«Разделение труда характерно практически всех видов человеческой деятельности, и было бы странно, если бы в деле киберпреступлений было иначе. На самом деле, ПО SocGholish существует с 2018 года, и его услугами воспользовались уже десятки APT-групп. В каком-то смысле это просто самый известный случай подобной бизнес-модели. Кроме этого, ведь существуют многочисленные конструкторы вредоносного ПО или магазины по организации DDoS-атак», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

«Интересно тут другое: если софт существует так давно, и все ведущие вендоры ИБ о нем знают, то почему же сотни пользователей регулярно загружают себе этот вредоносный код? Ответов несколько, можно выбрать любой, наиболее приятный. Во-первых, для эффективной борьбы с такой комплексной угрозой нужно не просто поставить антивирус, но и соблюдать цифровую гигиену, а это, как показала практика, доступно не каждому. Или второй вариант – вы крупная компания, а у вас просто может не быть ресурсов для того, чтобы быть в курсе актуальных угроз и поставить задачу инженерам что-то с этим сделать. Да, вы можете подключиться к SOC, но это тоже требует усилий, а мотивация зачастую появляется после потери первых миллионов от взлома. С цифровой гигиеной мы ничего сделать не можем, а вот услуги SOC, таких как GSOC, сегодня доступны даже малому бизнесу, и это повод задуматься, стоят ли риски этой экономии», — заключил эксперт.

Если говорить о поведении наблюдаемого объекта в контексте обнаружения zero-day, то наиболее корректным будет использовать подход на основе профилирования. В основе данного подхода находится банальный анализ величины отклонения наблюдаемого поведения от эталонного профиля нормального поведения. Сравнивая эту величину с заданным пределом, становится возможным обнаружить отклонения в поведении, что может свидетельствовать как о простой аномалии, так и о деструктивном воздействии.

«Злоумышленники, эксплуатирующие FireWood, отталкиваются от первоначальных веб-шеллов на конечные устройства. Соответственно, вредоносное ПО позволяет расширить возможности на скомпрометированных устройствах и проводить разведку, сбор данных и наносить ущерб целостности информации системы».

«FireWood представляет собой значимую угрозу для Linux-инфраструктур из-за своей скрытности и функциональности. Для построения проактивной защиты требуется слаженная работа ряда компонентов системы защиты информации, включая EDR-системы с поведенческим анализом, HIDS, NGFW/IPS с SSL-инспекцией, WAF и строгий контроль привилегий IDM-систем. Эффективным решением с точки зрения мониторинга несанкционированного влияния на сетевую инфраструктуру может стать NAC (Network Access Control), который заметит нелегитимные действия и отразит соответствующую информацию. Именное такое решение может предложить компания "Газинформсервис" в составе комплекса Efros DefOps.

Кроме того, стоит отметить важность роли SOC-аналитиков в настройке детектирования потенциальных угроз и выстраивания процессов реагирования на инциденты, а также интеграции разведки киберугроз для постоянного развития защитных мер. Здесь "Газинформсервис" может оказать поддержку — специалисты GSOC готовы прийти на помощь с оперативным реагированием 24/7 в согласованные SLA», — заключает Дмитриева.

Подробнее о том, почему подобные устройства — самые настоящие троянские кони, как игровая приставка может стать оружием хакера и что к этому привело, — читайте в нашей новой статье на Хабр.

«В этом выпуске мы готовим сицилийскую классику — пасту алла норма. Дело это тонкое, но куда более тонкие материи мы обсудили с нашем гостем, Иваном Головковым. Мы поговорили о подготовке молодых специалистов, о том, как общаться с заказчиком, и что делать, чтобы технические решения по информационной безопасности действительно приносили пользу и надёжно защищали бизнес от кибермошенников», — рассказывает Сергей Полунин.

«В первую очередь, уязвимость BDU:2025-09637 касается тех организаций, которые активно используют платформы Microsoft для облачной инфраструктуры и приложений, особенно в рамках корпоративных решений и сервисов на базе ИИ, – предупредила читателей TAdviser Екатерина Едемская, инженер-аналитик компании «Газинформсервис». – К таким компаниям могут относиться крупные банки, государственные учреждения, операторы телекоммуникационных услуг, а также организации, работающие в области финансовых технологий и электронной коммерции. В случае успешной эксплуатации уязвимости злоумышленники могут получить несанкционированный доступ к критическим данным, а также повысить свои привилегии, что приведет к компрометации безопасности систем и потенциальной утечке информации».

По данным аналитиков Б1, рост рынка информационной безопасности с 22 по 24 годы составил примерно 56%. При этом среднегодовой темп роста за указанный период — около 25%. Инвестиции в информационную безопасность довольно высокие, благодаря процессу импортозамещения. Количество стартапов в сфере информационной безопасности растёт каждый год: например, в прошлом году в наш проект «Биржа ИБ и IT-стартапов» поступило более сотни заявок. Для успеха любого стартапа важно сфокусироваться на решении конкретной задачи. Мы понимаем, что сейчас развиваются технологии искусственного интеллекта и обеспечение безопасности как самих алгоритмов, так и наборов данных для обучения. На сегодняшний день наиболее перспективные направления для стартапов это, конечно же, безопасность модели искусственного интеллекта в больших языковых моделях, защита цепочек поставок, автоматизация расследования инцидентов и так далее. Стоит отметить, что для стартапов важна реализация возможности быстрого внедрения этих решений.

Прежде всего, искусственный интеллект создаёт новые угрозы, среди которых генерация вредоносного кода, усовершенствованный фишинг или автоматизация атак. Также стоит отметить активное внедрение методов искусственного интеллекта и машинного обучения в различные современные продукты. Сейчас перед специалистами по кибербезопасности встала новая задача — обеспечить безопасность использования этих методов, а именно контролировать неизменность датасетов, предотвращать утечку конфиденциальных данных из продуктов, которые применяют методы машинного обучения, и тому подобное. При этом новые угрозы создают новые возможности для стартапов. Как правило, молодые и более гибкие проекты направлены на решение конкретной задачи. Так что стартапы смогут конкурировать в решении конкретной задачи, связанной с новыми угрозами, которые несёт использование искусственного интеллекта. Тем не менее небольшим командам очень сложно полноценно конкурировать с крупными игроками, поскольку в информационной безопасности требуется не решение конкретных задач, а применение комплексного подхода. Именно поэтому «Газинформсервис» в своём проекте «Биржа ИБ и IT-стартапов» ищет такие молодые команды, которые решают новые конкретные задачи и предлагает использовать эти решения в своих продуктах.

Ключевая сложность — это отсутствие связки между теми, у кого есть идеи, и теми, кто в них заинтересован. Сейчас появляются платформы, на которых стартаперы могут презентовать свои проекты, получать обратную связь от экспертов и находить первых клиентов. Например, некоторые команды начинают с решения конкретных задач для бизнеса. Это даёт и практический опыт, и возможность доработать продукт под реальные потребности. Также важно, чтобы такие площадки не только сводили людей, но и помогали выстраивать долгосрочное сотрудничество.