Вопрос: Что такое IOC?

Ответ:
IOC (Indicators of Compromise) — это индикаторы компрометации, по которым можно обнаружить вредоносную активность в сети организации и на конечных устройствах.

В рамках Threat Intelligence (TI) IOC является одним из ключевых типов артефактов: ими обмениваются между собой компании, TI-платформы и сообщества, чтобы быстрее выявлять и блокировать уже известные кампании и семейства вредоносных программ.

Что может быть IOC:
🔸 IP-адреса, с которых велась вредоносная активность;
🔸 хэши файлов (MD5, SHA1, SHA256);
🔸 URL или домены, используемые C2-серверами;
🔸 названия и пути вредоносных файлов;
🔸 нестандартные или модифицированные записи в реестре;
🔸 аномальное поведение процессов.

Индикаторы компрометации можно получить из отчётов по инцидентам, телеметрии, логов, результатов анализа вредоносных объектов, а также из внешних источников (TI-фиды, CERT-сообщества).

Процесс работы с IOC

▫️ Сбор. Получите IOC из надёжного источника: внутреннего инцидента, партнёров или внешних TI-фидов.
▫️ Обогащение. Проверьте актуальность и репутацию индикаторов при помощи VirusTotal, AbuseIPDB, Spamhaus, CIRCL, Globalsec и других инструментов.
▫️ Корреляция. Сопоставьте IOC с логами вашей инфраструктуры: EDR, SIEM, сетевые логи, прокси, DNS и т.п.
▫️ Действия. Если совпадения обнаружены — изолируйте хост, проведите расследование, обновите сигнатуры/правила в защитных системах. Если IOC не встречаются в инфраструктуре — можно превентивно заблокировать их или поставить на мониторинг.
▫️ Передача. Делитесь собственными IOC в рамках обмена Threat Intelligence, если политика компании это допускает.

#KeptОтвечает

CISO & DPO news #103 (4–11 декабря 2025 года)

▫️ Хакеры получили доступ к исходному коду смартфонов Asus
В результате взлома одного из поставщиков злоумышленники добрались до части исходного кода алгоритма обработки изображения, который используется в смартфонах Asus. В компании заверили, что взлом не повлиял на продукцию, внутренние системы и безопасность пользователей. По информации СМИ, к атаке причастна хакерская группировка Everest, которая потребовала выкуп за терабайт украденной информации.

▫️ Агентство по кибербезопасности США (CISA) рекомендовало не использовать VPN
В CISA считают, что разработчики таких программ (платных и бесплатных) имеют сомнительные правила безопасности и анонимности своих клиентов, поэтому, используя VPN, пользователи рискуют своей информацией.

▫️ МВД сообщило о задержании мошенников, подозреваемых в краже 200 млн рублей с помощью NFCGate
Сотрудники подразделения по борьбе с преступностью российского МВД задержали предполагаемых участников группы, которая совершила более 600 преступлений в 78 российских регионах. Один из задержанных — разработчик и администратор панели управления NFCGate. С ее помощью преступники удаленно похищали деньги с банковских карт. Мошенники распространяли вредоносное ПО через мессенджеры под видом приложений госорганизаций и банков.

▫️ С начала года в РФ выявили почти тысячу случаев незаконного использования персональных данных
Такую статистику за январь — октябрь 2025 года приводит МВД. Статья УК, которая вводит ответственность за «незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные», заработала в конце 2024 года.

▫️ Глава маркетплейса Coupang ушел в отставку после утечки данных 34 млн клиентов
Пак Дэ Чжун взял персональную ответственность за инцидент. Утечка данных пользователей южнокорейской площадки могла затронуть больше половины населения страны.

▫️ Защита приватности на ноутбуках для россиян оказалась важнее защиты устройства от кражи
К такому выводу пришли в компании iRU по итогам опроса. Так, шторку камеры посчитали важной опцией 79% респондентов, а кенсингтонский замок, который физически не дает украсть устройство, — только 5%.

▫️ Хакеры массово публикуют библиотеки Python с зараженным кодом
За 11 месяцев 2025 года число вредоносных пакетов в репозитории PyPI увеличилось на 54%, до 514 штук, сообщили в компании Threat Intelligence. В компании BI.Zone говорят о росте на 150%. Python считается самым популярным языком программирования.

На основе анализа международной практики можно выделить четыре основных критерия, определяющих применимость законодательства в области ПДн к деятельности компании:

▫️ Критерий места учреждения
Компания, официально зарегистрированная (учрежденная) на территории определенной страны или региона, автоматически попадает под действие местного законодательства о защите ПДн. Это правило действует независимо от места нахождения субъектов, чьи ПДн обрабатываются.

▫️ Критерий экстерриториальной применимости
Ряд стран (например Россия, ЕС, Турция, Швейцария) распространяют действие своих законов о ПДн на любые иностранные компании, которые целенаправленно обрабатывают ПДн их граждан, даже не имея там физического присутствия. Основанием часто является таргетирование товаров, услуг, рекламы или мониторинг поведения субъектов на территории этой страны.

▫️ Критерий локализации данных
Законодательство некоторых стран (например России, Казахстана, Китая, Швейцарии) требует обязательного хранения и/или обработки ПДн своих граждан на физических серверах, расположенных внутри страны. При этом в некоторых странах/регионах требование применимо только к компаниям, которые занимаются определенной деятельностью.

Также необходимо обратить внимание на косвенную применимость. Если компания не подпадает напрямую ни под один из вышеуказанных критериев, она все равно может быть обязана соблюдать иностранное законодательство о защите ПДн через договорные обязательства. Это происходит, когда такая компания выступает в роли обработчика или субподрядчика для другой организации, которая сама подпадает под экстерриториальное действие закона.

Понимание применимого законодательства о ПДн необходимо, чтобы определить круг требований, выполнение которых позволит компании избежать правовых рисков и возможных санкций.

#Викторины #Privacy

Публикуем двадцатый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на январь 2026 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

CISO & DPO news #104 (11–18 декабря 2025 года)

▫️ Cогласно «Кибердому», каждая третья компания малого и среднего бизнеса в РФ сталкивалась с кибератаками
12% компаний за последние два года становились жертвами хакеров больше одного раза. 72% заявили, что потерь из-за взлома удалось избежать; 12% понесли финансовые убытки. Несмотря на частые кибератаки, 28% компаний ничего не меняют в своей работе, столько же нанимают в штат ИБ-специалиста. 58% тратят на кибербезопасность менее ⅒ своего бюджета бюджета.

▫️ Российские компании отказываются от внедрения SOC-систем
По статистике, каждая десятая компания в РФ работает без системы непрерывного мониторинга безопасности, подсчитали в компании Usergate. Наибольшую долю — 36% — среди «отказников» занимают госкомпании. Основная причина — высокая стоимость систем. Внедрение подобного решения может стоить до 50 млн рублей.

▫️ 74% финтех-компаний концентрируют защитные меры на этапе подготовки данных и тестирования ИИ-моделей
60% финтехов внедряют комплексные меры по защите ИИ-систем. Такие данные содержатся в совместном исследовании Ассоциации ФинТех и ГК Swordfish Security. 81% компаний называют ML и LLM ядром ИИ-стратегий. 25% успели столкнуться с кибератаками на ИИ-системы. 75% считают утечку данных ключевой угрозой при использовании ИИ. Большинство компаний собираются уделить больше внимания практикам AI Security в 2026 году.

▫️ F6 назвали главные итоги уходящего года
На 15% выросло число атак с использованием программ-шифровальщиков. Зафиксировано 225 утечек данных российских компаний против 455 годом ранее. Общий объем скомпрометированных данных — 767 млн строк. В основном хакеры атаковали производственные и инжиниринговые компании, а также организации оптовой и розничной торговли. Чаще для этого использовали вредоносное ПО. Наибольшая сумма выкупа, которую требовали хакеры от атакованной компании, — 50 биткоинов или 500 млн рублей. Эксперты также зафиксировали переход мошенников от фишинговых схем к скаму.

▫️ Крупнейшая нефтегазовая компания Венесуэлы остановила экспорт из-за кибератаки
По информации СМИ, 14 декабря PDVSA приостановила все экспортные операции в терминалах из-за кибератаки на свою инфраструктуру. Госкомпания признала факт атаки, но заверила, что на работе компании она не отразилась. Спустя несколько дней нефтяные терминалы частично возобновили работу, однако большинство экспортных операции остаются на паузе. Кибератака произошла на фоне резкого ухудшения отношений Венесуэлы и США. Штаты ранее объявили о морской блокаде южноамериканской страны.

▫️ ИИ взломал сеть Стэнфордского университета быстрее хакеров-людей
Во время эксперимента исследователи Стэнфорда использовали ИИ-бот Artemis для поиска уязвимостей в компьютерной сети. Программа оказалась эффективнее 9 из 10 профессиональных пентестеров и гораздо дешевле — работа Artemis стоит около 18 долларов в час против 60 долларов для пентестера. Тем не менее бот допустил серьезные ошибки: почти 20% найденных им уязвимостей оказались ложноположительными.

▫️ Больше 70% работников считают требования к кибербезопасности избыточными
61% сотрудников сомневаются в этих правилах, показал опрос, проведенный компаниями «Контур. Эгида» и Staffcop. Только 24% респондентов уверены, что рекомендации по ИБ обоснованы и действительно помогают избежать инцидентов. Основная причина, по которой сотрудники не доверяют этим правилам, — множество запретов без объяснений.

▫️ Правительство РФ разрабатывает единую систему противодействия кибермошенникам
Система «Антифрод» обеспечит синхронную работу банков, операторов связи, цифровых платформ и правоохранительных органов для предотвращения цифровых преступлений, рассказал глава правительства Михаил Мишустин. Часть мер, которые будут входить в «Антифрод», уже работают — например, маркировка входящих звонков.

Эффективные DLP-системы должны выявлять не только явные утечки, но и скрытые методы обхода через легитимные каналы. Ключевые методы, которые система должна уметь выявлять, следующие:
1️⃣ Стеганография – скрытие данных в изображениях, аудио- и видеофайлах. DLP-система должна анализировать медиаконтент на наличие скрытых вложений, а не только заголовки.
2️⃣ Office-документы с макросами и OLE-объектами – популярный вектор, при котором вредоносный макрос, внедренный злоумышленником в документ, автоматически выполняется через механизм AutoOpen(). Данный механизм срабатывает при открытии документа, что позволяет выполнить макрос без дополнительных действий со стороны пользователя. Также это стандартная процедура языка Visual Basic for Applications, на котором создаются макросы для решения рутинных задач. DLP-система должна детально анализировать содержимое и поведение макросов.
3️⃣ Легитимные облачные сервисы и мессенджеры – передача данных через разрешенные корпоративные каналы (например, SharePoint или Teams). DLP-система должна применять политики и к санкционированным платформам.
4. Модификация форматов и кодирование – использование Base64, hex-кодирование или изменение расширений файлов. DLP-система должна нормализовать и проверять контент.

Описанные методы можно протестировать следующими способами:
1️⃣ Моделировать атаки: внедрять скрытые данные в файлы, использовать макросы для эксфильтрации.
2️⃣ Проверять реакцию DLP-системы на разных этапах (в покое, после внедрения вредоносных файлов).
3️⃣ Тестировать многослойные методы (например, документ с вредоносным макросом помещен внутрь архива): система должна обнаруживать угрозу вложенных структур, одноуровневой проверки в таких случаях недостаточно.

Целью такого тестирования является подтверждение возможности DLP-системы обнаруживать не только передаваемые в явном виде конфиденциальные данные, но и описанные скрытые способы передачи, а также корректность соответствующих настроек и правил.

#Викторины

Вопрос:
Обеспечивает ли функция удаления переписки в мессенджерах полное удаление данных?

Ответ:
В мобильных и десктопных приложениях мессенджеров (Telegram, WhatsApp, Signal и др.) кнопка «Удалить для всех» запускает ряд процессов, направленных на удаление данных. С точки зрения цифровой криминалистики, процесс удаления в современных мобильных и десктопных ОС редко приводит к немедленному физическому уничтожению информации.

Механизм работы базы данных приложения
Мессенджеры используют систему управления базами данных (СУБД) SQLite. Когда пользователь удаляет сообщение, происходят следующие процессы:
▫️ Пометка флагом «к удалению». СУБД не затирает строку сообщения нулями, а помечает соответствующую область данных как «свободную» (Unallocated Space).
▫️ Сохранение в Free Lists. Удаленные записи перемещаются в так называемые «списки свободных страниц». Данные физически остаются на накопителе до тех пор, пока на их место не будут записаны новые данные.

При низкой активности мессенджера «удаленное» сообщение может сохраняться в памяти устройства месяцами.

Журналирование (WAL-файлы)
Большинство приложений работают в режиме Write-Ahead Logging (WAL) – журналирование упреждающей записи или «черновик» для фиксации изменений. При изменении базы данных (удалении сообщения) изменения сначала записываются во временный файл WAL.

Даже если основная база данных (файлы базы, как правило, имеют расширение .db) обновилась и пометила запись как удаленную, полная копия сообщения часто остается в WAL-файле до проведения процедуры «чекпоинта» (слияния лога с основной базой).

Криминалистический софт (например, Magnet AXIOM или Cellebrite) автоматически обрабатывает эти файлы, восстанавливая удаленные диалоги.

Резервное копирование и синхронизация
▫️ Многие мессенджеры создают локальные копии БД (например, зашифрованные файлы msgstore.db.crypt у WhatsApp). Если удаление произошло после создания бэкапа, сообщение остается в архиве. И пока этот бекап не будет перезаписан, данные будут продолжать существовать.
▫️ Сообщения, синхронизированные с iCloud или Google Drive до момента удаления, остаются в облачных хранилищах в составе прошлых ревизий бэкапа.

Системные артефакты ОС
Удаление сообщения в приложении не гарантирует его удаление из системных логов:
▫️ В Android и iOS существуют базы данных уведомлений. Текст входящего сообщения может дублироваться в системных таблицах (например, notification_log.db в Android), которые мессенджер не имеет права очищать.
▫️ Если к сообщению был прикреплен медиафайл, его миниатюра (thumbnail) сохраняется в отдельном системном каталоге. Даже после удаления исходного файла и сообщения, превью остается в кэше.
▫️ Индексаторы ОС могут хранить фрагменты текста для быстрого поиска. Удаление в приложении не всегда синхронизируется с системным индексом мгновенно.

Методы восстановления в цифровой криминалистике
Специалисты используют несколько уровней анализа:
▫️ Логический уровень – извлечение активных баз данных.
▫️ Файловый уровень – поиск удаленных записей в свободных страницах SQLite и WAL-файлах.
▫️ Физический уровень – побитовый анализ образа памяти для поиска фрагментов текста по ключевым словам (Grepping) в нераспределенном пространстве.

Функция «Удалить для всех» — это инструкция приложению скрыть запись из интерфейса. Она не является инструментом гарантированного уничтожения данных (data wiping). В условиях криминалистического анализа вероятность восстановления «удаленного» сообщения остается высокой, пока ячейка памяти не будет физически перезаписана новыми данными.

Для веб-версий приложений мессенджеров всё перечисленное так же действительно.

#KeptОтвечает

CISO & DPO news #105 (18–25 декабря 2025 года)

▫️ «Еса Про»: 73% утечек данных в РФ в 2025 году пришлось на госсектор
На втором месте в антирейтинге — ритейл с долей в 19%, на третьем — сфера услуг (образование, онлайн-сервисы, медицина), на которую пришлось 6,5% утечек. Всего за год утекло 145 млн строк данных. «Лидерство» госсектора связывают с ростом числа политически мотивированных кибератак и низким уровнем защищенности госорганизаций.

▫️ В сети нашли вредоносный NPM-пакет, который сливает данные из WhatsApp*
Lotusbail позволяет подключаться к популярному мессенджеру через APi, похищать данные пользователи и мониторить его переписку. По данным компании KOI Security, за полгода пакет-ответвление безопасной библиотеки Baileys скачали более 56 тыс. раз.
*принадлежит организации Meta, которая признана экстремистской и запрещена в России

▫️ Власти официально признали ИИ риском для кибербезопасности
Федеральная служба по техническому и экспортному контролю (ФСТЭК) впервые внесла ИИ-технологии и связанные с ними риски в банк данных угроз информационной безопасности. В качестве потенциально опасных инструментов служба называет ML-модели, LoRA-адаптеры, технологию RAG и другие. Среди векторов возможных атак есть, например, эксплуатация уязвимостей в ИИ-фреймворках и модификации системных промптов.

▫️ «Инфосистемы Джет»: более 70% кибератак за год были критическими
Три четверти кибератак в 2025 году были направлены на уничтожение инфраструктуры организаций. 44% инцидентов были связаны с шифрованием инфраструктуры с целью выкупа, 32% — с разрушением. Среди трендов, которые также выделили эксперты, — использование в кибератаках ИИ-инструментов и коллаборации хакерских группировок.

▫️ TikTok обвинили в слежке за пользователями на сторонних платформах
Правозащитная организация Noyb утверждает, что приложение соцсети использует сторонние трекеры для мониторинга активности пользователя в других приложениях. Например, в сервисах знакомств и поиска работы. Также TikTok якобы получал информацию о содержимом корзины пользователя в онлайн-магазинах. Noyb призвали регуляторов оштрафовать TikTok и ужесточить правила использования пользовательской информации.

▫️ Минцифры анонсировало единый идентификатор пользователя
Единый ID для всех цифровых платформ нужен для более точного подсчета аудитории и оценки популярности контента, объяснили в министерстве. Данные, которые будут собирать через идентификатор, останутся обезличенными и зашифрованными.

▫️ Власти смогут оперативно отключать от сети смартфоны, привязанные к IMEI
По словам сенатора Артема Шейкина, устройство, внесенное в соответствующий реестр по уникальному коду IMEI, «можно будет быстро и централизованно отключить от всех сетей, если оно украдено или используется для противоправной деятельности». Шейкин предположил, что вслед за смартфонами в реестр попадут планшеты, ноутбуки и другие устройства с модулями сотовой связи.

▫️ Сбер подтвердил безопасность биометрических сервисов на госуровне
Кредитная организация получила все необходимые заключения регуляторов для подтверждения безопасности. Отмечается, что Сбер — первая и единственная из российских компаний, кто подтвердил безопасность биометрии в соответствии с федеральным законодательством.