Bob: Alice, ты в прошлый раз меня убедила, что мне необходимо проверить свои сторонние зависимости в проекте на риски атак через цепочку поставок (Supply Chain). По итогу уже нашлось три подозрительные библиотеки. Я вообще не понимаю, как они попали в мой проект, их давно пора было заменить нормальным аналогом.

Alice: Отлично, рада слышать! А что это были за библиотеки?

Bob: Одна библиотека не обновлялась с 2018 года, у неё даже в репозитории на GitHub было открыто пару issue с найденными уязвимостями, но, естественно, никто не собирался их исправлять. Я нашёл форк этой же библиотеки, только уже с нормальным активным сообществом и заменил в своём проекте, теперь даже живётся спокойнее. Ещё мне бросился в глаза импорт одной и той же библиотеки: websockts и websockets. Точнее, почти одной и той же, одна из них была с опечаткой. Но ты можешь представить, Alice, несмотря на мою опечатку, проект всё равно стабильно работал!

Alice: Bob! Да ты ведь попался на Typosquatting! Я уверена, что одна из библиотек уязвимая! Ты уже завёл инцидент?

Bob: Да почему сразу уязвимая, ведь всё работало штатно. Я просто исправил опечатку.

Alice: Да ведь так и делают злоумышленники: к абсолютно легитимному функционалу добавляют злонамеренный и выкладывают в пакетный менеджер с незаметной опечаткой. Bob, они могут быть уже внутри твоей инфраструктуры. Я тебе сейчас скину ещё одну статью, там как раз рассказывается об актуальных методах атак на зависимости. Про Typosquatting там тоже есть!

Eva: * !#$@№!*?!% *

Alice: Привет, Bob, ты знаешь, что уязвимости во внешних зависимостях твоего проекта — это и твои уязвимости?

Bob: Да. Поэтому у меня есть SCA.

Alice: А как думаешь, SCA для внешних компонент достаточно, чтобы выявить все уязвимости?

Bob: Если мы говорим об известных CVE, то да. Я всегда обновляю базу уязвимостей и регулярно провожу сканы.

Alice: А если уязвимости ещё не были найдены и их нет в базе? Ты просматриваешь сам код внешних зависимостей на уязвимости?

Bob: Ммм… Нет, так почти никто не делает. Это трудозатратно.

Alice: Но ведь код внешних зависимостей — твой код. Может быть, ты тогда, например, запускаешь SAST на код внешних зависимостей?

Bob: Ну, не всегда, мне бы найти время на верификацию всех SAST-результатов моего кода.

Alice: Ладно. А есть ли у тебя какой-то критерий, по которому ты можешь запретить себе использовать стороннюю библиотеку в проекте?

Bob: Наверное, если у библиотеки есть известный CVE, а патча нет. Хотя… Я, скорее всего, просто выжду время, когда выйдет патч, и всё. А к чему ты клонишь?

Alice: А если библиотека не поддерживается и уже не обновляется несколько лет? А если сам разработчик библиотеки с плохой репутацией? А если злоумышленник уже закоммитил закладку в код твоей внешней компоненты, ведь далеко не всё в open source проектах проверяется? Я тут просто прочитала статью, где предлагают оценивать библиотеку на основе состояния самого репозитория сторонней зависимости: популярность, авторский состав, активность сообщества, заинтересованность в безопасности и… В общем, сейчас расскажу!

Solar InRights, решение класса IdM/IGA, доминирует по количеству внедрений среди крупнейших игроков сегмента Enterprise. По оценке ГК «Солар», система используется в каждой второй российской компании среди лидеров по выручке. Это корпорации добывающего, финансового, промышленного сектора со сложной организационно-штатной структурой и распределенной филиальной сетью.

Крупнейшие подключения рассчитаны на 150 000—250 000 пользователей, десятки управляемых систем и автоматизированных процессов. Все проекты характеризует высокая степень детализации бизнес‑процессов и необходимость интеграции с ключевыми ресурсами компании, включая уникальные отраслевые системы и решения собственной разработки. Внедрение таких широкомасштабных систем на крупных предприятиях занимает долгое время, поэтому каждый год к десяткам текущих проектов «Солар» добавляется еще 3–5 новых.

В настоящее время российский рынок решений класса IdM активно развивается, в том числе в рамках политики импортозамещения. Часто внедрение системы происходит параллельно с внедрением в компании новых управляемых систем отечественного производства. В этих условиях Solar InRights демонстрирует важное преимущество, поскольку продукт не только включает готовые модули интеграции с такими системами, но и в целом разработан с учетом особенностей оргструктуры и процессов управления доступа в российских компаниях, в частности, холдингах, когда при построении IdM необходимо учитывать локальные нормативные документы каждой компании в составе группы.

Как известно, в составе присутствующих на российском рынке DLP-решений возможности мониторинга поведения, а также выявления эмоциональных особенностей в личности и характере присутствуют и совершенствуются на протяжении последних нескольких лет. Каждое из представленных решений имеет ряд своих персональных особенностей, качественно отличающих его от аналогичного. Лишь функциональный пользователь с учетом личного опыта и персональных приемов, установок, условий труда и деятельности организации способен однозначно определить для себя применимость и пользу от набора функций, присутствующих в том или ином решении.  Причем, с учетом продолжительности присутствия на рынке DLP с модулями поведенческой аналитики, сформировалась и общность специалистов, эксплуатировавших за период профессиональной деятельности различные решения. Некоторые из представителей данной общности способны не только высказать свои предпочтения, но и, поделившись кейсами, подтвердив актуальность имеющихся подходов, предложить свои.

С начала года порядка 60% компаний финансового сектора сталкивались с атаками на цепочки поставок (supply chain attack). Средний ущерб от одного такого инцидента составил 3,6 млн рублей. Данная оценка включает прямые финансовые издержки и не учитывает потенциальные репутационные потери, а также штрафные санкции.

Отличительной особенностью атак на цепочку поставок программного обеспечения является получение доступа злоумышленником к целевой системе не напрямую, а через внедрение в продукт или компонент, который используется организацией. Поэтому проблемы безопасности в цепочке поставок могут возникать на любом этапе жизненного цикла программного обеспечения и вызываться различными причинами, начиная от злоумышленной вставки вредоносного кода сотрудником на этапе разработки, заканчивая компрометацией стороннего поставщика при использовании готовых решений или сервисов.

В большинстве случаев целью данной разновидности кибератак является получение доступа конфиденциальной информации о клиентах, поэтому финансовый сектор представляет для злоумышленников наибольший интерес. После получения доступа к инфраструктуре банков кредитные и дебетовые карты клиентов становятся уязвимы для разных видов мошенничества с целью кражи денежных средств. Также атаки на цепочку поставок могут привести к нарушению производственного процесса и тем самым нанести ущерб репутации компании, поэтому часто затрагивают такие отрасли как нефтяная промышленность, крупный ритейл и сфера информационных технологий.

ГК «Солар» выпустила новую версию Solar NGFW 1.1, которая поможет бизнесу защитить высоконагруженные сети. Надежность продукта стала выше благодаря реализации отказоустойчивой пары «Active/Passive», а защита от вторжений с использованием сигнатур на базе Solar JSOC позволяет оперативно противостоять современным киберугрозам.

Продукт Solar NGFW был впервые представлен в апреле этого года как многофункциональное импортонезависимое решение. По данным исследования «Солара», 70% российских компаний на фоне ухода иностранных вендоров и ужесточения кибератак планировали переход на новую систему и ее обслуживание. Новый продукт компании был призван помочь сделать этот переход без снижения уровня защищенности и удобства использования. В настоящее время Solar NGFW проходит экспертизу для внесения в реестр отечественного ПО.

Высоконагруженные и критические сети инфраструктуры крупных организаций состоят из большого количества различных устройств. Все устройства потенциально содержат как уже известные уязвимости, так и ежедневно обнаруживающиеся новые, которые документируются в базе CVE (база данных общеизвестных уязвимостей информационной безопасности). Помимо выявления известных уязвимостей продукт обнаруживает и блокирует актуальные киберугрозы и вредоносное ПО благодаря использованию сигнатур IPS (алгоритмов обнаружения и блокирования актуальных киберугроз и вредоносного ПО) на базе Solar JSOC — крупнейшего коммерческого SOC в России.

В новой версии используется экспертиза Центра исследования киберугроз Solar 4RAYS, где выстроен непрерывный процесс обнаружения и разработки новых сигнатур IPS. Это позволяет обеспечить комплексную защиту инфраструктуры клиента. Чтобы пользователям Solar NGFW всегда была доступна актуальная и эффективная база данных сигнатур IPS против новых угроз, разработчики добавили возможность ее обновления в CLI (интерфейсе командной строки), а в будущем оно будет автоматизировано.

Межсетевой экран нового поколения, он же файрвол нового поколения, он же NGFW – один из центральных элементов системы информационной безопасности, которую строят организации для защиты от киберугроз. После ухода зарубежных вендоров с российского рынка разговоры об отечественном NGFW, о том, каким он должен быть, чтобы решать современные задачи кибербезопасности, стали еще более актуальными. Сергей Федотов, инженер сетевой безопасности Центра продуктов Dozor ГК «Солар», напомнил, как развивались файрволы, рассказал о том, с какими проблемами приходится сталкиваться при защите периметра компании и как их преодолеть, а также заглянул в будущее развития систем NGFW.

Сегодня без анализа и оценки рисков ИБ компания не может полноценно работать и развиваться. Но понимает ли это российский бизнес, и как часто прибегает к анализу рисков при принятии ключевых решений? Чтобы ответить на эти вопросы, наши коллеги из ГК «Солар» провели исследование риск-менеджмента ИБ в российских компаниях.

Киберпреступная группировка HardBit с помощью одноименной программы-шифровальщика пыталась вымогать средства у российской организации, хотя ранее об атаках этих хакеров писали только зарубежные компании. Наши коллеги из центра расследования киберинцидентов Solar JSOC CERT провели подробный анализ образцов различных версий HardBit и выпустили декриптор для шифровальщика HardBit 3.0.

Наша компания запускает стажировку в центре противодействия кибератакам Solar JSOC — это первый и самый большой коммерческий SOC страны.

Мы ждем студентов старших курсов, обучающихся по профильным направлениям, а также недавних выпускников. Вы освоите основы работы в сфере информационной безопасности и приобретете практические навыки. А самых успешных стажеров мы пригласим на работу!

Как проходит стажировка?

Стажировка по направлениям «Мониторинг» и «Администрирование средств защиты информации» стартует 19 сентября и продлится два месяца. Обучение будет проходить онлайн дважды в неделю.

Вам предстоит изучить основы ИБ, операционные системы, компьютерные сети. Вы узнаете, какие существуют атаки, а также средства защиты.

Выбравшие направление «Мониторинг» сфокусируются на том, как выявлять кибератаки с помощью автоматизированных средств защиты, проводить расследования, анализировать события и инциденты безопасности.

Другая группа погрузится в администрирование. Специалисты, занимающиеся этим направлением, управляют конфигурацией СЗИ, обеспечивая защиту от крупного перечня атак, таких как DDoS, фишинг, веб-атак и т.д.

А еще будут тесты, практические задания, разборы реальных кейсов. Вы пообщаетесь с опытными наставниками, которые много лет работают в компании. Среди них есть и те, кто изначально пришел у нам в качестве стажера и постепенно развивался внутри «РТК-Солар». Вы можете повторить их путь!

А что дальше?

Самых способных стажеров мы пригласим на собеседование, и вы сможете стать частью команды «РТК-Солар». Вы будете работать в одном из офисов в Москве, Томске, Хабаровске, Самаре, Ростове-на-Дону или Нижнем Новгороде. С 2019 года к компании таким образом присоединилось более 200 бывших стажеров.

Наверное, многие из вас знают о том, что в продуктах Solar webProxy и Solar addVisor поддерживается функциональность категоризации веб-ресурсов (webCat). Но многие ли из вас знают о том, что же из себя представляет этот, казалось бы, «очевидный» из названия процесс? В этой статье расскажем о том, что такое категоризация, в целом, из каких этапов состоит, с какими проблемами и сложностями вынуждает нас сталкиваться в процессе разработки механизма и почему-же все не так просто, как кажется…

Двигаясь от общего к частному, постараемся понятным языком дать определение категоризации (классификации) веб-ресурсов – фактически, это подход к присвоению категории веб-странице на основе ее контентного содержимого, глобальной целью которого является достижение максимальной точности и максимального покрытия ресурсов сети Интернет. Тем не менее, за этим подходом кроется множество деталей.

Что из себя представляют категории и откуда они берутся

Категоризация содержимого веб-сайтов, как таковая, зародилась изначально в коммерческих целях, а именно – в контексте продвижения рекламы в сети Интернет.

Бюро интерактивной рекламы (Interactive Advertising Bureay, IAB) – американская рекламная бизнес-организация, разрабатывающая отраслевые стандарты, занимающаяся исследованиями в медийном пространстве и оказывающая юридическую поддержку индустрии онлайн-рекламы, создала «стандарт», список категорий (более 400 категорий с несколькими уровнями классификации), который предоставил рекламодателям возможность выбирать, как и где должна отображаться их реклама. Вслед за рекламной индустрией, категоризацию стали активно интегрировать в продукты информационной безопасности (контентная фильтрация доступа в Интернет), а также в решения по учету/контролю рабочего времени. Важно отметить, что для первого случая (контентная фильтрация), категоризатор не является непосредственным механизмом принятия решений о предоставлении/блокировке доступа, а лишь информирует специалистов, ответственных за выработку политик фильтрации пользовательского трафика, о потенциальном содержимом веб-ресурсов, находящихся в соответствующих категориях.

Приглашаем на вебинар 16 марта в 11:00 (МСК), где разберем топ-5 популярных заблуждений при правовом внедрении DLP и обсудим – они миф или реальность?

Приглашаем на вебинар 7 февраля в 11:00 (МСК), где мы расскажем, как работает платформа для проведения кибертренировок «Кибермир» от компании «Ростелеком-Солар». Мы покажем функционал платформы, который делает ее уникальной на рынке: отчеты участников с использованием встроенной карты тактик и техник атак, конструктор визуализации хода атаки, 3D-макет виртуального города и не только. Обсудим, какие доработки платформы для проведения кибертренировок планируются в ближайшем будущем.

Вебинар будет полезен тем, кто задумывается о проведении киберучений для своей команды по реагированию на инциденты по кибербезопасности.

Привет начинающим и будущим ИБ-специалистам! Мы ведем набор на стажировку в центр противодействия кибератакам Solar JSOC. На минуточку, первый (в этом году ему исполнилось 10 лет) и на сегодня крупнейший из коммерческих Security Operations Center, SOC. На курсе мы познакомим вас с работой специалистов в сфере ИБ, включая расследование кибератак и поиск уязвимостей в компаниях. Принять участие могут те, у кого есть профильное специальное или дополнительное образование. Набор ведется в Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске. Самых успешных стажеров мы пригласим на работу!  Подать заявку и пройти отборочное тестирование можно до 15 сентября, само обучение стартует 19 сентября. 

Этой осенью совместно с экспертами Финтех Хаба Банка России мы проведем образовательный модуль «Финансовая кибербезопасность» для студентов в Университете «Сириус». Участники разберутся в тонкостях обеспечения кибербезопасности в кредитно‑финансовой сфере и отработают практические навыки защиты от киберугроз на платформе Национального киберполигона. О том, что будет в программе и как попасть на интенсив, рассказываем в посте.

С 30 июля по 7 августа вместе с Университетом «Сириус» мы проведем Летнюю школу по кибербезопасности. Принять участие в программе смогут студенты 3-4 курсов любых инженерных специальностей.

Если вы только начинаете изучать сферу кибербезопасности, заглядывайте под кат. В посте мы расскажем основные подробности о мероприятии.

Наша компания запускает стажерскую программу «Хочу работать в ИБ» в бизнес-направлении системной интеграции по кибербезопасности «Solar Интеграция». Принять участие в стажировке смогут студенты старших курсов и недавние выпускники вузов по специальностям информационной безопасности и информационным технологиям.

Наша компания решила отменить испытательный срок для специалистов по информационной безопасности и информационным технологиям. Сотрудники, которые придут в "Ростелеком-Солар" до 1 сентября 2022 г., с первого дня работы будут пользоваться всеми преимуществами и льготами компании.

Нестабильная экономическая обстановка в России и введенные западными странами санкции вызвали опасения у ИТ- и ИБ-специалистов по поводу устойчивости отрасли. Будучи одним из лидеров рынка кибербезопасности, «Ростелеком-Солар» не только продолжает активный набор новых специалистов, но и улучшает условия приема на работу. Это позволит новым работникам увереннее чувствовать себя в непростое для всех время. Не дожидаясь конца испытательного срока, они смогут получить все преимущества сотрудников, которые его успешно прошли.