Антивирусная защита *

Наши заказчики периодически спрашивают: что делать, когда базовые задачи по антивирусной защите, защите интернет-канала и резервному копированию уже решены? Куда двигаться дальше? В таких случаях я предлагаю концепцию "6P" — простой и эффективный подход, помогающий сфокусироваться на пяти основных аспектах информационной безопасности и тем самым повысить уровень защищенности компании. Эти направления включают: осведомленность сотрудников, надежные пароли, ограничение привилегированного доступа, своевременное обновление программного обеспечения, защиту от фишинга и периодические проверки на защищённость инфраструктуры.

Искусственный интеллект в информационной безопасности — такая обширная тема, что можно легко заблудиться в дебрях спекулятивных прогнозов. Понятие ИИ охватывает все — от рекомендательных алгоритмов, подсовывающих видео с котиками, до роботов, которые хотят убить всех человеков. Чтобы не написать вместо статьи сценарий низкобюджетного sci-fi, стоит сузить фокус.

Представим, что мир ИИ застыл. Никаких революций, никаких сверхразумных AGI на горизонте. Сосредоточимся на анализе больших языковых моделей (LLM) и их влиянии на информационную безопасность. Конечно, выпуск новой мощной модели может разнести вдребезги все эти выкладки, но примем этот риск. Ведь с чего-то надо начинать.

В этой статье я рассмотрю, какие новые возможности открываются перед атакующими и защитниками, и что за вызовы стоят перед отраслью. Под катом вас ждет увлекательное путешествие на ИБ-фронтир.

Всем привет! Меня зовут Геннадий Мухамедзянов, в ИТ я более 20 лет, половину из них ― в кибербезопасности. У меня богатый опыт работы в центрах мониторинга ИБ, где я занимался установкой и настройкой различных СЗИ, в том числе систем класса SIEM.

Импортозамещение в области кибербезопасности у всех на слуху: компании продолжают переходить на отечественные средства защиты. В статье я расскажу о тонкостях внедрения нового SIEM-решения в развернутый SOC и о том, как встроить его в существующие в организации процессы, чтобы замена предшественника прошла безболезненно. Чтобы добавить больше практической составляющей, буду рассматривать задачу на примере миграции на MaxPatrol SIEM ― систему выявления инцидентов ИБ российского вендора Positive Technologies.

В жизни каждого HR-а рано или поздно встречается ОН… Безопасник! И как подступиться к хантингу людей на эту позицию - обычно, бывает непонятно.

Поэтому, я решил попробовать создать подробный гайд для HR-ов, не сталкивавшихся с наймом ИБ-шников – какие направления в ИБ бывают, на что обращать внимание при просмотре резюме, какие скиллы и опыт нужны на ту или иную позицию, переход с какого направления на какое будет безболезненным и т.д.

С весны 2023 года мы активно наблюдаем за одной любопытной группировкой. Мы назвали ее PhaseShifters, так как заметили, что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. В своих атаках PhaseShifters используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.

В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

ИБ-энтузиаст «теряет» на разных публичных площадках ключи AWS API, чтобы выяснить, как быстро до них доберутся злоумышленники, — и приходит к неутешительным результатам.

Начало

BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна.

Когда мы только начали предоставлять BitNinja, появилась разумная идея, что неплохо бы протестировать его самостоятельно. 

Тестирование BitNinja мы разделили на три фазы, первая из них — пассивное. Просто размещаем BitNinja на серверах с разной конфигурацией и смотрим, на какие активности он реагирует.

В этой статье я расскажу об итогах пассивного тестирования. По его результатам я сгенерировал несколько гипотез:

✓ Даже пустой сервер подвергается атакам.

✓ WordPress привлекает больше внимания атакующих, чем Drupal.

✓ Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.

✓ Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.

На сегодняшний день современные технологичные подходы к решению задач кибербезопасности приводят к созданию программных или аппаратно-программных решений, которые опираются на быстродействующие алгоритмы и автоматизированный контроль информационных потоков. Одними из классических представителей перспективных и инновационных средств обеспечения защиты информации являются аппаратно-программные платформы Next-Generation Firewalls (NGFW).

Поскольку количество различных сценариев атак на компьютерные сети за последние годы значительно увеличилось – по большей части благодаря существенному росту активности хакерских группировок и объединению их в крупные отряды, возросла и нагрузка на аппаратно-программные платформы первой линии - NGFW. Несмотря на ряд преимуществ и возможностей, современные NGFW требуют для своей успешной работы высокой стабильности и быстродействия собственного программного обеспечения. Ключевое место при разработке таких средств заняла задача по снижению ограничений и оптимизации функционала подсистем NGFW.  

При проведении анализа функционала платформ NGFW уже представленных или только выходящих на рынок, были выявлены проблемы и аспекты, которые NGFW не решает или решает частично. Вот некоторые из них:

Roundcube Webmail – клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов, обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран.

Это делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе, нацеливаясь на похищение учетных данных и почтовой переписки организаций.

Пример одной из подобных атак мы хотим привести в этой статье.

В начале октября прошел трехдневный чемпионат по информационной безопасности федерального уровня CyberCamp 2024.

О том, из чего он состоял можно почитать в разных СМИ, например, на РБК, переписывать их текст, естественно, не буду.

Автор статьи принимал участие в соревновании на стороне "синих", расследуя действия "красных" и соревнуясь в индивидуальном зачете с 6000 других участников!

Если вам интересно посмотреть на скрины заданий, узнать мнение автора о мероприятии, понять как это все устроено изнутри, однако вы всегда боялись принимать участие лично, то вы по адресу!

Надеюсь, что вы сможете оценить атмосферу мероприятия и узнать что-то новое для себя.

Приятного чтения!

Не так давно мы рассказывали про атаки киберпреступников в странах Юго-Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак  на СНГ в этот период.

В этой статье мы расскажем про APT-группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.

Привет! Меня зовут Алексей Колесников, я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), в команде PT Sandbox.

В этой статье хочу рассказать о том, какие бывают песочницы с точки зрения архитектуры, приведу основные плюсы и минусы каждого вида, а также техники их обхода со стороны хакеров.

В России к 2030 году планируется вывести в онлайн абсолютно все государственные сервисы и обеспечить хранение 90% отчетных документов в электронном виде. С одной стороны, нам станет удобнее пользоваться услугами. С другой — это подольет масла в огонь с точки зрения кибербеза. Злоумышленники и так на протяжении последних шести лет чаще всего атакуют именно госсектор, а с развитием новых технологий у них появятся новые возможности для этого. Кроме того, у киберпреступников будет больше шансов дотянуться и до нас — конечных пользователей. Почему — рассказываем под катом: с цифрами, пруфами и примерами.

Четвертого сентября вышел любопытный отчет о несостоявшейся кибератаке на российского оператора грузовых ж/д перевозок.

Мы решили добавить свои находки и дополнительную информацию о других атаках хакерской группировки, которую мы назвали Team46, потому что в своей сетевой инфраструктуре атакующие использовали домен cybers46.team.

Становясь старше и опытнее, понимаешь, что если есть возможность купить время, это нужно обязательно сделать. То же самое можно применить и к бизнесу. Если компания зрелая, если руководство понимает ценность бизнеса, как он устроен, как работает и как приносит деньги, то оно также понимает, что вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру.

Всем привет! Меня зовут Артем Мелёхин, я занимаюсь продвижением нового направления Positive Technologies, а именно продвижением подхода к определению времени атаки и вероятных маршрутов хакеров. В этой статье я расскажу, как мы определяем время атаки и вероятные маршруты хакеров и о том, что нужно предпринять с точки зрения ИТ-инфраструктуры, чтобы максимально усложнить путь атакующему.

В предыдущей статье мы рассказывали про методику оценки качества процесса расследования и реагирования. В двух словах: мы рассуждали, каким образом сформировать систему метрик на основе статистики действий аналитиков SOC, которые позволят проанализировать процессы и процедуры security operation. Применение системы метрик позволит, с одной стороны, оптимизировать действия аналитиков за счет исключения лишних действий (возможно, сделав их необязательными), автоматизировать повторяющихся действий, разработать воркэраунды для слишком долгих действий, пополнить плейбуки действиями, которые в них отсутствуют, но в реальности всегда выполняются. С другой стороны, система метрик позволит повысить качество детекта за счет сбора статистики по условиям, при которых правило коррреляции фолзит из раза в раз. И, в конце концов, система метрик может помочь проанализировать утилизацию средств защиты, а также экономическую эффективность подписок на аналитические сервисы и фиды. Каким образом? Давайте разбираться на реальных примерах.

Оптимизация планов реагирования за счет анализа статистики действий по инцидентам

Анализ планов реагирования стоит начать с проверки достижения им цели полноценного анализа ландшафта инцидента. Почему именно с этого? Да потому, что весь security management стремится в первую очередь к максимальной полноте и актуальности контекста: чем чище и корректнее данные, тем вернее будет решение. Поэтому для выстраивания хорошего процесса расследования надо понять:

·  Насколько качественно мы анализируем все артефакты, собранные в инциденте.

Прогнозируют, что в 2024 году кибербезопасность обойдется миру в 9,5 трлн долларов. Еще в 2004 году эта сфера стоила 3,5 млрд долларов, а теперь обгоняет по общей капитализации бюджеты целых стран. Затраты на кибербезопасность будут только расти — крупнейшие корпорации сталкиваются со взломами и много из-за этого теряют, а потому хотят защитить себя. Число утечек значительно выросло в 2020 году, когда сотрудники стали работать удаленно, а в экономике начались проблемы с рабочими местами и их оплатой. Но серьезные инциденты с утечкой служебной информации были и раньше. Вспоминаем, как это происходило.