Архив рубрики: Темы

Мониторинг защищенности по Указу № 250

1 комментарий

Мониторинг защищенности по Указу № 250

Мониторинг защищенности по Указу № 250. Приказ № 213. Почитал. Если кратко, то попадающие под него организации обязаны информировать органы безопасности о своим сетевом периметре (IP-адреса и домены). Этот периметр будет сканироваться с использованием некоторых программно-аппаратных комплексов. Когда именно будет сканироваться неизвестно, но за 2 недели до начала работ должны предупредить. Если заметят, что сканирование блокируется - нужно будет оперативно разблокировать. Если найдут уязвимости, то выдадут "указание по обеспечению защищенности".

Круто и многообещающе. Пока это выглядит как периодические активности в рамках годового плана. Но, учитывая, что информация о периметре организаций будет собираться централизованно, можно предположить интеграцию с условным "российским Shodan-ом" для оперативного реагирования на угрозы. Однако и в текущем виде это должно бодрить ИБшников, отвечающих за периметр, и давать им дополнительные аргументы в разговорах с IT и разрабами.

Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти

Добавить комментарий

Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти

Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти. 🙂 Я в друзьяшки аппрувлю всех, кто на реальных людей похож, добавляйтесь! Если вдруг кому-то тоже интересно какой у меня телефон, то вот. С ним один раз были проблемки, но вообще всем пока устраивает. Хотя хотелось бы смартфон для физиков на Авроре, ROSA MOBILE или мобильной KasperskyOS. Ну или хотя бы на российском AOSP от VK, Сбера и Яндекса. Ждем.

Согласен с Алексеем Лукацким, что если бы не было реакции со стороны государства на кейс с малварью для iPhone, инфоповод был бы меньше. НО реакция есть! Можно к этому относиться как "ах, наговаривают наверное на вендора, докажите, что Apple намеренно эту уязвимость добавили", а можно поприветствовать какие-то практические шаги по девестернизации российского IT. Я о необходимости девестернизации с самого первого поста в этом ТГ канале пишу, поэтому позиция у меня здесь вполне очевидная. 🙂

Upd. У него iPhone.

Ко дню защиты детей R-Vision запустили отдельный сайт для своего детского журнала по ИБ «Безопашка»

Добавить комментарий

Ко дню защиты детей R-Vision запустили отдельный сайт для своего детского журнала по ИБ «Безопашка»

Ко дню защиты детей R-Vision запустили отдельный сайт для своего детского журнала по ИБ «Безопашка». Там все выпуски журнала в электронном формате, включая пятый, из которого я несколько страниц про уязвимости раньше выкладывал. Также там можно подписаться, "чтобы первым узнавать о новых выпусках журнала и получать полезные материалы от Безопашки". Awareness для детей это крутая и важная тема. 👍

Руководство ФСТЭК по Управлению Уязвимостями

Добавить комментарий

Руководство ФСТЭК по Управлению Уязвимостями

Руководство ФСТЭК по Управлению Уязвимостями. Что изменилось от проекта к релизу. Часть 2. Что определяет руководство?

Продолжаем увлекательное сравнение. Видим в Общих положениях новый пункт 1.2.

"Руководство определяет состав и содержание работ по анализу и устранению уязвимостей (далее – управление уязвимостями),"

Отмечаем: "управление уязвимостями" = "анализ и устранение уязвимостей" ❗️

"выявленных в

программных,
программно-аппаратных средствах"

Ага, вот куда ПО и ПАС из названия документа переехали. ПО и ПАС относящихся к чему?

"информационных систем,
информационно-телекоммуникационных сетей,
автоматизированных систем управления,
информационно-телекоммуникационных инфраструктурах [м.б. инфраструктур?] центров обработки данных, на базе которых функционируют эти системы и сети (далее – информационные системы)."

Т.е., если у вас есть ИС, ИТС, АСУ, центр обработки данных - будьте любезны внедрить VM для ПО и ПАС. 😉👍

Часть 1

Евгений Касперский аргументирует почему Apple iPhone зло в русскоязычном посте про Triangulation

Добавить комментарий

Евгений Касперский аргументирует почему Apple iPhone зло в русскоязычном посте про Triangulation.

"Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «черным ящиком», в котором годами могут скрываться шпионские программы подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создает для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чем мы только что убедились."

И как бы это всё правильно. И здорово, что KUMA зараженные устройства продетектила. Но вопрос в том, а как так получилось, что сотрудники Kaspersky, в значительной части специалисты по ИБ, пользуются на работе iOS устройствами? Теми самыми, которые представляют "идеальное убежище для шпионских программ". Может вводить требования, чтобы устройства Apple не тащили в корпоративный wifi, не использовали их для работы, а ТОПы возможно не использовали их вовсе?

PS: Это, конечно очень чувствительная и непопулярная тема, понимаю. Даже в этом канале, на который далеко не случайные люди подписаны, где-то больше трети с айфонами. 🙂
PPS: НКЦКИ в своём бюллетене связали утренний пресс-релиз и "операцию триангуляцию", так что можно считать это одним кейсом.

И вот сегодня же Kaspersky выпускают пост "Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО"

1 комментарий

И вот сегодня же Kaspersky выпускают пост Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО

И вот сегодня же Kaspersky выпускают пост "Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО".

Компрометацию тоже по трафику нашли:

"При мониторинге сетевого трафика собственной корпоративной сети Wi-Fi, выделенной для мобильных устройств, с помощью Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы заметили подозрительную активность, исходившую от нескольких телефонов на базе iOS."

Раскопали это:

"…мы смогли определить конкретные артефакты, указывающие на компрометацию. Это позволило продвинуть исследование вперед и реконструировать общую последовательность заражения:

- Целевое устройство iOS получает сообщение через службу iMessage с вложением, содержащим эксплойт.
- Без какого-либо взаимодействия с пользователем сообщение триггерит уязвимость, которая приводит к выполнению кода.
…"

В статье есть список C&C доменов для мониторинга.

Случайное совпадение с тем, что было в пресс-релизе? Не думаю. 🙂

По поводу новости про малварь на Apple iPhone устройствах в России

3 комментария

По поводу новости про малварь на Apple iPhone устройствах в России

По поводу новости про малварь на Apple iPhone устройствах в России. Почитал исходный пресс-релиз.

1. Речь о заражениях ранее неизвестной малварью, использующей уязвимости iPhone. Т.е. видимо это не NSO Group Pegasus, которая обычно в подобных новостях светится.
2. Утверждается, что уязвимости были намеренно "предусмотрены производителем", т.е. Apple.
3. Утверждается, что заражено несколько тысяч устройств.
3. Утверждается, что это операция АНБ.

Охотно верю, что так и было. Имхо, Apple это зло и их устройствами пользоваться нельзя. Тем более, что в этих устройствах нет никакой особой необходимости, чего, например, не скажешь о продуктах Microsoft или Google. Одна мнимая статусность и глупые привычки, сформированные маркетинговой истерией. Надеюсь, что одним пресс-релизом не ограничится и последуют конкретные запретительные меры. Как по мне, то у госслужащих и у работников связанных с КИИ никаких продуктов Apple быть в принципе не должно.