⌛️ Песочница — такой же незаменимый инструмент для аналитика ИБ, как скрипка для музыканта или рубанок для плотника

Но пока песочницы старательно обнаруживают киберугрозы, хакеры не стоят на месте и учатся их обходить. Подробнее об этом написал в своей статье на Хабре наш коллега Алексей Колесников, специалист отдела обнаружения вредоносного ПО PT Expert Security Center, Positive Technologies.

Он рассказал о плюсах и минусах песочниц с агентным и безагентным анализом и рассмотрел основные техники их обхода, которыми пользуются хакеры: руткиты и буткиты, различные бесфайловые угрозы, DoS-атаки и атаки через новые системные вызовы.

Читать всем, кто пользуется сендбоксами в работе или подумывает написать собственное решение.

#PositiveЭксперты
@Positive_Technologies

💻 «Хочешь сделать хорошо — сделай сам», — решили мы и создали PT NGFW.

Это было стремительно: работать над продуктом мы начали в сентябре 2022 года и уже через восемь месяцев на киберфестивале PHDays представили прототип с общей производительностью в районе 40 Гбит/с.

🔥 Вжух, прошел еще год, и мы не только улучшили в PT NGFW все, что можно было (особенно отказоустойчивость!), но и разработали под него собственную линейку «железа» из семи моделей (и новый крутой логотип).

О том, как это было с начала времен и до наших дней, рассказывает в материале Positive Research Денис Кораблев, управляющий директор, директор по продуктам, Positive Technologies.

Читайте в статье:

🔥 как мы проверяем наш продукт с помощью кибербитвы Standoff;

🔥 на что ориентироваться, если вы выбираете между PT NGFW 1010, PT NGFW 1050 и PT NGFW 3040;

🔥рассказ о 16 важных (и трех самых-самых важных) фичах PT NGFW.

👀 А уже 20 ноября в 12:00 подключайтесь к запуску PT NGFW в прямом эфире.

#PositiveResearch #PTNGFW
@Positive_Technologies

👋 Пссс, хотите немного AppSec и DevSеcOps? Встречаемся 2 октября на AM Live+

В этот раз крупнейшие игроки российского рынка ИБ соберутся на однодневной ИТ-конференции, чтобы в деталях обсудить безопасную разработку.

👀 В 11:00 подключайтесь к трансляции открытого эфира, в котором примет участие Алексей Антонов, директор по развитию бизнеса безопасной разработки Positive Technologies.

Что будем обсуждать:

• насколько направление DevSеcOps сегодня в моде и по каким признакам можно судить о его зрелости;

• с чего начать, если вы поняли, что вашей компании необходима безопасная разработка, и как интегрировать ее в уже существующие процессы;

• автоматизацию, метрики и KPI, без которых вам в этом деле точно не обойтись.

🏃‍♂️ Интересно? Скорее регистрируйтесь и не пропустите трансляцию.

#PositiveЭксперты
@Positive_Technologies

🎁 Отличная новость для тех, кто беспокоится о защите контейнерных сред (то есть почти для всех): мы выпустили новую версию PT Container Security.

🏃‍♂️ Продукт стал еще быстрее: полевые испытания на кибербитве Standoff 13 показали, что он может обрабатывать поток в десятки тысяч событий в секунду и выше. И все это — в инфраструктуре любого размера без потери скорости. А при росте нагрузки PT Container Security можно масштабировать горизонтально (увеличивая количество реплик) или вертикально (добавляя вычислительные ресурсы).

🙊 Откроем секрет улучшения производительности: в продукте используются новые версии технологий WebAssembly и Tetragon с «прокачанным» рантаймом.

«PT Container Security основан на самых актуальных технологиях. WebAssembly используют такие лидеры ИТ, как Google, Microsoft, Fastly, Amazon, Figma, а Tetragon применяют VK и Wildberries. При помощи масштабирования наша команда разработки гарантированно обеспечивает стабильную работу решения при высоких нагрузках и с предельно возможной скоростью», — рассказывает Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies.

👍 Полезные новые фичи для расследования инцидентов в рантайме:

1️⃣ Контекстные фильтры позволяют быстро находить события, связанные с работой дочерних и родительских процессов, например запуск злоумышленником вредоносных утилит в скомпрометированном контейнере.

2️⃣ Обычные фильтры помогают сфокусировать внимание на важных событиях, например на событиях, относящихся к конкретному поду в Kubernetes или связанных с определенными исполняемыми файлами.

3️⃣ Пресеты для частых проверок, форматирование сырых событий и быстрые фильтры позволяют не терять информацию и мгновенно возвращаться к любой точке расследования.

4️⃣ Новые детекторы, которые не требуют дополнительной настройки, объединяют сигнатурный и поведенческий подходы к обнаружению угроз в рантайме.

5️⃣ Ищите подробности в новости на сайте и пробуйте обновленную версию продукта!

#PTContainerSecurity
@Positive_Technologies

👀 Собираетесь на Positive Security Day?

Если еще раздумываете, послушайте Максима Филиппова, заместителя генерального директора Positive Technologies. В своем видеоприглашении он рассказывает, почему вам стоит отложить другие дела на попозже и смотреть трансляции с нашей конференции 10–11 октября.

1️⃣Экспертное комьюнити: задавайте вопросы топ-менеджменту и экспертам компании онлайн или лично.

2️⃣Идеи и смыслы: обсуждайте с коллегами стратегии и целеполагание кибербезопасности, изменение ландшафта цифровых угроз, техники атаки и защиты и их влияние на людей.

3️⃣Акцент на продуктах: в этот раз мы решили уделить больше внимания нашим технологиям и разработкам, поэтому хедлайнерами конференции станут руководители RnD, которые расскажут об этом все и даже немного больше.

Смотрите программу по ссылке и регистрируйтесь заранее. Встретимся в прямом эфире 😉

#PositiveSecurityDay
@Positive_Technologies

☄️ Эксперт Positive Technologies Айнур Акчурин обнаружил три опасные уязвимости в MasterSCADA 4D

Это решение используется для разработки систем автоматизации и диспетчеризации технологических процессов во всех секторах промышленности. На базе MasterSCADA реализованы десятки тысяч проектов более чем в 40 отраслях.

Эксплуатируя уязвимости, атакующие могли получить учетные данные пользователей (имена и хеш-значения паролей) из файла с параметрами SCADA-проекта (BDU:2024-06547) и сетевого взаимодействия с веб-сервером (BDU:2024-06548). А дальше — повлиять на промышленные системы управления, например заблокировать доступ операторов к ним или поменять параметры технологических процессов.

«При помощи выявленных уязвимостей злоумышленник может получить доступ к панели разработчика проекта автоматизации или пульту оператора SCADA-системы. Это один из первых шагов на пути к реализации недопустимого события на промышленном предприятии», — рассказывает Айнур Акчурин, эксперт группы ИБ промышленных систем управления Positive Technologies.

3️⃣ Первые две ошибки связаны с недостаточной защитой учетных данных, которые передавались незашифрованными. Третья заключалась в том, что пароль к файлу проекта АСУ ТП хранился в открытом виде. Это давало злоумышленникам возможность его подменить.

Мы уведомили производителя о выявленных уязвимостях в рамках политики ответственного разглашения. «МПС софт» выпустила обновления безопасности в новой версии MasterSCADA 4D 1.3.5, до которой и рекомендует обновиться, и поблагодарила нашего исследователя.

#PositiveЭксперты
@Positive_Technologies

🤝 Как подружить ИТ и ИБ

На Positive Security Day обсудим сложности взаимодействия между безопасниками и айтишниками и инструменты, метрики и технологии, помогающие его наладить. А заодно — поделимся классными кейсами, лайфхаками и собственным опытом.

Алексей Андреев, управляющий директор Positive Technologies, в видеоприглашении рассказывает, какие еще топовые темы ждут вас на нашей конференции.

Будем много говорить о передовых технологиях, которые мы используем в своих продуктах. Например, о машинном обучении и о том, как ИИ помогает специалистам по кибербезопасности.

Интересно? Ищите в программе нужные доклады и присоединяйтесь к трансляциям 10–11 октября.

#PositiveSecurityDay
@Positive_Technologies

🔎 Проверять код можно (и нужно!) по-разному, в том числе анализируя его при помощи разных алгоритмов и технологий.

Один из таких методов называется SAST (static application security testing), он включает разные способы проверки, в том числе абстрактную интерпретацию, или символьное исполнение кода.

🤔 Что это такое?

Интерпретация кода без его конкретного выполнения для сбора семантической информации о коде (потоков передачи данных, передач управления и т. д.).

Суть метода в том, что все входные данные, такие как аргументы точек входа или обращения к файловой системе, считаются неизвестными и помечаются символьными значениями. Например, привычными x и y. При этом неизвестные могут принимать любые доступные значения, пока не наложены ограничительные условия.

🤓 Проблема и решение

Вроде бы все просто, но практика показывает, что чем выше количество вариантов выражений с нашими условными x и y, тем больше ресурсов (времени и памяти системы) мы тратим на такой анализ. Причем вариативность растет по экспоненте, и в какой-то момент это становится проблемой.

‼️ Решить ее можно, бесконечно добавляя новые слоты оперативной памяти (так себе вариант) или уменьшая покрытие кода (а вот это уже интереснее).

Как это сделать? Узнаете, прочитав в Positive Research статью нашего коллеги Георгия Александрии, ведущего программиста группы разработки средств статического анализа.

#PositiveResearch #PositiveЭксперты
@Positive_Technologies

💡 Чтобы оставаться в авангарде кибербезопасности, применения классических подходов ИБ недостаточно.

На конференции Positive Security Day, которая пройдет 10–11 октября, вы узнаете о передовых подходах к защите.

Обсудим, почему безопасная разработка — мастхэв для любой компании, создающей ПО, как правильно организовать процессы AppSec, а также как защитить внедренные проекты на базе ИИ.

😏 Модерировать дискуссии «RelAIble: технология на грани» и «Иллюзия обмана, или Почему вам нужна безопасная разработка» будет Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

🔥 Ищите полную программу выступлений на нашем сайте, отмечайте самые интересные для вас и подключайтесь к нам онлайн!

#PositiveSecurityDay
@Positive_Technologies