НКЦКИ опубликовал форматы представления информации об инцидентах ИБ

Екатерина Быстрова 10 Февраля 2020 - 19:56

Соответствие законодательству РФ

ГосСОПКА

...

НКЦКИ (Национальный координационный центр по компьютерным инцидентам) обозначил состав технических параметров инцидентов ИБ, которые необходимо указывать при информировании ГосСОПКА. Помимо этого, регулятор опубликовал форматы представления данных о вышеозначенных инцидентах.

Ранее ФСБ России сформировала четкие требования: субъекты КИИ должны взаимодействовать с НКЦКИ, своевременно предоставляя информацию о компьютерных инцидентах.

Также в обязанности НКЦКИ входит обмен данными с владельцами российских информационных ресурсов, иностранными регуляторами, международными неправительственными организациями, задача которых — реагировать на кибератаки и уязвимости.

В свою очередь, субъекты КИИ и другие владельцы информационных ресурсов вправе уведомлять НКЦКИ о кибератаках и уязвимостях, выявленных на их объектах. Чтобы качественно организовать подобное взаимодействие, НКЦКИ зафиксировал базовые категории и виды событий, с помощью которых происходит вышеописанное взаимодействие.

Категория события и его международное обозначение	Тип события и его международное обозначение
Заражение вредоносным программным обеспечением (malware)	Внедрение в контролируемый ИР (ОКИИ) модулей ВПО (malware infection)
Распространение вредоносного программного обеспечения (malware distribution)	Использование контролируемого ИР (ОКИИ) для распространения ВПО (malware command and control)
	Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ) (infection attempt)
Нарушение или замедление работы контролируемого информационного ресурса (availability)	Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ) (dos)
	Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ) (ddos)
	Несанкционированный вывод ИР (ОКИИ) из строя (sabotage)
	Непреднамеренное (без злого умысла) отключение ИР (ОКИИ) (outage)
Несанкционированный доступ в систему (intrusion)	Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ) (application compromise)
Несанкционированный доступ в систему (intrusion)	Компрометация учетной записи в контролируемом ИР (ОКИИ) (account compromise)
Попытки несанкционированного доступа в систему или к информации (intrusion attempt)	Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ) (exploit attempt)
	Попытки авторизации в контролируемом ИР (ОКИИ) (login attempt)
Сбор сведений с использование ИКТ (information gathering)	Сканирование информационного ресурса (ОКИИ) (scanning)
	Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ) (traffic hijacking)
	Социальная инженерия, направленная на компрометацию ИР (ОКИИ) (social engineering)
Нарушение безопасности информации (information content security)	Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ) (unauthorised access)
	Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ) (unauthorised modification)
Распространение информации с неприемлемым содержимым (abusive content)	Рассылка спам-сообщений с контролируемого ИР (ОКИИ) (spam)
	Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ) (prohibited content)
Мошенничество с использованием ИКТ (fraud)	Злоупотребление при использовании ИР (ОКИИ) (unauthorized purposes)
Мошенничество с использованием ИКТ (fraud)	Публикация в контролируемом ИР (ОКИИ) мошеннической информации (phishing)
Уязвимость (vulnerability)	Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ) (vulnerability)

Здесь, например, представлены эти самые базовые категории и типы событий. С составом технических параметров ИБ-инцидента, указываемых при представлении данных в ГосСОПКА, а также с форматами представления информации можно ознакомиться здесь.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 25 Апреля 2025 - 18:05

Фишинг GenAI (генеративный искусственный интеллект) Общее

Активность фишеров за месяц возросла на 17% за счет использования ИИ

Согласно статистике KnowBe4, в феврале 2025 года число фишинговых писем возросло на 17% в сравнении с показателями шести предыдущих месяцев. Основная масса таких сообщений (82%) содержала признаки использования ИИ.

Подобная возможность, по словам экспертов, позволяет усилить полиморфизм атак фишеров — рандомизацию заголовков, содержимого, отправителей поддельных писем.

Незначительные изменения, на лету привносимые ИИ, позволяют с успехом обходить традиционные средства защиты — блок-листы, статический сигнатурный анализ, системы защиты класса SEG.

По данным KnowBe4, больше половины полиморфных фишинговых писем (52%) рассылаются с взломанных аккаунтов. Для обхода проверок подлинности отправителя злоумышленники также используют фишинговые домены (25%) и веб-почту (20%).

Более того, использование ИИ позволяет персонализировать сообщения-ловушки за счет динамического (в реальном времени) сбора информации об адресатах из открытых источников, а также сделать их настолько убедительными, что получатель даже не заподозрит подвох.

По данным KnowBe4, активность фишеров, освоивших новые возможности, за год возросла на 53%. Рост количества случаев использования ИИ в атаках отметили и другие эксперты. Для эффективного противодействия новой угрозе нужны более совершенные ИБ-инструменты — скорее всего, на основе того же ИИ.

НКЦКИ опубликовал форматы представления информации об инцидентах ИБ

Читайте также