CISO & DPO news #44 (4 - 10 октября 2024 года)
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
👍7
По какой методике оценивается критичность уязвимостей, обнаруженных в ходе тестирования на проникновение?
Anonymous Quiz
14%
NIST
15%
ISO/IEC 27001
47%
CVSS
24%
OWASP
🤔3
Оценка уязвимостей — ключевой этап в процессе проведения тестирования на проникновение, целью которого является выявление слабых мест в информационных системах. Для стандартизации и упрощения процесса оценки часто используется методика CVSS (Common Vulnerability Scoring System) — общепринятая система оценки уязвимостей.
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
▫️ Базовые метрики определяют первоначальную оценку уязвимости и включают такие параметры, как:
🔸 Вектор атаки (Attack Vector, AV) — способ, которым атакующий может эксплуатировать уязвимость (например, локально или удаленно).
🔸 Сложность атаки (Attack Complexity, AC) — уровень сложности, необходимый для успешной эксплуатации.
🔸 Привилегии, необходимые для эксплуатации (Privileges Required, PR) — уровень доступа, необходимый атакующему.
🔸 Пользовательское взаимодействие (User Interaction, UI) — необходимость участия пользователя для успешной атаки.
🔸 Воздействие на конфиденциальность, целостность и доступность (Confidentiality, Integrity, Availability Impact) — потенциальные последствия для системы в случае успешной атаки.
▫️ Временные метрики учитывают временные аспекты уязвимости, такие как наличие исправлений или уровень осведомленности о ней.
▫️ Контекстные метрики позволяют адаптировать оценку уязвимости в зависимости от конкретных условий эксплуатации, таких как важность уязвимого компонента для бизнеса.
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
▫️ Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.
▫️ Минимизация рисков:
🔸 в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.
🔸 в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.
Существует два основных типа «соли»:
▫️ Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.
▫️ Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
Существует два основных типа «соли»:
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Вопрос:
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
▫️ Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
▫️ Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
▫️ Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
▫️ Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
▫️ Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#KeptОтвечает
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#KeptОтвечает
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
CISO & DPO news #45 (11 - 17 октября 2024 года)
1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
👍3