НКЦКИ опубликовал форматы представления информации об инцидентах ИБ

Екатерина Быстрова 10 Февраля 2020 - 19:56

Соответствие законодательству РФ

ГосСОПКА

...

НКЦКИ опубликовал форматы представления информации об инцидентах ИБ

НКЦКИ (Национальный координационный центр по компьютерным инцидентам) обозначил состав технических параметров инцидентов ИБ, которые необходимо указывать при информировании ГосСОПКА. Помимо этого, регулятор опубликовал форматы представления данных о вышеозначенных инцидентах.

Ранее ФСБ России сформировала четкие требования: субъекты КИИ должны взаимодействовать с НКЦКИ, своевременно предоставляя информацию о компьютерных инцидентах.

Также в обязанности НКЦКИ входит обмен данными с владельцами российских информационных ресурсов, иностранными регуляторами, международными неправительственными организациями, задача которых — реагировать на кибератаки и уязвимости.

В свою очередь, субъекты КИИ и другие владельцы информационных ресурсов вправе уведомлять НКЦКИ о кибератаках и уязвимостях, выявленных на их объектах. Чтобы качественно организовать подобное взаимодействие, НКЦКИ зафиксировал базовые категории и виды событий, с помощью которых происходит вышеописанное взаимодействие.

Категория события и его международное обозначение	Тип события и его международное обозначение
Заражение вредоносным программным обеспечением (malware)	Внедрение в контролируемый ИР (ОКИИ) модулей ВПО (malware infection)
Распространение вредоносного программного обеспечения (malware distribution)	Использование контролируемого ИР (ОКИИ) для распространения ВПО (malware command and control)
	Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ) (infection attempt)
Нарушение или замедление работы контролируемого информационного ресурса (availability)	Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ) (dos)
	Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ) (ddos)
	Несанкционированный вывод ИР (ОКИИ) из строя (sabotage)
	Непреднамеренное (без злого умысла) отключение ИР (ОКИИ) (outage)
Несанкционированный доступ в систему (intrusion)	Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ) (application compromise)
Несанкционированный доступ в систему (intrusion)	Компрометация учетной записи в контролируемом ИР (ОКИИ) (account compromise)
Попытки несанкционированного доступа в систему или к информации (intrusion attempt)	Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ) (exploit attempt)
	Попытки авторизации в контролируемом ИР (ОКИИ) (login attempt)
Сбор сведений с использование ИКТ (information gathering)	Сканирование информационного ресурса (ОКИИ) (scanning)
	Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ) (traffic hijacking)
	Социальная инженерия, направленная на компрометацию ИР (ОКИИ) (social engineering)
Нарушение безопасности информации (information content security)	Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ) (unauthorised access)
	Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ) (unauthorised modification)
Распространение информации с неприемлемым содержимым (abusive content)	Рассылка спам-сообщений с контролируемого ИР (ОКИИ) (spam)
	Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ) (prohibited content)
Мошенничество с использованием ИКТ (fraud)	Злоупотребление при использовании ИР (ОКИИ) (unauthorized purposes)
Мошенничество с использованием ИКТ (fraud)	Публикация в контролируемом ИР (ОКИИ) мошеннической информации (phishing)
Уязвимость (vulnerability)	Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ) (vulnerability)

Здесь, например, представлены эти самые базовые категории и типы событий. С составом технических параметров ИБ-инцидента, указываемых при представлении данных в ГосСОПКА, а также с форматами представления информации можно ознакомиться здесь.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 08:49

Android Шпионские программы Программы слежения Домашние пользователи

Новый Android-шпион ZeroDayRAT следит за экраном и продаётся в Telegram

Специалисты по безопасности мобильных устройств предупреждают о новом шпионском инструменте для Android под названием ZeroDayRAT. Вредоносный набор распространяется через Telegram и позволяет злоумышленникам получить практически полный контроль над заражённым устройством.

По данным исследовательской компании iVerify, ZeroDayRAT представляет собой комплект из вредоносного APK-файла и панели управления.

После установки приложения на смартфон атакующий получает доступ к обширной информации о владельце устройства — от модели телефона и версии ОС до номера телефона и данных сим-карты. Также можно узнать список установленных приложений и просматривать журнал входящих уведомлений.

Но на этом возможности не заканчиваются. Инструмент позволяет отслеживать геолокацию в реальном времени, читать СМС-сообщения (включая коды подтверждения), получать данные о зарегистрированных на устройстве аккаунтах, а также подключаться к камере и микрофону. Кроме того, злоумышленник может видеть экран жертвы в режиме онлайн.

Отдельную опасность представляет встроенный кейлоггер, поскольку с его помощью можно перехватывать вводимые данные, включая банковскую информацию. ZeroDayRAT также умеет подменять содержимое буфера обмена, что может использоваться, например, для перенаправления криптовалютных переводов на кошельки злоумышленников.

По оценке экспертов, подобный уровень функциональности раньше требовал серьёзных ресурсов и был характерен скорее для инструментов уровня государств. Теперь же доступ к нему можно получить через Telegram. Причём даже если каналы распространения будут заблокированы, уже скачанный комплект позволит злоумышленникам продолжать атаки.

ZeroDayRAT нацелен на устройства под управлением Android — от версии 5.0 Lollipop до Android 16. В отчёте также отмечается, что последние версии iOS потенциально тоже могут быть затронуты, хотя основной фокус сейчас — на Android.

Эксперты напоминают: для заражения требуется установка вредоносного APK-файла. Поэтому главный способ защиты остаётся прежним — не устанавливать приложения из непроверенных источников и не переходить по сомнительным ссылкам, особенно если они ведут за пределы официальных магазинов приложений.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »