Команда экспертов компании «Газинформсервис» 17 - 20 мая 2023 года в Москве будет принимать участие в Positive Hack Days. В программе – состязание с хакерами команды GIS CYBERTEAM в рамках киберучений The Standoff, выступление с докладом, участие в круглых столах, работа стенда компании на площадке мероприятия и не только.

Positive Hack Days — форум по кибербезопасности, объединяющий экспертов по информационной безопасности и этичных хакеров со всего мира.

В 2023 году, по словам организаторов форум впервые за 12 лет преобразится в открытый киберфестиваль с отдельными зонами для профессионалов и широкой аудитории. Любой желающий сможет узнать, как устроен цифровой мир, принять участие в квестах и повысить уровень своей защищенности.

На площадке фестиваля с 17 по 20 мая будет работать стенд компании: менеджеры «Газинформсервис» расскажут всем заинтересованным о лидерах продуктовых линеек Efros CI, СУБД Jatoba, Ankey IDM,  Ankey ASAP и других решениях, а также комплексных услугах, предоставляемых компанией.

Приглашаем всех желающих принять очное участие в мероприятии, эксперты «Газинформсервис» выступят на следующих площадках форума.

Программный комплекс Litoria Desktop 2 зарегистрирован в реестре отечественного ПО 21 апреля 2023 года под номером №17417.

Litoria Desktop 2 позволяет отказаться от бумажного документооборота и перейти к электронному юридически значимому и конфиденциальному взаимодействию (корпоративному, межкорпоративному, трансграничному).

Основное назначение ПК Litoria Desktop 2 – это создание, добавление, заверение и проверка электронной подписи (ЭП), а также шифрование и расшифровывание файлов.

Кроме этого, продукт позволяет выполнить функции:

·   просмотра хранилища сертификатов ключей проверки ЭП (сертификатов);

·   создания запроса на выпуск и перевыпуск сертификата;

·   установки сертификата на устройство и из устройства в реестр;

·   просмотра установленных криптопровайдеров и их параметров;

·   использования доверенной третьей стороны (ДТС) для проверки действительности ЭП и/или проверки сертификатов ключей проверки электронной подписи на соответствие требованиям, предъявляемым законодательство РФ к квалифицированным сертификатам.

Litoria Desktop 2 соответствует принятым в мировой практике стандартам качества, надежности и безопасности.

 Ранее ПК Litoria Desktop 2 уже был сертифицирован ФСБ России СФ/124-3578 от 20.12.2018, а в 2019 году успешно прошел комплекс из 224 тестов корректности функционирования механизмов проверки электронной подписи и получил премию PKI-Форума в номинации «Продукт года».

В 2022 году исследования показали, что Litoria Desktop 2 подходит для работы с информацией классов KCl (исполнение 1) и КС2 (исполнение З), что подтверждено заключением ФСБ России №149/3/2/3-581.

Часть 2

В прошлой статье мы вместе расстроились из-за отчета, который мой приятель получил от интегратора, проводившего пентест его kubernetes кластера. Горевали мы недолго, потому что сначала стали обсуждать возможные угрозы, а потом перешли к насущному вопросу – а как вообще проводить тестирование kubernetes кластера на проникновение? Для него есть какой-то специальный модуль в MetaSploit? Или целая специальная сборка Kali linux? Всё немного тоньше. Разберемся в материале.

31 марта отмечается Международный день резервного копирования, а 1 апреля День дурака. Чтобы не остаться в дураках – не забудьте сделать backup уже сегодня и повторять эту процедуру регулярно.

Желаем всем нам вовремя сделанных бэкапов, которые будут храниться как минимум в двух надежных местах. А если вы хотите подробнее узнать об этом празднике, то можно посмотреть сайт, созданный энтузиастами специально для этого события.

Часть 1

Всем привет, я Сергей Полунин и сегодня расскажу вам одну интересную историю. Мой приятель, не скрывая восторга, сообщил, что они завершили многомесячный проект — наконец упаковали свои бизнес‑приложения в контейнеры, развернули kubernetes кластер в облаке, подключили мониторинг и теперь у них всё как у взрослых. Кластер у них небольшой, так что они в тренде. Вот и последний отчет Kubernetes in the wild report 2023 | Dynatrace news и намекает, что эти облачные кластеры kubernetes не такие уж и крупные обычно. С чего‑то же надо начинать. «Слушай, нам даже выделили денег на пентест новой инфраструктуры, хочешь отчет глянуть?». Я открыл отчет, и эйфория от услышанного начала улетучиваться.

‑--‑--‑--‑--‑--‑--‑-

Так называемый отчет оказался просто выгрузкой работы бесплатной утилиты kube‑bench, которая только проверяет настройки kubernetes кластера в соответствии рекомендациями CIS Kubernetes Benchmark. Конечно, всё было красиво оформлено в фирменные цвета интегратора, и стояли подписи инженеров, участвовавших в задаче. Сколько тысяч денег они за это взяли, я спрашивать уже не стал. Эта ситуация и побудила меня написать эту статью. В ней разберемся с чего начать анализ защищенности kubernetes кластера в облаке и как эффективнее обеспечить безопасности kubernetes, прежде чем звать белых хакеров.

С чего начать?

Начинать лучше с чтения официальной документации, но вы справитесь с этим и без моей помощи, тем более там тоже есть свой раздел по безопасности. Кроме этого, я бы порекомендовал еще несколько ресурсов.

На нас вновь надвигается сезон гендерных праздников. В ИТ и ИБ сегодня, работает огромное количество мужчин и женщин. Вне зависимости от гендерных стереотипов история знает много примеров успешных открытий и проектов, принадлежащих представителям разных полов. Но в честь очередных праздников мы бы хотели рассказать о пяти тандемах мужчин и женщин, позволивших совершать открытия, изменившие мир технологий, создавать успешные ИТ-проекты или просто продуктивно работать над общей задачей.

Начиная с 2007 года 28 января в мире отмечается День защиты персональных данных.

Дата появилась не случайно, именно 28 января 1981 года была подписана Конвенция Совета Европы «О защите лиц в связи с автоматизированной обработкой персональных данных». Это было значимое событие, подведшее черту под изучением проблемы раскрытия и распространения персональных данных (ПД).

Прошло больше 40 лет и законодательная база вокруг защиты ПД значительно разрослась, как, впрочем, и способы эти перс. данные заполучить.

Сегодня Jatoba может применяться:
- на значимых объектах критической информационной инфраструктуры 1 категории;
- на государственных информационных системах 1 класса защищенности;
- на автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности;
- в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных – например, в медицинских информационных системах;
- в информационных системах общего пользования II класса;

СУБД Jatoba – создана на основе открытого кода PostgreSQL. Это позволяет ей сочетать в себе достоинства всемирно известного ПО и дополнительные возможности, повышающие уровень безопасности данных в БД и надежность системы. СУБД поддерживает решения по защите данных, отказоустойчивой и производительной кластеризации.

Ознакомиться с обновленным сертификатом ФСТЭК продукта можно по ссылке.

Одна из тысячи похожих историй.

После известных событий компании моего знакомого пришлось оперативно перейти с удобного зарубежного хостинга на площадку попроще. Площадка была настолько проще, что речь уже не шла о штатном мониторинге, логировании или даже привычных группах безопасности для фильтрации трафика. Это был один из тех переездов, которые не успели спланировать. И вот эти самые группы безопасности и подвели. На новом хостинге не было никакого межсетевого экрана на уровне VPS, и Redis оказался доступен для злоумышленников. Они этим естественно воспользовались. Веб-сервис взломали. Сервис был необходим для разработки и поддержки продукта, который через различные сторонние API агрегировал определенную информацию, а затем выдавал её клиентам по запросу. В какой-то момент данных стало много, и было решено с помощью Redis кэшировать часть запросов. Redis стоял на том же сервере, где запускался веб-сервер и никому в голову не приходило как-то особенно заниматься его безопасностью. Но, как водится, порвалось, там, где тонко.

---

Может показаться что, Redis, используемый для хранения кэша и временных ключей, – это не слишком интересная добыча. Но на самом деле, хакеры провернули следующий трюк:

Продолжаем обзор программы форума GIS DAYS. Третий день был посвящен теме информационной безопасности, методике защиты промышленных систем, новинкам в ДТС и ЭДО, а также обсуждению реальных потребностей бизнеса в области ИБ в условиях импортозамещения.

Финальный день форума открыл учредитель компании «Газинформсервис» Валерий Пустарнаков.

Валерий Федорович отметил: «Наш форум в этом году называется «Искусство возможного», но сейчас такое время, когда требуется искусство невозможного. Думаю, что суровая действительность заставит нас быстро наращивать функционал отечественных продуктов и через год-два мы заместим в полной мере все, что необходимо было заместить».

Полная запись выступления –  здесь.

Открыл деловую программу форума Алексей Власенко, ведущий менеджер продуктов «ИнфоТеКС». В докладе «Как обеспечить безопасность современной промышленной цифровой инфраструктуры» он рассказал, как меняется подход к обеспечению информационной безопасности крупных промышленных систем.

Продолжаем обзор программы форума GIS DAYS 2022. Второй день форума начался с презентации выставки NFT-картин Василия Попова и его выступления на тему «Что такое NFT: искусство или бизнес?».

Василий подчеркнул, что NFT-картины дают художнику больше возможностей для реализации и заработка.

В последние годы предприятия и корпорации находятся под атакой продвинутых злоумышленников, которые используют все более творческие подходы к компрометации систем безопасности. Одним из наиболее распространенных методов являются LotL-атаки (Living off the Land).

Данный вид атак не является новым. Эксплуатация LotL заключается в использовании легитимного программного обеспечения (уже присутствующего в системе) для осуществления деструктивных действий, таких как получение неправомерного доступа, повышение привилегий, отправка и получение файлов, изменение системных настроек и т.д. Популярными инструментами являются PowerShell, WMI, CMD, CLI, BASH и другие.

Современная популярность данного метода атак определяется тем, что их нельзя обнаружить посредством сравнения сигнатур. Как правило, они не оставляют следов в виде вредоносных файлов и не записывают данные в память, а поведение злоумышленника сравнимо с традиционной активностью системного администратора в операционной системе. Из этого вытекает еще одна проблема статических правил – огромное количество ложных срабатываний.

По итогам первого квартала 2022 года инструменты WatchGuard Technologies зафиксировали, что 88% всех вредоносных программ являются скриптами, выполняющими злонамеренные команды. «Это говорит о том, что злоумышленники переходят от традиционного вредоносного ПО к атакам с использованием технологии LotL, чтобы избежать обнаружения на основе сигнатур. Что еще более интересно, PowerShell представляет собой более 99% этого вредоносного ПО», – отмечают исследователи. Данный факт объясняется тем, что инструмент PowerShell является кроссплатформенным, он предустановлен на самой популярной ОС на данный момент и имеет множество различных подключаемых модулей.

В последние несколько лет, по известным всем причинам, стала востребована удаленная работа. В связи с этим службы ИТ и ИБ в компаниях задались вопросом как обеспечить безопасное подключение извне к ресурсам сети организации.

С помощью иностранного ПО класса NAC (Network Access Control), обеспечивались сценарии доступа через межсетевой экран с использованием супликанта. Эту задачу обычно доверяли ПО Cisco ACS, но сегодня возможности работы с этим продуктом у многих пользователей ограничены. В статье рассмотрим, как настроить работу схожего функционала с использованием отечественного продукта Efros ACS.

Для начала настроим МСЭ Cisco ASA.

По традиции после проведения форума GIS DAYS мы публикуем обзоры сессий для читателей Хабра. Наш материал кратко раскроет темы выступлений гостей бизнес-конференции «РБК» «Информационная безопасность и ИТ в новых условиях», открывшей деловую программу форума.

Мероприятие стартовало с пленарной сессия «Актуальные вопросы импортозамещения в IT»
Александр Шойтов, заместитель Министра цифрового развития, связи и массовых коммуникаций РФ отметил: «Страна находится в сложной ситуации. Такой уровень и масштаб кибератак затруднителен для любого государства вне зависимости от уровня развития. Но если говорить в целом, то мы, безусловно, выстояли. Конечно, были отдельные «пробивы», но с ними оперативно работали», — также он подчеркнул, что «В массовом формате создание некоторых отечественных технологий требует больших усилий. Но, что касается напрямую средств информационной безопасности, то у нас есть огромное количество российских решений, на которые приходится примерно 90% рынка».

Артем Шейкин, сенатор Российской Федерации подчеркнул: «Для российских ИТ-компаний сейчас наступила жаркая пора. Все крупные ИТ-компании в стране просто счастливы. Во-первых, они забирают или уже забрали лучших специалистов, которые работали на иностранные компании. Во-вторых, если раньше у отечественных игроков была тяжелая борьба за клиентов, то на сегодняшний день проблем с заказами не стало».

Алексей Борисов, директор по акселерации по направлению «ТЭК и Промышленность» кластера информационных технологий Фонда «Сколково» отвечая на вопрос модератора секции — можно ли использовать процесс импортозамещения в качестве толчка для системной трансформации в ИТ, спикер подчеркнул, что: «Процессы цифровой трансформации и импортозамещения — это связанные процессы. И сейчас именно импортозамещение является толчком для цифровой трансформации бизнеса».

Если ваш заказчик решил сделать тестирование на проникновение в своём офисе впервые, то в 9 из 10 случаев ваше общение начнется с: «А протестируйте наш Wi-Fi!». Трудно сказать, почему эта тема до сих пор волнует людей в такой степени. Сегодня мы поговорим о том, что в реальности можно протестировать, и какие инструменты для этого есть.

На протяжении последних пятнадцати лет роботы (RPA – robotic process automation) с успехом решают задачу избавления людей от рутинной работы. Программные роботы способны формировать отчеты, собирать данные, обрабатывать первичные учетные документы, управлять приложениями и т. п. Продукты RPA могут существенно ускорить и удешевить производственные процессы, поэтому число компаний, готовых внедрять программных роботов растет. Однако, с ростом популярности этих решений приходится задумываться об организации их безопасной работы. Программный робот по сути является ПО, за корректностью работы которого нужно следить.

Как правильно подойти к обеспечению информационной безопасности RPA решений – этой теме будет посвящена наша статья. Мы – команда разработки Efros Config Inspector кратко расскажем о своем опыте контроля безопасности RPA.

Модуль контроля

Если говорить в широком смысле, то большинство проблем безопасности RPA можно разделить на два больших блока —  это комплаенс-риски и операционные риски.

Комплаенс-риски связаны с нарушением методики управления RPA. Операционные, включают потенциальную возможность неисправности систем, введения ограничений регуляторными органами и другие.

Применяемый нами модуль позволят существенно минимизировать ряд операционных рисков. Модуль, обеспечивает контроль: 

- целостности файлов всех компонентов;

- изменения текстовых(читаемых) файлов конфигураций;

- изменения значений реестра;

- изменения прав файлов и папок, а также прав реестра.

Может показаться, что этого уже достаточно для безопасности, но мы пошли дальше и добавили возможность контролировать параметры среды через API, что позволило централизованно отслеживать изменения всех процессов, осуществляемых через платформу автоматизации. Рассмотрим эти возможности подробнее на примере Uipath:

Мы продолжаем цикл материалов о работе в облаках на примере AWS. Итак, вы спланировали переход в облако, посчитали стоимость и оценили риски, и пришла пора согласовать свои действия с ответственными за информационную безопасность, скорее всего безопасники предложат перенести опыт построения классических инфраструктур на облачные реалии и почти наверняка, окажутся не совсем правы. Разберемся почему.

-----------------------------------

Вы можете переместить все, или почти все свои существующие решения в облако. Не сложно сделать образ межсетевого экрана, загрузить и развернуть его в облаке и продолжать работать как раньше, наверняка можно переместить DLP, антивирусы и прочие решения, на которые уже потрачены деньги и лицензии еще не истекли. Но с другой стороны, я бы предложил присмотреться к тем механизмам, которые предлагает сама облачная платформа. Если это не совсем базовый VPS хостинг, где кроме межсетевого экрана, скорее всего, ничего нет, то вы можете попробовать использовать то, что предлагает платформа.

AWS Web Application Firewall (WAF)

Вы наверняка уже используете какое-то решение для защиты веб-сервера, может быть, это NGFW с функциями WAF, возможно, какое-то выделенное решение. В AWS тоже есть свой WAF, который можно развернуть на уровне CloudFront, балансировщике нагрузки или API шлюзе. Делает он примерно то же, что и все другие WAF – вы пишите правила, блокирующие трафик по тем или иным шаблонам, также, есть готовые шаблоны для известных атак, правда, они будут стоить дополнительных денег. Задача стандартная – не допустить вредный трафик на ваш веб-сервер или веб-приложение.

Когда: 28 июля 2022, 19:00
Формат: онлайн

Приглашаем вас стать зрителями интеллектуального шоу об информационной безопасности и ИТ. В рамках второго выпуска шоу 4 команды, состоящие из профессионалов отрасли ИБ, сразятся в интеллектуальном поединке, а жюри определит лучших.

Участников шоу ждут 3 напряженных раунда с игровыми заданиями, которые помогут найти ответ на вопросы:

В этой статье руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рассмотрит два способа управления учётными записями и их правами в облачной среде на примере Amazon Web Services.

Identity and Access Management

Одним из сервисов, отвечающих за безопасность AWS является служба Identity and Access Management (IAM). Именно она обеспечивает триаду – идентификация, аутентификация, авторизация. Обычно при первом знакомстве с IAM рассказывают об обязательном включении многофакторной аутентификации и запрете пользоваться рутом.

Также обязательно упоминают про парольную политику, почти такую же, как в прочих системах, которыми вы уже управляете. Заодно намекают, что с логином и паролем можно зайти только в административный интерфейс, а вот управлять «начинкой» придётся с помощью специально созданных ключей. Все это вопросов не вызывает, примерно этого мы и ожидали, но есть нюансы.

IAM Policy

Управление доступом осуществляется при помощи политик IAM Policy, а правила пишутся в формате JSON и в этот момент начинают закрадываться некоторые сомнения, что легко не будет, потому что придется писать код самостоятельно, а не просто нажимать на кнопки.

Например,

 {

    "Version": "2012-10-17",

    "Statement": [

        {

            "Sid": "FullAccess",

            "Effect": "Allow",

            "Action": ["s3:*"],

            "Resource": ["*"]

        }

    ]

}

Это политика, например, даёт доступ ко всем S3 хранилищам, но запрещает работать с объектами в S3 хранилище my-secure-bucket.