Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
Реверс-инжиниринг (обратная разработка или обратное проектирование) – это процесс анализа устройства или ПО в целях определения принципов его работы. Данный процесс может применяться в различных сферах, мы рассмотрим его в контексте ИТ и ИБ.
 
В разработке реверс-инжиниринг используется для восстановления исходного кода ПО, его структуры и функциональности. Этот метод позволяет понять, как работает программа, и выявить возможные уязвимости или ошибки.
 
Чаще всего реверс-инжиниринг применяется для:
 
· обнаружения и исправления багов в ПО;
· анализа вредоносного ПО для создания средств защиты;
· исследования ПО конкурентов и улучшения собственных продуктов;
· восстановления утраченного исходного кода.
 
Процесс реверс-инжиниринга состоит из следующих этапов:
 
1. Подготовка и выбор инструментов для анализа.
2. Дизассемблирование - преобразование двоичного файла в ассемблерный код.
3. Декомпиляция - преобразование двоичного файла в код на языке высокого уровня, например, «Java» или «C».
4. Отладка – изучение взаимодействия программы с системой для выявления скрытых алгоритмов.
5. Статический и динамический анализ – для выявления скрытых функций.
6. Документирование – комментирование кода и создание детального отчета.
7. Модификация – создание патчей для изменения функциональности программы.
 
Интересные случаи использования реверс-инжиниринга:
 
· Программа Wine использует реверс-инжиниринг для запуска Windows-приложений на Linux.
· Исследователи безопасности изучали код вируса Stuxnet, чтобы понять его механизм работы и разработать защитные меры.
· Исследователи безопасности изучали код вредоносного ПО Black Cat, чтобы понять его механизм работы и разработать защитные меры.
 
#ИБ
#ПолезноЗнать
Про то, что такое OSINT, какие есть инструменты, техники и области применения разведки мы рассказывали ранее. В контексте ИБ OSINT является важным инструментом, который позволяет следить за тенденциями угроз и уязвимостей, выявлять и оценивать риски, а также формировать конкурентное преимущество.
 
В рамках ИБ OSINT используется для:
 
· Анализа угроз:
- сбор и анализ информации о новых угрозах, субъектах угроз, уязвимостях и эксплойтах;
- поиск и анализ индикаторов компрометации (Indicator of Compromise, IoC).
 
· Проверки информации о сотрудниках, контрагентах и оценки безопасности привлекаемых организаций.
 
· Мониторинга и предупреждения инцидентов:
- мониторинг упоминаний компании или её продуктов в сети;
- мониторинг утечек конфиденциальной информации в открытых источниках;
- мониторинг изменений в технической инфраструктуре (например, добавление новых субдоменов).
 
Существуют специализированные OSINT-инструменты и источники, которые могут помочь в обеспечении ИБ:
 
· Платформы для анализа вредоносных файлов и документов (VirusTotal, AlienVault OTX и др.).
· Теневые форумы и сайты, где обсуждаются уязвимости, эксплойты и планы атак.
· Технические блоги, отчеты компаний и публикации по кибербезопасности.
· Базы данных уязвимостей (NVD (National Vulnerability Database), CVE (Common Vulnerabilities and Exposures), Exploit-DB).
· Сканеры открытых портов (Shodan, Censys, Buckets, Macaddress, CIRT).
Реестры и базы данных доменов (WHOIS-информация, база crt.sh, DNS-данные, IP-адреса).
 
#ИБ
#ПолезноЗнать
В соответствии с п. 1 ст. 18.1 152-ФЗ, оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Часто в РФ такое лицо называют DPO (Data Protection Officer), хотя термин исходит из GDPR (ст. 37).

Согласно ч. 4 ст. 22.1 152-ФЗ к основным обязанностям DPO относится:
· ведение внутреннего контроля соблюдения оператором законодательства РФ о персональных данных (ПДн);
· доведение до сведения работников оператора положений нормативных актов (в т.ч. локальных) о ПДн;
· организация приема и обработки обращений и запросов субъектов ПДн (их представителей) и контроль за данными мероприятиями.

Также в качестве мировой практики можно обратить внимание на задачи DPO (ст. 39 GDPR):
· консультирование работников компании в части исполнения требований законодательства при обработке ПДн;
· ведение контроля соблюдения требований GDPR, иных законов, а также локальных актов компании о ПДн;
· повышение осведомленности работников и их обучение компании в части обработки и защиты ПДн;
· предоставление консультаций при проведении в компании оценки воздействия на защиту ПДн (DPIA) и контроль проведения такой оценки;
· взаимодействие с надзорным органом в области обработки ПДн и представление в качестве контактного лица.

Законодательством РФ права DPO прямо не предусмотрены. При этом, в соответствии с ч. 2 и ч. 3 ст. 22.1152-ФЗ, компания должна обеспечить:
· подотчетность DPO напрямую исполнительному органу организации;
· предоставление доступа к информации, указанной в ч. 3 ст. 22 152-ФЗ.

Также исходя из лучших практик и Руководства для DPO, рекомендуется предоставлять DPO следующие права:
· независимость и неприкосновенность при исполнении своих обязанностей;
· получение необходимых документов у подразделений компании для организации обработки и защиты ПДн;
· принятие совместно с руководством компании решений о приостановке работ в случае утечки ПДн;
принятие участия в выборе подрядчиков для проведения работ по защите ПДн.

#Privacy
#ПолезноЗнать
Под фреймворком в информационной безопасности в широком смысле понимаются библиотеки, стандарты, своды лучших практик и рекомендаций экспертных организаций, которые могут быть использованы для методической основы при построении системы управления ИБ, а также процессов в конкретных доменах.
 
Фреймворки могут быть обязательными к реализации (как, например, NIST SP 800-53 для федеральных информационных систем США), требуемыми к реализации исходя из потребности компании (например, Trust Services Criteria от AICPA в случае решения компании о необходимости подтверждения эффективности системы внутренних контролей в области ИБ в виде отчетов SOC 2 и SOC 3), а также добровольными к реализации (например, CIS Controls).
 
Некоторые фреймворки посвящены одному конкретному направлению, например, NIST Privacy Framework поможет компаниям управлять рисками в области обработки и защиты ПДн, а PCI DSS – в области обработки данных платежных карт.
 
Отметим, что требования, описанные в фреймворках, могут быть неприменимы, нереализуемы или неактуальны в определенных ситуациях. Важно использовать риск-ориентированный подход при построении СУИБ и адаптировать лучшие практики под нужды вашей компании.
 
#ИБ
#ПолезноЗнать
Доксинг (doxing) — это сбор и публикация персональных или конфиденциальных данных о человеке без его согласия в злонамеренных целях. Такие данные могут содержать имя, адрес проживания, номер телефона, место работы, финансовые и другие личные данные. Доксинг может быть использован для запугивания, преследования или шантажа.

Чем опасен доксинг?

• Угроза безопасности.
Публикация личных данных может привести к угрозам и непосредственному физическому воздействию.

• Психологическое давление.
Жертвы доксинга часто испытывают стресс, тревогу и страх.

• Репутационные риски.
Личные данные могут быть использованы для причинения ущерба репутации из-за публикации неприятных скрытых фактов о человеке, клеветы или создания ложных нарративов.

Как защититься от доксинга?

• Ограничьте доступ к личным данным.
– Будьте внимательны к тому, какую информацию вы публикуете в социальных сетях.
– Настройте конфиденциальность профилей.
– Избегайте публикации информации о себе на форумах и в комментариях, где она может быть легко собрана.

• Используйте псевдонимы.
Если возможно, используйте никнеймы или псевдонимы вместо реальных имен при общении в интернете.

• Регулярно проверяйте свои настройки безопасности.
Убедитесь, что ваши аккаунты защищены надежными паролями и настроена многофакторная аутентификация.

• Мониторинг упоминаний.
Используйте специальные сервисы для отслеживания упоминаний вашего имени в интернете. Примером подобного сервиса может стать Google Alerts, отправляющий уведомления при появлении новых упоминаний заданных ключевых слов в интернете.

• Обратитесь за помощью.
Если вы стали жертвой доксинга, сообщите об этом в правоохранительные органы и службу поддержки платформы, где была опубликована личная информация

Доксинг может оказать существенное влияние на привычную жизнь человека, поэтому будьте внимательны к хранению и публикации информации о себе и принимайте меры для её защиты.

#ИБ
#ПолезноЗнать
Современные транспортные средства, такие как самолеты, поезда, корабли и автомобили, оснащены множеством электронных систем, которые контролируют все аспекты работы — от управления двигателем до навигации и связи. Уязвимости в этих системах могут привести к серьезным последствиям, включая угрозы безопасности пассажиров и сбои в работе транспорта.

В 2015 году исследователи продемонстрировали возможность взлома автомобиля через мультимедийную панель: они удаленно получили доступ к управляющим системам транспортного средства, после чего включили стеклоочистители, заглушили двигатель и взяли под контроль рулевое колесо. В случае реального взлома это могло бы привести к автомобильной аварии. Исследователи заявили, что данным методом взлома возможно получить доступ к сотням тысяч автомобилей данной марки.

В поездах и метро успешная атака на системы может привести к нарушениям графика движения, воспрепятствовать проведению ремонта и другим критическим последствиям. Так, в 2022 году группа специалистов ИБ обнаружила недекларированные возможности в системах управления поездами польского производителя, из-за которых поезда переставали функционировать спустя определенное время.

Чтобы обеспечить ИБ транспортных систем, нужен комплексный подход. Необходимо интегрировать меры ИБ на всех уровнях: от разработки и тестирования программного обеспечения до мониторинга работы систем в режиме реального времени.

Важную роль играют:
· Сегментация сетей, чтобы ограничить доступ злоумышленников к критически важным системам.
· Выпуск и установка регулярных обновлений программного обеспечения.
· Аудит безопасности.

Обучение сотрудников, задействованных в работе с транспортными системами, также является важным аспектом безопасности. Необходимо повышать осведомленность персонала о рисках, связанных с использованием цифровых технологий, и порядке действий в случае их реализации.

#ИБ
#ПолезноЗнать
Многофакторная аутентификация – метод контроля доступа, который требует от пользователя подтверждения личности через несколько факторов, таких как:

1️⃣ Фактор знания – что пользователь знает: пароль, PIN-код, ответ на контрольный вопрос.
2️⃣ Фактор владения – что принадлежит пользователю: физический токен или устройство, на которое приходит одноразовый пароль в SMS, e-mail или push-уведомлении.
3️⃣ Фактор свойства – сам пользователь, например, его биометрические данные.
 
Помимо фактора знания в целях повышения безопасности доступа следует применять дополнительные факторы, проверяемые при аутентификации. Для этого можно использовать следующие популярные методы:
 
🔸Получение кодов через SMS, звонок или e-mail (фактор владения): код направляется на номер телефона или на e-mail. Наиболее распространенный и уязвимый метод, так как смартфон может быть подвержен атакам типа SIM jacking, а пароль от электронной почты получен через атаку типа brute-force.
 
🔸Приложения-аутентификаторы (фактор владения): приложение, которое может работать без подключения к сети, генерирует одноразовые коды каждые 30 секунд. Главные уязвимости – фишинговые сайты с имитацией механизма проверки 2FA, а также вирусы-стиллеры, способные выкрасть cookie-файлы, используемые для входа в сервис.
 
🔸Биометрическая аутентификация (фактор свойства): использование отпечатков пальцев, распознавания лица и голоса. Предоставляя удобство аутентификации, данный метод также обладает недостатками: зависимость от точности работы оборудования, невозможность смены биометрических данных. К уязвимостям метода относится подделка биометрических данных, например, через дипфейки.
 
🔸Аппаратные устройства (фактор владения): физические ключи, подключаемые к устройству. Аппаратные аутентификаторы предоставляют высокий уровень безопасности, однако требуют затраты на приобретение. Наибольший риск представляет утеря устройства.
 
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Багбаунти (Bug Bounty) – это программы, в рамках которых сторонние специалисты (багхантеры, bughunters) занимаются поиском и обнаружением уязвимостей за вознаграждение.
Некоторые компании, такие как Яндекс, запускают багбаунти-программы сами, на своих ресурсах, но большинство участников – в их числе ведущие игроки рынка: VK, ТБанк, Сбербанк, Ростелеком и другие – используют для этого багбаунти-площадки.
На данный момент российский рынок включает 3 основные крупнейшие площадки, каждая со своими особенностями и подходами к работе с уязвимостями:
 
🔸Bugbounty.ru – старейшая платформа, работающая с 2021 г. Ее отличительной чертой является стабильность и простой интерфейс для взаимодействия как с компаниями, так и с багхантеры. За последние несколько лет было запущено множество программ и выявлено свыше нескольких сотен уязвимостей, в число которых вошли и сверхкритичные уязвимости.
 
🔸Standoff Bug Bounty – стартовала в мае 2022 г. и привлекла внимание крупных компаний благодаря организации специальных мероприятий для багхантеров. На площадке можно получить отчеты от иностранных багхантеров. Для проверенных специалистов с хорошей репутацией и большим опытом предоставляется возможность поучаствовать в приватных программах с ограниченным набором участников.
 
🔸BI.ZONE Bug Bounty – с августа 2022 г. предоставляет возможность работы с множеством программ. Площадка известна своим прогрессивным рейтингом багхантеров, который мотивирует участников достигать более впечатляющих результатов. Также на площадке есть возможность раскрытия отчетов, что делает процесс более прозрачным для всех сторон.
 
Каждая из площадок охватывает свою аудиторию и имеет свои сильные стороны, поэтому компании нередко размещают программы на нескольких платформах одновременно для максимального охвата багхантеров.
 
За последний год количество программ на площадках выросло почти на 60%, а максимальные размеры вознаграждений увеличились в разы.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Время, необходимое для взлома пароля, зависит от его сложности и методов, применяемых злоумышленниками. Рассмотрим несколько примеров перебора по словарю:
 
🔸Простой пароль (например, «P@ssw0rd»): такой пароль выглядит сложным, но будет подобран одним из первых, так как является словарным – то есть включенным в базы паролей, полученных из разных источников.
Также примером простого пароля может быть !QAZ2wsx – это набор символов первых двух столбцов клавиатуры, такой словарный пароль подберут быстро.
 
🔸Пароль средней сложности (например, «Kept081096»): взлом может потребовать от нескольких минут до часов, так как маловероятно что данный пароль будет в стандартных словарях, но злоумышленник может его подобрать, генерируя составные словари.
 
🔸Сложный пароль (например, «1Fo1!OW_2k3PT_3c7b3r_4c8@99e1»): в данном варианте использована длинная фраза «Follow Kept Cyber Channel», в которую внесены изменения с помощью цифр и специальных символов.
Взлом такого пароля может потребовать от несколько лет до десятилетий.
Как правило, для компрометации сложных паролей злоумышленники используют, например, методы социальной инженерии и утёкшие базы данных.
 
Ключевые принципы создания сложного пароля:
 
🔸Наполнение
Для максимальной безопасности пароля необходимо использовать случайные символы, сочетающих в себе буквы, цифры и специальные знаки.
 
🔸Длина
Принцип подразумевает создание паролей от 12 символов, так можно заметно снизить вероятность перебора пароля по словарю.
 
🔸Запоминаемость
Пароль может быть сколь угодно сложным, но если его не может запомнить пользователь, он бесполезен.
Запомнить пароль можно используя, например, кодовые фразы.
 
Существует ПО, которое облегчает процесс создания паролей – менеджеры паролей. Такой инструмент позволяет создавать случайные, сложные пароли, соответствующие заданным критериям безопасности, а также управлять паролями, сохраняя их в зашифрованном виде.
Подробнее о таком инструменте мы поговорим в следующий раз.
 
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
 
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
 
Наиболее частыми сценариями использования VPN являются:
🔸удаленный доступ сотрудника к корпоративной сети;
🔸создание защищенного канала между разными сегментами сети;
🔸изменение местоположения.
 
К основным преимуществам технологии можно отнести:
🔸шифрование передаваемых данных;
🔸сохранение анонимности в Интернете;
🔸доступ к контенту по всему миру.
 
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
 
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.

Принцип работы «соли»:

При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.

При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.

Основные задачи, которые помогает решить «соль»:

▫️Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.

▫️Минимизация рисков:

🔸в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.

🔸в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.

Существует два основных типа «соли»:

▫️Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.

▫️Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
В новой версии «The NIST Cybersecurity Framework» (далее – CSF) предложены инструменты для ускорения внедрения стандарта и уделено больше внимания вопросам корпоративного управления.
 
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
 
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
 
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
 
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
 
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
 
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
 
#ИБ
#ПолезноЗнать
Вопрос:
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?

Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.

Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:

1️⃣ Провести анализ цепочки поставок и определить риски
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.

2️⃣ Провести проверку всех участников цепочки поставок
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.

3️⃣ Ограничить доступы
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.

4️⃣ Провести обучение
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.

5️⃣ Проводить мониторинг активности
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.

6️⃣ Регулярно перепроверять поставщиков
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.

7️⃣ Разработать планы и процедуры на случай инцидента
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM