Как стать автором
Обновить
47
-1
Уральский Центр Систем Безопасности @USSCLTD

ИТ-компания

Передача данных по радиоканалу

Время на прочтение 4 мин
Количество просмотров 14K

Идея для этой статьи зародилась, когда мы проводили анализ защищенности в удаленном районе в условиях отсутствия Интернета и любых средств связи. У нас были только рации, через которые мы переговаривались. Но нам также нужно было удаленно обмениваться небольшими файлами. Так у нас появилась идея проверить, возможно ли передавать информацию с одного ноутбука на второй, используя рации.

Важно! Здесь не будет информации о юридических особенностях использования радиосвязи, а также о частотах, мощности передачи, позывных и т. п. Применение радиосвязи имеет ограничения и регулируется Федеральным законом N 126-ФЗ «О связи».

Читать далее
Всего голосов 36: ↑36 и ↓0 +36
Комментарии 60

Когда SIEM бесполезна: что важно учесть до внедрения системы

Время на прочтение 4 мин
Количество просмотров 3.2K

Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать внимание нужно на три составляющие. Какие — рассказываем в этом материале.

Читать далее
Всего голосов 6: ↑4 и ↓2 +2
Комментарии 0

Что общего между PetitPotam, NTLM Relay и PrintNighmare? Рассказываем, к чему может привести отсутствие обновлений

Время на прочтение 4 мин
Количество просмотров 1.5K

Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.

В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

ML SAST. Часть 1: как работают инструменты SAST и какие проблемы может решить применение машинного обучения?

Время на прочтение 13 мин
Количество просмотров 1.4K

Машинное обучение (ML) в сфере анализа безопасности приложений SAST (Static Application Security Testing) — это область, которая с каждым годом становится все более актуальной в мире разработки ПО. Многие компании активно исследуют ее, а некоторые уже внедряют машинное обучение в продукты для анализа кода. УЦСБ разрабатывает собственную платформу по непрерывному анализу защищенности приложений и занимается внедрением моделей машинного обучения в качестве рекомендательной системы при поиске и верификации проблем безопасности. В серии статей, посвященной этой теме, планируем рассказать о потенциале внедрения машинного обучения в инструменты SAST и пошагово разработать модель анализа кода.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 1

Как за одну неделю захватить контроллер домена, или Пивотинг за 300

Время на прочтение 4 мин
Количество просмотров 10K

У этичных хакеров не принято держать при себе то, что поможет кому-то найти брешь в системе защиты до того, как наступит недопустимое событие. А семь лет практики в анализе защищенности ИТ-инфраструктур дают свои плоды. Например, нетривиальные кейсы, о которых хочется рассказать. По этим причинам мы решили поделиться своим опытом и выпустить серию публикаций о необычных пентестах нашей команды.

Предупреждаем заранее: все данные, которые могли бы указывать на конкретных людей или компании, изменены, а любые совпадения — случайны. Конфиденциальность — это то, что мы гарантируем по умолчанию.

Итак, начнем с истории о том, как за одну неделю удалось захватить контроллер домена ИТ-инфраструктуры промышленного предприятия.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 5

Фаззинг на пальцах. Часть 1: идея, техника и мера

Время на прочтение 7 мин
Количество просмотров 3.1K

О чем вы думаете, когда слышите слово «фаззинг»? Одни вспоминают о приказе ФСТЭК России № 239, другие — об утилитах с пугающими отчетами, а кто-то и вовсе озадаченно пожимает плечами. Рассказываем, для чего нужен фаззинг, зачем его применять и каким он бывает.

Навигация по статье:

• Ввод понятия

• Подходы к тестированию (White/Black/Grey Box)

• Необходимость проведения

• Ограничения в выборе

• Международные практики

• Вместо заключения

• Для статистики 

Ввод понятия 

В ГОСТ 58142 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» есть следующее определение: «фаззинг — это тестирование, использующее как корректные, так и случайные (включая некорректные) входные данные для проверки, устанавливающей, обрабатываются ли должным образом интерфейсом случайные входные данные или возникает ошибочная ситуация (ошибочное условие), указывающая (указывающее) на наличие недостатков при разработке (ошибки исходного кода) или при эксплуатации».

Если проще, то фаззинг — это проверка на то, могут ли при обработке случайных, в том числе некорректных, входных данных некоторыми частями софта возникнуть «странности» в поведении ПО, которые разработчики не закладывали в его функционал.

Из определений ясно, что фаззинг позволяет обнаружить ошибки сразу на нескольких стадиях жизненного цикла программного средства: разработки и применения. Неужели этот метод настолько универсален?

Читать далее
Всего голосов 5: ↑2 и ↓3 -1
Комментарии 3

Обзор изменений в законодательстве за апрель 2023

Время на прочтение 11 мин
Количество просмотров 2.4K

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация операторов в ЕБС, удостоверение личности с помощью Госуслуг, изменения в список контрольных вопросов Роскомнадзора, цифровые отпечатки в приложениях финансовых организаций, замена административных регламентов ФСТЭК России, порядок обращения с ДСП-документами, а также результаты работы ТК 362.

Требования Минэнерго по обеспечению безопасности значимых объектов КИИ

 Для общественного обсуждения представлен проект приказа Министерства энергетики Российской Федерации (далее ‑ Минэнерго России) «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации ‎и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики ‎из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Проектом предлагается установить дополнительные требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) теплоэнергетического комплекса, при организации или осуществлении дистанционного управления технологическими процессами. Проект в явном виде устанавливает область действия требований, а также требования как для организации дистанционного управления, так и для тех субъектов КИИ, которые до вступления проекта в силу уже организовали и осуществляют дистанционное управление.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

УЦСБ и Positive Technologies успешно завершили внедрение PT Application Firewall в рамках импортозамещения

Время на прочтение 3 мин
Количество просмотров 915

«Уральский центр систем безопасности» (УЦСБ) внедрил PT Application Firewall, чтобы обеспечить безопасную эксплуатацию веб-приложений. Главная цель проекта защитить веб-приложения от несанкционированного доступа, а также, в рамках импортозамещения, заменить зарубежный межсетевой экран уровня веб-приложений.

В поисках подходящего решения, по итогам анализа функционала и качества исполнения решений, эксперты УЦСБ остановились на PT Application Firewall, поскольку это российское решение в реестре отечественного ПО, прошедшее сертификацию во ФСТЭК. Кроме того, виртуальные интерфейсы (WAN) данной системы защиты, по сравнению с виртуальными IP-адресами (VIP), значительно упрощают администрирование системы, поскольку системным администраторам не нужно выделять пул внешних IP-адресов для веб-приложений. Также продукт позволяет кастомизировать дашборды, таким образом повышая эффективность задач аналитики.

Читать далее
Всего голосов 5: ↑3 и ↓2 +1
Комментарии 0

Обзор изменений в законодательстве за март 2023

Время на прочтение 18 мин
Количество просмотров 2.9K

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за март 2023 года рассмотрим: изменения в законодательстве о персональных данных, вступившие в силу с марта, новые постановления про единую биометрическую систему, ограничение требований планового госконтроля, законопроект в области защиты государственной тайны, создание государственных информационных систем на платформе «ГосТех», отмена административных регламентов ФСБ России, прекращение применения некоторых средств защиты на аттестованных объектах информатизации, замена 719-П, требования для АИС страхования, руководство по управлению уязвимостями, а также новости в области стандартизации.

Реформа 152-ФЗ

Напомним, что в июле 2022 года были внесены изменения в Федеральный закон от 27.07.2006 №  152-ФЗ «О персональных данных» (далее – 152-ФЗ), которые утверждены Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части 14 статьи  30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ). Часть положений вступили в силу с 1 сентября 2022 года, остальные с 1 марта:

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Атаки на RDP и способы защиты от них

Уровень сложности Простой
Время на прочтение 15 мин
Количество просмотров 20K

С распространением COVID-19 организации перевели сотрудников на удаленный режим работы, что напрямую повлияло на кибербезопасность организаций и привело к изменению вектора угроз.

В 2020 году увеличилось использование сторонних сервисов для обмена данными, работа сотрудников на домашних компьютерах в потенциально незащищенных сетях Wi-Fi. Увеличилось количество людей, использующих инструменты удаленного доступа. Это стало одной из главных проблем для сотрудников ИБ.

Одним из наиболее популярных протоколов прикладного уровня, позволяющим получать удаленный доступ к рабочей станции или серверу под управлением ОС Windows, является проприетарный протокол Microsoft — RDP (англ. Remote Desktop Protocol - Протокол удаленного рабочего стола). Во время карантина в сети Интернет появилось большое количество компьютеров и серверов, к которым можно подключиться удаленно. Наблюдался рост активности злоумышленников, которые хотели воспользоваться текущим положением вещей и атаковать корпоративные ресурсы, доступные для сотрудников, отправленных на удаленную работу. На рисунке 1 представлена статистика атак на RDP. По графику видно, что количество атак на RDP значительно увеличилось с начала пандемии.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 11

Обзор изменений в законодательстве за февраль 2023

Время на прочтение 24 мин
Количество просмотров 3.2K

В обзоре изменений за февраль 2023 года рассмотрим: положение о единой биометрической системе (далее – ЕБС), взаимодействие оператора регионального сегмента ЕБС с Министерством внутренних дел Российской Федерации (далее – МВД России) и Федеральной службой безопасности Российской Федерации (далее – ФСБ России), порядок обработки биометрических персональных данных (далее – ПДн) и изменение случаев и сроков их использования, национальные стандарты по безопасности финансовых операций и управлению компьютерными инцидентами, изменения в приказе Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) № 235, отраслевой план перехода на использование отечественного программного обеспечения (далее – ПО) на значимых объектах критической информационной инфраструктуры (далее – КИИ) и порядок оценки актуальности сведений о субъектах КИИ, новые формы заявлений ФСТЭК России по лицензированию, контроль защиты государственной тайны, управление федеральной государственной информационной системой (далее – ГИС) «Управление государственной единой облачной платформой» (далее – ГосОблако), внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), перечень иностранных сервисов и другие новости.

Читать далее
Рейтинг 0
Комментарии 0

Встраиваем JS- скрипты в PDF для социальной инженерии — пошаговое руководство

Время на прочтение 7 мин
Количество просмотров 12K

Введение

Согласно статистике, большинство всех атак совершается с использованием вредоносного программного обеспечения, а половина от всех атак проводится с использованием методов социальной инженерии.

Таким образом, для проведения проверок с использованием методов социальной инженерии полезно научиться отслеживать реакцию пользователей, что они будут делать с полученным документом. Причём делать это необходимо штатными средствами, никого не взламывая. JavaScript идеально подходит для этих целей.

Мы, Маргарита Белоусова, аналитик аналитического центра и Анастасия Прядко, специалист по анализу защищенности компании УЦСБ написали пошаговую инструкцию, как сделать фишинговый документ: детали и примеры кода. Кроме того, мы кратко рассмотрели структуру PDF-файла, как и куда в него внедрять JavaScript, а также способы маскировки факта внедрения скрипта. Наш опыт пригодится безопасникам, системным администраторам и всем, кто связан с ИБ.

Структура PDF

Организация данных в памяти

PDF способен на большее, чем просто отображать текст. Он может также включать в себя изображения и другие мультимедийные элементы, может быть защищён паролем, выполнять JavaScript и многое другое. Вне зависимости от версии структура PDF документа неизменна:

Читать далее
Всего голосов 17: ↑16 и ↓1 +15
Комментарии 6

Обзор изменений в законодательстве за ноябрь 2022

Время на прочтение 20 мин
Количество просмотров 4K

В обзоре изменений законодательства в области информационной безопасности (далее –ИБ) за ноябрь 2022 года рассмотрим: проект порядка осуществления мониторинга защищенности во исполнение Указа №250, перечень сведений потенциально используемых против безопасности РФ, новый регламент лицензирования ФСБ России, требования по защите информации с использованием криптографических средств в государственных информационных системах (далее – ГИС), требования к отечественному программному обеспечению (далее – ПО), требования к линиям связи, пересекающим границу РФ, требования к оценке вреда субъектам ПДн в случае нарушения 152‑ФЗ, требования к подтверждению уничтожения ПДн и иные изменения в области ПДн, а также новые стандарты по управлению компьютерными инцидентами, результаты работы ТК 362 и другие новости в нормативном поле ИБ.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 2

Обзор изменений в законодательстве за октябрь 2022

Время на прочтение 21 мин
Количество просмотров 2.3K

В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре, изменения в правила категорирования объектов критической информационной инфраструктуры, методические рекомендации об импортозамещении, положение о платформе для создания государственных информационных систем, дополнение к правилам допуска к государственной тайне, публикация профессиональных стандартов специалистов в области ИБ и ИТ, изменения в порядок сертификации средств защиты в системе ФСТЭК России, результаты работы ТК 362 и т.д.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 1

Компетенции ИБ-специалиста

Время на прочтение 4 мин
Количество просмотров 3.3K

Рост количества кибератак и ежедневные сообщения об утечках персональных данных пользователей – это новые реалии информационного мира. Уберечь компании от этих проблем помогают эксперты по информационной безопасности (ИБ). Круг обязанностей коллег по устранению киберугроз широк, однако есть определенные компетенции, которые ценятся в этой сфере. В нашей статье подробно расскажем о навыках, которые пригодятся, если вы хотите начать карьеру или уже работает в сфере ИБ.

Читать далее
Всего голосов 2: ↑0 и ↓2 -2
Комментарии 1

Пентестеры: думать, как взломщики, чтобы усилить защиту

Время на прочтение 4 мин
Количество просмотров 2.6K

За последние несколько лет картина российского ИТ-мира сильно изменилась. Число атак на информационные системы предприятий и компаний возросло лавинообразно. Сегодня любой организации стоит быть готовой к тому, что объектом вторжения может стать ее ИТ-инфраструктура, и сделать все, чтобы оно не увенчалось успехом.

Так сложилось, что в русском языке слово «хакер» имеет скорее негативное значение – умелец, который проникает в информационные системы организаций, чтобы нарушить работу или украсть данные. На самом деле это искажение. Хакер – это специалист, который умеет мыслить нестандартно, находить обходные, неочевидные пути к своим целям и использовать их.

Как и у любой силы, у этой есть темная и светлая стороны. Киберситхи взламывают системы с преступными намерениями. Киберджедаи ищут слабые места в информационной безопасности организации, чтобы их усилить. Они действуют только во благо компании и всегда задумываются о последствиях своих действий. В вакансиях киберджедаев называют специалистами по анализу защищенности, инженерами аудита информационной безопасности и инженерами кибербезопасности. В ИТ-мире они известны как пентестеры, от penetration test – тест на проникновение.

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 1

Обзор изменений в законодательстве за сентябрь 2022

Время на прочтение 13 мин
Количество просмотров 2.4K

В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.

Читать далее
Всего голосов 5: ↑3 и ↓2 +1
Комментарии 0

Немецкое качество или как оценивать риски ИБ по BSI-Standard 200-3

Время на прочтение 10 мин
Количество просмотров 2.1K

Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

обнаружение и защита от атак на государственную ИТ-инфраструктуру;

тестирование, сертификация и аккредитация ИТ-продуктов и услуг;

информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);

разработка единых и обязательных стандартов по ИБ;

и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3).

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 2

Принуждение к аутентификации. Что это и как защищаться?

Время на прочтение 6 мин
Количество просмотров 14K

В этой статье нападающие узнают, что coerce можно осуществлять не только с 445/tcp порта, а защитники обнаружат, как можно надежно запретить принуждение к аутентификации.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 5

Обзор изменений в законодательстве за август 2022

Время на прочтение 17 мин
Количество просмотров 3.6K

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за август 2022 года рассмотрим: результаты работы технического комитета по стандартизации «Защита информации» (ТК 362), импортозамещение в критической информационной инфраструктуре, новый порядок информирования об инцидентах и измененные правила категорирования, новые формы уведомления Роскомнадзора и требования к оценке вреда субъектам персональных данных, возвращение платы за единую биометрическую систему и аккредитация на право владения государственными информационными системами для идентификации и аутентификации.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 2

Информация

В рейтинге
Не участвует
Откуда
Екатеринбург, Свердловская обл., Россия
Зарегистрирован
Активность