👻 Как провести самый ужасный пилотный проект NGFW
Большинство продуктов для кибербезопасности, прежде чем найти свое место в тернистой инфраструктуре, проходят этап тестирования в рамках пилотного проекта.
Чем продукт сложнее в исполнении и важнее для обеспечения информационной безопасности (например, такой, как NGFW), тем тщательнее и ответственнее заказчики подходят к «пилоту».
🧐 Чтобы разобраться, как же провести успешное пилотное тестирование NGFW, Алексей Егоров, инженер отдела пилотирования, внедрения и сопровождения Positive Technologies, решил пойти от обратного...
…И представил в стихах, как мог бы выглядеть плохой «пилот» NGFW. А о том, какая за ними стоит правда, Алексей рассказал в нашем блоге на Хабре.
💡 Там же вы найдете чек-лист «пилота» NGFW, чтобы с его помощью вы смогли оценить успешность завершенного проекта.
@Positive_Technologies
Большинство продуктов для кибербезопасности, прежде чем найти свое место в тернистой инфраструктуре, проходят этап тестирования в рамках пилотного проекта.
Чем продукт сложнее в исполнении и важнее для обеспечения информационной безопасности (например, такой, как NGFW), тем тщательнее и ответственнее заказчики подходят к «пилоту».
🧐 Чтобы разобраться, как же провести успешное пилотное тестирование NGFW, Алексей Егоров, инженер отдела пилотирования, внедрения и сопровождения Positive Technologies, решил пойти от обратного...
…И представил в стихах, как мог бы выглядеть плохой «пилот» NGFW. А о том, какая за ними стоит правда, Алексей рассказал в нашем блоге на Хабре.
💡 Там же вы найдете чек-лист «пилота» NGFW, чтобы с его помощью вы смогли оценить успешность завершенного проекта.
@Positive_Technologies
🔥23😁15❤11👏7👍4🤩2🤨2🤯1👌1
Что боятся увидеть на экранах своих девайсов даже самые страшные монстры? Вдруг включившуюся камеру
Решили пофантазировать на эту тему на наших новых карточках. А чего вы хотите, день такой 🎃
Напишите в комментариях, что могло бы напугать вас, и пофантазируйте, какие сообщения стали бы настоящим кошмаром для героев фильмов ужасов.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤41😁17🔥12😱9🎉3👍2🥰2❤🔥1👌1🐳1
Forwarded from ESCalator
В начале июня 2024 года специалисты департамента Threat Intelligence выявили новую цепочку атаки PhaseShifters.
✍️ PhaseShifters (Sticky Werewolf, UAC-0050
В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. Документ находится во вложении внутри защищенного паролем архива. В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.
На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но убедиться в этом можно будет только после более длительного наблюдения.
Летом этого года обе группировки начали использовать идентичные паттерны в своих атаках. Дошло даже до того, что ВПО группировок располагалось в одном и том же репозитории BitBucket. Это заставило нас углубиться в эту тему.
#TI #Hunt #Malware #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤6👌6👍2👏2😁1
🙅♂️ Зафиксирована и остановлена таргетированная кибератака на TetraSoft
Компания обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием инцидента и реагированием на него занимается команда экспертного центра безопасности Positive Technologies.
Благодаря оперативным действиям TetraSoft и Positive Technologies удалось предотвратить влияние атаки на добывающую отрасль России.
👀 Раскрываем подробности:
• В ходе расследования выявлено, что первичное проникновение было совершено в июле 2024 года; первые активные действия злоумышленников в системах датируются концом сентября — началом октября 2024 года.
Период затишья между проникновением и активными действиями, а также использованный инструментарий характерны для кибератак последних двух лет, имеющих геополитический контекст.
• На данный момент понятно, что атака выполнялась с помощью набора утилит, в который входят средства удаленного управления доступом и удаленного управления серверами.
• Инцидент классифицирован как атака на цепочку поставок (supply chain), когда компания является звеном в таргетированной атаке на более значимую цель. В последние годы этот тип атак становится все более частым.
Целью киберпреступников была добывающая отрасль. В случае успеха атака могла быть чревата перебоями поставок углеводородного сырья по внутренним и международным контрактам.
Команды incident response Positive Technologies и центра ИБ TetraSoft выполняют весь необходимый комплекс действий по реагированию на инцидент: выявлен первоначальный вектор атаки, ведутся оперативные действия по закрытию дополнительных векторов, которые могли бы использовать злоумышленники.
💸 Прямой ущерб от простоя в TetraSoft оценивают более чем в 65 млн руб., а затраты на восстановление внутренних сервисов уже превысили 25 млн руб. И эту цифру в компании считают не финальной.
🧑💻 В TetraSoft оперативно развернут центр противодействия киберугрозам (security operations center, SOC), основанный на использовании полного стека технологий Positive Technologies, включая межсетевой экран нового поколения PT NGFW.
SOC покрывает всю инфраструктуру TetraSoft; он ориентирован на результативное выявление хакерской активности до того, как компании и ее клиентам будет нанесен непоправимый урон.
💡 Кроме того, результатом совместной работы компаний стало создание проекта для кибербезопасного управления недрами, который будет предотвращать наиболее актуальные сценарии атак хакеров и полностью защищать российскую добывающую отрасль.
@Positive_Technologies
Компания обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием инцидента и реагированием на него занимается команда экспертного центра безопасности Positive Technologies.
Благодаря оперативным действиям TetraSoft и Positive Technologies удалось предотвратить влияние атаки на добывающую отрасль России.
👀 Раскрываем подробности:
• В ходе расследования выявлено, что первичное проникновение было совершено в июле 2024 года; первые активные действия злоумышленников в системах датируются концом сентября — началом октября 2024 года.
Период затишья между проникновением и активными действиями, а также использованный инструментарий характерны для кибератак последних двух лет, имеющих геополитический контекст.
• На данный момент понятно, что атака выполнялась с помощью набора утилит, в который входят средства удаленного управления доступом и удаленного управления серверами.
• Инцидент классифицирован как атака на цепочку поставок (supply chain), когда компания является звеном в таргетированной атаке на более значимую цель. В последние годы этот тип атак становится все более частым.
Алексей Новиков, управляющий директор Positive Technologies, отметил:
«Это сложный сценарий, требующий от атакующих высокого уровня квалификации, в котором атака на ИТ-поставщика — один из способов добраться до целевого сектора и нанести ему максимальный ущерб. Именно в этом смысл атаки на TetraSoft».
Целью киберпреступников была добывающая отрасль. В случае успеха атака могла быть чревата перебоями поставок углеводородного сырья по внутренним и международным контрактам.
Команды incident response Positive Technologies и центра ИБ TetraSoft выполняют весь необходимый комплекс действий по реагированию на инцидент: выявлен первоначальный вектор атаки, ведутся оперативные действия по закрытию дополнительных векторов, которые могли бы использовать злоумышленники.
Денис Свечников, исполнительный директор TetraSoft, рассказал:
«По уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет нацеленной именно на отечественный сектор добычи с прицелом на максимальный отраслевой урон. Ранее инцидентов такого масштаба мы не наблюдали».
💸 Прямой ущерб от простоя в TetraSoft оценивают более чем в 65 млн руб., а затраты на восстановление внутренних сервисов уже превысили 25 млн руб. И эту цифру в компании считают не финальной.
🧑💻 В TetraSoft оперативно развернут центр противодействия киберугрозам (security operations center, SOC), основанный на использовании полного стека технологий Positive Technologies, включая межсетевой экран нового поколения PT NGFW.
SOC покрывает всю инфраструктуру TetraSoft; он ориентирован на результативное выявление хакерской активности до того, как компании и ее клиентам будет нанесен непоправимый урон.
💡 Кроме того, результатом совместной работы компаний стало создание проекта для кибербезопасного управления недрами, который будет предотвращать наиболее актуальные сценарии атак хакеров и полностью защищать российскую добывающую отрасль.
@Positive_Technologies
🔥25👍14❤4👏4🥰1😁1
Шаг за шагом наш продукт обретал новую технологичность. Иван Прохоров и Роман Сергеев из команды развития MaxPatrol SIEM вели летопись важных изменений в продукте и опубликовали ее в нашем блоге на Хабре.
Коллеги достаточно подробно, а главное — интересно, рассказали:
👉 Больше подробностей ищите в статье
#MaxPatrolSIEM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🔥7👌5👍1
🖥 Как выявлять уязвимости еще на этапе написания кода
Разработчики приложений знают, что устранять уязвимости после запуска всегда сложнее и дороже. Но плотный график релизов и жесткие дедлайны не всегда оставляют время на глубокую проверку безопасности.
Одно из возможных решений проблемы — интегрировать инструменты проверки безопасности прямо в среду разработки (IDE).
🎙 На вебинаре 6 ноября в 14:00 мы познакомим вас с новым плагином PT Application Inspector для IDE, который помогает проверять безопасность кода на стадии разработки.
Расскажем, как с его помощью можно легко находить уязвимости в зависимостях библиотек и использовать базовые меры для защиты проектов. А также вы увидите работу плагина в реальных условиях и узнаете, как встроить его в ваш процесс разработки.
🔗 Регистрируйтесь на вебинар заранее на нашем сайте.
#PositiveEducation
@Positive_Technologies
Разработчики приложений знают, что устранять уязвимости после запуска всегда сложнее и дороже. Но плотный график релизов и жесткие дедлайны не всегда оставляют время на глубокую проверку безопасности.
Одно из возможных решений проблемы — интегрировать инструменты проверки безопасности прямо в среду разработки (IDE).
🎙 На вебинаре 6 ноября в 14:00 мы познакомим вас с новым плагином PT Application Inspector для IDE, который помогает проверять безопасность кода на стадии разработки.
Расскажем, как с его помощью можно легко находить уязвимости в зависимостях библиотек и использовать базовые меры для защиты проектов. А также вы увидите работу плагина в реальных условиях и узнаете, как встроить его в ваш процесс разработки.
🔗 Регистрируйтесь на вебинар заранее на нашем сайте.
#PositiveEducation
@Positive_Technologies
🔥10👍9❤4👏1
This media is not supported in your browser
VIEW IN TELEGRAM
📖 Мы почти каждую неделю приносим вам статьи из Positive Research, а о том, что вышел новый номер журнала, так и не рассказали. Исправляемся!
В этот раз вместо колонки редактора вы можете увидеть редколлегию, котораяпóтом и кровью готовит каждый. Ребят, вы классные 🫶
Рассказываем, что почитать:
♟ разбор шахматной партии с отличным гамбитом, в которой SOC противостоит хакерам при помощи SIEM-систем;
👀 гайд для успешногосокрытия обнаружения хакерских атак при помощи анализа сетевого трафика;
🤖 не только расшифровка загадочной аббревиатуры MLSecOps, но и инструкция, как строить комплексную защиту систем машинного обучения.
Это далеко не полный список всего, что уместилось на 248 (!) страницах.
🎁 Чтобы увидеть все, скачивайте PDF-версию журнала и принимайте участие в розыгрыше 10 бумажных выпусков. Если вы подписаны на наш канал, жмите кнопку «Участвую!», имена победителей узнаем в следующую пятницу, 8 ноября.
#PositiveResearch
@Positive_Technologies
В этот раз вместо колонки редактора вы можете увидеть редколлегию, которая
Рассказываем, что почитать:
♟ разбор шахматной партии с отличным гамбитом, в которой SOC противостоит хакерам при помощи SIEM-систем;
👀 гайд для успешного
🤖 не только расшифровка загадочной аббревиатуры MLSecOps, но и инструкция, как строить комплексную защиту систем машинного обучения.
Это далеко не полный список всего, что уместилось на 248 (!) страницах.
🎁 Чтобы увидеть все, скачивайте PDF-версию журнала и принимайте участие в розыгрыше 10 бумажных выпусков. Если вы подписаны на наш канал, жмите кнопку «Участвую!», имена победителей узнаем в следующую пятницу, 8 ноября.
#PositiveResearch
@Positive_Technologies
👍20❤5🔥3😁1
This media is not supported in your browser
VIEW IN TELEGRAM
🔥9👍5❤🔥4
Тогда присоединяйтесь к завтрашнему эфиру AM Live, где Никита Ладошкин, руководитель разработки PT Container Security, и другие эксперты расскажут, какие риски и угрозы нужно учитывать при внедрении контейнерной инфраструктуры, и обсудят отечественные инструменты для ее защиты.
Вы узнаете:
Встречаемся в прямом эфире завтра (6 ноября) в 11:00. Не забудьте зарегистрироваться заранее!
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥5❤4
На SOC-форуме наши коллеги из отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) рассказали о результатах порядка 1️⃣ 0️⃣ 0️⃣ проектов по расследованию инцидентов и ретроспективному анализу за последние четыре квартала.
Читайте полный отчет по ссылке, а здесь коротко, как мы любим, поделимся цифрами и фактами.
3️⃣ типа организаций оказывались под прицелом хакеров чаще остальных: промышленные предприятия, госучреждения и IT-компании.
2️⃣ 3️⃣ дня — средняя продолжительность киберинцидента.
3️⃣ года и 1️⃣ день — длительности самой долгой и самой короткой вредоносных активностей.
1️⃣ 7️⃣ дней — среднее время от начала атаки до обнаружения активности злоумышленников.
3️⃣ дня нужно команде PT ESC IR, чтобы свести инцидент к контролируемой фазе.
1️⃣ 7️⃣ известных АРТ-группировок оставили следы присутствия в 39% компаний. Среди них наши эксперты выделили три: Hellhounds — как одну из самых продвинутых в своих техниках, ExCobalt — как самую активную, а XDSpy — как ту, что живет дольше остальных (она атакует организации в России с 2011 года).
Среди методов, которые используют злоумышленники, чтобы замести следы своего присутствия — шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных.
Какими были цели атакующих, и на что это влияло, читайте в исследовании на нашем сайте.
@Positive_Technologies
Читайте полный отчет по ссылке, а здесь коротко, как мы любим, поделимся цифрами и фактами.
Среди методов, которые используют злоумышленники, чтобы замести следы своего присутствия — шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных.
«Количество атак через подрядчиков за год увеличилось до 15%, многие из этих компаний предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер, — прокомментировал Денис Гойденко, руководитель PT ESC IR. — Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS „1C-Битрикс“: 33% от всех атак, в которых в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50 до 17%».
Какими были цели атакующих, и на что это влияло, читайте в исследовании на нашем сайте.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥9❤5👌2
Об этом говорят данные опроса, который мы провели недавно вместе с K2 Cloud. В нем участвовали более ста ИТ-директоров компаний из следующих сфер: телеком, промышленность, ритейл, банки и финансы, образование и ИТ.
Организации, которые защищают веб-приложения, в 20% случаев используют только WAF, 12% компаний выбирают антибот-решения, а 52% совмещают систему Anti-DDoS и WAF.
Такая статистика позволяет сделать выводы, что «классические» решения с точеным использованием одного продукта постепенно уйдут в прошлое, а на лидерских позициях вскоре окажутся комплексные платформы типа application security platform.
«От продукта класса WAF многие ожидают 100-процентной защиты от хакерских атак, однако одна из главных задач решения — сделать веб-ресурс неинтересным для киберпреступника еще на этапе разведки. Осознав, что веб-приложение имеет защиту, хакер переведет свой фокус на более легкие и незащищенные цели. В случае если компания все-таки стала мишенью злоумышленника, WAF сделает попытку взлома неоправданно трудозатратой и без гарантии успешного финала. В результате, используя решения класса WAF, бизнес значительно повышает защищенность своего веба, что поможет избежать множества финансовых, репутационных рисков и иных последствий хакерских атак», — комментирует Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.
Больше интересного ищите в новости на нашем сайте.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4🔥3😱1