Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
Атака на цепочку поставок (Supply Chain Attack) – это атака, при которой злоумышленники пытаются получить доступ к системам или к данным компании через уязвимости в процессах и системах подрядчиков, предоставляющих товары или услуги.

Злоумышленники могут использовать различные методы для внедрения вредоносного кода или получения доступа к системам. Например, они могут модифицировать ПО поставщика перед его передачей компании-получателю. Социальная инженерия также играет важную роль: манипуляция сотрудниками поставщика может привести к утечке конфиденциальной информации.

Один из самых известных случаев такой атаки — инцидент с SolarWinds. В данном случае злоумышленники внедрили вредоносный код в один из DLL-файлов, который получили клиенты SolarWinds в рамках обновления ПО. После запуска зараженного ПО на устройстве пользователя злоумышленники получали возможность управлять ОС, в том числе выгружать данные с устройства и отключать системные службы.

Для эффективной защиты от атак на цепочку поставок компаниям следует внедрить процесс оценки третьих сторон, который позволит своевременно выявлять потенциальные риски, связанные с взаимодействием с поставщиками.
Процесс проверки может выражаться в анкетировании поставщиков для проведения оценки рисков, в запросе свидетельств независимых проверок ИБ (сертификаций или аттестаций), а также в проведении аудитов ИБ у поставщиков, что должно быть заранее предусмотрено в договоре.

#ИБ
Вступило в силу 1 сентября 2024 г.:

Постановление Правительства РФ от 14.11.2023 № 1912 о порядке перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ
для кого: субъекты КИИ, имеющие значимые объекты КИИ
что делать: с 1 сентября 2024 г. осуществлять закупку и использовать только отечественные доверенных ПАК. Исключения:
🔸ПАК, приобретённые до 01 сентября 2024 г.;
🔸ПАК, не имеющие аналогов в РФ
Приказ Минэнерго России от 26.12.2023 № 1215 об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики
для кого: организации, функционирующие в сфере электроэнергетики и имеющие значимые объекты КИИ
что делать: на значимых объектах КИИ, которые управляются дистанционно или из диспетчерских центров, необходимо выполнить ряд дополнительных мероприятий к приказу ФСТЭК России от 25.12.2017 г. № 239
Постановление Правительства РФ от 01.04.2024 № 408 о видах биометрических персональных данных (ПДн)
для кого: операторы ПДн, обрабатывающих биометрические ПДн
что делать: проверить, что идентификация и аутентификация с использованием биометрических ПДн осуществляется на основе следующих данных:
🔸изображение лица человека, полученное с помощью фото-видеоустройств;
🔸запись голоса человека, полученная с помощью звукозаписывающих устройств.

Вступило в силу 10 сентября 2024 г.:

Приказ Минцифры России от 31.07.2024 № 677 о требованиях по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
для кого:
🔸провайдеры хостингов, предоставляющие вычислительные мощности операторам ГИС и МИС;
🔸операторы ГИС, МИС, ИС государственных и муниципальных унитарных учреждений.
что делать: реализовывать требования по защите информации, в том числе с использованием шифровальных (криптографических) средств, установленными приказами ФСБ России

#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Вступило в силу 27 сентября 2024 г.:

Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
для кого: субъекты КИИ
что делать:
🔸субъектам КИИ, которые провели категорирование объектов КИИ: принять к сведению исключение из процедуры категорирования требования по формированию перечня объектов КИИ, подлежащих категорированию.
🔸субъектам КИИ, которые не провели категорирование объектов КИИ: принять к сведению риск привлечения к административной ответственности за непредоставление форм сведений о результатах категорирования

Вступило в силу 1 октября 2024 г.:

Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
для кого: участники платежной системы Банка России
что делать:
🔸предусмотреть дополнительные контрольные мероприятия в целях мониторинга уровня риска ИБ в платежной системе;
🔸идентифицировать значимые риски не реже одного раза в год;
🔸ознакомиться с расширением перечня субъектов организационной структуры, обязанных обеспечивать бесперебойность функционирования платежной системы;
🔸ознакомиться с критериями отнесения риск-событий, реализовавшихся при оказании услуг платежной инфраструктуры, к риск-событиям приостановления оказания таких услуг

#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Время, необходимое для взлома пароля, зависит от его сложности и методов, применяемых злоумышленниками. Рассмотрим несколько примеров перебора по словарю:
 
🔸Простой пароль (например, «P@ssw0rd»): такой пароль выглядит сложным, но будет подобран одним из первых, так как является словарным – то есть включенным в базы паролей, полученных из разных источников.
Также примером простого пароля может быть !QAZ2wsx – это набор символов первых двух столбцов клавиатуры, такой словарный пароль подберут быстро.
 
🔸Пароль средней сложности (например, «Kept081096»): взлом может потребовать от нескольких минут до часов, так как маловероятно что данный пароль будет в стандартных словарях, но злоумышленник может его подобрать, генерируя составные словари.
 
🔸Сложный пароль (например, «1Fo1!OW_2k3PT_3c7b3r_4c8@99e1»): в данном варианте использована длинная фраза «Follow Kept Cyber Channel», в которую внесены изменения с помощью цифр и специальных символов.
Взлом такого пароля может потребовать от несколько лет до десятилетий.
Как правило, для компрометации сложных паролей злоумышленники используют, например, методы социальной инженерии и утёкшие базы данных.
 
Ключевые принципы создания сложного пароля:
 
🔸Наполнение
Для максимальной безопасности пароля необходимо использовать случайные символы, сочетающих в себе буквы, цифры и специальные знаки.
 
🔸Длина
Принцип подразумевает создание паролей от 12 символов, так можно заметно снизить вероятность перебора пароля по словарю.
 
🔸Запоминаемость
Пароль может быть сколь угодно сложным, но если его не может запомнить пользователь, он бесполезен.
Запомнить пароль можно используя, например, кодовые фразы.
 
Существует ПО, которое облегчает процесс создания паролей – менеджеры паролей. Такой инструмент позволяет создавать случайные, сложные пароли, соответствующие заданным критериям безопасности, а также управлять паролями, сохраняя их в зашифрованном виде.
Подробнее о таком инструменте мы поговорим в следующий раз.
 
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Для чего можно использовать менеджер паролей?
 
Ответ:

Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.

К преимуществам использования такого сервиса относятся:

🔸Защита паролей: хранение всех паролей пользователя в зашифрованной базе данных, которая защищена одним главным паролем (мастер-паролем).
🔸Защита систем: при компрометации учётных записей или увольнении работника возможна оперативная смена паролей во всех системах компании.
🔸Удобство: генерация уникальных и надежных паролей для каждого аккаунта и отсутствие необходимости запоминания паролей.
🔸Ускорение процесса авторизации: автоматическое заполнение соответствующих форм паролями и логинами для входа в систему.
🔸Синхронизация: получение доступа к паролям на разных устройствах пользователя через сервис.
🔸Безопасный обмен: передача паролей между пользователями через сервис.
🔸Аудит безопасности: своевременное уведомление о слабых или украденных паролях.

Сценариями использования менеджера паролей компанией могут быть:

🔸Контроль соблюдения работниками парольной политики.
🔸Проведение аудитов использования паролей с возможностью выявлять подозрительные учетные записи.
🔸Организация безопасного обмена паролями доступа к папкам или ПО между работниками, который может потребоваться в рамках проекта.
🔸Автоматизация предоставления паролей для новых работников и сброса паролей для увольняющихся.

Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:

🔸BearPass
🔸Bitwarden
🔸CommonKey
🔸Passbolt
🔸Passwork
🔸Zoho Vault

#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
 
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
 
Наиболее частыми сценариями использования VPN являются:
🔸удаленный доступ сотрудника к корпоративной сети;
🔸создание защищенного канала между разными сегментами сети;
🔸изменение местоположения.
 
К основным преимуществам технологии можно отнести:
🔸шифрование передаваемых данных;
🔸сохранение анонимности в Интернете;
🔸доступ к контенту по всему миру.
 
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
 
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.

Принцип работы «соли»:

При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.

При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.

Основные задачи, которые помогает решить «соль»:

▫️Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.

▫️Минимизация рисков:

🔸в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.

🔸в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.

Существует два основных типа «соли»:

▫️Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.

▫️Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?

Ответ:

31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:

▫️Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.

▫️Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.

▫️Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.

▫️Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.

▫️Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.

Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.

#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
NIST Cybersecurity Framework (CSF) 2.0 – фреймворк по информационной безопасности (ИБ) от Национального института стандартов и технологий США (NIST). Версия 2.0 была опубликована в феврале 2024 года. Ранее мы рассказывали о фреймворках по ИБ.
CSF 2.0 представляет собой описание целевого состояния ИБ в организации и может быть использован компаниями любых размеров и направлений деятельности ввиду гибкости внедрения представленных рекомендаций.

Фреймворк состоит из 6 ключевых разделов:

1️⃣Управление (Govern) – комплексный взгляд на жизненный цикл управления рисками ИБ.
2️⃣Идентификация (Identify) – определение ресурсов, которые необходимо защищать.
3️⃣Защита (Protect) – разработка и внедрение мер защиты ресурсов для минимизации рисков ИБ.
4️⃣Обнаружение (Detect) – обнаружение и анализ событий ИБ.
5️⃣Реагирование (Respond) – управление инцидентами ИБ.
6️⃣Восстановление (Recover) – восстановление нормальной работы после инцидента.

При внедрении фреймворка следует учитывать следующее:

1️⃣Адаптация рекомендаций
Стандарт рекомендует расставлять приоритеты в области обеспечения ИБ для принятия обоснованных решений о расходах на ИБ и действиях по внедрению стандарта.

2️⃣Интеграция с другими системами
Для создания единой экосистемы безопасности важно обеспечить совместимость с другими фреймворками и стандартами, используемыми в компании, например, ISO 2700X, CIS Controls.

3️⃣Автоматизация процессов
Внедрение инструментов автоматизации способствует повышению эффективности многих процессов обеспечения ИБ, например, повышение осведомленности, управление уязвимостями, реагирование на инциденты.

NIST Cybersecurity Framework (CSF) 2.0 является хорошей методической базой для построения ИБ в компании, однако следует помнить, что стандарт не содержит подробное описание шагов для достижения целевого состояния ИБ. Для эффективного ИБ в компании требуется комплексный подход: необходимо грамотное распределение ресурсов, компетентные специалисты, актуальные меры и средства защиты, а также постоянство обеспечения ИБ.

#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
В новой версии «The NIST Cybersecurity Framework» (далее – CSF) предложены инструменты для ускорения внедрения стандарта и уделено больше внимания вопросам корпоративного управления.
 
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
 
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
 
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
 
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
 
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
 
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
 
#ИБ
#ПолезноЗнать
Вопрос:
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?

Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.

Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:

1️⃣ Провести анализ цепочки поставок и определить риски
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.

2️⃣ Провести проверку всех участников цепочки поставок
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.

3️⃣ Ограничить доступы
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.

4️⃣ Провести обучение
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.

5️⃣ Проводить мониторинг активности
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.

6️⃣ Регулярно перепроверять поставщиков
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.

7️⃣ Разработать планы и процедуры на случай инцидента
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM