⚡️Спецэфир AM Live «Российские средства сетевой безопасности» уже сегодня!

29 июня 2022 | 11:00 (МСК)

Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, и эксперты из компаний «Код Безопасности», «Ростелеком-Солар», «Смарт-Софт», UserGate и НПП «Цифровые решения» расскажут о наиболее зрелых российских средствах сетевой безопасности.

Модератором дискуссии будет Алексей Лукацкий.

👀 Подключайтесь

Газета.ру: У тысяч камер наблюдения в России нашлась уязвимость

Специалист Positive Technologies Илья Яценко обнаружил две уязвимости в системе видеонаблюдения с открытым исходным кодом ZoneMinder. Продукт применяется для построения корпоративных охранных систем и установки домашнего видеонаблюдения.

Уязвимости в системе видеонаблюдения ZoneMinder представляли угрозу для корпоративных и домашних сетей. Злоумышленники могли получить доступ во внутреннюю сеть, перехватить видеотрафик и сессии пользователей.

⚡️Производитель уже выпустил обновление, устраняющее эти уязвимости.

Своевременно определять попытки эксплуатации уязвимости в сети поможет анализ трафика — продукты класса NTA (network traffic analysis) и промышленного NTA, например PT Network Attack Discovery (PT NAD).

Больше подробностей у нас на сайте.

Шифровальщики отступают, но хорошего мало

Доля программ-шифровальщиков в атаках с вредоносным ПО в I квартале 2022 года по сравнению в предыдущим кварталом снизилась с 53% до 44%. С одной стороны, часть вымогателей переходит на промышленный шпионаж без шифрования устройств, а с другой — некоторые шифровальщики, напротив, не присылают ключи дешифрования, нацеливаясь на разрушение инфраструктуры.

Увеличилось в начале года и количество атак с использованием вайперов — ПО для удаления данных: их доля для организаций составила 3%, а для частных лиц — 2%.

Для защиты от атак вайперов:
🔸 В первую очередь проверяйте все файлы в песочнице, например PT Sandbox.
🔸 Убедитесь, что сеть корректно сегментирована: это усложнит распространение ВПО в инфраструктуре. Чтобы избежать недопустимых для организации последствий, особое внимание нужно уделить изоляции критически важных систем и защите хранилищ резервных копий данных

Подробности — в аналитике за I квартал 2022 года

🎙Вебинар «MaxPatrol SIEM 7.0: что нового» уже сегодня!

30 июня 2022 г. | 14:00 (МСК)

На вебинаре вы узнаете:

▫️ о переходе на Astra Linux;
▫️ о хранилище событий LogSpace, которое повысит эффективность использования дисковых ресурсов;
▫️ об автоматическом режиме присвоения значимости активам и других возможностях новой версии продукта.

Зарегистрироваться и смотреть

СМИ: впервые в ТОП-5 самых атакуемых отраслей

Волна кибератак с конца февраля накрыла и российские СМИ: хакеры массово блокировали работу различных изданий и подменяли контент, а индустрия масс-медиа впервые вошла в пятерку самых атакуемых отраслей по всему миру.

Аналитик исследовательской группы Positive Technologies Екатерина Семыкина подчеркивает: «В среднем в 2021 году на эту отрасль приходился лишь 1% от общего числа атак на организации, а теперь доля атак на СМИ составляет 5%».

В каждой второй атаке на СМИ с использованием ВПО были замечены вирусы-шифровальщики, а в каждой третьей — шпионское ПО.

Каковы основные мотивы атак на масс-медиа, как они происходят и что делать для защиты СМИ? Подробнее об этом читайте в статье «Известий».

Анализируй это, или почему мы назвали PT NAD комбайном в мире ИБ

В то время как большинство ИБ-решений позволяют защищаться максимум от 2–3 векторов атаки, системы глубокого анализа сетевого трафика (NTA) способны предотвращать значительно больше векторов и решать многие задачи ИБ. Они автоматически обнаруживают попытки проникновения по ряду признаков и помогают в расследовании инцидентов. В борьбе с целевыми атаками без них не обойтись.

PT Network Attack Discovery (PT NAD) от Positive Technologies из этого класса решений определяет 85 протоколов и разбирает 30 из них.

Читайте в статье на Хабре от системного интегратора CTI о:
🔸функциях PT NAD, позволяющих назвать его «комбайном в мире ИБ»;
🔸опыте пилотов по анализу трафика, который помогает детектировать атаки, в том числе скрытые на периметре и внутри сети;
🔸интересных кейсах, которые позволяют оценить эффективность PT NAD в борьбе с современными киберугрозами.

Как защитить медучреждения от киберугроз 🏥

Более четырех лет медицина входит в топ-3 основных целей злоумышленников, а в I квартале 2022 года эта сфера заняла второе место в мире по числу атак (11%). Главные киберугрозы для медицинских организаций — кража конфиденциальных данных и шифрование файлов с остановкой работы систем и оборудования.

Выявить киберпреступников в сетях медучреждений поможет система глубокого анализа технологического трафика PT ISIM. Теперь продукт от Positive Technologies поддерживает разбор и анализ сетевого протокола DICOM, который используется в современном медицинском оборудовании, включая томографы, рентгеновские аппараты, ультразвуковые сканеры для УЗИ. PT ISIM выявляет ошибки конфигурации оборудования и следы присутствия злоумышленников в сетях передачи данных. Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский подчеркивает: «PT ISIM — единственное в России специализированное NTA-решение, учитывающее специфику медицинских информационных систем».

Оно позволяет:
🔸 обнаруживать передачу подозрительных и вредоносных файлов;
🔸 выявлять инциденты в сетях медучреждений;
🔸 проводить ретроспективный анализ сетевых событий.

Использование PT ISIM вместе с системами класса EDR, SIEM и VM поможет качественно повысить защищенность медсферы и сделать неприемлемые для нее события невозможными.

Подробнее

Можно ли кардинально изменить уровень защищенности промышленных предприятий

🥉 В первом квартале 2022 года промышленные предприятия заняли третье место среди наиболее атакуемых российских учреждений, обогнав СМИ, организации из сферы услуг, IT, науки и образования. Тенденция сохраняется на протяжении нескольких лет.

Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила первый пакет экспертизы для выявления атак на автоматизированные системы управления на базе программируемых логических контроллеров семейства Siemens Simatic S7. Также в экспертный пакет вошли правила, позволяющие обнаружить Energetic Bear, Industroyer, Triton и другое вредоносное ПО, в том числе неизвестное, нацеленное на промышленные системы.

Платформа объединяет ключевые продукты Positive Technologies (MaxPatrol SIEM, MaxPatrol VM, PT ISIM, PT Sandbox и агенты PT XDR), которые дополнены необходимой экспертизой в выявлении киберугроз, специфичных для технологического сегмента.

Новый пакет доступен пользователям продуктов Positive Technologies в рамках лицензии для защиты индустриального сегмента.

В мае мы запустили платформу The Standoff 365 Bug Bounty, на которой компании и исследователи безопасности объединяются, чтобы сделать недопустимое невозможным.

🔸 Что такое bug bounty?
🔸 Кому нужны такие программы?
🔸 Как оценивать найденные уязвимости?
🔸 Что требуется от компании, которая хочет начать работать с bug bounty для своих продуктов?

Ответы на эти и другие вопросы — в интервью с Ярославом Бабиным, CPO The Standoff 365, на Хабре.

Кибератаки на вузы

В первый день новой приемной кампании DDoS-атаке подверглись сайты десятков российских университетов в Москве, Нижнем Новгороде, Екатеринбурге, Казани, Новосибирске и других городах.

Аналитик исследовательской группы Positive Technologies Федор Чунижеков поясняет: «В условиях сжатых сроков приоритет отдавался внедрению и обеспечению работоспособности внедряемых технологий, нежели их безопасности».

Эксперт выделил три основные причины такого положения:
▫️ пандемия, подстегнувшая цифровизацию образования. В сжатые сроки приоритетом стала работоспособность технологий в ущерб их безопасности;
▫️ недостаточное выделение средств на нужды информационной безопасности;
▫️ низкий уровень осведомленности и квалификации сотрудников IT-отделов.

Подразделения ИБ есть далеко не в каждом вузе. При этом инструменты для массированных DDoS-атак сегодня широко доступны в даркнете.

Подробнее

Безопасен ли онлайн-банк в Telegram?

На фоне санкций и блокировок приложений ряд российских банков ищут альтернативные способы проведения операций и задумались над созданием полноценного онлайн-банка в Telegram. Как может работать и насколько будет безопасен такой сервис?

Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies: «У Telegram репутация довольно защищенного мессенджера, но это не значит, что его невозможно взломать. Он интересен злоумышленникам сам по себе, а не только из-за запуска в нем дистанционного банковского обслуживания. Любая обнаруженная в этом приложении уязвимость может повлиять на защищенность используемых в нем сервисов (ботов)».

Пока разработчики и исследователи ИБ мало понимают в защищенности Telegram-ботов для ДБО: одни могут наделать кучу ошибок, а другие — их не обнаружить. Поэтому первопроходцам тут стоит уделять внимание аудитам безопасности, анализу защищенности и тестированию на проникновение.

Подробнее — в статье РБК

Как мошенники грабят геймеров

Кибермошенники создают фейковые сайты для кражи аккаунтов у геймеров и получения выкупа или их продажи на теневых форумах. Только для пользователей популярной онлайн-стрелялки в рунете появилось около 200 адресов таких сайтов, большинство — в 2022 году.

Другие игры также вызывают интерес у мошенников. Кроме фишинга для похищения аккаунтов они могут использовать вредоносное ПО и другие методы.

Вадим Соловьев, руководитель группы анализа угроз ИБ Positive Technologies, рассказал, что злоумышленники под видом уставших от игры геймеров часто сбывают краденные аккаунты с дисконтом до 20%: «Это может выглядеть как отличное предложение для тех, кто хочет получить все и сразу за копейки, но есть и обратная сторона. Через службу поддержки законный владелец может восстановить доступ к своему утекшему аккаунту, а его покупатель останется ни с чем».

Подробнее об этом читайте в статье «Газеты.Ру»

Рост атак на веб-ресурсы

В результате вала атак на веб-ресурсы в феврале–марте их доля среди всех атак на организации в I квартале 2022 года выросла по сравнению с предыдущим кварталом с 13% до 22%. Увеличилась доля атак, которые стали возможны из-за компрометации или подбора учетных данных. В основном они проводились на веб-ресурсы компаний и их аккаунты в соцсетях.

Отмечается и всплеск атак на веб-ресурсы госучреждений. Целью злоумышленников стали не только собственно веб-ресурсы, но и телекоммуникационные компании — поставщики услуг. В Израиле, например, крупнейшая в истории страны кибератака на госструктуры привела к тому, что некоторые правительственные сайты оказались недоступны и был объявлен режим ЧС.

Защитить веб-ресурсы от взлома могут специализированные средства, которые будут блокировать попытки эксплуатации уязвимостей со стороны злоумышленника. В портфеле Positive Technologies такими продуктами являются PT Application Firewall и PT Application Inspector.

Экспертный центр кибербезопасности Positive Technologies и PT Career HUB запускают стажировку The Young Hats: Infosec A+

Для молодых специалистов это отличная возможность на практике познакомиться с защитой от комплексных атак на цифровую инфраструктуру.

👨‍🏫 Что вас ждет?

Стажировка состоит из двух частей. Сперва вы изучите базовые темы ИБ:

— введение в безопасность операционных систем;
— компьютерные атаки (классификации, жизненный цикл, база знаний MITRE ATT&CK);
— основные возможности MaxPatrol SIEM, PT NAD, PT Application Firewall;
— выявление и отражение атак на различных этапах.

На втором этапе, после экзамена, лучшие студенты получат возможность пройти оплачиваемую стажировку в подразделениях экспертного центра безопасности Positive Technologies.

⏰ Когда?

Старт 15 августа 2022 года
Заявки принимаются до 25 июля

💻 Формат

Занятия будут проходить онлайн, в дистанционном режиме. 20 часов в неделю, 4 месяца. Мало теории, много практики.

Подать заявку можно на сайте

Мошенники атакуют пользователей, перебрасывая их на свои сайты

На фоне крупных распродаж ритейлеров, уходящих из России, не менее 35 тысяч человек подверглись атаке с автоматическим перенаправлением с легальных сайтов онлайн-магазинов на порталы мошенников. Для этого киберпреступники заразили вредоносным скриптом более 5 тысяч сайтов.

Федор Чунижеков, аналитик исследовательской группы Positive Technologies, поясняет: «Если злоумышленники получат аналитические данные о пользователях и их поисковых запросах, а также грамотно настроят контекстную рекламу на перенаправляемых ресурсах, то эти атаки могут оказаться эффективными. Перенаправление происходит с ресурса, которому человек доверяет, поэтому он может не заподозрить, что оказался на фишинговом сайте».

Оказавшись на такой странице, пользователи рискуют слить злоумышленникам данные банковских карт и учетные данные, а иногда и заразить свои устройства вредоносным ПО. Подробности — в статье «Известий».

Криптовалюты обретают все большую популярность. И этим пользуются злоумышленники 🥷

В январе 2022 года аналитики Positive Technologies предупреждали, что атак на криптобиржи станет больше. Наши прогнозы сбываются.

• Компания по шифрованию и кибербезопасности Atlas VPN подсчитала, что за первый квартал 2022 года киберпреступники украли криптоактивы почти на 1,3 млрд долларов в 78 взломах блокчейн-проектов. Это рекордный показатель. Число нападений выросло на 136% за год.

За этот период экосистема Ethereum потеряла почти 636 млн долларов в 18 инцидентах.

• Крупнейшим взломом можно считать атаку на сайдчейн Ronin компании Axie Infinity.

Получив доступ к большей части узлов валидатора, необходимых для вывода средств, злоумышленник попытался вывести почти 620 миллионов долларов в токенах Ethereum и USDC. Как сообщил представитель компании, взлом стал следствием социальной инженерии.

•‎ Многие инфостилеры переключаются на компрометацию кошельков, реже воруя данные банковских карт.

Например, исследователи Bitdefender обнаружили новое модульное вредоносное ПО BHUNT, предназначенное для кражи криптовалютных кошельков, нацеленное на их содержимое, пароли и защитные фразы

Как должен измениться кибербез в России

Роль интернета вещей в мире неуклонно растет: к 2025 году количество IoT-устройств достигнет 27 млрд. С таким темпом роста увеличивается и потребность в их защите. В России умные устройства используют 39% организаций, но в более чем 50% из них не достает подходящих решений по безопасности.

В начале июля участники рынка и представители государства обсудили, как в новых условиях должна измениться роль индустрии кибербезопасности и ее место на рынке. Среди предложений — формирование кибербезопасности в качестве отдельной отрасли.

«С точки зрения нормативно-правового режима индустрия кибербезопасности уже обособлена. Однако выделение ИБ в отдельную отрасль целесообразно с точки зрения стимулирования ее развития, а также получения финансовых льгот, субсидий», — прокомментировал предложение Артем Сычев, советник генерального директора Positive Technologies.

Подробнее — на сайте «РГ»

Минцфиры прорабатывает возможность ввести в правовое поле понятие Bug Bounty, сообщили «Ведомости» со ссылкой на источники. Это позволит легализовать программу выплат белым хакерам, которые ищут уязвимости в IT-инфраструктуре компаний.

В мае мы запустили платформу The Standoff 365 Bug Bounty. Руководитель проекта Ярослав Бабин подтвердил «Ведомостям», что в законе действительно нет такого понятия.

«Программа Positive Technologies работает как агрегатор между „исследователями“ и бизнесом, — объясняет он. — С юридической точки зрения у нас существует „положение о конкурсах“, в котором описаны все необходимые условия для проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов. Это положение регламентирует в том числе и действия исследователей и создано в первую очередь для них».

Инструмент, который обсуждает Минцифры, должен стать одним из стандартов оценки реальной защищенности организаций как коммерческих, так и государственных, считает Бабин.

Киберучения The Standoff теперь доступны онлайн

На платформе The Standoff 365 открылся онлайн-киберполигон, где исследователи безопасности смогут исследовать копии IT-систем реальных компаний из различных отраслей экономики, искать уязвимости и пути реализации критических событий нон-стоп 24/7/365.

The Standoff 365 ― онлайн-версия киберучений The Standoff, которые проводятся с 2016 года в формате многодневных офлайн-мероприятий.

«Белым хакерам интересно действовать по собственному плану в любое удобное время, а специалистам по мониторингу — изучать не отработку предварительно заложенных сценариев, а то, как по-разному атакующие могут передвигаться внутри инфраструктуры и применять различные техники и инструменты. Подобного нет больше ни на одном онлайн-киберполигоне! Сегодня мы открываем для исследователей возможность работы на киберполигоне 24/7; в планах к первому кварталу 2023 года предоставить такой же доступ к нему и специалистам защиты», — говорит Ярослав Бабин, CPO The Standoff 365.

Как мы наладили эффективное техдокументирование

Созданию технической документации посвящено много статей, но живых историй ее эволюции почти не найти. Пора исправить положение и поделиться своим опытом на примере межсетевого экрана уровня веб-приложений PT Application Firewall.

В 2013 году документации для этого продукта еще не было. За девять лет мы разработали несколько версий документации, и с каждой версией она становилась все более понятной для пользователей. Алиса Комиссарова, руководитель группы архитекторов контента в департаменте информационной поддержки Positive Technologies объясняет:

🔸какие инструменты помогают нам создавать документацию;
🔸почему документация важна;
🔸как она выглядела изначально — и как сейчас;
🔸как не только повысить качество документации, но и выстроить крепкие и доверительные отношения в команде.

Обо всем этом читайте в статье на Хабре.