😨 Каждый день думаете о безопасности контейнерных сред?

Тогда присоединяйтесь к завтрашнему эфиру AM Live, где Никита Ладошкин, руководитель разработки PT Container Security, и другие эксперты расскажут, какие риски и угрозы нужно учитывать при внедрении контейнерной инфраструктуры, и обсудят отечественные инструменты для ее защиты.

Вы узнаете:

〰️ о стандартах и лучших практиках безопасности контейнерной виртуализации;

〰️ сложностях в журналировании и мониторинге действий внутри контейнеров со стороны SOC и способах с ними справиться;

〰️ реальных инцидентах, связанных с нарушениями безопасности контейнеров;

〰️ комплексных решениях для управления безопасностью контейнерной виртуализации.

Встречаемся в прямом эфире завтра (6 ноября) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

На SOC-форуме наши коллеги из отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) рассказали о результатах порядка 1️⃣0️⃣0️⃣ проектов по расследованию инцидентов и ретроспективному анализу за последние четыре квартала.

Читайте полный отчет по ссылке, а здесь коротко, как мы любим, поделимся цифрами и фактами.

3️⃣ типа организаций оказывались под прицелом хакеров чаще остальных: промышленные предприятия, госучреждения и IT-компании.

2️⃣3️⃣ дня — средняя продолжительность киберинцидента.

3️⃣ года и 1️⃣день — длительности самой долгой и самой короткой вредоносных активностей.

1️⃣7️⃣ дней — среднее время от начала атаки до обнаружения активности злоумышленников.

3️⃣ дня нужно команде PT ESC IR, чтобы свести инцидент к контролируемой фазе.

1️⃣7️⃣ известных АРТ-группировок оставили следы присутствия в 39% компаний. Среди них наши эксперты выделили три: Hellhounds — как одну из самых продвинутых в своих техниках, ExCobalt — как самую активную, а XDSpy — как ту, что живет дольше остальных (она атакует организации в России с 2011 года).

Среди методов, которые используют злоумышленники, чтобы замести следы своего присутствия — шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных.

«Количество атак через подрядчиков за год увеличилось до 15%, многие из этих компаний предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер, — прокомментировал Денис Гойденко, руководитель PT ESC IR. — Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS „1C-Битрикс“: 33% от всех атак, в которых в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50 до 17%».

Какими были цели атакующих, и на что это влияло, читайте в исследовании на нашем сайте.

@Positive_Technologies

☁️ Более четверти компаний не защищают свои веб-приложения, а остальные все чаще пользуются для этого облачными решениями ☁️

Об этом говорят данные опроса, который мы провели недавно вместе с K2 Cloud. В нем участвовали более ста ИТ-директоров компаний из следующих сфер: телеком, промышленность, ритейл, банки и финансы, образование и ИТ.

Организации, которые защищают веб-приложения, в 20% случаев используют только WAF, 12% компаний выбирают антибот-решения, а 52% совмещают систему Anti-DDoS и WAF.

Такая статистика позволяет сделать выводы, что «классические» решения с точеным использованием одного продукта постепенно уйдут в прошлое, а на лидерских позициях вскоре окажутся комплексные платформы типа application security platform.

«От продукта класса WAF многие ожидают 100-процентной защиты от хакерских атак, однако одна из главных задач решения — сделать веб-ресурс неинтересным для киберпреступника еще на этапе разведки. Осознав, что веб-приложение имеет защиту, хакер переведет свой фокус на более легкие и незащищенные цели. В случае если компания все-таки стала мишенью злоумышленника, WAF сделает попытку взлома неоправданно трудозатратой и без гарантии успешного финала. В результате, используя решения класса WAF, бизнес значительно повышает защищенность своего веба, что поможет избежать множества финансовых, репутационных рисков и иных последствий хакерских атак», — комментирует Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.

☁️ Кроме того, в тренде переход на облачные решения: 10% уже используют такие инструменты для ИБ, 15% — гибридную модель, еще 30% планируют в течение года мигрировать с собственных серверов в «облака».

Больше интересного ищите в новости на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

📞 Сменили телефонный номер? Теперь мошенники могут попробовать авторизоваться в ваших учетных записях со старой сим-карты

Наши коллеги исследовали 38 популярных приложений: личные кабинеты на сайтах компаний, интернет-магазинов и аптек, сервисы доставки еды и продуктов, маркетплейсы и соцсети.

Эксперты попробовали авторизоваться в каждом из них, используя сим-карты пяти крупных операторов: 30 купили в салонах сотовой связи («белые»), еще 50 — в телеграм-каналах («серые»), а 15 арендовали через онлайн-сервисы (виртуальные).

Что им удалось выяснить

Вообще, мы сняли об этом отдельный выпуск в рубрике «Сегодня ломаем» Positive Hack Media, но некоторыми фактами поделимся и здесь.

📱 Почти половину (43%) номеров владельцы использовали для регистрации в сервисах из составленного списка, и более чем в трети случаев (37%) эти аккаунты все еще были активны.

5️⃣7️⃣ Всего исследователи подтвердили возможность доступа к 57 учетным записям прежних владельцев сим-карт: к четырем из них — на маркетплейсах, но ни разу — к банковским аккаунтам.

👥 Специалисты отметили интересную закономерность: если номер не использовался для регистрации в соцсетях, то и в других сервисах аккаунтов с ним не было.

❌ Заметив активность экспериментаторов, только один из пяти операторов заблокировал симки.

🙅‍♂️ А вот связи между тем, успешной ли была авторизация, и тем, с какой сим-карты она произошла («белой», «серой» или виртуальной), коллеги не обнаружили.

«Как показал наш эксперимент, злоумышленники могут начать использовать ваш прежний номер в атаках, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS-сообщения как единственный второй фактор аутентификации и как замену паролям при однофакторной аутентификации. В случае изменения номера телефона владельцы должны иметь возможность безопасно восстановить доступ к своим аккаунтам», — сказал Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies.

Как обезопасить свои учетные записи

Эксперты поделились несколькими простыми советами, которые позволят избежать неприятных ситуаций с вашими бывшими прежними номерами.

1️⃣ Сохраняйте доступ к своим сим-картам, а если он утрачен, не забудьте привязать аккаунты к другому номеру.

2️⃣ Для критически важных приложений (мессенджеров, соцсетей, онлайн-банков) пользуйтесь альтернативным способом авторизации — например, через электронную почту.

3️⃣ По возможности откажитесь от входа через SMS-сообщения и настройте двухфакторную аутентификацию, используя генераторы одноразовых паролей.

4️⃣ Не выдавайте мобильным приложениям разрешение на чтение SMS-сообщений, никому не сообщайте одноразовые пароли, а в случае подозрительной активности — обращайтесь в службу поддержки приложения или оператора сотовой связи.

Больше интересных фактов и полезных рекомендаций — в шоу «Сегодня ломаем» от Positive Hack Media.

@Positive_Technologies

🦸‍♂️ Как прокачать свои навыки супергероя киберзащитника?

Например, попробовать расследовать самые интересные инциденты с кибербитвы Standoff на нашем онлайн-симуляторе Standoff Cyberbones.

А чтобы вам было проще, Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, который занимается подготовкой синих команд, написал подробную инструкцию.

🗣 В статье он рассказал:

🔵как устроен онлайн-симулятор;
🔵какого типа задания там бывают;
🔵как расследовать некоторые из собранных на Standoff Cyberbones атомарных инцидентов и критических событий.

Вооружайтесь предложенными шпаргалками и пробуйте самостоятельно разобрать встроенные в симулятор задания: фишинговую атаку или добавление вредоносной нагрузки в виде файла wtf.exe.

Уверены, вы справитесь 😉

@Positive_Technologies

🙂 Чипы GigaDevice GD32 в зоне риска: исследователи из Positive Labs обнаружили уязвимости в технологии защиты их прошивки от считывания.

Ими могут воспользоваться потенциальные злоумышленники, чтобы извлечь прошивку, найти в ней слабые места для атаки, модифицировать или украсть внутреннее ПО и выпустить устройство под другой маркой.

🤔 Как так вышло

Наши исследователи обнаружили баг в одном из микроконтроллеров, а после для независимой проверки купили и протестировали еще 11 разных чипов GigaDevice из серии GD32, предварительно активировав в них технологию защиты.

В результате эксперты смогли извлечь прошивку в незашифрованном виде и найти несколько уязвимостей, позволяющих полностью нарушить работу конечных устройств без возможности восстановления.

😨 Чем это опасно

Вендоры из многих стран, включая Россию, используют микроконтроллеры GigaDevice GD32 во множестве сложных устройств: от автомобильных двигателей и аккумуляторов до систем доступа в помещение.

«Скаченная прошивка в открытом виде облегчает для атакующего поиск уязвимостей в оборудовании — а данные микроконтроллеры в последние полтора года нередко используются в российской продукции для замены популярных 32-битных микросхем производства STMicroelectronics», — рассказывает Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies.

🧐 Что с этим делать

Мы уведомили производителя об угрозе в рамках политики ответственного разглашения. Однако, учитывая, как трудно устранять угрозы, связанные с аппаратными уязвимостями, наши эксперты рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, в которых технология защиты от скачивания прошивки протестирована независимыми исследователями.

Пользователи могут запросить наименования микроконтроллеров у производителя конечного устройства или посмотреть маркировку чипа, разобрав его самостоятельно.

Пользуйтесь проверенными чипами и оставайтесь в безопасности!

@Positive_Technologies
#PositiveЭксперты

✉️ Здравствуйте, хотите послушать историю о харденинге почтового сервера Microsoft Exchange?

Однажды темной-темной ночью гендиректор организации-контрагента получил от руководителя компании N письмо с просьбой поделиться конфиденциальными данными. Гендиректор насторожился и решил уточнить информацию. «Фишинг!» — предположили специалисты по кибербезопасности из N.

😱 Но оказалось, что все гораздо серьезнее: злоумышленники получили доступ к почтовому серверу Microsoft Exchange и уже некоторое время не только читали всю переписку сотрудников компании, но и могли отправлять письма от их имени.

Как так вышло и чем все закончилось, рассказал в статье на Хабре Павел Маслов, архитектор дирекции инфраструктурных проектов Positive Technologies.

🤘 А главное — поделился пошаговой инструкцией, как прокачать и перенастроить почту, чтобы максимально усложнить задачу хакерам, решившим ее взломать.

Читайте и пересылайте всем, кому она тоже может пригодиться! И пусть ваши киберистории всегда завершаются хеппи-эндом!

#PositiveЭксперты
@Positive_Technologies

Вторая жизнь ваших SIM-карт 📱

Помните ли вы свой первый номер мобильного телефона? А что с ним сейчас? Может ли он попасть в руки хакеров? Получат ли они тогда доступ к вашим аккаунтам, к которым был привязан номер?

Вопросов — много. Разбирается в них в новом выпуске шоу «Сегодня ломаем» белый хакер Николай Анисеня (@xyuriti) с помощью 100 (!) новых SIM-карт.

Проверим, существуют ли привязанные аккаунты их старых владельцев на самых популярных платформах (спойлер: да). А потом расскажем, что делать, чтобы не стать жертвой такого взлома!

🔥 Смотрите выпуск на нашем YouTube-канале:

https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU

На других платформах опубликуем видео в ближайшие дни.

🎁 Бонус: исследование в текстовом формате с графиками и рекомендациями вы можете найти на нашем сайте.

@PositiveHackMedia

♟ В шахматной партии «Хакеры против SOC» выигрывает тот, кто понимает, как думает противник, и видит его ошибки.

В новом материале Positive Research рассказали, как сыграть красивый гамбит и завершить игру эффектным эндшпилем с помощью MaxPatrol SIEM.

Итак, короткий пересказ стратегии от наших коллег Кирилла Кирьянова, руководителя группы обнаружения атак на конечных устройствах, и Екатерины Никулиной, старшего специалиста отдела мониторинга информационной безопасности PT ESC.

1️⃣ Первый шаг: пешка на е2 научиться управлять своими активами так, чтобы хакер не мог «ослепить» SIEM-систему.

2️⃣ Второй: научиться правильно комбинировать сигнатурные и поведенческие правила, чтобы система обнаружения работала как часы.

3️⃣ Третий: предусмотреть разные способы обхода детектов и маскировки инструментов хакеров.

4️⃣ Четвертый: подключить к поиску аномалий ИИ.

5️⃣ Пятый: собрать команду сильных игроков аналитиков SOC, которые даже в «серой» зоне сумеют разобраться, ложный алерт или нет.

Готово: партия завершена блестяще. Подробный разбор ищите в статье.

#PositiveResearch #MaxPatrolSIEM
@Positive_Technologies

👾 MaxPatrol VM 2.7: умный поиск информации об активах с помощью ИИ и улучшение производительности

Мы внедрили в нашу систему управления уязвимостями бета-версию умного поиска информации по активам для выявления необходимых групп, сортировки узлов по обнаруженным уязвимостям и выполнения других запросов.

Раннее поиск производился только через Positive Data Query Language (PDQL). Теперь с помощью ИИ пользователи смогут создавать распространенные текстовые запросы на русском языке без него. Это снизит порог входа для работы специалистов с системой и уменьшит когнитивную нагрузку специалистов по ИБ.

Важно: изучение синтаксиса PDQL остается актуальным для более сложных запросов, например для выявления учетных записей, у которых за последний месяц сменился пароль.

Павел Попов, лидер практики продуктов для управления уязвимостями Positive Technologies, отметил:

«Наша цель — непрерывно двигаться в сторону автоматизации процессов, улучшения производительности и результативности продукта. Поэтому если ранее для начала работы специалист мог потратить несколько дней на изучение языка PDQL, то теперь анализ инфраструктуры с помощью простых запросов можно начинать сразу после внедрения системы».

Кроме того, мы оптимизировали работу PDQL-запросов, что особенно заметно на больших инсталляциях, которые содержат более 10 000 активов. А также в несколько раз увеличили производительность системы.

В модуль MaxPatrol HCC 1.7 добавили поддержку новых стандартов, что позволяет проверять выполнение ключевых требований безопасности.

🔄 Подробности — в нашем материале.

#MaxPatrolVM
@Positive_Technologies

🍃 Вы ждали его целый месяц! Представляем дайджест из четырех самых горячих трендовых уязвимостей октября.

Среди них — недостатки безопасности в продуктах Microsoft и в платформе XWiki для одностраничных сайтов, которые можно связывать друг с другом. Все эти уязвимости либо уже активно эксплуатируются хакерами, либо могут начать использоваться в ближайшее время.

👾 Напоминаем, что если вы пользователь MaxPatrol VM, то уже знаете о трендовых уязвимостях октября (информация о них поступает в продукт в течение 12 часов с момента обнаружения).

Однако мы считаем важным делиться информацией не только с пользователями нашего продукта, но и с комьюнити специалистов по кибербезопасности, чтобы под защитой было как можно больше организаций.

💡 Уязвимости Windows, описанные ниже, по данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий операционной системы (например, Windows 11 и Windows 10).

Уязвимость в движке платформы MSHTML для обработки и отображения HTML-страниц

CVE-2024-43573 (CVSS — 6,5)

Может привести к несанкционированному раскрытию конфиденциальной информации. Для эксплуатации требуется взаимодействие с пользователем. Злоумышленники могут отправлять фишинговые письма с вредоносными вложениями или ссылками, ведущими на специально подготовленные ресурсы.

Уязвимость в драйвере ядра Windows, приводящая к повышению привилегий

CVE-2024-35250 (CVSS — 7,8)

Позволяет повысить привилегии до максимальных путем манипулирования запросом в драйвере ядра. Захватив полный контроль над системой, злоумышленник может получить доступ к конфиденциальной информации и действовать от имени локального администратора: устанавливать вредоносное ПО, изменять и удалять важные файлы.

Уязвимость в платформе Kernel Streaming для обработки данных, также позволяющая повысить привилегии в Windows

CVE-2024-30090 (CVSS — 7,0)

Результат эксплуатации — максимальные привилегии с возможностью выполнять действия от имени локального администратора, а также с возможностью получить доступ к конфиденциальной информации. Злоумышленник может повысить уровень привилегий, используя некорректные запросы.

Уязвимость, связанная с удаленным выполнением кода, в опенсорсной платформе XWiki

CVE-2024-31982 (CVSS — 10,0)

💡 По данным XWiki, уязвимость может затрагивать более 21 000 потенциальных жертв.

Недостаток вызван отсутствием валидации значений в поисковом запросе. Злоумышленник, манипулируя текстом в строке поиска, способен выполнить произвольный код на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки, например для внедрения вредоносного ПО.

Подробности обо всех уязвимостях, а также о том, как предотвратить их эксплуатацию, ищите в полной версии дайджеста.

#втрендеVM
@Positive_Technologies

💡 PT ICS выявляет атаки на системы промышленной автоматизации под управлением Redkit SCADA

В систему MaxPatrol SIEM, которая входит в состав решения PT Industrial Cybersecurity Suite (PT ICS), добавлен пакет экспертизы для контроля безопасности систем диспетчеризации на базе Redkit SCADA 2.0 (применяется на предприятиях электроэнергетики и нефтегазовой сферы).

🏭 По данным нашего исследования, в 2023 году каждая вторая атака на промышленные предприятия приводила к нарушению их деятельности.

«Избежать подобных угроз помогает высокая видимость технологической сети и инфраструктуры в целом. За счет этого специалисты службы ИБ могут выявлять опасные действия операторов, а также атаки внешних и внутренних злоумышленников (то есть злонамеренных сотрудников). Многие команды, которые отправляют операторы, фактически невозможно отследить встроенными в АСУ ТП средствами, а благодаря новому пакету экспертизы это происходит автоматически», — отметил Айнур Акчурин, эксперт группы ИБ промышленных систем управления Positive Technologies.

⚠️ Наш опыт расследований инцидентов показывает, что во многих SCADA-системах внутренний злоумышленник или атакующий, который получил доступ к рабочей станции инженера, может легко устранить следы своей активности.

Поэтому на промышленных предприятиях важно вовремя обнаруживать нелегитимные команды операторов. Скорость выявления таких действий на производстве критически важна: от нее зависит, удастся ли остановить кибератаку на раннем этапе.

🔍 Благодаря обновлениям теперь в системах на базе Redkit SCADA 2.0 с помощью PT ICS можно выявлять:

• неудачные попытки входа в систему,
• изменение пароля и парольной политики,
• модификацию конфигурационных файлов,
• другие подозрительные действия.

👀 Подробнее о PT ICS вы можете узнать на нашем сайте.

#PTICS
@Positive_Technologies

🎉 Встречайте MaxPatrol EDR версии 7.0

Большинство новых фич, конечно же, оценят крупные организации с распределенной инфраструктурой. Мы учли запросы таких клиентов, их реальный опыт отражения атак и использования инструментов для ИБ, чтобы внедрение системы было менее трудозатратным, а применение — более легким и удобным. В первую очередь в продукте появились поддержка отказоустойчивой кластерной установки серверов управления и возможность добавлять собственные пакеты экспертизы.

🆕 Новые политики обнаружения

В продукт добавлены более эффективные преднастроенные политики обнаружения, а также возможность создавать шаблоны на основе собственных политик и тиражировать их между филиалами и отделениями организации.

Это позволит в десятки раз ускорить процессы реагирования на обнаруженные инциденты. Организации смогут сократить операционные расходы на внедрение и масштабирование системы, а также точнее настроить ее под особенности инфраструктуры и применить в продукте опыт собственных специалистов ИБ.

🙂 Множественная реакция

Новая версия MaxPatrol EDR позволяет реагировать на инциденты ИБ на множестве агентов. Например, если атаке подвергнутся два десятка устройств, специалисты смогут выполнить необходимые действия на всех сразу. При этом консоль позволит визуально контролировать статус этой активности на всех устройствах и продолжать работу с выбранной группой, не прерываясь на повторный выбор агентов.

Это поможет многократно сократить время реагирования (с десятков до считаных минут). Кроме того, выполнять действия на агентах теперь можно и из сторонних систем — для этого предусмотрен API реагирования.

«Наша команда продолжает совершенствовать систему, с каждым обновлением повышая ее результативность. Например, добавление поддержки кластерной установки было одним из самых частых запросов клиентов. По нашим наблюдениям, сегодня десятки крупнейших компаний строят отказоустойчивые кластерные системы, которые суммарно обрабатывают миллионы событий в секунду. Теперь наш продукт позволяет обеспечить бесперебойную защиту конечных устройств в таких инфраструктурах», — комментирует Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies.

Кроме того, увеличена скорость и стабильность работы, снижено потребление памяти, добавлена поддержка нескольких операционных систем и выполнены другие важные доработки.

Обновитесь до версии 7.0, чтобы оценить, насколько круче стал продукт!

#MaxPatrolEDR
@Positive_Technologies