Пользователь
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа[1], которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Мы готовы выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.
Кибератаки становятся все более изощренными и агрессивными, а реализация недопустимого события может нанести непоправимый ущерб бизнесу. Чтобы выяснить, как далеко могут зайти хакеры, систему защиты важно проверить извне. По данным Positive Technologies, в ходе пентестов внешние исследователи смогли проникнуть в локальные сети 96% российских компаний.
?С 22 по 24 ноября лучшие специалисты по безопасности со всего мира соберутся на кибербитве Standoff, чтобы проверить защищенность IT-систем виртуального Государства F. Семь команд атаки попробуют ограбить банк виртуальной страны или устроить в ней блэкаут, а шесть команд защиты будут следить за их действиями, используя самые актуальные средства защиты информации, и получат по результатам учений развернутые отзывы от экспертов в области кибербезопасности.
Все участники атакующих команд на юбилейной битве будут представителями иностранных государств: на киберполигоне сойдутся команды этичных хакеров из Великобритании, Дании, Индии, Испании, Италии и Швейцарии.
Мы проанализировали состояние защищенности российских компаний[1]. В ходе пентестов[2] 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.
VK разместила RuStore, официальный российский магазин приложений для Android, в программу по поиску уязвимостей (Bug Bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies.
В случае выявления уязвимостей в RuStore исследователи безопасности получат от компании вознаграждения от 3 до 60 тыс. рублей в зависимости от уровня угрозы.
Positive Technologies представила PT Network Attack Discovery версии 11. Главное в релизе — выявление еще большего (+20%) количества актуальных киберугроз с помощью нового модуля поведенческого анализа трафика. В частности, продукт обнаруживает атаку Kerberoasting, DNS-туннели1, удаленное выполнение команд в Windows, а также брутфорс2 и спреинг3 паролей.
Теперь PT NAD 11 можно установить на российскую операционную систему Astra Linux и развернуть всего за 15 минут.
В Positive Technologies проанализировали крупные и активные платформы bug bounty по всему миру[[1]]. Эксперты отметили, что наиболее востребованными платформы оказались[[2]] у IT-компаний (16%), онлайн-сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%).
Этот мировой тренд в целом коррелирует с российским. Основная масса заказчиков российских программ bug bounty представлена частным бизнесом, обслуживающим большое количество клиентов: банками, онлайн-сервисами, электронной коммерцией, разработчиками IT-продуктов. Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры.
⚡️ 27 октября в 14:00 (по МСК) мы проведем лонч новой версии системы поведенческого анализа трафика PT Network Attack Discovery (PT NAD). 11-й релиз продукта удивит пользователей скоростью установки (15 минут!), детектом новых техник злоумышленников и другими улучшениями.
В программе лонча:
? что такое network traffic analysis и зачем нужны системы NTA;
?какие задачи помогает решить система анализа трафика PT NAD;
?почему заказчики выбирают PT NAD: цели, кейсы, результаты;
?PT NAD 11. Новые возможности.
22–24 ноября 2022 года белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве Standoff. Уже в десятый раз инфраструктура виртуального Государства F окажется под шквалом хакерских атак, а службы ИБ увидят недостатки инфраструктуры и разберут, как хакеры могут ее взломать. Наблюдать за происходящим на мероприятии можно в онлайн-трансляции на сайте standoff365.com.
Количество атак на промышленность выросло на 53%, согласно исследованию Positive Technologies. Отрасль уже несколько лет входит в тройку сфер, к которым приковано внимание злоумышленников, а основным инструментом остается применение вредоносного ПО — используется в 61% атак.
⏰На вебинаре 22 сентября вы узнаете:
· в чем специфика вредоносного ПО, применяемого в атаках на промышленность (Energetic Bear, Industroyer, Industroyer2 и Triton и др.);
· как с этими зловредами справляется промышленная версия песочницы PT Sandbox.
Мы подвели итоги первых трех месяцев работы платформы The Standoff 365 — проекта, где воссоздаются операционные и бизнес-процессы реальных промышленных, энергетических, транспортных и финансовых компаний и целых отраслей экономики. О результатах работы платформы рассказали на конференции по кибербезопасности OFFZONE 2022, которая прошла в Москве 25 и 26 августа.
Кстати, на конференции наш стенд стал для участников точкой притяжения в атмосфере киберпанка.
Даже идеальный исходный код (если бы такой существовал) — еще не гарантирует безопасность. Чтобы вовремя находить уязвимости и предотвращать реализацию недопустимых событий, важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования.
Зачем бизнесу нужен DAST? Как развивались технологии этого метода? ?23 августа в 14:00 Positive Technologies в онлайн-эфире представит динамический анализатор приложений PT BlackBox и расскажет, как он устроен.
Среди участников эфира разыграем мерч от Positive Technologies ?
VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить недостатки безопасности до того, как их обнаружат и начнут использовать злоумышленники. В программу bug bounty VK входят более 40 проектов. В зависимости от уровня угрозы найденной уязвимости исследователи безопасности получат вознаграждения от 6 тыс. до 1,8 млн рублей.
Рынок отечественной информационной безопасности штормит: вал кибератак (их интенсивность увеличилась в десятки раз), уход зарубежных вендоров, необходимость поиска и создания отечественных альтернатив.
27 апреля Positive Technologies приглашает вcех желающих на встречу разработчиков.
20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite (PT ICS) — первую комплексную платформу для защиты промышленности от киберугроз.
Промышленность входит в топ-3 целей для злоумышленников (по данным Positive Technologies). Уже в 2020 году на компании из сфер промышленности было направлено 12% хакерских атак. Примеры инцидентов на индустриальных объектах всем хорошо известны: блэкаут Венесуэлы, остановка трубопроводной системы Colonial Pipeline.
Чтобы избежать подобных атак, защита АСУ ТП должна стать такой же комплексной, как и защита IT-инфраструктуры. Positive Technologies объединяет ключевые продукты компании для защиты АСУ ТП в PT Industrial Cybersecurity Suite.
Более 80% всех уязвимостей веб-приложений содержится в коде. Устранять последствия их эксплуатации после выхода в продакшен — слишком дорого. Дешевле и проще анализировать безопасность кода на стадии разработки.
Находить уязвимости как можно раньше помогают плагины для IDE. Они позволяют анализировать безопасность приложения прямо в процессе написания кода.
Мы впервые разместим плагины для IDE в открытом доступе, а на вебинаре 14 апреля расскажем, как устанавливать, настраивать и работать с ними.
82% всех уязвимостей инфраструктуры содержатся в коде приложения. Каждая пятая из них грозит компании серьезными последствиями. Для того, чтобы находить слабые места еще на стадии разработки, нужен анализатор кода, такой, как PT Application Inspector. Он комбинирует технологии SAST, DAST, IAST и SCA и встраивается в процессы любой компании.
⏰7 апреля приглашаем разработчиков, инженеров DevOps и DevSecOps и внутренних аудиторов безопасности кода на онлайн-митап.
Эксперты Positive Technologies расскажут:
· о методах анализа и абстрактной интерпретации как способе повышения качества анализа;
· как посчитать выгоду DevSecOps для компании,
· как раз и навсегда подружить ИБ и разработку;
· какие новые фичи появились у PT Application Inspector версии 4.0.
Для синих и красных команд The Standoff начнется 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили ?). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласили напрямую, минуя отборочный тур. Оставшиеся 10 слотов могут занять команды из любой точки мира. Не упустите возможность!
Бета-тестирование первой в России онлайн-платформы The Standoff 365 для проведения киберучений в режиме 24 часа в сутки и 365 дней в году завершилось 24 декабря. Платформу Positive Technologies представила месяц назад. Этичные хакеры отметили реалистичность разработанной инфраструктуры. В будущем эксперты по безопасности смогут проверять на платформе защиту реальных компаний.
The Standoff 365 станет круглогодичной версией киберполигона The Standoff, который проводится с 2016 года в формате трехдневных мероприятий и успел попасть в Книгу рекордов России. В отличие от The Standoff, новая онлайн-платформа The Standoff 365 позволяет специалистам по информационной безопасности проводить кибертренировки нон-стоп, не ограничиваясь временными рамками мероприятия. Для полного погружения киберучения должны проводиться продолжительное время — при реальных таргетированных атаках хакеры в многих случаях месяцами находятся в инфраструктуре жертвы, постепенно продвигаясь к цели. Например, среднее время присутствия группировки APT38 оценивалось в 155 дней.
Изначально PHDays был в большей степени посвящен атакам, уязвимостям и техникам взлома, но мы считаем жизненно важным уделять внимание и способам защиты от кибератак. С 2019 года наравне с offensive-треком на форуме существует большой технический defensive-трек, который мы назвали thrEat reSearch Camp.
Этот трек, как и задумывала команда экспертного центра безопасности Positive Technologies (PT ESC), стал для defensive-специалистов площадкой для обмена опытом. За два дня российские и зарубежные эксперты расскажут о новых APT-группировках, поделятся эффективными методами и инструментами выявления инцидентов, мониторинга дарквеба и анализа открытых источников, разберут в деталях сложное вредоносное ПО.
«Кибератаки вышли на уровень первых лиц государств и стали актуальной повесткой любой компании. Но как и прежде, мало кто понимает, кáк эффективно с ними бороться. Наша площадка продолжит служить местом для обмена мнениями и знаниями об актуальных угрозах и методах защиты от них», — говорит Эльмар Набигаев, заместитель директора PT ESC, глава программного комитета thrEat reSearch Camp.
Старший специалист компании Group-IB по цифровой криминалистике Олег Скулкин в своем докладе объяснит участникам трека, как перестать заниматься анализом программ-вымогателей и начать поставлять для своей команды полезные киберразведывательные данные.
Руководитель службы информационной безопасности RBK.money Алексей Пронин разберет тактики и техники хакеров при атаках на финансовые организации, способы проникновения во внутренние информационные системы компании — а также методы защиты.
Всего неделя остается до «Positive Hack Days 10: Начало», и мы продолжаем знакомить вас с нашими спикерами и самыми ожидаемыми техническими докладами из различных треков конференции.
Практические приемы OSINT в цифровом мире
Генеральный директор Avalanche Андрей Масалович на реальных примерах покажет приемы OSINT, позволяющие эффективно добывать приватную и даже секретную информацию, не прибегая к взлому. В докладе исследуются методы поиска открытых разделов в облачных хранилищах, сканирование незащищенных баз на основе PostgreSQL, MongoDB и Elasticsearch, восстановление секретных данных по глобальным логистическим базам, сбор данных по закрытым профилям в социальных сетях, деанонимизация пользователей мессенджеров.
Специалист по ИБ Дмитрий Андреев расскажет о фундаментальных принципах социальной инженерии, о различных сценариях ее применения, а также поделится опытом противодействия социотехникам в корпоративной среде.
Приоритизация CVE-уязвимостей с помощью Vulristics
Vulristics (от слов vulnerability и heuristics) — это расширяемый фреймворк с открытым исходным кодом для анализа общедоступной информации о публичных CVE-уязвимостях. Независимый эксперт Александр Леонов расскажет об использовании Vulristics для приоритизации уязвимостей, а также о том, почему важно уметь приоритизировать известные уязвимости и какие дополнительные источники данных можно для этого использовать.
Microsoft Active Directory: техники повышения привилегий
Эксперт по безопасности приложений Егор Богомолов (Singleton Security) формализовал все техники повышения привилегий, которые предоставляет Microsoft Active Directory вместе с первоначальной настройкой в локальной сети. Он расскажет об уязвимостях в сетях под управлением AD «из коробки» и о том, как администраторам локальной сети под управлением AD защищаться от них.