Мы всегда стараемся слышать клиентов и ориентироваться на их потребности. Многим компаниям, успешно внедрившим СЗИ и собравшим сильную команду SOC, не хватало для работы своеобразного координатора или дирижера.
После детекта нужно убедиться, что активность вредоносная, оповестить людей, собрать контекст, запустить меры реагирования... Для этого процессы и взаимодействие в команде должны быть выстроены идеально.
С этим и помогает наше зонтичное решение, связывающее все этапы работы с инцидентами в единый управляемый поток и снимающее с аналитиков рутинную нагрузку.
Вы узнаете:
На лонче мы подробно поговорим о проблемах классического SOC и о том, как перезагрузка при помощи MaxPatrol 360 помогает с ними справиться.
Регистрируйтесь уже сейчас — и до встречи через неделю!
#MaxPatrol360
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍8❤🔥7🎉4
Аватар: легенда о слитом мультфильме
На днях в сети появилась полная версия мультфильма «Легенда об Аанге: Последний маг воздуха» — за полгода до официального релиза, который должен был состояться 9 октября. Такое мы осуждаем,но мультфильм получился достойным .
Что произошло🥷
Все началось 12 апреля, когда в сети появились фрагменты из будущего мультика — до этого было известно только его название и дата релиза; не было даже трейлера.
Есть две версии, как это вышло — обе неофициальные: компании Paramount, Nickelodeon и Avatar Studios пока что не прокомментировали утечку.
Серьезная версия: к краже причастна группировка PeggleCrew. Она решила отомстить Paramount за то, что та отказалась показывать мультфильм в кинотеатрах и решила выпустить его только на платформе Paramount+, доступной в основном в США.
Как пишут СМИ, группировка получила доступ к серверам Nickelodeon, откуда и смогла загрузить мультфильм, который еще был в стадии постпродакшна.
Забавная версия: пользователь ImStillDissin, опубликовавший фрагменты, сообщил, что получил фильм случайно по электронной почте от Nickelodeon.
🤷♀️ Где правда — мы не знаем. Но художники и аниматоры мультфильма очень недовольны. Уверены, что и студии тоже.
А что пираты: ImStillDissin заявил, что не ожидал такого резонанса. Российские кинотеатры сообщили, что будут показывать мультфильм уже в апреле — хотя он был слит в качестве, неподходящем для показа на больших экранах.
Такое уже было:
1️⃣ Одна из самых громких утечек фильмов случилась в 2009 году — хакеры слили в сеть «Люди Икс: Начало. Росомаха» за месяц до релиза. В этой версии отсутствовала большая часть спецэффектов и некоторые сцены. Кстати, случилось это тоже в апреле — первого числа, что изначально посчитали шуткой. Сообщалось, что утечка произошла не из-за внешнего взлома, а из-за недостаточной защиты передачи превью-версии фильма.
2️⃣ В 2014 году у Sony Pictures украли и слили в сеть несколько фильмов, среди которых были «Ярость» и «Интервью» — про лидера КНДР. Официально ФБР сообщило, что за взломом стояли хакеры из КНДР, которые были недовольны выходом фильма, однако эта версия оспаривалась специалистами по кибербезопасности.
3️⃣ Квентин Тарантино чуть не отказался от съемок фильма «Омерзительная восьмерка» из-за утечки сценария в 2014 году. Когда он был готов, PDF-файл с ним начал распространяться в сети — скорее всего из-за человеческого фактора. Фильм все же сняли, но после того, как сценарий был переписан.
Что посоветуем: не отправляйте копии фильмов и сценариев по электронной почте ине злите фанатов 😉
P.S.: Фильм «Как получить доступ ко всему: реверс-инжиниринг» в сеть мы слили самостоятельно, смотрите его на любых удобных для вас платформах бесплатно.
@Positive_Technologies
На днях в сети появилась полная версия мультфильма «Легенда об Аанге: Последний маг воздуха» — за полгода до официального релиза, который должен был состояться 9 октября. Такое мы осуждаем,
Что произошло
Все началось 12 апреля, когда в сети появились фрагменты из будущего мультика — до этого было известно только его название и дата релиза; не было даже трейлера.
Есть две версии, как это вышло — обе неофициальные: компании Paramount, Nickelodeon и Avatar Studios пока что не прокомментировали утечку.
Серьезная версия: к краже причастна группировка PeggleCrew. Она решила отомстить Paramount за то, что та отказалась показывать мультфильм в кинотеатрах и решила выпустить его только на платформе Paramount+, доступной в основном в США.
Как пишут СМИ, группировка получила доступ к серверам Nickelodeon, откуда и смогла загрузить мультфильм, который еще был в стадии постпродакшна.
Забавная версия: пользователь ImStillDissin, опубликовавший фрагменты, сообщил, что получил фильм случайно по электронной почте от Nickelodeon.
🤷♀️ Где правда — мы не знаем. Но художники и аниматоры мультфильма очень недовольны. Уверены, что и студии тоже.
«Мне не нравится, когда люди используют ужасное решение Paramount для того, чтобы оправдывать утечку. <...> Это невероятное неуважение по отношению к тем усилиям, которые все художники вложили в этот фильм», — написала художник-аниматор Джулия Шоэль в своем аккаунте X.
А что пираты: ImStillDissin заявил, что не ожидал такого резонанса. Российские кинотеатры сообщили, что будут показывать мультфильм уже в апреле — хотя он был слит в качестве, неподходящем для показа на больших экранах.
Такое уже было:
1️⃣ Одна из самых громких утечек фильмов случилась в 2009 году — хакеры слили в сеть «Люди Икс: Начало. Росомаха» за месяц до релиза. В этой версии отсутствовала большая часть спецэффектов и некоторые сцены. Кстати, случилось это тоже в апреле — первого числа, что изначально посчитали шуткой. Сообщалось, что утечка произошла не из-за внешнего взлома, а из-за недостаточной защиты передачи превью-версии фильма.
2️⃣ В 2014 году у Sony Pictures украли и слили в сеть несколько фильмов, среди которых были «Ярость» и «Интервью» — про лидера КНДР. Официально ФБР сообщило, что за взломом стояли хакеры из КНДР, которые были недовольны выходом фильма, однако эта версия оспаривалась специалистами по кибербезопасности.
3️⃣ Квентин Тарантино чуть не отказался от съемок фильма «Омерзительная восьмерка» из-за утечки сценария в 2014 году. Когда он был готов, PDF-файл с ним начал распространяться в сети — скорее всего из-за человеческого фактора. Фильм все же сняли, но после того, как сценарий был переписан.
Что посоветуем: не отправляйте копии фильмов и сценариев по электронной почте и
P.S.: Фильм «Как получить доступ ко всему: реверс-инжиниринг» в сеть мы слили самостоятельно, смотрите его на любых удобных для вас платформах бесплатно.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍15😁10❤5
This media is not supported in your browser
VIEW IN TELEGRAM
Юбилейная кибербитва Standoff 😼
В этом году нашей кибербитве исполняется 10 лет. За это время Standoff вырос в одну из крупнейших мировых площадок, где белые хакеры проверяют кибербез не на бумаге, а в реальном бою.
С 2016 года в битве приняли участие более 7500 экспертов со всего мира, а свыше 500 компаний прокачали киберустойчивость, отточив навыки своих команд.
Следующая кибербитва — Standoff 17 — пройдет с 16 по 19 июня в Кибердоме. И мы хотим сделать ее по-настоящему легендарной.
Вот что ждет участников:
⌨️ Киберсражение развернется в виртуальном Государстве F — на киберполигоне с инфраструктурой разных отраслей: от энергетики и железнодорожного транспорта до телекома и банков.
⌨️ Максимум реализма: будут воссозданы настоящие процессы и технологии, включая ПЛК и SCADA.
⌨️ Атаковать их будут 25 красных команд из Вьетнама, Индонезии, Монголии, Китая, Нидерландов, Узбекистана и России.
⌨️ Сильнейшие команды атакующих разделят призовой фонд в 50 000 $. Им предстоит реализовать более 70 критических событий — от получения доступа к системам до нарушения бизнес-процессов.
⌨️ Защитники — команды российских специалистов по ИБ — будут в реальном времени выявлять, разбирать инциденты и реагировать на атаки.
👀 И главное — вы сможете увидеть все своими глазами. Доклады про кибериспытания, цифровые копии систем и нейронки, а также мастер-классы и конкурсы по кибербезу — все это будет доступно гостям кибербитвы.
Как попасть — скоро расскажем🔜
#Standoff
@Positive_Technologies
В этом году нашей кибербитве исполняется 10 лет. За это время Standoff вырос в одну из крупнейших мировых площадок, где белые хакеры проверяют кибербез не на бумаге, а в реальном бою.
С 2016 года в битве приняли участие более 7500 экспертов со всего мира, а свыше 500 компаний прокачали киберустойчивость, отточив навыки своих команд.
Следующая кибербитва — Standoff 17 — пройдет с 16 по 19 июня в Кибердоме. И мы хотим сделать ее по-настоящему легендарной.
Вот что ждет участников:
Как попасть — скоро расскажем
#Standoff
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤🔥15👏11🤔4❤2🤨1
⚡ Мы разработали ByteDog — нейросеть для поиска вредоносов
Она построена на архитектуре трансформеров — той же, что используют большие языковые модели. Но ее ключевая особенность в том, что вместо текста или изображений ByteDog анализирует файлы напрямую — в виде байтов.
За счет этого ByteDog находит вредоносное ПО на 20% точнее, чем классические модели машинного обучения. Это первая подобная разработка в кибербезопасности в России и Европе. И она будет внедрена в наши продукты и сервисы.
Как это работает🤖
Представьте: вам приходит файл, похожий на счет от подрядчика, но внутри — вирус. Классическому антивирусу нужно время: распаковать файл, извлечь код, прогнать через набор правил.
ByteDog пропускает эти шаги. Нейросеть сразу анализирует файл так же, как его видит операционная система, — как последовательность байтов. И находит признаки вредоносного кода, даже если он хорошо замаскирован.
В чем ноу-хау:
1️⃣ Раньше ИИ в кибербезе требовал ручной подготовки данных под каждый новый вид вирусов. Специалисты заранее выделяли признаки, по которым обучали модель отличать вредоносный код от обычного.
2️⃣ ByteDog убирает этот этап. После обучения она анализирует файлы напрямую — в том виде, как они есть на компьютерах, смартфонах, в облаке или интернете.
3️⃣ Модель способна сама учиться находить закономерности, экстраполировать их и обнаруживать угрозы, которые ранее не встречались в данных. Этим она превосходит системы, основанные на жестких, фиксированных правилах. Это похоже на то, как языковые модели учатся понимать текст без знания грамматики — просто анализируя последовательности символов. Только здесь вместо слов — байты.
4️⃣ Главная техническая сложность — длина входных данных. Если языковые модели работают с десятками тысяч токенов, то файлы — это миллионы байтов, ни один из которых нельзя пропустить. ByteDog решает эту проблему: анализирует файлы фрагментами и собирает общую картину.
5️⃣ Еще одна особенность — для работы не нужен графический ускоритель: уже обученную модель можно запускать прямо на устройствах пользователей — компьютерах и смартфонах.
Гордимся нашей командой, которая смогла разработать и обучить собственную модель с нуля. Дальше — больше 💪
@Positive_Technologies
Она построена на архитектуре трансформеров — той же, что используют большие языковые модели. Но ее ключевая особенность в том, что вместо текста или изображений ByteDog анализирует файлы напрямую — в виде байтов.
За счет этого ByteDog находит вредоносное ПО на 20% точнее, чем классические модели машинного обучения. Это первая подобная разработка в кибербезопасности в России и Европе. И она будет внедрена в наши продукты и сервисы.
Как это работает
Представьте: вам приходит файл, похожий на счет от подрядчика, но внутри — вирус. Классическому антивирусу нужно время: распаковать файл, извлечь код, прогнать через набор правил.
ByteDog пропускает эти шаги. Нейросеть сразу анализирует файл так же, как его видит операционная система, — как последовательность байтов. И находит признаки вредоносного кода, даже если он хорошо замаскирован.
«Обучение и тестирование ByteDog проводились на образцах из реальных киберинцидентов на протяжении года. Модель продемонстрировала превосходство над классическими ML-моделями по качеству детектирования и скорости анализа — разница составила более 20%. ByteDog будет интегрирована в ряд продуктов и сервисов Positive Technologies по обнаружению киберугроз», — отметил Андрей Кузнецов, ML-директор Positive Technologies.
В чем ноу-хау:
1️⃣ Раньше ИИ в кибербезе требовал ручной подготовки данных под каждый новый вид вирусов. Специалисты заранее выделяли признаки, по которым обучали модель отличать вредоносный код от обычного.
2️⃣ ByteDog убирает этот этап. После обучения она анализирует файлы напрямую — в том виде, как они есть на компьютерах, смартфонах, в облаке или интернете.
3️⃣ Модель способна сама учиться находить закономерности, экстраполировать их и обнаруживать угрозы, которые ранее не встречались в данных. Этим она превосходит системы, основанные на жестких, фиксированных правилах. Это похоже на то, как языковые модели учатся понимать текст без знания грамматики — просто анализируя последовательности символов. Только здесь вместо слов — байты.
4️⃣ Главная техническая сложность — длина входных данных. Если языковые модели работают с десятками тысяч токенов, то файлы — это миллионы байтов, ни один из которых нельзя пропустить. ByteDog решает эту проблему: анализирует файлы фрагментами и собирает общую картину.
5️⃣ Еще одна особенность — для работы не нужен графический ускоритель: уже обученную модель можно запускать прямо на устройствах пользователей — компьютерах и смартфонах.
Гордимся нашей командой, которая смогла разработать и обучить собственную модель с нуля. Дальше — больше 💪
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥57❤22👏12🐳8😁5🤯2🤨2
🚘 Как взломать машину и получить над ней полный контроль?
Современный автомобиль — это уже не просто колёса и кузов, а десятки электронных блоков (ЭБУ), каждый из которых отвечает за свою функцию: от двигателя до систем безопасности.
Ирония в том, что каждый из них по отдельности довольно прост — «глупее» планшета.
Опытный реверс-инженер знает, как подступиться к такой системе. Все начинается с маленьких уязвимостей в микроконтроллерах, которые управляют буквально всем — от двигателя до подушек безопасности. Есть они даже в казалось бы защищенных automotive-чипах.
Как их можно взломать, рассказал в своей статье для Positive Research Юрий Васин, руководитель группы Tau Positive Labs.
Читайте, чтобы увидеть авто глазами реверсера, узнать, как устроена архитектура ЭБУ и CAN-сети, каким образом можно извлечь прошивки из защищенных чипов, и как атаки по питанию ломают защиту на уровне железа.
#PositiveЭксперты #PositiveResearch
@Positive_Technologies
Современный автомобиль — это уже не просто колёса и кузов, а десятки электронных блоков (ЭБУ), каждый из которых отвечает за свою функцию: от двигателя до систем безопасности.
Ирония в том, что каждый из них по отдельности довольно прост — «глупее» планшета.
Опытный реверс-инженер знает, как подступиться к такой системе. Все начинается с маленьких уязвимостей в микроконтроллерах, которые управляют буквально всем — от двигателя до подушек безопасности. Есть они даже в казалось бы защищенных automotive-чипах.
Как их можно взломать, рассказал в своей статье для Positive Research Юрий Васин, руководитель группы Tau Positive Labs.
Читайте, чтобы увидеть авто глазами реверсера, узнать, как устроена архитектура ЭБУ и CAN-сети, каким образом можно извлечь прошивки из защищенных чипов, и как атаки по питанию ломают защиту на уровне железа.
#PositiveЭксперты #PositiveResearch
@Positive_Technologies
❤18🔥14👍6⚡1🎉1
Forwarded from Positive Hack Days Media
Media is too big
VIEW IN TELEGRAM
< Почему нельзя продавать старые смартфоны…
пока не посмотрите это видео😏
Обновили телефон после праздников? Поздравляем! Решили продать старый? Не спешите — вместе с ним вы можете продать и свои данные.
😮 Мы провели эксперимент: купили 30 смартфонов на «Авито» — с разбитыми экранами, убитой батареей, проблемами с запуском операционной системы и просто старые, но рабочие.
Почти во всех осталось главное — данные: SMS, история звонков, фото и видео, переписки в мессенджерах, контакты и даже логины и пароли от онлайн-сервисов.
Причина простая: владельцы продавали устройства, не задумываясь о их правильной очистке.
Более того, иногда они сами передают пароли от телефона и аккаунтов, не задумываясь о последствиях. А это уже доступ к облачным бэкапам и возможность удаленно управлять другими устройствами, привязанными к одной учетке.
Как продать смартфон безопасно — за 70 секунд объясняет Виталий Титаренко из РТ ESC.
@PHDays
пока не посмотрите это видео
Обновили телефон после праздников? Поздравляем! Решили продать старый? Не спешите — вместе с ним вы можете продать и свои данные.
Почти во всех осталось главное — данные: SMS, история звонков, фото и видео, переписки в мессенджерах, контакты и даже логины и пароли от онлайн-сервисов.
Причина простая: владельцы продавали устройства, не задумываясь о их правильной очистке.
Более того, иногда они сами передают пароли от телефона и аккаунтов, не задумываясь о последствиях. А это уже доступ к облачным бэкапам и возможность удаленно управлять другими устройствами, привязанными к одной учетке.
Как продать смартфон безопасно — за 70 секунд объясняет Виталий Титаренко из РТ ESC.
@PHDays
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28👌22❤🔥13❤5🎉2🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
В PT Dephaze появились новые векторы атак 🗡
Мы добавили в наш продукт для автопентеста внутренней инфраструктуры сценарии реальных атак на продукты Microsoft, а также поддержку пользовательских словарей паролей.
Рассказываем, зачем это нужно:
1️⃣ Обновленная версия безопасно проводит киберразведку систем на Windows и, действуя как настоящий злоумышленник, показывает, как можно похитить сессии привилегированных пользователей (учетных записей с расширенными правами доступа).
2️⃣ Добавлены новые техники атак на Active Directory (систему управления пользователями, устройствами и доступами в корпоративной сети). Продукт может получать хеши паролей через NTP (протокол синхронизации времени) и повышать привилегии через инфраструктуру сертификатов Microsoft. Если в ходе тестирования удается захватить домен, это указывает на серьезные ошибки конфигурации.
3️⃣ Теперь можно проверять защищенность системы управления устройствами Microsoft (SCCM). Уязвимость CVE-2024-43468, обнаруженная в прошлом году, позволяла неподтвержденному пользователю получить полный контроль над системой и загрузить вредоносное ПО. Несмотря на то, что исправления уже выпущены, в компании может использоваться уязвимая версия SCCM — PT Dephaze это покажет.
4️⃣ Добавили возможность загружать собственные словари паролей — например, из утечек или с популярными комбинациями. Благодаря этому тестирование методом подбора учетных данных становится более приближенным к реальным условиям конкретной компании. Продукт использует словари для перебора хешей и проверки доступов по протоколам SMB (сетевой доступ к файлам), SSH (удаленный доступ к серверам), RDP (подключение к рабочему столу) и многим другим.
5️⃣ Появилась функция согласования расширения области тестирования. Она нужна для дополнительных целей, которые PT Dephaze может определить самостоятельно, но далее потребуется ваше подтверждение. Это делает работу продукта более прозрачной, а автопентесты — более управляемыми.
😈 Узнать больше о PT Dephaze можно на нашем сайте.
#PTDephaze
@Positive_Technologies
Мы добавили в наш продукт для автопентеста внутренней инфраструктуры сценарии реальных атак на продукты Microsoft, а также поддержку пользовательских словарей паролей.
Рассказываем, зачем это нужно:
1️⃣ Обновленная версия безопасно проводит киберразведку систем на Windows и, действуя как настоящий злоумышленник, показывает, как можно похитить сессии привилегированных пользователей (учетных записей с расширенными правами доступа).
2️⃣ Добавлены новые техники атак на Active Directory (систему управления пользователями, устройствами и доступами в корпоративной сети). Продукт может получать хеши паролей через NTP (протокол синхронизации времени) и повышать привилегии через инфраструктуру сертификатов Microsoft. Если в ходе тестирования удается захватить домен, это указывает на серьезные ошибки конфигурации.
3️⃣ Теперь можно проверять защищенность системы управления устройствами Microsoft (SCCM). Уязвимость CVE-2024-43468, обнаруженная в прошлом году, позволяла неподтвержденному пользователю получить полный контроль над системой и загрузить вредоносное ПО. Несмотря на то, что исправления уже выпущены, в компании может использоваться уязвимая версия SCCM — PT Dephaze это покажет.
4️⃣ Добавили возможность загружать собственные словари паролей — например, из утечек или с популярными комбинациями. Благодаря этому тестирование методом подбора учетных данных становится более приближенным к реальным условиям конкретной компании. Продукт использует словари для перебора хешей и проверки доступов по протоколам SMB (сетевой доступ к файлам), SSH (удаленный доступ к серверам), RDP (подключение к рабочему столу) и многим другим.
5️⃣ Появилась функция согласования расширения области тестирования. Она нужна для дополнительных целей, которые PT Dephaze может определить самостоятельно, но далее потребуется ваше подтверждение. Это делает работу продукта более прозрачной, а автопентесты — более управляемыми.
#PTDephaze
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥12🤩9👍7😁1
Сегодня мы представили MaxPatrol 360 — единую систему для управление расследованиями и операционной работой SOC
Ее главное предназначение — сделать жизнь подразделений SOC проще, а работу эффективнее, в том числе за счет автоматизации рутинных процессов.
👅 Все СЗИ говорят на одном языке
Представьте обычное утро аналитика SOC. Он наливает чашку кофе, включает компьютер… и на несколько часов оказывается погребен под завалами оповещений от разных систем защиты информации. Все алерты — в разных интерфейсах и не связаны между собой единым контекстом.
MaxPatrol 360 решает эту проблему. Он централизованно собирает информацию со всех средств защиты, установленных в инфраструктуре. Причем это могут быть и решения Positive Technologies и продукты других вендоров, с которыми он может легко «подружиться» через открытый API (он же позволяет клиентам и интеграторам самостоятельно писать и добавлять необходимые интеграции и коннекторы). Система унифицирует все детекты и показывает аналитику в едином окне, избавляя от необходимости разбирать их вручную.
🎮 Управлять безопасностью можно из одного центра
Еще одна забота аналитика SOC — видеть цельную картину всего происходящего в инфраструктуре компании. А это бывает непросто, если она многослойная и разветвленная.
Чтобы не приходилось складывать этот пазл вручную, мы построили архитектуру MaxPatrol 360 по принципу мультитенантности — возможности обслуживать множество независимых организаций или связанных между собой подразделений.
Это позволяет централизованно управлять десятками инфраструктур внутри одной системы. А одни и те же модели поведения и виды вредоносной активности, зафиксированные в разных организациях, система обрабатывает единообразно и в режиме одного окна. Поэтому MaxPatrol 360 подходит всем компаниям и ведомствам с разветвленной инфраструктурой или сетью филиалов. А также тем, кому необходимо в рамках единой инфраструктуры выстраивать процессы SOC и автоматизировать их.
Что важно: аналитик может не только видеть цельную картинку, но и реагировать на инциденты из этого же центра управленияполетами. И одинаково быстро останавливать и злоумышленников, пытающихся взломать центральный офис, где он сам работает, и атаку на филиал где-нибудь во Владивостоке.
🌉 Мост между ИБ и ИТ
Тем временем наш гипотетический аналитик запасся вторым кофе и отправился проверять тикеты на закрытие уязвимостей, заведенные аж в трех системах для трех разных команд. Это существенно затрудняет их приоритизацию и отслеживание.
Мы добавили в MaxPatrol 360 удобную систему тикетов и дашборды. Благодаря этому его можно использовать для автоматизации внутренних запросов отдела ИБ, для обеспечения коммуникации между ИБ и ИТ, а также для взаимодействия с регуляторами (НКЦКИ, ГосСОПКА и ФинЦЕРТ) посредством встроенных расширений.
Установить систему, которая обеспечит полный цикл обработки инцидентов, можно всего за час, а начать работу — в несколько кликов, если ваша инфраструктура и СЗИ к этому подготовлены.
Всем аналитикам SOC, которые узнали себя,сочувствуем оставляем ссылку на «пилот» MaxPatrol 360.
#MaxPatrol360
@Positive_Technologies
Ее главное предназначение — сделать жизнь подразделений SOC проще, а работу эффективнее, в том числе за счет автоматизации рутинных процессов.
Представьте обычное утро аналитика SOC. Он наливает чашку кофе, включает компьютер… и на несколько часов оказывается погребен под завалами оповещений от разных систем защиты информации. Все алерты — в разных интерфейсах и не связаны между собой единым контекстом.
Например, причина срабатывания NTA- и SIEM-систем может быть одной и той же, но это будет ясно не сразу, а только тогда, когда аналитик разберет оба оповещения, потратив на это в два раза больше времени. Это как читать одну и ту же новость одновременно на турецком и китайском, пытаясь вникнуть в ее смысл, — непросто.
MaxPatrol 360 решает эту проблему. Он централизованно собирает информацию со всех средств защиты, установленных в инфраструктуре. Причем это могут быть и решения Positive Technologies и продукты других вендоров, с которыми он может легко «подружиться» через открытый API (он же позволяет клиентам и интеграторам самостоятельно писать и добавлять необходимые интеграции и коннекторы). Система унифицирует все детекты и показывает аналитику в едином окне, избавляя от необходимости разбирать их вручную.
Еще одна забота аналитика SOC — видеть цельную картину всего происходящего в инфраструктуре компании. А это бывает непросто, если она многослойная и разветвленная.
Чтобы не приходилось складывать этот пазл вручную, мы построили архитектуру MaxPatrol 360 по принципу мультитенантности — возможности обслуживать множество независимых организаций или связанных между собой подразделений.
Это позволяет централизованно управлять десятками инфраструктур внутри одной системы. А одни и те же модели поведения и виды вредоносной активности, зафиксированные в разных организациях, система обрабатывает единообразно и в режиме одного окна. Поэтому MaxPatrol 360 подходит всем компаниям и ведомствам с разветвленной инфраструктурой или сетью филиалов. А также тем, кому необходимо в рамках единой инфраструктуры выстраивать процессы SOC и автоматизировать их.
Что важно: аналитик может не только видеть цельную картинку, но и реагировать на инциденты из этого же центра управления
Тем временем наш гипотетический аналитик запасся вторым кофе и отправился проверять тикеты на закрытие уязвимостей, заведенные аж в трех системах для трех разных команд. Это существенно затрудняет их приоритизацию и отслеживание.
Мы добавили в MaxPatrol 360 удобную систему тикетов и дашборды. Благодаря этому его можно использовать для автоматизации внутренних запросов отдела ИБ, для обеспечения коммуникации между ИБ и ИТ, а также для взаимодействия с регуляторами (НКЦКИ, ГосСОПКА и ФинЦЕРТ) посредством встроенных расширений.
Установить систему, которая обеспечит полный цикл обработки инцидентов, можно всего за час, а начать работу — в несколько кликов, если ваша инфраструктура и СЗИ к этому подготовлены.
Всем аналитикам SOC, которые узнали себя,
#MaxPatrol360
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27😁15👍8❤6👏3🤔1
Сколько стоит взломать ваш бизнес
Ответ — в интервью Дениса Баранова, генерального директора Positive Technologies, для программы «Бизнес в~Праве». Рекомендуем посмотреть его всем, кто хочет понять, что на самом деле важно для защиты любой компании.
А здесь — делимся главным.
👽 О мотивации злоумышленников
За время мотивация киберпреступников заметно эволюционировала. Сначала они разбирались, как системы устроены изнутри, — и это до сих пор остается базовым хакерским навыком.
Позже на первый план вышли деньги: кражи, вымогательство, монетизация взломов. Сегодня, по крайней мере в отношении России, мотивация снова сместилась: злоумышленники приходят либо за нанесением ущерба, либо за данными.
При этом размер бизнеса все меньше влияет на выбор цели. Жертвами могут стать как крупная электростанция или банк, остановка работы которых приведет к серьезным последствиям, так и небольшая компания, у которой можно украсть базы сотрудников и клиентов. И то, и другое может быть использовано противоположной стороной в кибервойне.
По сути, специалисты по кибербезопасности работают как коммунальные службы, для которых важно, чтобы, несмотря ни на что, был свет, текла вода и вывозился мусор. Мы точно так же пытаемся остановить разрушение цивилизации, которое может произойти в результате кибератак.
🙅♂️ О предотвращении недопустимого
Подход к киберзащите изменился. Средства прошлого поколения были ориентированы на цифровую гигиену — защиту от массовых атак и контроль паролей. Эти меры по-прежнему важны, но их недостаточно.
Когда руководители говорят: «Вот бюджет — сделайте так, чтобы нас нельзя было взломать», это устаревшая постановка задачи. Теперь мы спрашиваем: «Какие события для вас действительно недопустимы?» — и строим защиту вокруг того, чтобы они стали невозможными.
Этот подход мы сначала опробовали на себе: спросили у разных подразделений, что в их представлении недопустимо. Но быстро поняли, что набор мелких инцидентов (вроде подмены контента на сайте или взлома CRM-системы) не отражает реальной картины. Важно смотреть, что действительно может уничтожить бизнес, — с уровня генерального директора.
Например, в нашем случае к недопустимым событиям относятся хищение более чем 1 млрд рублей со счетов или внедрение вредоносного кода в исходный код продуктов.
🤬 Оценка эффективности защиты 🐧
Эффективность защиты лучше всего проверяется в условиях, максимально приближенных к реальным. Один из вариантов — проводить киберучения с помощью пентестеров.
Сейчас же все чаще используются кибериспытания, которые могут идти непрерывно. Компания объявляет вознаграждение за демонстрацию того, что реализовать недопустимое для нее событие возможно. А белые хакеры не просто ищут одну уязвимость, а выстраивают целые цепочки атак, которые могут им помочь.
Размер вознаграждения напрямую влияет на уровень подготовки специалистов. Например, стартовая сумма в 1 млн рублей привлекает новичков. На уровне 20 млн рублей подключаются уже более опытные команды. Верхнюю планку можно поднимать до необходимого уровня сложности.
Для понимания: за реализацию наших недопустимых событий мы готовы заплатить 60 млн рублей, и за последние три года эти деньги никто не получил.
🤝 ИИ — друг или враг?
Технологический прогресс неизбежен, и запрещать ИИ — примерно то же самое, что запрещать паровозы или автомобили, потому что есть лошади. Мы уже в этой реальности, вопрос лишь в том, как в ней безопасно существовать.
Разработчики используют ИИ для генерации частей кода, в перспективе нейросети смогут писать приложения целиком. Проблема в том, что почти никто не проверяет безопасность написанного. По мировой статистике, такой код содержит уязвимости примерно в 40% случаев, по нашим оценкам — в 65%. Поэтому необходим полноценный аудит безопасности, который сейчас могут делать только люди.
В будущем могут появиться системы, в которых одна нейросеть генерирует код, а другая проверяет его безопасность. Но смогут ли люди доверять таким системам, если сами перестанут разбираться в коде?
Больше интересного — в выпуске на «VK Видео».
@Positive_Technologies
Ответ — в интервью Дениса Баранова, генерального директора Positive Technologies, для программы «Бизнес в~Праве». Рекомендуем посмотреть его всем, кто хочет понять, что на самом деле важно для защиты любой компании.
А здесь — делимся главным.
За время мотивация киберпреступников заметно эволюционировала. Сначала они разбирались, как системы устроены изнутри, — и это до сих пор остается базовым хакерским навыком.
Позже на первый план вышли деньги: кражи, вымогательство, монетизация взломов. Сегодня, по крайней мере в отношении России, мотивация снова сместилась: злоумышленники приходят либо за нанесением ущерба, либо за данными.
При этом размер бизнеса все меньше влияет на выбор цели. Жертвами могут стать как крупная электростанция или банк, остановка работы которых приведет к серьезным последствиям, так и небольшая компания, у которой можно украсть базы сотрудников и клиентов. И то, и другое может быть использовано противоположной стороной в кибервойне.
По сути, специалисты по кибербезопасности работают как коммунальные службы, для которых важно, чтобы, несмотря ни на что, был свет, текла вода и вывозился мусор. Мы точно так же пытаемся остановить разрушение цивилизации, которое может произойти в результате кибератак.
🙅♂️ О предотвращении недопустимого
Подход к киберзащите изменился. Средства прошлого поколения были ориентированы на цифровую гигиену — защиту от массовых атак и контроль паролей. Эти меры по-прежнему важны, но их недостаточно.
Когда руководители говорят: «Вот бюджет — сделайте так, чтобы нас нельзя было взломать», это устаревшая постановка задачи. Теперь мы спрашиваем: «Какие события для вас действительно недопустимы?» — и строим защиту вокруг того, чтобы они стали невозможными.
Этот подход мы сначала опробовали на себе: спросили у разных подразделений, что в их представлении недопустимо. Но быстро поняли, что набор мелких инцидентов (вроде подмены контента на сайте или взлома CRM-системы) не отражает реальной картины. Важно смотреть, что действительно может уничтожить бизнес, — с уровня генерального директора.
Например, в нашем случае к недопустимым событиям относятся хищение более чем 1 млрд рублей со счетов или внедрение вредоносного кода в исходный код продуктов.
Эффективность защиты лучше всего проверяется в условиях, максимально приближенных к реальным. Один из вариантов — проводить киберучения с помощью пентестеров.
Сейчас же все чаще используются кибериспытания, которые могут идти непрерывно. Компания объявляет вознаграждение за демонстрацию того, что реализовать недопустимое для нее событие возможно. А белые хакеры не просто ищут одну уязвимость, а выстраивают целые цепочки атак, которые могут им помочь.
Размер вознаграждения напрямую влияет на уровень подготовки специалистов. Например, стартовая сумма в 1 млн рублей привлекает новичков. На уровне 20 млн рублей подключаются уже более опытные команды. Верхнюю планку можно поднимать до необходимого уровня сложности.
Для понимания: за реализацию наших недопустимых событий мы готовы заплатить 60 млн рублей, и за последние три года эти деньги никто не получил.
Технологический прогресс неизбежен, и запрещать ИИ — примерно то же самое, что запрещать паровозы или автомобили, потому что есть лошади. Мы уже в этой реальности, вопрос лишь в том, как в ней безопасно существовать.
Разработчики используют ИИ для генерации частей кода, в перспективе нейросети смогут писать приложения целиком. Проблема в том, что почти никто не проверяет безопасность написанного. По мировой статистике, такой код содержит уязвимости примерно в 40% случаев, по нашим оценкам — в 65%. Поэтому необходим полноценный аудит безопасности, который сейчас могут делать только люди.
В будущем могут появиться системы, в которых одна нейросеть генерирует код, а другая проверяет его безопасность. Но смогут ли люди доверять таким системам, если сами перестанут разбираться в коде?
Больше интересного — в выпуске на «VK Видео».
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤11👍8😁1
4300 объявлений о продаже киберпреступных услуг и 10 выводов
Наши эксперты изучили более четырех тысяч объявлений о продаже киберпреступных услуг за последние два года, размещенных в 38 источниках — крупных теневых форумах, маркетплейсах и Telegram-каналах на разных языках и с разной специализацией.
И вот что им удалось выяснить:
1️⃣ Киберпреступность окончательно закрепилась как сервисная модель и продолжает усиливаться. Злоумышленники тратят «копейки» на покупку услуг, а зарабатывают на атаках в сотни и тысячи раз больше. При этом инструменты дешевеют, а ущерб растет — и это напрямую драйвит рынок.
К примеру, фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребует примерно 158 $, при этом затраты окупятся уже после первого полученного доступа.
2️⃣ Порог входа продолжает снижаться. Даже участники с минимальными навыками могут запускать атаки, используя готовые сервисы. А рынок становится все более специализированным: достаточно быть экспертом лишь в одной области, чтобы монетизировать свои навыки.
3️⃣ Самые доступные предложения — аренда инфраструктуры (8 $), DDoS-атаки (20 $), логи стилеров (20 $). Это основа для проведения низкоквалифицированных, но массовых атак.
4️⃣ Самый дорогой сегмент — эксплойты: медианная цена — 27 500 $, а 35% предложений стоят дороже 100 000 $. При этом распространение эксплойт-китов по подписке от 500 $ в месяц снижает порог входа и в этот сегмент.
5️⃣ Рынок движется к модели cybercrime as a platform — то есть к единым экосистемам, где разные этапы атаки объединяются в один сервис.
6️⃣ Уже происходит объединение сервисов в единые услуги. Так, продажа логов стилеров постепенно объединяется с проверкой учетных данных, а услуги вымогателей — с продажей доступов.
7️⃣ ИИ уже встроен в процессы злоумышленников: он используется для персонализации фишинга, генерации кода, коммуникации с жертвами. В перспективе он усилит все этапы атаки, а автономные ИИ-агенты помогут собирать результаты услуг в полноценную атаку.
8️⃣ Сегменты рынка будут развиваться неравномерно. Зрелые услуги — аренда инфраструктуры, вымогатели, фишинг, разработка и эксплуатация готового ВПО — продолжат развиваться как полноценный бизнес.
9️⃣ Продолжают набирать популярность и развиваться услуги по обходу средств защиты, выпуску сертификатов и криптованию ВПО: EDR-киллеры (2250 $), криптование ВПО (150 $ за файл или от 1000 до 5000 $ по подписке), подпись кода (2150 $ за сертификат).
🔟 Разведка становится самостоятельным сервисным сегментом. Развитие технологий автоматизации и использование моделей ИИ может привести к появлению сервисов, способных выполнять OSINT-задачи в автоматическом режиме, агрегировать данные из различных источников и формировать готовые разведывательные отчеты.
А что делать?😱
Чтобы эффективно бороться со злоумышленниками, службы ИБ должны регулярно мониторить дарквеб и связанные с ним каналы коммуникации. А компаниям нужно больше обмениваться информацией друг с другом, с исследовательскими организациями и правоохранительными органами.
🫱 Подробности (с примерами и скриншотами) ищите в полной версии нашего исследования.
@Positive_Technologies
Наши эксперты изучили более четырех тысяч объявлений о продаже киберпреступных услуг за последние два года, размещенных в 38 источниках — крупных теневых форумах, маркетплейсах и Telegram-каналах на разных языках и с разной специализацией.
И вот что им удалось выяснить:
1️⃣ Киберпреступность окончательно закрепилась как сервисная модель и продолжает усиливаться. Злоумышленники тратят «копейки» на покупку услуг, а зарабатывают на атаках в сотни и тысячи раз больше. При этом инструменты дешевеют, а ущерб растет — и это напрямую драйвит рынок.
К примеру, фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребует примерно 158 $, при этом затраты окупятся уже после первого полученного доступа.
2️⃣ Порог входа продолжает снижаться. Даже участники с минимальными навыками могут запускать атаки, используя готовые сервисы. А рынок становится все более специализированным: достаточно быть экспертом лишь в одной области, чтобы монетизировать свои навыки.
3️⃣ Самые доступные предложения — аренда инфраструктуры (8 $), DDoS-атаки (20 $), логи стилеров (20 $). Это основа для проведения низкоквалифицированных, но массовых атак.
4️⃣ Самый дорогой сегмент — эксплойты: медианная цена — 27 500 $, а 35% предложений стоят дороже 100 000 $. При этом распространение эксплойт-китов по подписке от 500 $ в месяц снижает порог входа и в этот сегмент.
5️⃣ Рынок движется к модели cybercrime as a platform — то есть к единым экосистемам, где разные этапы атаки объединяются в один сервис.
6️⃣ Уже происходит объединение сервисов в единые услуги. Так, продажа логов стилеров постепенно объединяется с проверкой учетных данных, а услуги вымогателей — с продажей доступов.
7️⃣ ИИ уже встроен в процессы злоумышленников: он используется для персонализации фишинга, генерации кода, коммуникации с жертвами. В перспективе он усилит все этапы атаки, а автономные ИИ-агенты помогут собирать результаты услуг в полноценную атаку.
8️⃣ Сегменты рынка будут развиваться неравномерно. Зрелые услуги — аренда инфраструктуры, вымогатели, фишинг, разработка и эксплуатация готового ВПО — продолжат развиваться как полноценный бизнес.
9️⃣ Продолжают набирать популярность и развиваться услуги по обходу средств защиты, выпуску сертификатов и криптованию ВПО: EDR-киллеры (2250 $), криптование ВПО (150 $ за файл или от 1000 до 5000 $ по подписке), подпись кода (2150 $ за сертификат).
🔟 Разведка становится самостоятельным сервисным сегментом. Развитие технологий автоматизации и использование моделей ИИ может привести к появлению сервисов, способных выполнять OSINT-задачи в автоматическом режиме, агрегировать данные из различных источников и формировать готовые разведывательные отчеты.
А что делать?
Чтобы эффективно бороться со злоумышленниками, службы ИБ должны регулярно мониторить дарквеб и связанные с ним каналы коммуникации. А компаниям нужно больше обмениваться информацией друг с другом, с исследовательскими организациями и правоохранительными органами.
🫱 Подробности (с примерами и скриншотами) ищите в полной версии нашего исследования.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21🔥15❤7😁1🤨1
Мы могли бы сказать, что это секретная информация или отделаться парой общих фраз. Но вместо этого делимся всеми подробностями в статье, которую написал для Positive Research Валерий Слезкинцев, руководитель направления реагирования на конечных устройствах антивирусной лаборатории PT ESC.
Читайте, чтобы познакомиться с PT AV — именно так мы назвали наш движок — в деталях.
Вы узнаете, как он интегрируется в наши продукты (ведь антивирус есть не только в MaxPatrol EPP), какие тесты мы используем, чтобы оценить эффективность его работы, и как добавляем в него экспертизу разных подразделений PT ESC.
Рассказали и о том, за что именно PT AV отвечает в MaxPatrol EPP и как ему удается не только обнаруживать, но и предотвращать атаки на всех этапах их развития.
👉 Вам осталось только открыть статью и все прочитать. Появятся вопросы — задавайте, передадим их автору.
#MaxPatrolEPP
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥5❤2👌1
Media is too big
VIEW IN TELEGRAM
Как мы в Позитиве киберучения Standoff тестировали 💪
Мы не предлагаем клиентам продукты или идеи, которые не проверили на себе. Так что с чем бы мы ни выходили на рынок, знайте: «пилот» уже, скорее всего, был — внутри нашей компании.
Киберучения Standoff, которые мы запустили в самом начале апреля, — не исключение. Если коротко, это однодневная, но интенсивная тренировка для департамента ИБ. На ней команда защиты расследует реальные хакерские атаки в безопасной среде и проверяет свою готовность. Впрочем, мы об этом недавно рассказывали.
Конечно, первыми добровольцами стали наши собственные кибербезопасники. Так мы убили двух зайцев: и новый продукт протестировали в дружелюбной среде, и убедились, что ребята, как пионеры, — всегда готовы☝️
Под руководством ментора они полностью расследовали две цепочки атак и показали очень хорошие результаты. А заодно взглянули на внутренние процессы под другим углом: проверили скорость и способы реагирования на инциденты, оценили свои сильные стороны и поняли, что стоит улучшить.
Вердикт наших испытателей такой: хорошиесапоги киберучения, надо пробовать. Ведь, как говорит наш CISO Виктор Гордеев: «Лучше тренироваться сейчас, чем в момент настоящего инцидента не понимать, что делать».
Все подробности о том, как это было, — смотрите в видео.
#Standoff
@Positive_Technologies
Мы не предлагаем клиентам продукты или идеи, которые не проверили на себе. Так что с чем бы мы ни выходили на рынок, знайте: «пилот» уже, скорее всего, был — внутри нашей компании.
Киберучения Standoff, которые мы запустили в самом начале апреля, — не исключение. Если коротко, это однодневная, но интенсивная тренировка для департамента ИБ. На ней команда защиты расследует реальные хакерские атаки в безопасной среде и проверяет свою готовность. Впрочем, мы об этом недавно рассказывали.
Конечно, первыми добровольцами стали наши собственные кибербезопасники. Так мы убили двух зайцев: и новый продукт протестировали в дружелюбной среде, и убедились, что ребята, как пионеры, — всегда готовы
Под руководством ментора они полностью расследовали две цепочки атак и показали очень хорошие результаты. А заодно взглянули на внутренние процессы под другим углом: проверили скорость и способы реагирования на инциденты, оценили свои сильные стороны и поняли, что стоит улучшить.
Вердикт наших испытателей такой: хорошие
Все подробности о том, как это было, — смотрите в видео.
#Standoff
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤14👍13❤🔥1
Сетевые аномалии не пройдут: как контролировать трафик без потери качества
Казалось бы, у вас стоит хорошая система поведенческого анализа сетевого трафика (например, PT NAD), и этого должно быть достаточно. Однако эффективность работы любой, даже самой хорошей NTA/NDR-системы, зависит от двух факторов:
1️⃣ Отсутствие слепых зон в сети: вам нужно видеть трафик во всех критически важных сегментах.
2️⃣ Качество данных: на это могут повлиять дублирование пакетов или их потеря при всплесках нагрузки.
Чтобы повысить эффективность мониторинга, мы интегрировали PT NAD с высокоэффективными ответвителями сетевого трафика DS TAP и брокером сетевых пакетов DS Integrity EVO. Замерили показатели до и после и теперь готовы рассказать, что из этого вышло, на вебинаре 30 апреля в 14:00.
Чем полезны TAP-ответвители
Расскажем, как они помогают сохранить стопроцентную копию трафика при любых нагрузках и обеспечивают видимость всей сети.
Зачем нужен брокер сетевых пакетов
Поговорим о том, как он агрегирует потоки, фильтрует «шум», избавляется от пакетов-дублей и балансирует нагрузку между сенсорами PT NAD.
Ваши доказательства?
Поделимся данными исследования нашей лаборатории: сравним показатели PT NAD до и после внедрения брокера сетевых пакетов. А еще — реальными кейсами внедрения совместного решения в инфраструктуру заказчиков.
Регистрируйтесь прямо сейчас, готовьте вопросы, увидимся послезавтра 😉
#PTNAD
@Positive_Technologies
Казалось бы, у вас стоит хорошая система поведенческого анализа сетевого трафика (например, PT NAD), и этого должно быть достаточно. Однако эффективность работы любой, даже самой хорошей NTA/NDR-системы, зависит от двух факторов:
1️⃣ Отсутствие слепых зон в сети: вам нужно видеть трафик во всех критически важных сегментах.
2️⃣ Качество данных: на это могут повлиять дублирование пакетов или их потеря при всплесках нагрузки.
Чтобы повысить эффективность мониторинга, мы интегрировали PT NAD с высокоэффективными ответвителями сетевого трафика DS TAP и брокером сетевых пакетов DS Integrity EVO. Замерили показатели до и после и теперь готовы рассказать, что из этого вышло, на вебинаре 30 апреля в 14:00.
Чем полезны TAP-ответвители
Расскажем, как они помогают сохранить стопроцентную копию трафика при любых нагрузках и обеспечивают видимость всей сети.
Зачем нужен брокер сетевых пакетов
Поговорим о том, как он агрегирует потоки, фильтрует «шум», избавляется от пакетов-дублей и балансирует нагрузку между сенсорами PT NAD.
Ваши доказательства?
Поделимся данными исследования нашей лаборатории: сравним показатели PT NAD до и после внедрения брокера сетевых пакетов. А еще — реальными кейсами внедрения совместного решения в инфраструктуру заказчиков.
Регистрируйтесь прямо сейчас, готовьте вопросы, увидимся послезавтра 😉
#PTNAD
@Positive_Technologies
❤6🔥5👍3🤔1
«Один дома» наоборот: как мошенники совершают кражи руками детей
Дети — одна из самых уязвимых категорий жертв мошенников. Они легко используют все современные технологии, но при этом в силу отсутствия опыта их легко обмануть, запугать или заставить «спасать» родителей, оказавшихся в беде. Почти четверть атак совершается при помощи такого шантажа. И это — второй по популярности метод обмана после мошенничества с игровой валютой. Результатом успешных афер может стать не только потеря денег или имущества, но и уголовное преследование, если ребенок, которого обманули, старше 14 лет.
Впустила в дом воров, чтобы спасти семью
Недавно в одном из столичных ЖК обокрали квартиру, вынеся оттуда денег и ценностей более чем на 1 млн рублей. Когда началось следствие, выяснилось, что во всем виноваты… двое подростков, которых обманули и запугали злоумышленники, пишут «Известия».
Одну из них — Сашу — дочь хозяев квартиры — мошенники начали «обрабатывать» заранее и по уже известной схеме, которую обычно используют со взрослыми. При помощи отправки кода, якобы для получения посылки, угнали аккаунт на «Госуслугах», а потом стали запугивать девочку. В течение двух дней ей рассказывали, что родителей могут привлечь к ответственности за спонсирование терроризма, и принуждали к сотрудничеству. Так преступники узнали, какое имущество хранится в квартире, и заставили Сашу оставить в условленном месте комплект ключей перед тем, как они с родителями уехали на несколько дней.
Дальше в дело вступил второй подросток — парень 16 лет, которого также запугали и вынудили играть по чужим правилам. Он проник в Сашину квартиру, вскрыл сейф при помощи болгарки и лома, а после вынес и передал злоумышленникам шкатулку с золотыми украшениями, 600 евро и 350 000 рублей.
Пока идет следствие, часть информации не разглашается, но ст. 20 УК РФ прямо говорит, что уголовная ответственность за любые преступления в России наступает с 16 лет, а по отдельным преступлениям (среди которых и кражи) — с 14 лет.
Как защитить детей
Главные орудия против мошенников — не технологии, а основы кибергигиены и доверительные отношения с детьми, считает Ирина Зиновкина, руководитель направления аналитических исследований в Positive Technologies.
1️⃣ Расскажите ребенку, что он не сможет решить проблемы взрослых за них, и что, если его шантажируют, угрожая безопасностью родителей, это точно мошенники. Научите его сразу рассказывать вам о любых подозрительных звонках или сообщениях. А заодно — никому не сообщать приходящие коды, особенно если его номер телефона привязан к аккаунтам на «Госуслугах» или в банковских приложениях.
2️⃣ Второй важный аспект — поддержание доверительных отношений в семье. Дети не должны бояться рассказать родителям о любых возникающих у них проблемах и попросить помощи, даже если они попались на удочку мошенников, от чего никто не застрахован. При хорошем контакте с ребенком проблем, о которых мы рассказываем выше, в вашей семье, скорее всего, не возникнет.
3️⃣ Не просто учите детей правилам кибергигиены, но и соблюдайте их сами. Иначе, наблюдая, как вы, условно, переходите дорогу на красный свет, ребенок вряд ли станет переходить ее на зеленый.
#PositiveЭксперты
@Positive_Technologies
Дети — одна из самых уязвимых категорий жертв мошенников. Они легко используют все современные технологии, но при этом в силу отсутствия опыта их легко обмануть, запугать или заставить «спасать» родителей, оказавшихся в беде. Почти четверть атак совершается при помощи такого шантажа. И это — второй по популярности метод обмана после мошенничества с игровой валютой. Результатом успешных афер может стать не только потеря денег или имущества, но и уголовное преследование, если ребенок, которого обманули, старше 14 лет.
Впустила в дом воров, чтобы спасти семью
Недавно в одном из столичных ЖК обокрали квартиру, вынеся оттуда денег и ценностей более чем на 1 млн рублей. Когда началось следствие, выяснилось, что во всем виноваты… двое подростков, которых обманули и запугали злоумышленники, пишут «Известия».
Одну из них — Сашу — дочь хозяев квартиры — мошенники начали «обрабатывать» заранее и по уже известной схеме, которую обычно используют со взрослыми. При помощи отправки кода, якобы для получения посылки, угнали аккаунт на «Госуслугах», а потом стали запугивать девочку. В течение двух дней ей рассказывали, что родителей могут привлечь к ответственности за спонсирование терроризма, и принуждали к сотрудничеству. Так преступники узнали, какое имущество хранится в квартире, и заставили Сашу оставить в условленном месте комплект ключей перед тем, как они с родителями уехали на несколько дней.
Дальше в дело вступил второй подросток — парень 16 лет, которого также запугали и вынудили играть по чужим правилам. Он проник в Сашину квартиру, вскрыл сейф при помощи болгарки и лома, а после вынес и передал злоумышленникам шкатулку с золотыми украшениями, 600 евро и 350 000 рублей.
Пока идет следствие, часть информации не разглашается, но ст. 20 УК РФ прямо говорит, что уголовная ответственность за любые преступления в России наступает с 16 лет, а по отдельным преступлениям (среди которых и кражи) — с 14 лет.
Как защитить детей
Главные орудия против мошенников — не технологии, а основы кибергигиены и доверительные отношения с детьми, считает Ирина Зиновкина, руководитель направления аналитических исследований в Positive Technologies.
1️⃣ Расскажите ребенку, что он не сможет решить проблемы взрослых за них, и что, если его шантажируют, угрожая безопасностью родителей, это точно мошенники. Научите его сразу рассказывать вам о любых подозрительных звонках или сообщениях. А заодно — никому не сообщать приходящие коды, особенно если его номер телефона привязан к аккаунтам на «Госуслугах» или в банковских приложениях.
2️⃣ Второй важный аспект — поддержание доверительных отношений в семье. Дети не должны бояться рассказать родителям о любых возникающих у них проблемах и попросить помощи, даже если они попались на удочку мошенников, от чего никто не застрахован. При хорошем контакте с ребенком проблем, о которых мы рассказываем выше, в вашей семье, скорее всего, не возникнет.
3️⃣ Не просто учите детей правилам кибергигиены, но и соблюдайте их сами. Иначе, наблюдая, как вы, условно, переходите дорогу на красный свет, ребенок вряд ли станет переходить ее на зеленый.
#PositiveЭксперты
@Positive_Technologies
👍15❤🔥8❤6👏6🔥2
Почему бизнес выбирает багбаунти 🤑
Уязвимости есть у всех. Вопрос — кто найдет их первым: те, кто может нанести компании ущерб, или те, кто даст вам время их устранить.
Запуск своей программы багбаунти — поиска уязвимостей с помощью багхантеров — уже выбрали сотни компаний, среди которых Apple, Google, Wildberries, Ozon и VK. Но этот путь подходит не только огромным корпорациям, но и малому и среднему бизнесу, которые только начинают выстраивать процессы безопасности.
И дело не в формальности — это экономически обоснованный подход: найти уязвимость заранее и заплатить за это багхантерам дешевле, чем получить убытки в результате реальной кибератаки.
🎤 О том, как подготовиться к запуску и внедрить багбаунти в процессы безопасности, расскажем на вебинаре 5 мая в 14:00.
Вы узнаете:
• как встроить багбаунти в стратегию AppSec и риск-менеджмента;
• в каких сценариях программа дает максимальную экономию и высокий ROI;
• как масштабировать программу и привлекать топовых исследователей на рынке.
Регистрируйтесь на вебинар, чтобы узнать, как использовать багбаунти с выгодой для бизнеса💵
Будет полезно тем, у кого уже есть программа багбаунти, и тем, кто о ней только задумывается или узнал из этой публикации
#Standoff
@Positive_Technologies
Уязвимости есть у всех. Вопрос — кто найдет их первым: те, кто может нанести компании ущерб, или те, кто даст вам время их устранить.
Запуск своей программы багбаунти — поиска уязвимостей с помощью багхантеров — уже выбрали сотни компаний, среди которых Apple, Google, Wildberries, Ozon и VK. Но этот путь подходит не только огромным корпорациям, но и малому и среднему бизнесу, которые только начинают выстраивать процессы безопасности.
И дело не в формальности — это экономически обоснованный подход: найти уязвимость заранее и заплатить за это багхантерам дешевле, чем получить убытки в результате реальной кибератаки.
Вы узнаете:
• как встроить багбаунти в стратегию AppSec и риск-менеджмента;
• в каких сценариях программа дает максимальную экономию и высокий ROI;
• как масштабировать программу и привлекать топовых исследователей на рынке.
Регистрируйтесь на вебинар, чтобы узнать, как использовать багбаунти с выгодой для бизнеса
Будет полезно тем, у кого уже есть программа багбаунти, и тем, кто о ней только задумывается или узнал из этой публикации
#Standoff
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍12🔥9
IPAHound — инструмент от пентестеров для пентестеров 🤝
Наша команда хакеров PT SWARM все чаще изучает инфраструктуры, построенные на базе альтернативных реализаций службы каталога Microsoft Active Directory, одна из которых — FreeIPA.
👨💻 Если говорить просто, то FreeIPA — это единый центр авторизации, где можно создавать пользователей, задавать им права и управлять доступами к серверам и сервисам компании. В отличие от Active Directory, эта система создана под Linux и является open-source решением.
Команда PT SWARM уже не раз находила уязвимости нулевого дня в FreeIPA и ее компонентах, помогая делать систему безопаснее. В ходе работы стало очевидно, что помимо отдельных багов важно изучать и архитектурные особенности, которые сильно отличаются от Active Directory.
😶 Чтобы автоматизировать эту работу, команда создала IPAHound — инструмент для поиска ошибок в настройках прав в домене FreeIPA.
IPAHound состоит из двух компонентов — коллектора (собирает данные) и GUI (графического интерфейса). Коллектор получает информацию через протокол LDAP и подготавливает ее для загрузки в интерфейс. В графическом представлении данные отображаются в виде графа, что упрощает поиск ошибок в настройках домена и анализ связей.
😐 Команда готова делиться своим инструментом и рассказывать, как он работает. Одними из первых его протестировали ребята из «Группы Астра», которые разрабатывают службу каталога ALD Pro на базе FreeIPA.
Мы подробно разобрали IPAHound в материале на Хабре: показали, как он работает на практике и какие есть варианты перемещения по инфраструктуре FreeIPA.
Прочитать статью можно по ссылке.
#PTSWARM
@Positive_Technologies
Наша команда хакеров PT SWARM все чаще изучает инфраструктуры, построенные на базе альтернативных реализаций службы каталога Microsoft Active Directory, одна из которых — FreeIPA.
Команда PT SWARM уже не раз находила уязвимости нулевого дня в FreeIPA и ее компонентах, помогая делать систему безопаснее. В ходе работы стало очевидно, что помимо отдельных багов важно изучать и архитектурные особенности, которые сильно отличаются от Active Directory.
IPAHound состоит из двух компонентов — коллектора (собирает данные) и GUI (графического интерфейса). Коллектор получает информацию через протокол LDAP и подготавливает ее для загрузки в интерфейс. В графическом представлении данные отображаются в виде графа, что упрощает поиск ошибок в настройках домена и анализ связей.
«Нам удалось проверить все типовые сценарии использования инструмента IPAHound и подтвердить его удобство для поиска ошибок в конфигурации: password spraying, захват службы, повышение привилегий через группу — с помощью IPAHound все эти ошибки искать становится намного проще», — поделились они своими впечатлениями.
Мы подробно разобрали IPAHound в материале на Хабре: показали, как он работает на практике и какие есть варианты перемещения по инфраструктуре FreeIPA.
Прочитать статью можно по ссылке.
#PTSWARM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍8❤🔥6🔥6
Forwarded from ESCalator
Copy.Fail 🐧
Исследователи обнаружили баг в ядре Linux, который существовал в системах с 2017 года и затрагивает практически все дистрибутивы.
Уязвимость, которую мы считаем трендовой, состоит из четырех шагов:
1️⃣ Пользователь открывает сокет
2️⃣ Через
3️⃣ Ошибка в
4️⃣ Ядро исполняет модифицированный setuid-файл из кэша → выполнение кода с правами root.
Данная цепочка уязвимости частично схожа с Dirty Pipe (CVE-2022-0847), которая также использует системные вызовы:
•
•
Так как данная уязвимость уже обнаруживалась в PT Sandbox при анализе ПО в образе Astra Linux, процесс эксплуатации новой уязвимости Copy Fail также обнаруживалась в PT Sandbox еще до выхода публичного эксплойта.
Благодаря этому эксплойту можно перезаписывать не только suid-файлы, но и проводить другие модификации, делая системные изменения более скрытными.
Как исправить 🔧
Если вы администрируете Linux-системы — обновите ядро. Патч зафиксирован в коммите
Если немедленное обновление невозможно — временная мера: отключить модуль
#cve #tip
@ptescalator
Исследователи обнаружили баг в ядре Linux, который существовал в системах с 2017 года и затрагивает практически все дистрибутивы.
Уязвимость, которую мы считаем трендовой, состоит из четырех шагов:
1️⃣ Пользователь открывает сокет
AF_ALG и инициализирует AEAD-алгоритм без привилегий;2️⃣ Через
splice() страницы кэша целевого файла попадают в буфер операции;3️⃣ Ошибка в
authencesn дает запись 4 байт за границы буфера прямо в страницы кэша;4️⃣ Ядро исполняет модифицированный setuid-файл из кэша → выполнение кода с правами root.
Данная цепочка уязвимости частично схожа с Dirty Pipe (CVE-2022-0847), которая также использует системные вызовы:
•
pipe — создает однонаправленный канал передачи данных;•
splice — позволяет передавать данные между файловыми дескрипторами без промежуточного копирования.Так как данная уязвимость уже обнаруживалась в PT Sandbox при анализе ПО в образе Astra Linux, процесс эксплуатации новой уязвимости Copy Fail также обнаруживалась в PT Sandbox еще до выхода публичного эксплойта.
Благодаря этому эксплойту можно перезаписывать не только suid-файлы, но и проводить другие модификации, делая системные изменения более скрытными.
Как исправить 🔧
Если вы администрируете Linux-системы — обновите ядро. Патч зафиксирован в коммите
a664bf3d603d. Основные дистрибутивы начали выпускать исправленные пакеты с 29 апреля. После обновления потребуется перезагрузка.Если немедленное обновление невозможно — временная мера: отключить модуль
algif_aead:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null
#cve #tip
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥6🤯6❤5🐳3
Ожидание и реальность
Вместе с The Edgers и SuperJob мы провели исследование о том, как владельцы бизнеса (CEO) оценивают своих CISO (директоров по киберзащите).
Исследование прошло в формате глубинных интервью с представителями трех ключевых ролей: CISO, CEO и CTO/CIO (технические директора). Всего 43 респондента.
И результаты нас удивили, делимся выводами.
1️⃣ CEO и CISO по-разному оценивают зрелость роли
Мы попросили CEO оценить своих CISO по 10-балльной шкале, а CISO — оценить себя по той же шкале.
В результате: более 40% CISO поставили себе 8–9 баллов, тогда как CEO дали 7–10 баллов лишь в 25% случаев.
То есть CISO в целом считают себя красавчиками, а часть CEO вообще не до конца понимает, кто это, чем он занимается и как влияет на бизнес.
2️⃣ Эти ребята мало общаются между собой
Около 37% CEO отметили, что либо не взаимодействуют с CISO напрямую, либо не могут оценить их работу.
3️⃣ CISO редко участвуют в стратегическом планировании
Более половины компаний по-прежнему воспринимают безопасность как техническую функцию, а не как полноценного участника стратегических решений. Хотя кибербез уже давно вышел за рамки покупки продуктов и заполнения бумажек — он напрямую влияет на устойчивость организаций.
4️⃣ Разговор идет на разных языках
CISO описывают риски через уязвимости, устойчивость инфраструктуры и технические метрики. Топ-менеджмент — через деньги, риски для бизнеса и устойчивость компании. Связь между этими мирами часто слабая или вообще отсутствует.
5️⃣ Рынок образования не решает эту проблему
100% опрошенных сходятся в одном: существующие образовательные программы не закрывают разрыв в понимании между CEO и CISO.
Что с этим делать 🤔
Чтобы сократить этот разрыв, нужны изменения сразу на трех уровнях:
🥸 CISO — системно развивать бизнес-компетенции и навыки управленческой коммуникации, а не только техническую экспертизу.
😎 CEO — научиться формулировать понятные критерии киберустойчивости и понимать, как именно CISO влияет на бизнес-результат.
😎 Рынок образования — создавать практико-ориентированные программы, которые соединяют технологии, бизнес-мышление и стратегическое управление, а не живут в одной из этих плоскостей.
Только синхронные изменения на всех трех уровнях способны повысить киберустойчивость компаний и страны в целом.
А если CISO продолжат говорить на языке технологий, CEO будет воспринимать безопасность как инфраструктуру, а образовательный рынок останется сосредоточенным на технической подготовке, то существующее расхождение сохранится.
Полное исследование — с цифрами и цитатами — опубликовали на сайте.
@Positive_Technologies
CISO: нам нужно сосредоточиться на управлении уязвимостями, защите конечных устройств и сделать так, чтобы TTA было больше, чем TTR.
CEO: ты кто такой вообще?
Вместе с The Edgers и SuperJob мы провели исследование о том, как владельцы бизнеса (CEO) оценивают своих CISO (директоров по киберзащите).
Исследование прошло в формате глубинных интервью с представителями трех ключевых ролей: CISO, CEO и CTO/CIO (технические директора). Всего 43 респондента.
И результаты нас удивили, делимся выводами.
1️⃣ CEO и CISO по-разному оценивают зрелость роли
Мы попросили CEO оценить своих CISO по 10-балльной шкале, а CISO — оценить себя по той же шкале.
В результате: более 40% CISO поставили себе 8–9 баллов, тогда как CEO дали 7–10 баллов лишь в 25% случаев.
То есть CISO в целом считают себя красавчиками, а часть CEO вообще не до конца понимает, кто это, чем он занимается и как влияет на бизнес.
2️⃣ Эти ребята мало общаются между собой
Около 37% CEO отметили, что либо не взаимодействуют с CISO напрямую, либо не могут оценить их работу.
3️⃣ CISO редко участвуют в стратегическом планировании
Более половины компаний по-прежнему воспринимают безопасность как техническую функцию, а не как полноценного участника стратегических решений. Хотя кибербез уже давно вышел за рамки покупки продуктов и заполнения бумажек — он напрямую влияет на устойчивость организаций.
4️⃣ Разговор идет на разных языках
CISO описывают риски через уязвимости, устойчивость инфраструктуры и технические метрики. Топ-менеджмент — через деньги, риски для бизнеса и устойчивость компании. Связь между этими мирами часто слабая или вообще отсутствует.
5️⃣ Рынок образования не решает эту проблему
100% опрошенных сходятся в одном: существующие образовательные программы не закрывают разрыв в понимании между CEO и CISO.
Что с этим делать 🤔
Чтобы сократить этот разрыв, нужны изменения сразу на трех уровнях:
Только синхронные изменения на всех трех уровнях способны повысить киберустойчивость компаний и страны в целом.
А если CISO продолжат говорить на языке технологий, CEO будет воспринимать безопасность как инфраструктуру, а образовательный рынок останется сосредоточенным на технической подготовке, то существующее расхождение сохранится.
Полное исследование — с цифрами и цитатами — опубликовали на сайте.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤8🗿5
Киберландшафт-2030: чего нам опасаться через пять лет
Киберугрозы эволюционируют почти так же быстро, как обычные вирусы, поэтому уже очень скоро нам придется иметь дело совсем не с тем, что мы видим сейчас.
🔮 Мы не стали гадать на хрустальном шаре, что изменится, а спросили об этом Ирину Зиновкину, руководителя направления аналитических исследований в Positive Technologies. В итоге получилась целая статья для Positive Research.
🛍 К 2030-му кибератаки могут окончательно перейти на сервисную модель с тарифами и почасовой оплатой. Злоумышленники уйдут от самописного ВПО и станут брать его в аренду или покупать. А значит, «в профессию» можно будет войти с минимальными навыками и атаковать станут чаще.
🤖 Еще один прогноз связан с IoT-устройствами, которые уже сейчас внедряют все — от заводов до транспортных компаний и городских служб. Пока что их ломают точечно, но таких кейсов станет больше, а значит, привет, IoT-ботнеты и массовый промышленный шпионаж.
👥 Настоящей угрозой могут стать дипфейки, которые все сложнее будет отличить от оригинала. Под удар попадут сразу сотни, а то и тысячи аккаунтов. А как мы будем разбираться с созданными ИИ высказываниями и новостями, и вовсе пока неясно. Уже сейчас это проблема, а в будущем нас ждет «информационная война 2.0». Так что фильтровать информацию точно придется тщательнее.
Не страшно? Тогда открывайте статью и читайте, кем видят себя киберугрозы что нас ждет через пять лет.
#PositiveЭксперты #PositiveResearch
@Positive_Technologies
Киберугрозы эволюционируют почти так же быстро, как обычные вирусы, поэтому уже очень скоро нам придется иметь дело совсем не с тем, что мы видим сейчас.
🔮 Мы не стали гадать на хрустальном шаре, что изменится, а спросили об этом Ирину Зиновкину, руководителя направления аналитических исследований в Positive Technologies. В итоге получилась целая статья для Positive Research.
🛍 К 2030-му кибератаки могут окончательно перейти на сервисную модель с тарифами и почасовой оплатой. Злоумышленники уйдут от самописного ВПО и станут брать его в аренду или покупать. А значит, «в профессию» можно будет войти с минимальными навыками и атаковать станут чаще.
🤖 Еще один прогноз связан с IoT-устройствами, которые уже сейчас внедряют все — от заводов до транспортных компаний и городских служб. Пока что их ломают точечно, но таких кейсов станет больше, а значит, привет, IoT-ботнеты и массовый промышленный шпионаж.
👥 Настоящей угрозой могут стать дипфейки, которые все сложнее будет отличить от оригинала. Под удар попадут сразу сотни, а то и тысячи аккаунтов. А как мы будем разбираться с созданными ИИ высказываниями и новостями, и вовсе пока неясно. Уже сейчас это проблема, а в будущем нас ждет «информационная война 2.0». Так что фильтровать информацию точно придется тщательнее.
Не страшно? Тогда открывайте статью и читайте, кем видят себя киберугрозы что нас ждет через пять лет.
#PositiveЭксперты #PositiveResearch
@Positive_Technologies
This media is not supported in your browser
VIEW IN TELEGRAM
Очень детектные дела: новый сезон
Что происходит на тихих улицахобычного маленького городка корпоративной сети? Кто прячется в тенях? Что скрывает изнанка зашифрованный трафик?
*На этом моменте начинает звучать приятная, но тревожная музыка*
Этим летом все изменится. Аномалии в трафике больше не смогут оставаться секретными, детектирование выйдет на новый — заоблачный — уровень, а сдерживать угрозы можно будет при помощи автоматического реагирования, нажав всего одну кнопку...
Делайте трафик безопасным с PT NAD 13.0 и помните: детекты не лгут!
🍿 Ждем вас на премьере 4 июня в 14:00!
Регистрируйтесь на нее заранее и не опаздывайте, а то за вами придет сами знаете какой монстр. Такие дела.
*Эффектный момент и красивая заставка*
#PTNAD
@Positive_Technologies
Что происходит на тихих улицах
*На этом моменте начинает звучать приятная, но тревожная музыка*
Этим летом все изменится. Аномалии в трафике больше не смогут оставаться секретными, детектирование выйдет на новый — заоблачный — уровень, а сдерживать угрозы можно будет при помощи автоматического реагирования, нажав всего одну кнопку...
Делайте трафик безопасным с PT NAD 13.0 и помните: детекты не лгут!
Регистрируйтесь на нее заранее и не опаздывайте
*Эффектный момент и красивая заставка*
#PTNAD
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤12👍6🍾3