🤟 Рассказываем, как прокачали одну из популярных российских платформ виртуализации zVirt, используя нашу методологию ХардкорИТ.

Эксперты Positive Technologies выявили более 140 техник, которые хакеры могут применить в атаках на типовую инсталляцию zVirt 4.2, и разработали 17 способов защиты. Среди них: установка последних обновлений zVirt, создание персональных учетных записей для администраторов системы, усиление парольной политики для учетных записей, изменение конфигурации протоколов SSL и TLS и другие.

Платформа виртуализации zVirt занимает более 40% всей базы импортозамещенных инсталляций VMware vSphere. У решения более 400 клиентов, в том числе компании, являющиеся лидеры различных отраслей экономики. Для таких организаций особенно важны превентивные меры защиты.

Преимущества харденинга

1️⃣ Усложняет проведение атаки: теперь злоумышленникам потребуется минимум пять шагов и 24 часа (по данным пентестов на проникновение для этого в среднем требуется четыре шага).

2️⃣ Увеличивает время для команды ИБ и ИТ на предотвращение реализации недопустимых событий. Например, таких как утечки информации или вынужденный простой в работе систем.

«Применение методологии ХардкорИТ к zVirt позволит бизнесу оценивать защищенность инфраструктуры c помощью понятных метрик, снижать количество киберинцидентов и эффективнее планировать сценарии реагирования», — комментирует

Александр Гавриленко

, руководитель направления технологических партнерств и экосистемных решений Orion soft.

Цель подхода ХардкорИТ — добиться того, чтобы показатель TTR (время на реагирование и локализацию) был как минимум вдвое меньше TTA (время атаки). В дальнейшем мы планируем создать аналогичные рекомендации и для других инфраструктурных решений российских производителей.

🤘 Читайте о 17 способах харденинга zVirt 4.2 в рекомендациях на нашем сайте.

@Positive_Technologies

🤔 Может ли промышленный интернет вещей стать дырой в системе кибербезопасности предприятий?

Ответили на этот вопрос в новом исследовании наших экспертов (спойлер: да, такое может случиться).

😀 С одной стороны, технологии IoT активно внедряются в производственный сектор и, по данным отчета Fortune Business Insights, в 2023 году он входил в четверку отраслей с самым высоким уровнем интеграции IoT.

Компании используют IIoT для решения разных задач (как правило, сразу нескольких): например, для мониторинга данных о производственных и технологических процессах, мониторинга состояния ИТ-оборудования, для автоматизации принятия решений о корректировке производственных и технологических процессов.

«Сегодня все больше компаний переходит на автопилотирование процессов с помощью передовых технологий, в том числе искусственного интеллекта. Речь идет и о создании цифровых двойников, на которых можно проверять функционирование промышленных систем в определенных условиях и тестировать эффективность принятых мер безопасности. А интегрируя интернет вещей и аналитику данных, предприятия могут отслеживать состояние оборудования и выявлять сбои до их возникновения», — объясняет Екатерина Снегирева, старший аналитик исследовательской группы Positive Technologies.

🙁 С другой стороны, внутренние системы предприятий чаще всего довольно закрытые и доступ к ним хакеры могут получить как раз через компоненты схемы IIoT: устройства и оборудование на уровне периферии, средства связи, средства передачи, обработки, хранения и аналитики данных, приложения пользовательского уровня.

Злоумышленники атакуют периферийные устройства, датчики и контроллеры, используя аппаратные уязвимости и недостатки прошивки, вредоносное ПО, слабые пароли и незащищенный выход в интернет. Кроме того, отмечаются случаи взлома протоколов передачи данных и IoT-шлюзов, а также киберугрозы для аналитических систем и специфического промышленного ПО.

Основная цель атакующих — получение конфиденциальной информации (65% всех успешных атак), при этом 37% украденных данных относятся к коммерческой тайне. К нарушению производственных процессов на предприятиях привели 33% инцидентов.

О том, почему сфера IIoT остается достаточно уязвимой и как можно повысить ее киберустойчивость, читайте в полном тексте исследования на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

🤔 Вы уже видели этот вредонос? Нет. А он есть, и PT Sandbox его видит

Специалисты экспертного центра безопасности Positive Technologies (@ptescalator) с помощью поведенческого анализа в PT Sandbox выявили новую вредоносную активность, направленную на российские компании.

Рассказываем, как это произошло.

1️⃣ Все началось c фишингового письма

Письмо было отправлено 14 октября: оно обошло первый эшелон защиты (почтовый шлюз) и попало на анализ в PT Sandbox. Внутри него содержалась фраза «Платежное поручение! Ждем от вас акты», а также ссылка на скачивание RAR-архива oplata_plateznoe_1C.rar с исполняемым файлом, замаскированным под PDF-файл.

Информация о файле появилась в VirusTotal (VT) в тот же день, однако не все средства защиты успели обновить свои базы и, соответственно, начать детектировать вредоносное содержимое. Поэтому письмо попало на анализ в песочницу.

2️⃣ Еще одно письмо с похожим текстом получено 20 ноября

Однако в нем использовалась другая ссылка (домен злоумышленников мимикрировал под сайт производителя СЗИ), по которой скачивался файл Платежное поручение 1С.rar с вредоносом внутри.

Информация о содержимом появилась в VT 20 ноября. Проверив домен на следующий день, специалисты увидели, что он ассоциируется со многими вредоносными файлами, замеченными в ноябре и ориентированными в первую очередь на российские организации.

🫣 Что общего у этих писем?

• Они рассылались с легитимных почтовых ящиков, которые, по предварительным данным, принадлежат реальным организациям (но были под контролем у злоумышленников).

• Оба извлеченных файла являются загрузчиками вредоносных программ (Trojan‑Downloader), написанными на .NET.

• У обоих файлов — общий адрес управляющего сервера, что говорит об их принадлежности к одной кампании.

• После запуска нагрузки первой стадии скачиваются другие: PureLogs Stealer, AsyncRAT или DarkVision RAT. Все они запускаются через внедрение кода в легитимный процесс Microsoft.NET Framework — InstallUtil.exe.

• На этой стадии файл детектируется песочницей как Trojan.Win32.Generic.a / Trojan.Win32.Inject.a. Все дополнительно скачиваемые нагрузки уже не один раз анализировались и хорошо известны.

💡 Из этих примеров видно, что новые вредоносы практически невозможно обнаружить статическими методами анализа: злоумышленники могут изменить схему обфускации, и файл пропадет с радаров. Не спасут и базовые средства защиты, так как письма могут приходить со взломанных легитимных почтовых ящиков контрагентов организации.

Но усиление безопасности решениями с поведенческим анализом вредоносов, например PT Sandbox, позволит обеспечить защиту от новых и неизвестных ранее угроз и заблокировать их проникновение в контур компании.

😲 Все технические подробности вы можете найти в материале на сайте anti-malware.ru.

#PTSandbox
@Positive_Technologies

🤩 Ярче солнца, прекраснее рассвета, горячее предновогодних дедлайнов. Это он — новый выпуск Positive Research, который мы делали совместно с командой Standoff 365!

Это значит, что тема номера — все, что связано с багхантингом, онлайн-полигоном, кибербитвой, белыми хакерами и тренировками red team и blue team.

Читайте в спецвыпуске:

🔓 Почему на смену эпохе пентестов приходит эра багбаунти и что за зверь эти новые APT-программы.

🪞 Как создаются и работают разные отрасли на онлайн-полигоне Standoff и почему мы смело называем их цифровыми двойниками реально существующих систем.

👣 Что делать, если хочется выйти на платформу багбаунти, но не знаете как.

👑 Почему рано называть себя королем багхантеров, если вы пару раз смогли получить крупное баунти.

Бумажная версия так приятно лежит в руках (нет, мы это пишем не для того, чтобы вы завидовали, — просто констатируем факт), но та, что в формате PDF, тоже очень хороша.

Скачивайте ее по ссылке и читайте с удовольствием или подождите, пока статьи появятся на сайте журнала.

#PositiveResearch
@Positive_Technologies

🥊 Как найти «пробив» с помощью анализа трафика

Один из популярных векторов проникновения в сеть компании — успешная эксплуатация уязвимостей в сервисах на периметре. В нашей терминологии это называется «пробивом».

Чтобы проникнуть в сеть, злоумышленнику необходимо скомпрометировать ресурсы, расположенные в демилитаризованной зоне (ДМЗ). При этом он может прийти откуда не ждали: из интернета сети удаленных пользователей, филиалов компании, сети подрядчика и т. п.

Таким образом, мониторинг расположенных в ДМЗ сервисов является критически важной задачей.

🤨 Как сделать это эффективно

• Самый быстрый и достаточно эффективный способ — анализ трафика. Например, с помощью PT Network Attack Discovery (PT NAD). Однако если просто завести в продукт трафик, то можно потонуть в false positive: сети всех компаний исследуются в режиме нон-стоп, а злоумышленники предпринимают попытки проникнуть внутрь.

• Для того чтобы разобраться со срабатываниями, необходимо их верифицировать вручную. Если алертов немного, проверка не вызывает проблем. Но если их сотни, вероятность пропустить «пробив» значительно увеличивается.

• Команде PT NAD пришла идея — научить систему тем действиям, которые аналитик выполняет для верификации эксплуатации уязвимости. Продукт умеет не только анализировать трафик на потоке, но и записывать метаданные сессий в хранилище (они доступны для анализа), что позволяет выявить действия злоумышленника.

• В итоге был создан алгоритм проверки успешности «пробива». За счет этого удалось автоматизировать рутинные действия аналитика, снизить число false positive и повысить вероятность обнаружения атаки.

👉 Подробнее о работе алгоритма, который помогает вовремя выявить злоумышленника, в новом материале на Хабре рассказал Виктор Еременко, лидер продуктовой практики PT NAD.

#PositiveЭксперты
@Positive_Technologies

😏 Подвели итоги 2024 года: рассказали о трендах в индустрии ИБ и сделали прогнозы на ближайшее будущее

Подробнее — в обзоре на нашем сайте, а в посте расскажем о самом важном.

🏃‍♂️ Динамика российского рынка ИБ

Аналитики Центра стратегических разработок год назад оценили среднегодовой темп роста рынка для отечественных поставщиков в 32%, а позже скорректировали этот показатель до 20–25%. Наши эксперты прогнозируют, что по итогам года рост сегмента ИБ составит не более 10–15%. Это связано с сокращением расходов на ИТ и цифровизацию под влиянием общих тенденций рынка, среди которых удорожание кредитных денег в результате изменения ключевой ставки.

🙂 Новый виток развития концепции результативной кибербезопасности

Число российских компаний, использующих эту концепцию, продолжает расти — в частности, в свете того, что с 2022 года Россия стала крайне привлекательной целью для киберпреступников.

«Если раньше компании спрашивали „Можно ли нас взломать?“, то теперь вопрос все чаще стоит так: „Когда нас взломают и сколько это стоит?“», — уточняют эксперты Positive Technologies.

🙂 Рост популярности продуктов и сервисов

Бизнесу важно получать измеримые результаты в области кибербезопасности, понимать, каков уровень защищенности здесь и сейчас, и прокачивать его. Поэтому растет число компаний, использующих:

1️⃣ технологии, позволяющие оперативно выявить слабые места в защите и оценить реальный уровень киберустойчивости, например системы анализа трафика и межсетевые экраны нового поколения;

2️⃣ багбаунти-платформы, портрет клиентов которых в 2024 году изменился: свою защищенность проверяли страховые компании, организации из сферы ИБ, разработчики ПО, логистические операторы, службы доставки, букмекеры и госорганы;

3️⃣ киберполигоны, позволяющие моделировать масштабные атаки в разрезе отраслей и государств, что невозможно сделать в реальной жизни;

4️⃣ практические подходы (такие, как наша методология ХардкорИТ), которые позволяют максимально замедлить продвижение киберпреступников по системам в случае взлома.

🙂 Сотрудничество с зарубежными заказчиками

«Зарубежный рынок тоже интересуется продуктами, ориентированными на результативную кибербезопасность», — отмечает Евгения Попова, директор по международному бизнесу Positive Technologies.

Эксперты компании выделяют три приоритетных направления сотрудничества:

• сетевая безопасность, где лидирует система PT Network Attack Discovery;
• экосистема продуктов MaxPatrol;
• решения для безопасной разработки приложений.

💻 Образование и обучение

На образовательном рынке появился запрос на обучение тому, как выстраивать взаимодействие между службами ИБ и ИТ в контексте методологии результативной кибербезопасности. Не менее актуальны профессиональная подготовка, обучение топ-менеджмента и повышение осведомленности сотрудников разных отделов в вопросах ИБ.

Больше подробностей — в нашем материале.

@Positive_Technologies

😕 Уязвимости-2024 vs. уязвимости-2025

Наши эксперты рассказали о главных багах безопасности уходящего года и поделились своими прогнозами на предстоящий период. Делимся подробностями.

🕵️ Уязвимости, обнаруженные экспертами PT SWARM (@ptswarm)

За 11 месяцев 2024 года команда PT SWARM (эксперты, исследующие безопасность систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При этом 75 найденных уязвимостей имели высокий или критически высокий уровень опасности.

В российском программном обеспечении специалистами PT SWARM было обнаружено на 39% больше недостатков безопасности, чем в 2023-м. При этом 42% выявленных брешей имеют высокий или критически высокий уровень опасности.

В первую очередь большое количество найденных недостатков связано с возросшим вниманием к кибербезопасности: компании начали активнее искать уязвимости, привлекать специалистов и проводить аудит ПО. Кроме того, увеличилось число исследователей, которые выявляют проблемы и сообщают о них.

Диана Абдурахманова, руководитель группы координированного раскрытия уязвимостей Positive Technologies, отметила:

«В связи с тем, что скорость патч-менеджмента увеличивается, злоумышленники будут еще активнее искать и использовать уязвимости нулевого дня, внимательно отслеживать сведения о свежих багах и создавать для них эксплойты. На фоне импортозамещения продолжит расти количество ошибок в отечественных продуктах».

⚡ Трендовые уязвимости

В этом году наши эксперты отнесли к трендовым более 70 уязвимостей (#втрендеVM): они были обнаружены в операционных системах, прикладном программном обеспечении, системах для резервного копирования, сетевых устройствах и других продуктах. Из них 32 касались продуктов Microsoft.

Больше всего трендовых уязвимостей хакеры использовали для фишинговых атак. Значительная часть этих уязвимостей представляла угрозу сетевой безопасности организаций и могла позволить злоумышленнику проникнуть в инфраструктуру.

Александр Леонов, ведущий эксперт PT Expert Security Center (@ptescalator), рассказал:

«Мы ожидаем, что в 2025 году количество трендовых уязвимостей в продуктах Microsoft сохранится примерно на том же уровне. В связи с импортозамещением предполагается уменьшение влияния ошибок в западных сетевых устройствах на российский ИТ-ландшафт. При этом ожидается увеличение числа трендовых уязвимостей в отечественном ПО: его доля на рынке растет и есть много атакующих, заинтересованных в исследовании и эксплуатации недостатков безопасности в нем».

💻 Уязвимости в аппаратных решениях

С точки зрения безопасности аппаратного обеспечения 2024 год можно назвать годом сложно устранимых и вовсе неустранимых багов, которые затрагивают огромное число пользователей.

Например, используя уязвимость в GigaDevice GD32, обнаруженную нашими экспертами, потенциальный злоумышленник может получить полный доступ к прошивке устройства (подробности в этом посте).

Кроме того, разработчики продолжают повторять старые ошибки. Например, новые SD-картридеры, как выяснили наши эксперты, позволяют подключиться к внутренней шине PCI Express ноутбука с помощью простого эмулятора SD-карты, предоставляя удобную точку входа для DMA-атак (подробности в публикации).

Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies (@positivelabs), отметил:

«Все больше производителей начинают уделять внимание защите своих устройств от атак типа fault injection (атака с внедрением ошибок) и side-channel (атака по сторонним каналам). За последние 5–7 лет оборудование для выполнения таких атак стало относительно недорогим и их количество увеличилось. Теперь очередь за стороной защиты. Мы ожидаем нового раунда противостояния, повышения стоимости подобных атак и ставим на то, что устройства в массе своей станут более защищенными».

👀 О других прогнозах на 2025 год — читайте в материале на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

💵 Компании вкладывают значительные деньги в покупку средств защиты, но достаточно ли этого для обеспечения кибербезопасности?

Спросим у Ярослава Бабина, директора по продуктам для симуляции атак Positive Technologies. В своей колонке для Forbes он отвечает: нет, этого мало. Ведь еще нужно правильно внедрять технические средства защиты, проводить регулярный аудит, вовремя их обновлять и подстраивать под изменения в ИТ-инфраструктуре.

Поэтому нужно не только вооружаться техническими новинками, но и проверять, как они держат удар, с помощью имитации реальных атак. Читайте в статье о том, какие способы «сыграть за хакера» существуют и почему можно доверить эту работу средствам контролируемого автоматического пентеста, таким как PT Dephaze.

#PositiveЭксперты
@Positive_Technologies