VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
Наиболее частыми сценариями использования VPN являются:
🔸 удаленный доступ сотрудника к корпоративной сети;
🔸 создание защищенного канала между разными сегментами сети;
🔸 изменение местоположения.
К основным преимуществам технологии можно отнести:
🔸 шифрование передаваемых данных;
🔸 сохранение анонимности в Интернете;
🔸 доступ к контенту по всему миру.
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸 Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸 Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸 Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.
#ИБ
#ПолезноЗнать
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
Наиболее частыми сценариями использования VPN являются:
К основным преимуществам технологии можно отнести:
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
24 октября Роман Мартинсон, менеджер группы по оказанию услуг в области кибербезопасности компании Kept, примет участие в дискуссии на тему «Как заниматься безопасностью для себя» на конференции «Сохранить все: безопасность информации».
На конференции ведущие эксперты в области кибербезопасности, регуляторы и представители бизнеса обсудят актуальные вопросы защиты данных в условиях стремительного развития цифровых технологий. Главные акценты мероприятия будут сделаны на законодательно-правовых аспектах информационной безопасности и практических подходах к защите данных.
В рамках дискуссии Роман поделится опытом и взглядами на то, как выстраивать системы безопасности, минимизируя риски для бизнеса и сотрудников.
Место: Конгресс-центр SOLUXE Hall, Москва
Регистрация на конференцию.
Не пропустите возможность узнать, как защищать данные без рисков для себя и своего бизнеса!
#Privacy
На конференции ведущие эксперты в области кибербезопасности, регуляторы и представители бизнеса обсудят актуальные вопросы защиты данных в условиях стремительного развития цифровых технологий. Главные акценты мероприятия будут сделаны на законодательно-правовых аспектах информационной безопасности и практических подходах к защите данных.
В рамках дискуссии Роман поделится опытом и взглядами на то, как выстраивать системы безопасности, минимизируя риски для бизнеса и сотрудников.
Место: Конгресс-центр SOLUXE Hall, Москва
Регистрация на конференцию.
Не пропустите возможность узнать, как защищать данные без рисков для себя и своего бизнеса!
#Privacy
Вопрос:
Как определить объекты КИИ?
Ответ:
Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸 используются для обработки информации, необходимой для обеспечения критического процесса;
🔸 используются для управления, контроля или мониторинга критических процессов;
🔸 упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.
Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.
Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸 здравоохранения;
🔸 транспорта;
🔸 энергетики;
🔸 оборонной промышленности;
🔸 горнодобывающей промышленности;
🔸 металлургической промышленности;
🔸 химической промышленности.
Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.
#КИИ
#ОтвечаетKept
Как определить объекты КИИ?
Ответ:
Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.
Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.
#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #44 (4 - 10 октября 2024 года)
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
По какой методике оценивается критичность уязвимостей, обнаруженных в ходе тестирования на проникновение?
Anonymous Quiz
14%
NIST
16%
ISO/IEC 27001
46%
CVSS
24%
OWASP
Оценка уязвимостей — ключевой этап в процессе проведения тестирования на проникновение, целью которого является выявление слабых мест в информационных системах. Для стандартизации и упрощения процесса оценки часто используется методика CVSS (Common Vulnerability Scoring System) — общепринятая система оценки уязвимостей.
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
▫️ Базовые метрики определяют первоначальную оценку уязвимости и включают такие параметры, как:
🔸 Вектор атаки (Attack Vector, AV) — способ, которым атакующий может эксплуатировать уязвимость (например, локально или удаленно).
🔸 Сложность атаки (Attack Complexity, AC) — уровень сложности, необходимый для успешной эксплуатации.
🔸 Привилегии, необходимые для эксплуатации (Privileges Required, PR) — уровень доступа, необходимый атакующему.
🔸 Пользовательское взаимодействие (User Interaction, UI) — необходимость участия пользователя для успешной атаки.
🔸 Воздействие на конфиденциальность, целостность и доступность (Confidentiality, Integrity, Availability Impact) — потенциальные последствия для системы в случае успешной атаки.
▫️ Временные метрики учитывают временные аспекты уязвимости, такие как наличие исправлений или уровень осведомленности о ней.
▫️ Контекстные метрики позволяют адаптировать оценку уязвимости в зависимости от конкретных условий эксплуатации, таких как важность уязвимого компонента для бизнеса.
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
Please open Telegram to view this post
VIEW IN TELEGRAM
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
▫️ Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.
▫️ Минимизация рисков:
🔸 в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.
🔸 в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.
Существует два основных типа «соли»:
▫️ Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.
▫️ Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
Существует два основных типа «соли»:
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
▫️ Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
▫️ Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
▫️ Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
▫️ Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
▫️ Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#ОтвечаетKept
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #45 (11 - 17 октября 2024 года)
1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России