническому и экспортному контролю Российской Федерации

Введение

Настоящая Аналитическая записка содержит обзор опубликованного на официальном интернет-портале правовой информации 18 февраля 2019 года Приказа Министерства энергетики Российской Федерации от 06.11.2018 № 1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» (Зарегистрирован 15.02.2019 № 53815) (далее – Приказ Минэнерго).
Читать дальше →
Всего голосов 16: ↑10 и ↓6 +4
Просмотры 3.9K
Комментарии 3

NetBIOS в руках хакера

Информационная безопасность *IT-инфраструктура **nix *Сетевые технологии *
В данной статье пойдёт краткое повествование о том, что нам может рассказать такая привычная с виду вещь как NetBIOS. Какую он может предоставить информацию для потенциального злоумышленника/пентестера.
Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Просмотры 24K
Комментарии 2

Анализ безопасности корпоративной беспроводной сети

Информационная безопасность *Беспроводные технологии *IT-компании
На сегодняшний день беспроводные Wi-Fi сети используются почти повсеместно: благодаря простоте использования сети, высокой мобильности пользователей и дешевизне установки данная технология всё чаще и чаще становится обязательной составляющей не только домашних, но и корпоративных сетей. При этом, как и любая технология передачи данных, Wi-Fi при небезопасном использовании несёт в себе определённые угрозы. Злоумышленник, используя некорректные настройки точки доступа или неосторожность пользователя, может перехватить персональные данные этого пользователя, провести атаку на его устройство или проникнуть во внутреннюю сеть компании.

В рамках исследования был проведён анализ безопасности гостевой сети нашей компании – «USSC-Guest». Тестирование проводилось по модели внешнего нарушителя, то есть без наличия прямого доступа к выбранной сети, поэтому основной целью возможного злоумышленника стало получение пароля для подключения к ней.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 9.4K
Комментарии 9

Влияние GDPR на российских операторов персональных данных

Я пиарюсь
Автор: Анастасия Заведенская, помощник аналитика, Аналитический центр ООО «УЦСБ»
Рецензенты: Екатерина Рублева и Константин Саматов, руководители направления, Аналитический центр ООО «УЦСБ»


Компания, осуществляющая обработку персональных данных, считается их оператором. Скорее всего, в этой компании знают о Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и его требованиях. А если у компании есть клиенты в Евросоюзе или есть желание таковых привлечь? Или просто есть сайт в сети Интернет с формами для заполнения пользователем? Тогда нужно понимать, что такое GDPR и его сферу действия.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 3.3K
Комментарии 2

Подбираем пароли с помощью Google Chrome

Информационная безопасность *JavaScript *GreaseMonkey *Google Chrome Расширения для браузеров

Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля.


Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно взять отсюда.


В случае, если мы имеем какой-либо портал, где пользователи – это люди, то бОльшую часть уязвимых слабых паролей можно отнести к одной из 4 групп:


  1. Пароли, входящие в топ самых популярных фраз (такие как «123456», «password», и т.п.).
  2. Пароли, представляющие собой сочетание клавиш – так называемые keyboard-walks пароли (например, «qwerty», «qazwsx», и т.п.).
  3. Пароли – искажённые логины («user123», «user321», и т.п.).
  4. Либо использование в качестве пароля популярных русских слов или имён в «перевёрнутой» раскладке («ljcneg», «fylhtq»)
Читать дальше →
Всего голосов 37: ↑33 и ↓4 +29
Просмотры 130K
Комментарии 15

Анализ трафика Android-приложений: обход certificate pinning без реверс-инжиниринга

Информационная безопасность *
Иногда нужно исследовать работу бэкенда мобильного приложения. Хорошо, если создатели приложения не заморачивались и все запросы уходят по «голому» HTTP. А что, если приложение для запросов использует HTTPS, и отказывается принимать сертификат вашего корневого удостоверяющего центра, который вы заботливо внедрили в хранилище операционной системы? Конечно, можно поискать запросы в декомпилированом приложении или с помощью реверс-инжиниринга вообще отключить применение шифрования, но хотелось бы способ попроще.

image
Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 42K
Комментарии 11

Анализ обнаружения обфусцированных вирусов мобильными антивирусными приложениями на платформе Android

Информационная безопасность *Разработка под Android *
image
Команда УЦСБ провела независимое исследование для того, чтобы протестировать работу популярных антивирусных приложений для Android. С результатами этого исследования я делилась на конференции phdays VI, но хотелось бы более подробно остановиться на применении обфускаторов для обхода механизмов обнаружения вирусов.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 12K
Комментарии 8

НЕтехнологические проблемы защиты от утечек. Практика полевого инженера

Информационная безопасность *
Мне недавно задали вопрос: «DLP-система – все еще модная игрушка или реальный инструмент?». И я растерялся. Вот молоток – это инструмент, оружие или модный аксессуар? Если он резиновый, розовый и размером с ключи от машины – скорее всего, это модный аксессуар. Если он в крови и к нему прилип клок волос – наверное, он побывал оружием. Но в большинстве остальных случаев это все-таки инструмент.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 11K
Комментарии 33

Ищем уязвимости с помощью google

Информационная безопасность *
Любой поиск уязвимостей на веб-ресурсах начинается с разведки и сбора информации.
Разведка может быть как активной — брутфорс файлов и директорий сайта, запуск сканеров уязвимостей, ручной просмотр сайта, так и пассивной — поиск информации в разных поисковых системах. Иногда бывает так, что уязвимость становится известна еще до открытия первой страницы сайта.

Читать дальше →
Всего голосов 41: ↑36 и ↓5 +31
Просмотры 141K
Комментарии 14
1

Информация

В рейтинге
799-й
Откуда
Екатеринбург, Свердловская обл., Россия
Зарегистрирован
Активность