CISO & DPO news #44 (4 - 10 октября 2024 года)
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
1/8 Исправлена критическая уязвимость в браузере Firefox.
2/8 Зафиксированы новые атаки с использованием вредоносного ПО Buhtrap.
3/8 Обнаружена активность шпионской группировки APT GoldenJackal.
4/8 Пользователи Android под угрозой из-за 0-day уязвимости в чипсетах Qualcomm.
5/8 Минтруду предлагается организовывать переход субъектов КИИ на доверенные ПАК.
6/8 В Казахстане утвердили новые правила представления деидентифицированных данных.
7/8 Суд Евросоюза пояснил условия компенсации морального вреда за нарушение GDPR.
8/8 Предлагается предоставлять операторам связи и банкам доступ к ГИС.
👍7
По какой методике оценивается критичность уязвимостей, обнаруженных в ходе тестирования на проникновение?
Anonymous Quiz
14%
NIST
15%
ISO/IEC 27001
47%
CVSS
24%
OWASP
🤔3
Оценка уязвимостей — ключевой этап в процессе проведения тестирования на проникновение, целью которого является выявление слабых мест в информационных системах. Для стандартизации и упрощения процесса оценки часто используется методика CVSS (Common Vulnerability Scoring System) — общепринятая система оценки уязвимостей.
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
▫️ Базовые метрики определяют первоначальную оценку уязвимости и включают такие параметры, как:
🔸 Вектор атаки (Attack Vector, AV) — способ, которым атакующий может эксплуатировать уязвимость (например, локально или удаленно).
🔸 Сложность атаки (Attack Complexity, AC) — уровень сложности, необходимый для успешной эксплуатации.
🔸 Привилегии, необходимые для эксплуатации (Privileges Required, PR) — уровень доступа, необходимый атакующему.
🔸 Пользовательское взаимодействие (User Interaction, UI) — необходимость участия пользователя для успешной атаки.
🔸 Воздействие на конфиденциальность, целостность и доступность (Confidentiality, Integrity, Availability Impact) — потенциальные последствия для системы в случае успешной атаки.
▫️ Временные метрики учитывают временные аспекты уязвимости, такие как наличие исправлений или уровень осведомленности о ней.
▫️ Контекстные метрики позволяют адаптировать оценку уязвимости в зависимости от конкретных условий эксплуатации, таких как важность уязвимого компонента для бизнеса.
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:
Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.
#Pentesting
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
▫️ Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.
▫️ Минимизация рисков:
🔸 в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.
🔸 в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.
Существует два основных типа «соли»:
▫️ Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.
▫️ Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
Существует два основных типа «соли»:
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Вопрос:
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
▫️ Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
▫️ Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
▫️ Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
▫️ Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
▫️ Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#KeptОтвечает
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#KeptОтвечает
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
CISO & DPO news #45 (11 - 17 октября 2024 года)
1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
👍3
Какой фреймворк наилучшим образом подойдет для компании, у которой уже есть базовые процессы и меры системы управления ИБ?
Anonymous Quiz
49%
NIST Cybersecurity Framework (CSF) 2.0
18%
PCI DSS
20%
NIST Privacy Framework
14%
CIS CSC
🤔3
NIST Cybersecurity Framework (CSF) 2.0 – фреймворк по информационной безопасности (ИБ) от Национального института стандартов и технологий США (NIST). Версия 2.0 была опубликована в феврале 2024 года. Ранее мы рассказывали о фреймворках по ИБ.
CSF 2.0 представляет собой описание целевого состояния ИБ в организации и может быть использован компаниями любых размеров и направлений деятельности ввиду гибкости внедрения представленных рекомендаций.
Фреймворк состоит из 6 ключевых разделов:
1️⃣ Управление (Govern) – комплексный взгляд на жизненный цикл управления рисками ИБ.
2️⃣ Идентификация (Identify) – определение ресурсов, которые необходимо защищать.
3️⃣ Защита (Protect) – разработка и внедрение мер защиты ресурсов для минимизации рисков ИБ.
4️⃣ Обнаружение (Detect) – обнаружение и анализ событий ИБ.
5️⃣ Реагирование (Respond) – управление инцидентами ИБ.
6️⃣ Восстановление (Recover) – восстановление нормальной работы после инцидента.
При внедрении фреймворка следует учитывать следующее:
1️⃣ Адаптация рекомендаций
Стандарт рекомендует расставлять приоритеты в области обеспечения ИБ для принятия обоснованных решений о расходах на ИБ и действиях по внедрению стандарта.
2️⃣ Интеграция с другими системами
Для создания единой экосистемы безопасности важно обеспечить совместимость с другими фреймворками и стандартами, используемыми в компании, например, ISO 2700X, CIS Controls.
3️⃣ Автоматизация процессов
Внедрение инструментов автоматизации способствует повышению эффективности многих процессов обеспечения ИБ, например, повышение осведомленности, управление уязвимостями, реагирование на инциденты.
NIST Cybersecurity Framework (CSF) 2.0 является хорошей методической базой для построения ИБ в компании, однако следует помнить, что стандарт не содержит подробное описание шагов для достижения целевого состояния ИБ. Для эффективного ИБ в компании требуется комплексный подход: необходимо грамотное распределение ресурсов, компетентные специалисты, актуальные меры и средства защиты, а также постоянство обеспечения ИБ.
#ИБ
CSF 2.0 представляет собой описание целевого состояния ИБ в организации и может быть использован компаниями любых размеров и направлений деятельности ввиду гибкости внедрения представленных рекомендаций.
Фреймворк состоит из 6 ключевых разделов:
При внедрении фреймворка следует учитывать следующее:
Стандарт рекомендует расставлять приоритеты в области обеспечения ИБ для принятия обоснованных решений о расходах на ИБ и действиях по внедрению стандарта.
Для создания единой экосистемы безопасности важно обеспечить совместимость с другими фреймворками и стандартами, используемыми в компании, например, ISO 2700X, CIS Controls.
Внедрение инструментов автоматизации способствует повышению эффективности многих процессов обеспечения ИБ, например, повышение осведомленности, управление уязвимостями, реагирование на инциденты.
NIST Cybersecurity Framework (CSF) 2.0 является хорошей методической базой для построения ИБ в компании, однако следует помнить, что стандарт не содержит подробное описание шагов для достижения целевого состояния ИБ. Для эффективного ИБ в компании требуется комплексный подход: необходимо грамотное распределение ресурсов, компетентные специалисты, актуальные меры и средства защиты, а также постоянство обеспечения ИБ.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
25 октября 2024 г. в 12:00 по московскому времени Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных, примет участие в дискуссии на тему «Консалтинг в приватности: модель бизнеса или подход в работе?»
На дискуссии Роман и другие эксперты обсудят важные аспекты консалтинга в области приватности: необходимость привлечения консультантов, их компетенции, этические нормы и правила работы.
Евразийский конгресс по защите данных – это мероприятие, организованное сообществами и ассоциациями по приватности. Конгресс объединяет экспертов и профессионалов из различных областей, что делает его платформой для обмена знаниями и опытом.
Формат: онлайн-трансляция на платформах ВКонтакте и YouTube.
Подробности на веб-сайте: https://edpc.network/
#Privacy
На дискуссии Роман и другие эксперты обсудят важные аспекты консалтинга в области приватности: необходимость привлечения консультантов, их компетенции, этические нормы и правила работы.
Евразийский конгресс по защите данных – это мероприятие, организованное сообществами и ассоциациями по приватности. Конгресс объединяет экспертов и профессионалов из различных областей, что делает его платформой для обмена знаниями и опытом.
Формат: онлайн-трансляция на платформах ВКонтакте и YouTube.
Подробности на веб-сайте: https://edpc.network/
#Privacy
🔥8👍2
В новой версии «The NIST Cybersecurity Framework» (далее – CSF) предложены инструменты для ускорения внедрения стандарта и уделено больше внимания вопросам корпоративного управления.
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
#ИБ
#ПолезноЗнать
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
#ИБ
#ПолезноЗнать
👍10