😏 Он вернулся: и мы сейчас не о Терминаторе, а о подкасте «КиберДуршлаг».

В первом выпуске нового сезона бессменные ведущие Павел Попов и Михаил Козлов обсудят все интересное, что мы пропустили за каникулы происходит в сфере кибербезопасности и управления уязвимостями.

🍿 Запасайтесь попкорном и готовьтесь слушать:

🤖 О двуликом ML: с одной стороны, без него сейчас в мире кибербезопасности не обойтись, а с другой — не станут ли ИИ-помощники уязвимыми местами продуктов для ИБ?

🛠 Как обновлять ПО, чтобы с вами не случалось ситуаций «я что-то нажал, и все сломалось».

👾 О трендовых уязвимостях: какими они были в прошлом году и как могут измениться в 2025-м.

Это еще не все, но дальше писать некогда: мы так соскучились, что уже смотрим свежий выпуск. Присоединяйтесь 😉

📺 YouTube

📺 Rutube

📺 VK Видео

А еще его можно послушать на любой удобной платформе.

#КиберДуршлаг
@Positive_Technologies

🔄 MaxPatrol SIEM, система мониторинга событий ИБ, получила масштабное обновление экспертизы

Ежедневно хакеры изобретают новые методы, совершенствуют известные способы атак, а также ищут аналоги инструментам, которые уже покрыты детектами систем безопасности.

Чтобы обеспечить результативную защиту и оперативно предупреждать инциденты кибербезопасности, наши эксперты следят за новейшими подходами киберпреступников и непрерывно расширяют экспертный контент MaxPatrol SIEM.

Обновления коснулись восемнадцати пакетов экспертизы, суммарно было разработано 60 правил корреляции и нормализации. С их помощью MaxPatrol SIEM среди прочего выявляет:

👨‍💻 Современные сетевые аномалии при удаленной работе. Среди них нетипичные для корпоративной инфраструктуры подключения по VPN или RDG не из России, подозрительные действия на узлах, исходящие от специализированных программ для удаленного администрирования, а также создание посредством их файлов, которые нарушители могут отправить на целевой узел для дальнейшего развития атаки.

👽 Дополнительные признаки работы хакерских утилит Cobalt Strike и Covenant. Их продолжают задействовать для постэксплуатации и сокрытия нелегитимной активности на конечных устройствах.

🪟 Новейшие сценарии атак на Microsoft Active Directory, службу каталогов для Windows. MaxPatrol SIEM сообщит оператору о попытках получения сертификатов для целевой учетной записи в результате ретрансляции NTLM-аутентификации, выпуска TGT-билетов (удостоверяющих личность пользователя) на имя другого пользователя вследствие злоупотребления сопоставлением сертификатов и о других угрозах, связанных с сертификатами.

📩 Способы атак на корпоративный почтовый сервер Miсrosoft Exchange. Среди добавленных детектируемых событий — скачивание с помощью функции Microsoft ActiveSync содержимого почтового ящика пользователя, учетные данные которого уже находятся в распоряжении злоумышленников, а также получение перечня опубликованных каталогов Microsoft Exchange с последующими попытками подключения по протоколу SMB к каждому из них.

Дополнительно наши специалисты актуализировали выпущенные ранее пакеты для обнаружения техник атакующих, относящихся по матрице MITRE ATT&CK к тактикам «Разведка» (Discovery), «Закрепление» (Persistence), «Повышение привилегий» (Privilege Escalation), «Получение учетных данных» (Credential Access) и другим.

🧬 Чтобы начать использовать новые правила, необходимо обновить MaxPatrol SIEM до версии 8.2 и установить обновления пакетов экспертизы.

#MaxPatrolSIEM
@Positive_Technologies

👽👽 Я б в пентестеры пошел, пусть меня научат

Все, что вы хотели бы знать об этой профессии, но почему-то пока не спросили, рассказал в своем интервью Positive Research наш коллега Александр Морозов, руководитель отдела тестирования на проникновение.

Вы узнаете, почему Саша не выбрал темную сторону несмотря на печеньки, всегда ли заказчики рады отчетам, проверяют ли позитивные пентестеры собственную ИТ-инфраструктуру, часто ли они придерживаются первоначального «плана по взлому» и, наконец, как попасть в его команду.

🔥 Полный текст статьи — на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

🏭 Мы добавили в PT ISIM пакет экспертизы с поддержкой сетевых протоколов Honeywell Experion PKS

Honeywell — один из мировых лидеров в области технологий автоматизации промышленности и управления производственными процессами. Вендор на протяжении многих лет входит в четверку ключевых игроков на отечественном рынке АСУ ТП, являясь основным поставщиком специализированных решений для 27% предприятий.

Теперь PT ISIM детально разбирает трафик семейства распределенных систем управления (РСУ) Experion PKS, выявляя различные аномалии, которые могут указывать на вмешательство злоумышленников. В их числе: неавторизованные изменения прошивки, эксплуатация уязвимостей и модификация параметров технологических процессов. Такие РСУ установлены на критически важных промышленных объектах (АЭС, газопроводах и других) во многих странах мира. В России эти решения в основном применяются нефтеперерабатывающими компаниями.

🚨 С новым пакетом экспертизы PT ISIM своевременно обнаруживает и сообщает оператору:

🔵об умышленном изменении параметров технологических процессов;

🔵о нелегитимных операциях перепрошивки и изменения конфигурации ПЛК, которые могут повлечь остановку производства и ухудшение качества продукции;

🔵о неавторизованной передаче сервисных команд, нетипичных для работы АСУ в штатном режиме;

🔵 о попытках эксплуатации ранее найденных и закрытых производителем уязвимостей нулевого дня в решениях Honeywell (в их числе CVE-2023-24474, CVE-2023-25770, CVE-2023-24480, CVE-2023-26597, CVE-2023-25178).

«Предприятия медленно и с осторожностью внедряют защитные механизмы в силу специфики непрерывного производства. Кроме того, они не всегда решаются обновить уязвимое ПО, даже когда появляются патчи. Системы мониторинга безопасности промышленных инфраструктур, такие как PT ISIM, позволяют неинвазивно повысить их защищенность. Установив новый пакет экспертизы для Honeywell, промышленные организации, использующие SCADA-системы этого вендора, смогут обезопасить себя от актуальных угроз», — прокомментировал Дмитрий Скляр, руководитель направления экспертизы по анализу защищенности промышленных систем в Positive Technologies.

#PTISIM
@Positive_Technologies

👾 Как выстроить эффективный процесс управления уязвимостями?

Обсудим завтра на онлайн-эфире AM Live, в котором примет участие Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.

Разберем, как адаптировать модель управления уязвимостями под особенности вашей компании, как грамотно распределить роли и зону ответственности между службой ИБ, департаментом ИТ и бизнесом и как наша система MaxPatrol VM не даст злоумышленникам шанса использовать уязвимости для взлома.

Вы узнаете:

➡️ Какие существуют методологии и стандарты управления уязвимостями.

➡️ С чего начать построение процесса управления уязвимостями и как оценить его эффективность.

➡️ Какие специалисты и отделы организации должны участвовать в процессе и каковы их индивидуальные задачи.

Встречаемся в прямом эфире завтра (9 апреля) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

Мы запустили новый статус для партнеров — метапартнер ⭐️

Его получают компании, на практике реализующие стратегию результативной кибербезопасности (РКБ) и запустившие свои программы открытых кибериспытаний. А также имеющие партнерский уровень Premium или Professional Advanced.

🤩 На недавно состоявшемся дне открытых дверей (подробнее об этом ежегодном мероприятии для партнеров рассказывали в посте по ссылке) мы объявили, что первым обладателем этого статуса стала Innostage. Компания активно внедряет РКБ и почти год находится на открытых кибериспытаниях.

Если мы присвоили компании статус метапартнера, это значит, что она имеет экспертизу по всем продуктам Positive Technologies и достаточный опыт для реализации проектов РКБ у клиентов. Мы будем рекомендовать такого партнера для дальнейшего внедрения продуктов, проведения киберучений и подготовки к кибериспытаниям 🧐

«Почти пять лет мы развиваем стратегию результативной кибербезопасности и продвигаем необходимость измерять свой уровень ИБ. Появление метапартнерства имеет для нас большую ценность: наши партнеры разделяют смыслы РКБ и транслируют их на рынок, повышая тем самым его уровень зрелости», — отметила Оксана Полякова, директор по работе с партнерами Positive Technologies.

До конца года новый статус смогут получить еще несколько наших партнеров.

@Positive_Technologies

🔎 Научим находить атаки в трафике до того, как они нанесут ущерб

С 28 апреля Positive Education запускает новую образовательную программу «Анализ сетевого трафика», в которую включили максимум практики с фокусом на разборе реальных атак.

⭐️ Практикум готовили наши эксперты-практики

За их плечами — десятки обнаруженных атак, сложные кейсы и работа с трафиком в боевых условиях. Встречайте:

⭐️ Алексей Леднев — руководитель продуктовой экспертизы PT Expert Security Center
⭐️ Кирилл Шипулин — руководитель экспертизы PT NAD

В подготовке курса также принимали участие другие эксперты Positive Technologies: Евгений Бечкало, Роман Ежов, Дмитрий Еронин, Никита Лазарев, Евгений Летягин, Ксения Наумова и Андрей Тюленев.

🎓 Что вас ждет

Текстовые материалы и видеосессии, которые можно изучать в удобном темпе, а также обширная практика на облачном стенде: вы будете воспроизводить хакерские атаки и исследовать их при помощи средств защиты, проверяя те на прочность.

Вы узнаете:

🔵 какие именно следы и артефакты оставляют злоумышленники в сети
🔵 почему в сети невозможно скрыть свое присутствие
🔵 как интерпретировать сетевые алерты и работать с ложноположительными срабатываниями
🔵 какие ключевые подходы и инструменты используются для анализа сетевого трафика
🔵 как расследовать инциденты на основе трафика, чтобы не тратить много времени на шум

Мы разберем основные приемы и инструменты хакеров, а приятный бонус — чат, в котором вы сможете обмениваться опытом и совместно решать практические задачи.

👉 Больше подробностей — на сайте программы.

#PositiveEducation
#PositiveЭксперты
@Positive_Technologies

🖥 Новая версия MaxPatrol EDR 7.2 может выявлять угрозы на конечных устройствах под управлением более чем 25 операционных систем

Теперь решение поддерживает в три раза больше ОС, в числе которых основные версии из мирового топ-10: Windows 11, Debian 12, Ubuntu 22.04 LTS и 24.04 LTS. Работает MaxPatrol EDR 7.2 и с последними версиями популярных отечественных систем: «РЕД ОС Рабочая станция» 8.0, Astra Linux Special Edition 1.8, «Альт Рабочая станция» 10.2 и «Альт Сервер» 9, помогая обеспечить надежную защиту конечных устройств тем организациям, которые с 2025 года обязаны были перейти на отечественные ОС.

«Для Positive Technologies важно, чтобы продукт мог защищать как можно больше конечных устройств. Именно поэтому мы будем и дальше оперативно добавлять свежие версии ОС, — рассказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. — Мы хотим, чтобы агенты EDR развивались и могли встроиться в инфраструктуру любой сложности, поэтому, помимо антивирусных технологий, в этом году особое внимание уделим повышению отказоустойчивости, управляемости и качества установки».

Рассказываем, что еще появилось в MaxPatrol EDR:

🎱 Модуль изоляции узлов для Linux-систем, блокирующий сетевой трафик.

🎱 Модуль трассировки событий для Windows (ETW), который позволяет получить расширенную информацию об активности в операционных системах и повышает качество обнаружения угроз.

🎱 Модуль удаленного выключения и перезагрузки защищаемых рабочих станций. Он позволяет блокировать подозрительную или потенциально опасную активность и останавливать развитие атаки, если другие способы не помогают, а также — перезагружать узлы с целью установки обновлений для устранения уязвимостей.

🎱 Возможность добавлять исключения для правил корреляции с помощью табличных списков из MaxPatrol SIEM, которая сокращает количество ложных срабатываний.

👉 Подробности о новой версии продукта ищите на нашем сайте.

#MaxPatrolEDR
@Positive_Technologies

💪 Продолжаем онлайн-марафон Standoff Defend для тех, кто хочет прокачать свои навыки киберзащиты

В новом версии онлайн-полигона вы сможете как следует размяться проверить, что уже умеете, тренируясь в спецверсии Standoff Cyberbones, где собраны лучшие инциденты и атаки команд белых хакеров с кибербитвы Standoff.

Специально для вас — участников марафона — мы добавили в бесплатную версию нашего онлайн-симулятора целых четыре новых инцидента и цепочку атак (какие — не расскажем, пусть будет сюрприз).

А если застопоритесь, используйте подсказки, которые мы оставили внутри расследования цепочки 👌

Регистрируйтесь на нашей платформе (если вы еще этого не сделали) и беритесь за расследования!

#StandoffDefend
@Positive_Technologies