Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
 
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
 
Наиболее частыми сценариями использования VPN являются:
🔸удаленный доступ сотрудника к корпоративной сети;
🔸создание защищенного канала между разными сегментами сети;
🔸изменение местоположения.
 
К основным преимуществам технологии можно отнести:
🔸шифрование передаваемых данных;
🔸сохранение анонимности в Интернете;
🔸доступ к контенту по всему миру.
 
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
 
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
24 октября Роман Мартинсон, менеджер группы по оказанию услуг в области кибербезопасности компании Kept, примет участие в дискуссии на тему «Как заниматься безопасностью для себя» на конференции «Сохранить все: безопасность информации».
 
На конференции ведущие эксперты в области кибербезопасности, регуляторы и представители бизнеса обсудят актуальные вопросы защиты данных в условиях стремительного развития цифровых технологий. Главные акценты мероприятия будут сделаны на законодательно-правовых аспектах информационной безопасности и практических подходах к защите данных.
 
В рамках дискуссии Роман поделится опытом и взглядами на то, как выстраивать системы безопасности, минимизируя риски для бизнеса и сотрудников.
 
Место: Конгресс-центр SOLUXE Hall, Москва
 
Регистрация на конференцию.
 
Не пропустите возможность узнать, как защищать данные без рисков для себя и своего бизнеса!

#Privacy
Вопрос:

Как определить объекты КИИ?

Ответ:

Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸используются для обработки информации, необходимой для обеспечения критического процесса;
🔸используются для управления, контроля или мониторинга критических процессов;
🔸упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.

Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.

Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸здравоохранения;
🔸транспорта;
🔸энергетики;
🔸оборонной промышленности;
🔸горнодобывающей промышленности;
🔸металлургической промышленности;
🔸химической промышленности.

Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #44 (4 - 10 октября 2024 года)

1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
По какой методике оценивается критичность уязвимостей, обнаруженных в ходе тестирования на проникновение?
Anonymous Quiz
14%
NIST
16%
ISO/IEC 27001
46%
CVSS
24%
OWASP
Оценка уязвимостей — ключевой этап в процессе проведения тестирования на проникновение, целью которого является выявление слабых мест в информационных системах. Для стандартизации и упрощения процесса оценки часто используется методика CVSS (Common Vulnerability Scoring System) — общепринятая система оценки уязвимостей.

CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:

▫️Базовые метрики определяют первоначальную оценку уязвимости и включают такие параметры, как:

🔸Вектор атаки (Attack Vector, AV) — способ, которым атакующий может эксплуатировать уязвимость (например, локально или удаленно).

🔸Сложность атаки (Attack Complexity, AC) — уровень сложности, необходимый для успешной эксплуатации.

🔸Привилегии, необходимые для эксплуатации (Privileges Required, PR) — уровень доступа, необходимый атакующему.

🔸Пользовательское взаимодействие (User Interaction, UI) — необходимость участия пользователя для успешной атаки.

🔸Воздействие на конфиденциальность, целостность и доступность (Confidentiality, Integrity, Availability Impact) — потенциальные последствия для системы в случае успешной атаки.

▫️Временные метрики учитывают временные аспекты уязвимости, такие как наличие исправлений или уровень осведомленности о ней.

▫️Контекстные метрики позволяют адаптировать оценку уязвимости в зависимости от конкретных условий эксплуатации, таких как важность уязвимого компонента для бизнеса.

Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.

#Pentesting
Please open Telegram to view this post
VIEW IN TELEGRAM
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.

Принцип работы «соли»:

При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.

При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.

Основные задачи, которые помогает решить «соль»:

▫️Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.

▫️Минимизация рисков:

🔸в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.

🔸в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.

Существует два основных типа «соли»:

▫️Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.

▫️Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?

Ответ:

31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:

▫️Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.

▫️Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.

▫️Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.

▫️Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.

▫️Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.

Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.

#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #45 (11 - 17 октября 2024 года)

1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.

*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России