😨 Каждый день думаете о безопасности контейнерных сред?

Тогда присоединяйтесь к завтрашнему эфиру AM Live, где Никита Ладошкин, руководитель разработки PT Container Security, и другие эксперты расскажут, какие риски и угрозы нужно учитывать при внедрении контейнерной инфраструктуры, и обсудят отечественные инструменты для ее защиты.

Вы узнаете:

〰️ о стандартах и лучших практиках безопасности контейнерной виртуализации;

〰️ сложностях в журналировании и мониторинге действий внутри контейнеров со стороны SOC и способах с ними справиться;

〰️ реальных инцидентах, связанных с нарушениями безопасности контейнеров;

〰️ комплексных решениях для управления безопасностью контейнерной виртуализации.

Встречаемся в прямом эфире завтра (6 ноября) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

На SOC-форуме наши коллеги из отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) рассказали о результатах порядка 1️⃣0️⃣0️⃣ проектов по расследованию инцидентов и ретроспективному анализу за последние четыре квартала.

Читайте полный отчет по ссылке, а здесь коротко, как мы любим, поделимся цифрами и фактами.

3️⃣ типа организаций оказывались под прицелом хакеров чаще остальных: промышленные предприятия, госучреждения и IT-компании.

2️⃣3️⃣ дня — средняя продолжительность киберинцидента.

3️⃣ года и 1️⃣день — длительности самой долгой и самой короткой вредоносных активностей.

1️⃣7️⃣ дней — среднее время от начала атаки до обнаружения активности злоумышленников.

3️⃣ дня нужно команде PT ESC IR, чтобы свести инцидент к контролируемой фазе.

1️⃣7️⃣ известных АРТ-группировок оставили следы присутствия в 39% компаний. Среди них наши эксперты выделили три: Hellhounds — как одну из самых продвинутых в своих техниках, ExCobalt — как самую активную, а XDSpy — как ту, что живет дольше остальных (она атакует организации в России с 2011 года).

Среди методов, которые используют злоумышленники, чтобы замести следы своего присутствия — шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных.

«Количество атак через подрядчиков за год увеличилось до 15%, многие из этих компаний предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер, — прокомментировал Денис Гойденко, руководитель PT ESC IR. — Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS „1C-Битрикс“: 33% от всех атак, в которых в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50 до 17%».

Какими были цели атакующих, и на что это влияло, читайте в исследовании на нашем сайте.

@Positive_Technologies

☁️ Более четверти компаний не защищают свои веб-приложения, а остальные все чаще пользуются для этого облачными решениями ☁️

Об этом говорят данные опроса, который мы провели недавно вместе с K2 Cloud. В нем участвовали более ста ИТ-директоров компаний из следующих сфер: телеком, промышленность, ритейл, банки и финансы, образование и ИТ.

Организации, которые защищают веб-приложения, в 20% случаев используют только WAF, 12% компаний выбирают антибот-решения, а 52% совмещают систему Anti-DDoS и WAF.

Такая статистика позволяет сделать выводы, что «классические» решения с точеным использованием одного продукта постепенно уйдут в прошлое, а на лидерских позициях вскоре окажутся комплексные платформы типа application security platform.

«От продукта класса WAF многие ожидают 100-процентной защиты от хакерских атак, однако одна из главных задач решения — сделать веб-ресурс неинтересным для киберпреступника еще на этапе разведки. Осознав, что веб-приложение имеет защиту, хакер переведет свой фокус на более легкие и незащищенные цели. В случае если компания все-таки стала мишенью злоумышленника, WAF сделает попытку взлома неоправданно трудозатратой и без гарантии успешного финала. В результате, используя решения класса WAF, бизнес значительно повышает защищенность своего веба, что поможет избежать множества финансовых, репутационных рисков и иных последствий хакерских атак», — комментирует Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.

☁️ Кроме того, в тренде переход на облачные решения: 10% уже используют такие инструменты для ИБ, 15% — гибридную модель, еще 30% планируют в течение года мигрировать с собственных серверов в «облака».

Больше интересного ищите в новости на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

📞 Сменили телефонный номер? Теперь мошенники могут попробовать авторизоваться в ваших учетных записях со старой сим-карты

Наши коллеги исследовали 38 популярных приложений: личные кабинеты на сайтах компаний, интернет-магазинов и аптек, сервисы доставки еды и продуктов, маркетплейсы и соцсети.

Эксперты попробовали авторизоваться в каждом из них, используя сим-карты пяти крупных операторов: 30 купили в салонах сотовой связи («белые»), еще 50 — в телеграм-каналах («серые»), а 15 арендовали через онлайн-сервисы (виртуальные).

Что им удалось выяснить

Вообще, мы сняли об этом отдельный выпуск в рубрике «Сегодня ломаем» Positive Hack Media, но некоторыми фактами поделимся и здесь.

📱 Почти половину (43%) номеров владельцы использовали для регистрации в сервисах из составленного списка, и более чем в трети случаев (37%) эти аккаунты все еще были активны.

5️⃣7️⃣ Всего исследователи подтвердили возможность доступа к 57 учетным записям прежних владельцев сим-карт: к четырем из них — на маркетплейсах, но ни разу — к банковским аккаунтам.

👥 Специалисты отметили интересную закономерность: если номер не использовался для регистрации в соцсетях, то и в других сервисах аккаунтов с ним не было.

❌ Заметив активность экспериментаторов, только один из пяти операторов заблокировал симки.

🙅‍♂️ А вот связи между тем, успешной ли была авторизация, и тем, с какой сим-карты она произошла («белой», «серой» или виртуальной), коллеги не обнаружили.

«Как показал наш эксперимент, злоумышленники могут начать использовать ваш прежний номер в атаках, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS-сообщения как единственный второй фактор аутентификации и как замену паролям при однофакторной аутентификации. В случае изменения номера телефона владельцы должны иметь возможность безопасно восстановить доступ к своим аккаунтам», — сказал Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies.

Как обезопасить свои учетные записи

Эксперты поделились несколькими простыми советами, которые позволят избежать неприятных ситуаций с вашими бывшими прежними номерами.

1️⃣ Сохраняйте доступ к своим сим-картам, а если он утрачен, не забудьте привязать аккаунты к другому номеру.

2️⃣ Для критически важных приложений (мессенджеров, соцсетей, онлайн-банков) пользуйтесь альтернативным способом авторизации — например, через электронную почту.

3️⃣ По возможности откажитесь от входа через SMS-сообщения и настройте двухфакторную аутентификацию, используя генераторы одноразовых паролей.

4️⃣ Не выдавайте мобильным приложениям разрешение на чтение SMS-сообщений, никому не сообщайте одноразовые пароли, а в случае подозрительной активности — обращайтесь в службу поддержки приложения или оператора сотовой связи.

Больше интересных фактов и полезных рекомендаций — в шоу «Сегодня ломаем» от Positive Hack Media.

@Positive_Technologies

🦸‍♂️ Как прокачать свои навыки супергероя киберзащитника?

Например, попробовать расследовать самые интересные инциденты с кибербитвы Standoff на нашем онлайн-симуляторе Standoff Cyberbones.

А чтобы вам было проще, Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, который занимается подготовкой синих команд, написал подробную инструкцию.

🗣 В статье он рассказал:

🔵как устроен онлайн-симулятор;
🔵какого типа задания там бывают;
🔵как расследовать некоторые из собранных на Standoff Cyberbones атомарных инцидентов и критических событий.

Вооружайтесь предложенными шпаргалками и пробуйте самостоятельно разобрать встроенные в симулятор задания: фишинговую атаку или добавление вредоносной нагрузки в виде файла wtf.exe.

Уверены, вы справитесь 😉

@Positive_Technologies

🙂 Чипы GigaDevice GD32 в зоне риска: исследователи из Positive Labs обнаружили уязвимости в технологии защиты их прошивки от считывания.

Ими могут воспользоваться потенциальные злоумышленники, чтобы извлечь прошивку, найти в ней слабые места для атаки, модифицировать или украсть внутреннее ПО и выпустить устройство под другой маркой.

🤔 Как так вышло

Наши исследователи обнаружили баг в одном из микроконтроллеров, а после для независимой проверки купили и протестировали еще 11 разных чипов GigaDevice из серии GD32, предварительно активировав в них технологию защиты.

В результате эксперты смогли извлечь прошивку в незашифрованном виде и найти несколько уязвимостей, позволяющих полностью нарушить работу конечных устройств без возможности восстановления.

😨 Чем это опасно

Вендоры из многих стран, включая Россию, используют микроконтроллеры GigaDevice GD32 во множестве сложных устройств: от автомобильных двигателей и аккумуляторов до систем доступа в помещение.

«Скаченная прошивка в открытом виде облегчает для атакующего поиск уязвимостей в оборудовании — а данные микроконтроллеры в последние полтора года нередко используются в российской продукции для замены популярных 32-битных микросхем производства STMicroelectronics», — рассказывает Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies.

🧐 Что с этим делать

Мы уведомили производителя об угрозе в рамках политики ответственного разглашения. Однако, учитывая, как трудно устранять угрозы, связанные с аппаратными уязвимостями, наши эксперты рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, в которых технология защиты от скачивания прошивки протестирована независимыми исследователями.

Пользователи могут запросить наименования микроконтроллеров у производителя конечного устройства или посмотреть маркировку чипа, разобрав его самостоятельно.

Пользуйтесь проверенными чипами и оставайтесь в безопасности!

@Positive_Technologies
#PositiveЭксперты

✉️ Здравствуйте, хотите послушать историю о харденинге почтового сервера Microsoft Exchange?

Однажды темной-темной ночью гендиректор организации-контрагента получил от руководителя компании N письмо с просьбой поделиться конфиденциальными данными. Гендиректор насторожился и решил уточнить информацию. «Фишинг!» — предположили специалисты по кибербезопасности из N.

😱 Но оказалось, что все гораздо серьезнее: злоумышленники получили доступ к почтовому серверу Microsoft Exchange и уже некоторое время не только читали всю переписку сотрудников компании, но и могли отправлять письма от их имени.

Как так вышло и чем все закончилось, рассказал в статье на Хабре Павел Маслов, архитектор дирекции инфраструктурных проектов Positive Technologies.

🤘 А главное — поделился пошаговой инструкцией, как прокачать и перенастроить почту, чтобы максимально усложнить задачу хакерам, решившим ее взломать.

Читайте и пересылайте всем, кому она тоже может пригодиться! И пусть ваши киберистории всегда завершаются хеппи-эндом!

#PositiveЭксперты
@Positive_Technologies

Вторая жизнь ваших SIM-карт 📱

Помните ли вы свой первый номер мобильного телефона? А что с ним сейчас? Может ли он попасть в руки хакеров? Получат ли они тогда доступ к вашим аккаунтам, к которым был привязан номер?

Вопросов — много. Разбирается в них в новом выпуске шоу «Сегодня ломаем» белый хакер Николай Анисеня (@xyuriti) с помощью 100 (!) новых SIM-карт.

Проверим, существуют ли привязанные аккаунты их старых владельцев на самых популярных платформах (спойлер: да). А потом расскажем, что делать, чтобы не стать жертвой такого взлома!

🔥 Смотрите выпуск на нашем YouTube-канале:

https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU

На других платформах опубликуем видео в ближайшие дни.

🎁 Бонус: исследование в текстовом формате с графиками и рекомендациями вы можете найти на нашем сайте.

@PositiveHackMedia

♟ В шахматной партии «Хакеры против SOC» выигрывает тот, кто понимает, как думает противник, и видит его ошибки.

В новом материале Positive Research рассказали, как сыграть красивый гамбит и завершить игру эффектным эндшпилем с помощью MaxPatrol SIEM.

Итак, короткий пересказ стратегии от наших коллег Кирилла Кирьянова, руководителя группы обнаружения атак на конечных устройствах, и Екатерины Никулиной, старшего специалиста отдела мониторинга информационной безопасности PT ESC.

1️⃣ Первый шаг: пешка на е2 научиться управлять своими активами так, чтобы хакер не мог «ослепить» SIEM-систему.

2️⃣ Второй: научиться правильно комбинировать сигнатурные и поведенческие правила, чтобы система обнаружения работала как часы.

3️⃣ Третий: предусмотреть разные способы обхода детектов и маскировки инструментов хакеров.

4️⃣ Четвертый: подключить к поиску аномалий ИИ.

5️⃣ Пятый: собрать команду сильных игроков аналитиков SOC, которые даже в «серой» зоне сумеют разобраться, ложный алерт или нет.

Готово: партия завершена блестяще. Подробный разбор ищите в статье.

#PositiveResearch #MaxPatrolSIEM
@Positive_Technologies

👾 MaxPatrol VM 2.7: умный поиск информации об активах с помощью ИИ и улучшение производительности

Мы внедрили в нашу систему управления уязвимостями бета-версию умного поиска информации по активам для выявления необходимых групп, сортировки узлов по обнаруженным уязвимостям и выполнения других запросов.

Раннее поиск производился только через Positive Data Query Language (PDQL). Теперь с помощью ИИ пользователи смогут создавать распространенные текстовые запросы на русском языке без него. Это снизит порог входа для работы специалистов с системой и уменьшит когнитивную нагрузку специалистов по ИБ.

Важно: изучение синтаксиса PDQL остается актуальным для более сложных запросов, например для выявления учетных записей, у которых за последний месяц сменился пароль.

Павел Попов, лидер практики продуктов для управления уязвимостями Positive Technologies, отметил:

«Наша цель — непрерывно двигаться в сторону автоматизации процессов, улучшения производительности и результативности продукта. Поэтому если ранее для начала работы специалист мог потратить несколько дней на изучение языка PDQL, то теперь анализ инфраструктуры с помощью простых запросов можно начинать сразу после внедрения системы».

Кроме того, мы оптимизировали работу PDQL-запросов, что особенно заметно на больших инсталляциях, которые содержат более 10 000 активов. А также в несколько раз увеличили производительность системы.

В модуль MaxPatrol HCC 1.7 добавили поддержку новых стандартов, что позволяет проверять выполнение ключевых требований безопасности.

🔄 Подробности — в нашем материале.

#MaxPatrolVM
@Positive_Technologies

🍃 Вы ждали его целый месяц! Представляем дайджест из четырех самых горячих трендовых уязвимостей октября.

Среди них — недостатки безопасности в продуктах Microsoft и в платформе XWiki для одностраничных сайтов, которые можно связывать друг с другом. Все эти уязвимости либо уже активно эксплуатируются хакерами, либо могут начать использоваться в ближайшее время.

👾 Напоминаем, что если вы пользователь MaxPatrol VM, то уже знаете о трендовых уязвимостях октября (информация о них поступает в продукт в течение 12 часов с момента обнаружения).

Однако мы считаем важным делиться информацией не только с пользователями нашего продукта, но и с комьюнити специалистов по кибербезопасности, чтобы под защитой было как можно больше организаций.

💡 Уязвимости Windows, описанные ниже, по данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий операционной системы (например, Windows 11 и Windows 10).

Уязвимость в движке платформы MSHTML для обработки и отображения HTML-страниц

CVE-2024-43573 (CVSS — 6,5)

Может привести к несанкционированному раскрытию конфиденциальной информации. Для эксплуатации требуется взаимодействие с пользователем. Злоумышленники могут отправлять фишинговые письма с вредоносными вложениями или ссылками, ведущими на специально подготовленные ресурсы.

Уязвимость в драйвере ядра Windows, приводящая к повышению привилегий

CVE-2024-35250 (CVSS — 7,8)

Позволяет повысить привилегии до максимальных путем манипулирования запросом в драйвере ядра. Захватив полный контроль над системой, злоумышленник может получить доступ к конфиденциальной информации и действовать от имени локального администратора: устанавливать вредоносное ПО, изменять и удалять важные файлы.

Уязвимость в платформе Kernel Streaming для обработки данных, также позволяющая повысить привилегии в Windows

CVE-2024-30090 (CVSS — 7,0)

Результат эксплуатации — максимальные привилегии с возможностью выполнять действия от имени локального администратора, а также с возможностью получить доступ к конфиденциальной информации. Злоумышленник может повысить уровень привилегий, используя некорректные запросы.

Уязвимость, связанная с удаленным выполнением кода, в опенсорсной платформе XWiki

CVE-2024-31982 (CVSS — 10,0)

💡 По данным XWiki, уязвимость может затрагивать более 21 000 потенциальных жертв.

Недостаток вызван отсутствием валидации значений в поисковом запросе. Злоумышленник, манипулируя текстом в строке поиска, способен выполнить произвольный код на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки, например для внедрения вредоносного ПО.

Подробности обо всех уязвимостях, а также о том, как предотвратить их эксплуатацию, ищите в полной версии дайджеста.

#втрендеVM
@Positive_Technologies

💡 PT ICS выявляет атаки на системы промышленной автоматизации под управлением Redkit SCADA

В систему MaxPatrol SIEM, которая входит в состав решения PT Industrial Cybersecurity Suite (PT ICS), добавлен пакет экспертизы для контроля безопасности систем диспетчеризации на базе Redkit SCADA 2.0 (применяется на предприятиях электроэнергетики и нефтегазовой сферы).

🏭 По данным нашего исследования, в 2023 году каждая вторая атака на промышленные предприятия приводила к нарушению их деятельности.

«Избежать подобных угроз помогает высокая видимость технологической сети и инфраструктуры в целом. За счет этого специалисты службы ИБ могут выявлять опасные действия операторов, а также атаки внешних и внутренних злоумышленников (то есть злонамеренных сотрудников). Многие команды, которые отправляют операторы, фактически невозможно отследить встроенными в АСУ ТП средствами, а благодаря новому пакету экспертизы это происходит автоматически», — отметил Айнур Акчурин, эксперт группы ИБ промышленных систем управления Positive Technologies.

⚠️ Наш опыт расследований инцидентов показывает, что во многих SCADA-системах внутренний злоумышленник или атакующий, который получил доступ к рабочей станции инженера, может легко устранить следы своей активности.

Поэтому на промышленных предприятиях важно вовремя обнаруживать нелегитимные команды операторов. Скорость выявления таких действий на производстве критически важна: от нее зависит, удастся ли остановить кибератаку на раннем этапе.

🔍 Благодаря обновлениям теперь в системах на базе Redkit SCADA 2.0 с помощью PT ICS можно выявлять:

• неудачные попытки входа в систему,
• изменение пароля и парольной политики,
• модификацию конфигурационных файлов,
• другие подозрительные действия.

👀 Подробнее о PT ICS вы можете узнать на нашем сайте.

#PTICS
@Positive_Technologies