CISO & DPO news #24 (13-17 мая 2024 года)
1/8 В Google Chrome была обнаружена уязвимость нулевого дня.
2/8 Обнаружена уязвимость нулевого дня в Outlook.
3/8 Специалисты ИБ-компании обнаружили кампанию социальной инженерии.
4/8 Apple и Google запускают кроссплатформеннуюфункцию для поиска скрытых трекеров.
5/8 Испанский регулятор опубликовал руководство по технологиям отслеживания по Wi-Fi.
6/8 Опубликован проект приказа об обеспечении стабильной работы НСДИ.
7/8 Опубликован приказ Минэнерго о дополнительных требованиях к защите ЗОКИИ.
8/8 Депутат Госдумы сообщил о новом способе мошенничества в Telegram.
1/8 В Google Chrome была обнаружена уязвимость нулевого дня.
2/8 Обнаружена уязвимость нулевого дня в Outlook.
3/8 Специалисты ИБ-компании обнаружили кампанию социальной инженерии.
4/8 Apple и Google запускают кроссплатформеннуюфункцию для поиска скрытых трекеров.
5/8 Испанский регулятор опубликовал руководство по технологиям отслеживания по Wi-Fi.
6/8 Опубликован проект приказа об обеспечении стабильной работы НСДИ.
7/8 Опубликован приказ Минэнерго о дополнительных требованиях к защите ЗОКИИ.
8/8 Депутат Госдумы сообщил о новом способе мошенничества в Telegram.
👍11
Какой из признаков наиболее точно характеризует надежный пароль?
Anonymous Quiz
1%
Цифры и буквы в обоих регистрах
93%
Цифры, буквы в обоих регистрах, спецсимволы, длина пароля не менее 8-10 символов
6%
Как можно больше символов, остальное не важно
🤔6👍1
Популярные пароли, например «iloveyou» или «1234567890», присутствуют в специальных словарях – сборниках популярных паролей. Их используют для атак перебором по словарю, поэтому аккаунты с такими паролями взламываются в первую очередь.
Наиболее устойчивый пароль должен состоять из букв в обоих регистрах, цифр и спецсимволов. Кроме того, пароль должен исключать какую-либо информацию о пользователе. Злоумышленники могут сгенерировать новые словари с паролями, используя личную информацию пользователя – имя, дата рождения, номер телефона. Значительная часть сведений находится в свободном доступе в сети, а потому делает пароль на основе такой информации уязвимым.
Кроме независимого содержимого пароль должен обладать надлежащей длиной. Обычно это 8 символов и более. Менее длинный пароль подвержен перебору всех возможных значений (брутфорс) посимвольно в достаточно короткий срок (до нескольких дней). Но мощности для перебора всё время растут, поэтому и пароли надо использовать большей длины.
Поэтому надёжнее использовать не просто пароли, а целые кодовые фразы, которые основаны на сочетании нескольких существующих слов. Хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке.
Пользователю сложно запоминать бессмысленные пароли, поэтому со временем он начинает их повторять и хранить на стикерах. Пользователю гораздо проще заполнить кодовую фразу, чем набор бессмысленных символов.
Но использование даже самого сложного пароля не спасёт вас от утечки базы данных стороннего ресурса, поэтому обязательно используйте разные пароли на всех чувствительных ресурсах и включайте двухфакторную аутентификацию.
#ИБ
Наиболее устойчивый пароль должен состоять из букв в обоих регистрах, цифр и спецсимволов. Кроме того, пароль должен исключать какую-либо информацию о пользователе. Злоумышленники могут сгенерировать новые словари с паролями, используя личную информацию пользователя – имя, дата рождения, номер телефона. Значительная часть сведений находится в свободном доступе в сети, а потому делает пароль на основе такой информации уязвимым.
Кроме независимого содержимого пароль должен обладать надлежащей длиной. Обычно это 8 символов и более. Менее длинный пароль подвержен перебору всех возможных значений (брутфорс) посимвольно в достаточно короткий срок (до нескольких дней). Но мощности для перебора всё время растут, поэтому и пароли надо использовать большей длины.
Поэтому надёжнее использовать не просто пароли, а целые кодовые фразы, которые основаны на сочетании нескольких существующих слов. Хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке.
Пользователю сложно запоминать бессмысленные пароли, поэтому со временем он начинает их повторять и хранить на стикерах. Пользователю гораздо проще заполнить кодовую фразу, чем набор бессмысленных символов.
Но использование даже самого сложного пароля не спасёт вас от утечки базы данных стороннего ресурса, поэтому обязательно используйте разные пароли на всех чувствительных ресурсах и включайте двухфакторную аутентификацию.
#ИБ
👍7🔥2
Продолжается набор на четвертый поток курса «Персональные данные: интенсив», который пройдет 3-4 июня.
За 2 дня вы сможете пройти экспресс-погружение в сферу правового регулирования и обеспечения безопасности персональных данных в России.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
Тренинг будет полезен юристам, HR-менеджерам, экспертам по информационной безопасности, бизнес-аналитикам, проектным и продуктовым менеджерам, маркетологам.
Подробная программа и регистрация по ссылке.
#Privacy
За 2 дня вы сможете пройти экспресс-погружение в сферу правового регулирования и обеспечения безопасности персональных данных в России.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
Тренинг будет полезен юристам, HR-менеджерам, экспертам по информационной безопасности, бизнес-аналитикам, проектным и продуктовым менеджерам, маркетологам.
Подробная программа и регистрация по ссылке.
#Privacy
👍9
Cтрахование киберрисков все чаще обсуждается среди регуляторов как один из возможных инструментов снижения потенциального ущерба от инцидентов ИБ путем покрытия расходов на восстановление систем, юридические издержки, компенсации третьим лицам, а также штрафы от регуляторов.
Такой инструмент имеет свой порог вхождения – для приобретения полиса компании необходимо доказать свою способность защищаться, включая наличие зрелой системы управления ИБ и наличие определенных мер и средств защиты.
Страховые компании могут «на входе» проводить аудиты информационной безопасности своих потенциальных клиентов для определения страховой премии. Делается это обычно с помощью профессионалов – пула доверенных консультантов, специализирующихся на вопросах ИБ.
В случае инцидента страховая помогает клиентам не только финансово, но и предоставляя экспертную поддержку в устранении последствий атаки и восстановлении работы с привлечением тех же консультантов из доверенного пула.
#ПолезноЗнать
#КиберСтрахование
Такой инструмент имеет свой порог вхождения – для приобретения полиса компании необходимо доказать свою способность защищаться, включая наличие зрелой системы управления ИБ и наличие определенных мер и средств защиты.
Страховые компании могут «на входе» проводить аудиты информационной безопасности своих потенциальных клиентов для определения страховой премии. Делается это обычно с помощью профессионалов – пула доверенных консультантов, специализирующихся на вопросах ИБ.
В случае инцидента страховая помогает клиентам не только финансово, но и предоставляя экспертную поддержку в устранении последствий атаки и восстановлении работы с привлечением тех же консультантов из доверенного пула.
#ПолезноЗнать
#КиберСтрахование
🔥10
Вопрос:
Как защититься от фишинговой атаки?
Ответ:
Мы рекомендуем придерживаться следующих правил, чтобы противодействовать фишинговым атакам:
· Проверять адреса эл. почты отправителя, адреса сайтов или номера телефонов
Перед тем как предоставить какую-либо информацию или выполнить какие-либо действия, убедитесь, что вы имеете дело с официальным источником. Проверьте, является ли корректным адрес эл. почты, от которого ожидается письмо, подлинные ли адрес сайта и номер телефона.
· Не поддаваться эмоциям
Фишеры часто используют срочность и ограниченность времени, чтобы заставить вас действовать необдуманно. Если сообщение вызывает желание срочно выполнить действия, то стоит остановиться и подумать – нужно ли действовать.
· Проводить дополнительную верификацию по другому каналу связи
Если вы получили подозрительное сообщение, следует проверить информацию через дублирующий канал связи (например, позвонить по телефону).
· Проявлять осторожность по отношению к ссылкам и вложениям
Не переходите по ссылкам, полученным от неизвестных источников, и не открывайте вложения, если вы не уверены в их содержании.
· Не передавать учётные данные и одноразовые пароли
Никогда и никому не сообщайте свои учётные данные и пароли.
· Обращаться в службу ИБ в случае сомнений
Если вы подозреваете, что столкнулись с фишингом, обратитесь в службу информационной безопасности вашей компании.
#KeptОтвечает
#ИБ
Как защититься от фишинговой атаки?
Ответ:
Мы рекомендуем придерживаться следующих правил, чтобы противодействовать фишинговым атакам:
· Проверять адреса эл. почты отправителя, адреса сайтов или номера телефонов
Перед тем как предоставить какую-либо информацию или выполнить какие-либо действия, убедитесь, что вы имеете дело с официальным источником. Проверьте, является ли корректным адрес эл. почты, от которого ожидается письмо, подлинные ли адрес сайта и номер телефона.
· Не поддаваться эмоциям
Фишеры часто используют срочность и ограниченность времени, чтобы заставить вас действовать необдуманно. Если сообщение вызывает желание срочно выполнить действия, то стоит остановиться и подумать – нужно ли действовать.
· Проводить дополнительную верификацию по другому каналу связи
Если вы получили подозрительное сообщение, следует проверить информацию через дублирующий канал связи (например, позвонить по телефону).
· Проявлять осторожность по отношению к ссылкам и вложениям
Не переходите по ссылкам, полученным от неизвестных источников, и не открывайте вложения, если вы не уверены в их содержании.
· Не передавать учётные данные и одноразовые пароли
Никогда и никому не сообщайте свои учётные данные и пароли.
· Обращаться в службу ИБ в случае сомнений
Если вы подозреваете, что столкнулись с фишингом, обратитесь в службу информационной безопасности вашей компании.
#KeptОтвечает
#ИБ
👍6❤4
CISO & DPO news #25 (17-23 мая 2024 года)
1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У.
2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla.
3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах.
4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google.
5/8 Минпромторг подготовил законопроект об обработке промышленных данных.
6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ.
7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях.
8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.
1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У.
2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla.
3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах.
4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google.
5/8 Минпромторг подготовил законопроект об обработке промышленных данных.
6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ.
7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях.
8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.
👍9❤1