Новости информационной безопасности

Центробанк России придумал новый способ борьбы с отмыванием денег. Регулятор обязал финансовые организации присваивать специальные идентификаторы мобильным устройствам своих клиентов, используемым для перевода денег, а также проверять их настройки. Как пояснила журналистам «Ведомостей» управляющий директор по IT и технологиям «Абсолют банка» Наталья Поздеева, если у разных пользователей идентификаторы будут совпадать, их будут считать клиентами с высоким уровнем риска.

По словам представителей банка «ВТБ», многие кредитные организации уже используют IT-данные для анализа активности своих клиентов, а новый документ Центробанка лишь сделал эту практику формальной. Большинство банков фиксируют IP-адреса мобильных устройств своих клиентов, однако для того чтобы выполнить требования регулятора, нужны некоторые доработки. Теперь финорганизации будут чаще запрашивать у некоторых клиентов информацию и обновлять их анкеты.

Новая директива никак не отразится на добросовестных клиентах банков, ведь ее главное предназначение заключается в выявлении незаконных финансовых операций.

Продолжаем рассказывать о том, как действовать на каждом этапе внедрения IdM, чтобы система управления правами доступа работала максимально эффективно именно в вашей компании. В предыдущих статьях больше внимания я уделяла тому, что нужно делать самим в своей компании (в дальнейшем также буду это делать). Но в какой-то момент пора «выйти в свет», и сегодня поговорим об этом.

На рынке могу выделить три типа компаний – консультанты, интеграторы и вендоры. У каждого своя зона ответственности и компетенции.

К кому из них идти именно вам?

Прежде, чем выбирать дорогу давайте рассмотрим, кто чем занимается и чем может помочь.

Консультанты

Кто? Специалисты и эксперты по некоторому спектру вопросов.

Что делают? Помогают разобраться с насущным вопросом в соответствии с поставленной целью. Могут также помочь определить цель, если у вас по какой-то причине не получилось это сделать самостоятельно.

Как работают? Есть довольно большой пул вариантов, но одно остается неизменным – они вовлекают в любую деятельность заказчика (!). Если вы встречаете предложение «мы всё сделаем за вас», то это скорее всего или аутсорс, или мошенничество, а не консалтинг.
Консультант поможет определить алгоритм действий для получения оговорённого результата, сопроводит на сложных «поворотах» проекта, поможет скорректировать направление.

Чем помогут с точки зрения управления доступом и внедрения IdM?
Помогут:

• понять текущее состояние,
• сформулировать цели и задачи (а заодно — проверить проект на предмет рентабельности и целесообразности для бизнеса/руководства),
• составить план перехода к желаемому состоянию (действия, процессы, организационные меры и технические средства).

Почему не стоит ими пренебрегать? Важнее всего — правильно определить актуальную цель и задачи. Без этого можно идти очень далеко и долго, совершить массу «подвигов» при внедрении решения (не только IdM, а любого решения или системы) и в итоге остаться у разбитого корыта.
Кроме того, компетентный консультант подскажет, какие этапы по приведению действительности в желаемое состояние наиболее критичны, на что обратить особое внимание, поможет обосновать и защитить решение перед бизнесом и т.д.

Что важно помнить? Если вы наняли консультанта, то работать всё равно придётся вам. Просто будет легче, т.к. спрашивать вы будете не у Всеведущего Гугла, перебирая гигабайты информации, натыкаясь на одну и ту же переписанную по сотому кругу статью с примитивными рекомендациями, а у эксперта, владеющего тонкостями и нюансами, способного подобрать варианты с учётом вашей специфики. Это ускорит и упростит работу, т.к. у эксперта (если это правда эксперт) есть карта, на которой отражено расположение граблей на пути к цели и маршрут их обхода.

Интеграторы

Кто? Компании, специалисты которых компетентны решать ваши задачи преимущественно при помощи технических средств, создавая, адаптируя и внедряя системы.

Что делают? Подбирают технические средства для решения ваших задач. Обычно имеют определённый профиль деятельности, но для любимого заказчика могут и расширить свой кругозор.

Как работают? Чаще всего в компании имеется некоторое количество специалистов, которые могут проконсультировать заказчика по интересующим вопросам и подсказать, какое решение выбрать. После этого «специально обученные люди» по некоторому классу систем или конкретному решению расскажут подробнее и помогут составить ТЗ на систему.

Потом наступает внедрение… На абсолютно любом проекте вы соберёте какое-то количество граблей. Сколько именно – зависит от компетентности интегратора, а если уж совсем точно – от компетентности специалистов выбранной вами компании.

Чем помогут с точки зрения управления доступом и внедрения IdM?
Могут внедрить IdM. Наверное. Может быть, точно.

Если серьёзно, то интегратор может помочь с автоматизацией (не обязательно через IdM). При наличии специалистов может спроектировать процессы и выполнить другие работы, которые выполняют консультанты. Суть остается единой – за техническими решениями, как правило, идут именно к интеграторам.

Почему не стоит ими пренебрегать? Всё, как всегда, зависит от цели и уровня зрелости. Предположим, вы или ваш администратор скриптами автоматизировали какую-то деятельность, что само по себе прекрасно. Вам этого достаточно? А вашей компании aka бизнесу?

Да? Замечательно! Вам не нужен интегратор, т.к. у вас нет для него задач и работы.

Нет? Как минимум, консультант вам точно нужен, а будет он независимым или от интегратора – не суть, лишь бы специалист был хороший и — именно по вашему вопросу.

Часто мне задают вопрос – «А можно внедрить IdM-решение без интегратора?». Теоретически – можно. Зависит от того, что это будет за решение. Но, скорее всего, это будет о-о-очень долго, т.к. вменяемых мануалов и методологий по данным вопросам крайне мало. Нужна изрядная техническая экспертиза, да и с организационной частью разобраться тоже придётся.

В общем, выхода нет – работать самим придётся в любом случае.

Вендоры

Кто? Компании, производящие под своей торговой маркой системы и решения aka «продукты».

Что делают? В нашем случае — производят ПО, железо, аппаратно-программные средства, а потом продают напрямую потребителю или через партнёров (интеграторов, ритейлеров, дистрибьюторов). Но этим дело не ограничивается: «продукту» нужно обеспечить рекламу и продвижение, обучение (как внедрять, как пользоваться), мануалы и ещё много всего.

Как работают? Единой схемы, пожалуй, нет.
Кто-то производит софт, который не требует сложной установки и настройки. В таком случае, скорее всего, его просто распространяют с инструкцией.

Что касается систем управления доступом (IdM/IGA), то тут без партнёра-интегратора или собственной службы внедрения вендора, которые внедрят систему, не обойтись.

Чем помогут с точки зрения управления доступом и внедрения IdM?
У многих вендоров есть собственные специалисты, которые могут рассказать из первых уст про решение, про особенности внедрения и проконсультировать, насколько вашей компании подходит именно это решение.

Почему не стоит ими пренебрегать? Вендор знает свой продукт лучше, чем интегратор. Кроме того, у вендора масштабнее картина того, что просят клиенты, поскольку перед тем, как реализовать ту или иную фичу, проводится исследование – нужен ли такой функционал, в каких случаях он будет использоваться, как его дальше поддерживать и развивать.

Так К КОМУ ЖЕ идти?

К консультантам – за планом действий.
К интеграторам – за технической реализацией плана.
К вендорам – за конкретным решением/продуктом.

Однако, если вы уверены в том, что:

• сами верно определили цели и задачи,
• обдуманно и системно спланировали шаги,
• разобрались с тем, какое именно решение класса IdM/IGA вам больше подходит,

– смело идите к вендору. Он тоже сможет подсказать, как действовать и, если нужно, посоветует консультантов и интеграторов, способных решить именно вашу задачу.

И часто именно вендор имеет собственный высококлассный консалтинг и профессиональную экспертизу.

Время проведения – 28.06.18 в 11.00 (мск.), продолжительность 1 час.

Ведущий – проф. А.Ю. Щеглов

На вебинаре мы обсудим следующие вопросы:

В чем принципиальное отличие защиты корпоративных информационных систем от целевых атак, и как это должно учитываться при реализации защиты. Какие сегодня реализуются подходы к защите от целевых атак, их возможности и недостатки.

Как реализовать эффективную защиту от целевых атак, в предположении о том, что используется уязвимость нулевого дня, не детектируемый вирус, а атака направлена на привилегированную учетную запись.

Место и задачи антивирусных решений при защите от целевых атак.

В чем особенности защиты от хакерских и инсайдерских целевых атак, возможности контроля действий и усечения прав привилегированных пользователей, включая администратора безопасности.

В чем состоит реализация эшелонированной защиты от целевых атак, как она должна строиться, какие уровни иерархии защиты обеспечивать.

Иллюстрация возможностей системы защиты от целевых атак КСЗИ «Панцирь+».

Защита АСУ ТП. Реализация защиты IoT устройств, в том числе, банкоматов, POS-систем и т.д., реализованных на платформе Windows (включая Windows IoT).

Приглашаем к участию!

Предварительно с некоторыми обсуждаемыми на вебинаре вопросами можно познакомиться в презентации, представленной по ссылке: http://npp-itb.ru/images/docs/alldocs/zach_pp.pdf

Излагаемый подход к защите от наиболее сегодня актуальных вирусных и фишинговых целевых атак достаточно подробно рассмотрен в презентации: http://npp-itb.ru/images/docs/alldocs/new_szd.pdf.

Записаться на вебинар можно, отправив заявку на участие по адресу: info@npp-itb.spb.ru, указав в теме письма «На вебинар».

Глава Роскомнадзора Александр Жаров пообещал представить новые технические решения, которые уменьшат число пользователей мессенджера Telegram путем нарушения работы конкретных функций данного сервиса. Об этом руководитель ведомства сообщил журналистам издания kp40.ru в ходе пресс-конференции.

По словам Жарова, Роскомнадзор не намерен полностью блокировать доступ к мессенджеру в России, так как это технически невозможно, однако у ведомства есть инструменты для нарушения работы некоторых важных функций сервиса.

«Мы достигаем того, что снижается количество пользователей в связи с тем, что не все его функции работают в полном объеме в течение суток. Это принципиально. По этому пути мы и намерены дальше идти - увеличивать процент деградации конкретных функций этого сервиса и уменьшать количество его пользователей [...] В ближайшие месяцы мы предложим новые технические решения, которые позволят нам продвинуться в этом направлении», - отметил Жаров.

Напомним, 16 апреля текущего года Роскомнадзор приступил к блокировке мессенджера Telegram в связи с отказом операторов сервиса передать ФСБ ключи для декодирования переписки пользователей. С этого же дня надзорная служба начала блокировать миллионы IP-адресов Google, Amazon и Microsoft, используемые мессенджером для обхода блокировки. В конце мая Роскомнадзор потребовал у Apple прекратить распространение мессенджера Telegram на территории РФ через online-магазин AppStore, пригрозив в случае отсутствия ответа заблокировать сервисы компании.

Компания Positive Technologies приглашает принять участие в вебинаре «PT Network Attack Discovery: поиск следов компрометации вне времени», который состоится 28 июня 2018 года, с 14:00 до 15:00 (по Московскому времени).

По данным Positive Technologies, среднее время присутствия кибепреступника в корпоративной инфраструктуре — три года. При этом только 10% атак выявляют сами жертвы. Причина — рост числа нестандартных и многоступенчатых атак, для которых отсутствуют сигнатуры и признаки аномалии. Чтобы на ранней стадии атаки предотвратить серьезный ущерб и получить полную картину действий злоумышленников, ИБ-специалисту нужен доступ к сохраненному за продолжительный период времени «сырому» трафику. Но, как показывают наши исследования, трафик хранит лишь одна компания из десяти, а срок хранения не превышает двух недель.

Новые технические средства и подходы в расследовании помогут не только восстановить полную картину инцидента, но и выявить предпосылки его возникновения. На вебинаре эксперты Positive Technologies расскажут, как поставить процесс расследования инцидентов на поток, а также продемонстрируют возможности PT Network Attack Discovery, предназначенного для анализа сетевого трафика, выявления и расследования инцидентов. Вебинар будет интересен широкому кругу IT- и ИБ-специалистов.

Мероприятие бесплатное. Для участия нужно зарегистрироваться . Регистрация заканчивается 28 июня в 12:00. Ссылка для просмотра придёт за час до начала вебинара всем зарегистрированным участникам.

После заявления специалистов о подозрении на наличие аппаратной уязвимости в ОС OpenBSD, связанной с технологией одновременной многопоточности (simultaneous multithreading, SMT), разработчики подготовили патч, позволяющий отключить SMT на программном уровне. Брешь была названа tlbleed, ее нашел Бен Грас, специалист из Амстердамского свободного университета.

Принцип работы

Патч добавляет новый булевый sysctl-интерфейс hw.smt, который изначально находится в выключенном состоянии. В таком режиме планировщик следит, чтобы на двух виртуальных ядрах не запускалось одновременно более двух потоков выполнения. Во включенном состоянии инструмент разрешает одновременную занятость сразу двух ядер.

Работу патча можно считать компромиссным решением между полным ограничением SMT-процессов и игнорированием доступных данных об уязвимости. По словам экспертов, некоторые операционные системы будут тоже вынуждены использовать разработанный патч.

Несмотря на то, что в некоторых случаях пользователи отметили рост производительности процессора на 30 %, в других случаях работа CPU замедляется.

Бреши в аппаратном обеспечении — не редкость. Например, в июне 2018 года специалисты обнаружили новую уязвимость в процессорах семейств Intel Core и Xeon, которая затронула в том числе и OpenBSD.

Источник: OpenNET

Даниил Шатухин

Ещё интересное для вас:
— Тест: чьё это рабочее место? Угадываем айтишников по их столам
— Тест: что вы знаете о работе мозга?
— Тест: какой язык программирования вам стоит выбрать для изучения?

В попытке похитить конфиденциальные данные киберпреступники нацелились на финансовые фирмы, используя скрытые туннели для проникновения в сети компаний. Согласно опубликованному экспертами безопасности из компании Vectra докладу, поведение атакующих подобно тому, как вели себя хакеры, похитившие данные у Equifax в 2017 году.

Атакующие используют скрытые туннели для проникновения в защищенные сети компаний. Данный метод используется и некоторыми легитимными приложениями для обхода решений безопасности, которые иногда могут ограничивать полный функционал.

«Каждая отрасль имеет профиль сети и определенные модели поведения пользователей, который применимы к конкретным бизнес-моделям, приложениям и пользователям. Атакующие могут имитировать данное поведение, что затрудняет их обнаружение», - отметили специалисты.

По словам исследователей, в различных отраслях на каждые 10 тыс. устройств приходится порядка 11 скрытых HTTPS-туннелей, однако в сфере финансов данное число увеличилось почти вдвое - до 23. Скрытые туннели трудно обнаружить, поскольку коммуникации скрыты многочисленными соединениями, использующими распространенные протоколы. Например, коммуникации могут быть встроены в текст в HTTP-GET-запросах, заголовках, cookie-файлах и других полях.

«Все это указывает на один факт: крупнейшие корпоративные организации в мире остаются заманчивыми целями для киберпреступников», - говорится в докладе.