Всем привет! Надеемся, вы уже знаете, что у центра исследования киберугроз Solar 4RAYS есть собственный блог. В нем мы делимся исследованиями различных APT-группировок, подробно рассказываем о расследованиях и делимся индикаторами компрометации. В этом материале мы решили рассказать, с чего, как правило, начинаются наши расследования — по каким признакам определяем, что в инфраструктуру заказчика попали профессиональные хакеры и как ищем следы их атак. Также мы расскажем, какие уловки хакеры применяют для маскировки своих атак и как в этом случае компаниям защититься от злоумышленников.

Привет! Мы в «Соларе» накопили достаточно компетенций, чтобы делиться ими не только со стажерами, но и с сотрудниками компаний-заказчиков. Нередко у заказчика после инсталляции СЗИ возникает потребность в их грамотном внедрении в рабочие процессы, поддержке в актуальном состоянии, а кроме того, необходимо налаживать взаимодействие сотрудников как внутри самого SOC, так и со смежными подразделениями. Помимо этого, даже продвинутые ИБ-команды заказчика нуждаются в «переопылении» на образовательных мероприятиях, чтобы они продолжали своевременно и корректно реагировать на кибератаки, а работа не превращалась в рутину с монотонным закрытием тикетов.

Все эти задачи мы решаем за счет качественного обучения персонала заказчика. В последней части нашего цикла статей мы расскажем, как оно устроено.

Привет! Я Екатерина Васильева, инженер-тестировщик ГК «Солар». В нашей работе есть извечный вопрос, как сделать тестирование быстрым, качественным и эффективным. И знаете, что помогает? Правильная организация процесса. В «Соларе», например, мы активно используем концепции DoR (Definition of Ready) и DoD (Definition of Done) при тестировании продуктов. Эти критерии, хоть и встречаются чаще в разработке, оказались невероятно полезны и для нас, тестировщиков. Они помогают четко понимать, когда задача готова к тестированию, а когда уже можно выдохнуть и сказать: «Готово!». В итоге — никаких срывов сроков и релизы день в день. В этой статье я расскажу на примере Solar webProxy, как DoD и DoR помогают нам повысить качество тестирования и с какими трудностями мы столкнулись, внедряя эти критерии.

Дмитрий Богомолов, архитектор отдела проектирования, подготовил материал о ключевых различиям DLP и DAG-решений.

Стремительный рост объемов неструктурированного корпоративного контента стал одной из острейших проблем для ИТ- и ИБ-подразделений. При этом, по оценке международной аналитической компании ITC, суммарный объем данных в ближайшей перспективе достигнет уровня 175 зеттабайт, или 175 миллиардов гигабайт, и существенная доля такой информации будет неструктурированной.

Поэтому управление доступом к неструктурированным данным становится проблемой для большинства крупных компаний. Мы часто слышим, что для решения подобных задач достаточно использовать DLP-системы. Да, нередко подобные продукты закрывают ряд задач по управлению доступом к неструктурированным данным, но в большинстве случаев использование специализированных DAG-платформ более эффективно с точки зрения управления рисками в крупных компаниях.

Наш блог центра исследования киберугроз Solar 4RAYS, запущенный в конце 2023 года, продолжает радовать новыми исследованиями активных кибергруппировок с техническим анализом их инструментария, тактик и техник. Некоторые статьи из блога, как эта, мы публикуем и здесь.

Сегодня мы решили поделиться своим опытом разработки детектирующей логики, позволяющей своевременно выявлять эксплуатацию уязвимостей, которые злоумышленники использовали, действуя в атакованной  инфраструктуре. Опираясь на информацию из статьи «Распутываем змеиный клубок: по следам атак Shedding Zmiy» мы выделим артефакты, на которые можно (и нужно!) обращать внимание при мониторинге защищаемой инфраструктуры.

Solar Dozor – это не просто DLP-система, а настоящий страж корпоративных данных, с более чем 20-летним опытом на рынке. Благодаря своей отказоустойчивости, масштабируемости и высокой производительности система востребована крупнейшими организациями России и СНГ.

Суперсила Solar Dozor – умение распознавать графические данные. С помощью технологии нейронной сети или, так называемого компьютерного зрения Dozor детектирует изображения и «понимает», что на них изображено. Система умеет идентифицировать паспорта, банковские карты, печати и даже технические чертежи, оформленные по ГОСТу. Это позволяет системе эффективно защищать корпоративные данные от утечек, распознавая и блокируя передачу конфиденциальных документов.

Привет! В предыдущих статьях мы рассказали, как смогли организовать стажировку в центре противодействия кибератакам Solar JSOC на 1,1 тыс. человек, и как составили идеальную программу обучения. В этой части мы поделимся, как выстроить процесс обучения для стажеров, трудоустроенных в службе мониторинга JSOC, и сделать так, чтобы более 60 сотрудников за несколько месяцев успешно прошли испытательный срок.

Привет! Мы около года занимаемся фронтенд (на Angular) и бэкенд (на Scala) разработкой в Solar webProxy. Наш продукт является системой Secure Web Gateway и обеспечивает фильтрацию HTTP и SOCKS5 трафика, защиту от вредоносных программ и утечек данных, проверку SSL и многое другое.

Год назад панель управления нашим приложением представляла собой ExtJS-приложение, в которое встраивались компоненты на Angular, а отчеты строились с помощью «форкнутой» Grafana версии 4. Такой «зоопарк» технологий рождал целый ряд проблем:

В 2023 году мы запустили блог центра исследования киберугроз Solar 4RAYS, где делимся аналитикой об актуальных угрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами. Наиболее интересные исследования из блога мы публикуем и здесь, и это — одно из них.

В конце прошлого года мы в команде Solar 4RAYS провели расследование атаки на российскую телеком‑компанию. Её сеть была скомпрометирована азиатской APT‑группировкой, которую мы назвали Obstinate Mogwai (или «Упрямый Демон» в переводе с английского). Почему «Упрямый?» Хакеры вновь и вновь проникали в атакованную организацию с помощью давно известной уязвимости десериализации ненадежных данных в параметре VIEWSTATE среды ASP.NET (далее будем называть это десериализацией VIEWSTATE).

Мы смогли окончательно закрыть злоумышленникам все возможности для проникновения. Сегодня мы расскажем историю исследования уязвимости, опишем, как обнаружить подобные атаки и как на них реагировать, а в конце приведем индикаторы компрометации.

Привет! В первой части мы узнали, как выглядит организационная часть стажировки. В этой статье мы разберем основные подходы в составлении программ обучения, роудмапов и самих обучающих материалов.

Пока в ИБ-отрасли говорят о дефиците готовых специалистов, мы в ГК «Солар» выявили действенный рецепт подготовки кадров, благодаря которому значительно увеличили число сотрудников нашей команды – и решили этим рецептом поделиться. Наш цикл статей будет состоять из нескольких частей. В этой мы поэтапно расскажем, как у нас получилось организовать стажировку в центре противодействия кибератакам Solar JSOC на 1,1 тыс. человек.

— У нас дыра в безопасности.

 — Слава богу, хоть что‑то у нас в безопасности...

Информационные технологии развиваются семимильными шагами, но одно остается стабильным — наличие «дыр в безопасности». Мы проанализировали результаты более 100 прошлогодних проектов и пришли к выводу, что многие компании все еще допускают критичные ошибки и оставляют большое количество «дыр», открывающих для хакеров путь к внутренней инфраструктуре, персональным данным пользователей и возможностям реализации различных угроз информационной безопасности.

В посте ниже делимся своей болью результатами проведенных аналитических исследований: собранной статистикой, рекомендациями и интересными случаями из практики.

По разным данным, человек получает от 60 до более 70% информации с помощью зрения. Именно поэтому визуальная составляющая — один из главных аспектов работы над продуктом. Привлекательность и удобство интерфейса, которое позволяет быстро найти нужную информацию и легко ориентироваться в нем, называется «юзабилити» (от англ. usability — удобство и простота использования, степень удобства использования). В этой статье я хочу рассказать о важности дизайна интерфейса и о том, как мы в Solar webProxy выстроили работу над ним, на примере нашего SWG‑решения.

Недавно мы запустили блог центра исследования киберугроз Solar 4RAYS, где делимся аналитикой об актуальных угрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами. Некоторые исследования из блога мы будем размещать и здесь, и это – одно из них.

В ходе расследования атаки на одно из госучреждений в декабре этого года мы обнаружили новые индикаторы, которые с высокой долей вероятности можно атрибутировать преступной группировке (Ex)Cobalt (также известной как Comet/Shadow/Twelve). Группировка ранее преследовала финансовую выгоду, но затем сменила вектор и стала заниматься атаками, свойственными кибершпионам.

Мы выяснили, что с недавних пор злоумышленники стали использовать новую сетевую инфраструктуру и изменили технику развертывания главной вредоносной нагрузки. Также нам удалось обнаружить несколько новых доменов, потенциально связанных с группировкой. Они пока не использовались в атаках, но требуют пристального внимания, так как злоумышленники могут задействовать их в ближайшем будущем.

В прошлой статье о VM (от англ. - vulnerability management) мы рассказали, с какими проблемами можно столкнуться при анализе и управлении рисками  Сегодня спустимся на уровень ниже и поговорим об интересных находках, скрывающихся в глубинах готовых VM-отчетов.

Одна из задач контроля уязвимостей – исследование сетевых ресурсов с помощью сканера. По результату работы компания получает отчет с обнаруженными уязвимостями и другой информацией в большом количестве. С уязвимостями все более-менее понятно – критические нужно устранять как можно быстрее, а уязвимости с меньшей критичностью – приоритизировать и тоже устранять. Но и на техническую информацию стоит обращать внимание – с ее помощью можно значительно повысить уровень защищенности сети.

Рассмотрим, какие необычные находки могут быть проблемой, и что стоит делать с этими невиданными зверями.

Зарубежные разработчики межсетевых экранов нового поколения (NGFW) покинули российский рынок, и перед многими компании встал вопрос реализации отечественного решения. Помня о законе Мёрфи, ещё на этапе разработке стоит подумать, что может пойти не так.

1. Закладки могут внедриться на уровне аппаратного обеспечения и прошивки.

2. ПО может быть компрометировано, например, через Open Source уязвимости.

3. Особо коварные алгоритмические закладки могут навредить сложным алгоритмам (например, шифрования).

4. Злоумышленник может обратить против нас квантовые вычисление или другие передовые достижения технического прогресса.

5. Преступники не поскупятся и реализуют высокозатратные атаки, ведь и экономическая эффективность (или ущерб) атак на объекты КИИ будут велики.

6. Злоумышленник достаточно точно предскажет архитектуру и реализацию нашего типового продукта.

7. Киберпреступник возьмёт измором: постоянно будет проверять и подбирать методы проникновения, ведь решение в неизменном сетевом доступе.

8. Рост вычислительных возможностей аппаратного обеспечения и пропускной способности контролируемых сетей приведут к необходимости масштабирования.

Ниже мы предложим оптимальную архитектуру и функциональность NGFW, построенного с учетом этих рисков и изменившейся ситуации на рынке ПО и оборудования.

Вспомните обычный рабочий созвон или видеоконференцию – с задержкой связи, эхом или торможением видео. Как правило, это происходит из-за плавающей пропускной способности каналов связи. И если для одних видов трафика (электронная почта или обмен короткими текстовыми сообщениями), подобные задержки некритичны, то для других (голосовые сообщения, видеотрансляции) они становятся серьезной проблемой. При этом безопасность все равно нужно обеспечивать, да так, чтобы средства наложенной защиты, в том числе для ГОСТ-шифрования, не вызывали дополнительных лагов в работе прикладных сервисов. Для этого криптомаршрутизаторы (они же криптошлюзы) должны поддерживать качество обслуживания (Quality of Service – QoS) различных видов трафика, которые конкурируют между собой за ресурсы различных каналов. В этой статье мы разберем, как обеспечивается QoS в зарубежном оборудовании, и изучим нюансы внедрения этих механизмов в российские криптошлюзы.

Объем данных для хранения и обработки растет с устрашающей скоростью – к 2025 году он может достичь 175 зеттабайт (1 зеттабайт = 1 трлн гигабайт). Вместе с ним увеличивается и число уязвимостей, которые становится все сложнее найти и уж тем более управлять ими. Добавьте к этому нехватку финансирования и квалифицированных кадров, и уже понимаешь, что одним сканером уязвимостей и пачкой pdf-отчетов тут не обойтись. В этом посте мы опишем основные проблемы в процессах Vulnerability Management (VM) и ищем способы их решения.

Для контроля действий на рабочих станциях в Solar Dozor применяется отдельный модуль — Dozor Endpoint Agent (агент), с помощью которого можно своевременно отследить и при необходимости заблокировать передачу данных. Этот модуль адаптирован и может работать под управлением разных операционных систем - компания-разработчик "Ростелеком-Солар" предлагает версии для Windows, Linux и macOS. На нашем портале уже приводились обзоры модуля Dozor Endpoint Agent для Linux и Windows. В этой статье речь пойдет о модуле Dozor Endpoint Agent для macOS, который разрабатывается с 2021 г. Он стал флагманом движения российского рынка DLP-систем к полнофункциональному мониторингу рабочих мест на базе устройств Apple и по сей день занимает лидирующую позицию на рынке.  

Продолжаем цикл статей «Учим старого пса новым трюкам», посвященных расширению возможностей BloodHound. Это популярный инструмент, который используется для сбора и анализа данных во время проведения пентеста внутренней инфраструктуры на базе Active Directory. BloodHound позволяет визуализировать некорректные настройки объектов Active Directory и строить цепочки атак. Его основная особенность – использование теории графов при анализе данных. В сегодняшнем посте рассмотрим способ представления GPO Client Side Extension в читаемом виде и добавление этой информации в базу BloodHound.