🗣Искусственный интеллект в ИБ: готовим шакшуку в новом выпуске шоу «Инфобез со вкусом»

В этом выпуске в гостях человек, который разбирается в технологиях, как шеф-повар в специях, — Лидия Виткова, начальник аналитического центра компании «Газинформсервис».

Как работает генеративный ИИ? Почему он иногда «галлюцинирует» и выдаёт фейки? Почему раньше ИИ казался чем-то фантастическим, а теперь стал обыденной реальностью? Ответы на эти и другие вопросы ждут вас в новом выпуске!

🗓 Посмотреть его можно будет уже 26 июня в 15:00. Делимся с вами тизером и ждем лайки 😉

#инфобезсовкусом #gis_развлечения

«Газинформсервис» на конференции «Росатом/Информационная безопасность»😉

Приглашаем вас посетить наш стенд (№5), чтобы ознакомиться с флагманскими продуктами компании СУБД Jatoba, Ankey ASAP, Efros DefOps и получить консультацию специалистов.

А также будем рады видеть вас на выступлениях наших экспертов:

🗓 24 июня в 13:20-13:40, ПЛЕНАРНОЕ ЗАСЕДАНИЕ.
⏺ «Efros DefOps NAC – как сократить площадь атак на инфраструктуру», Михаил Глуховский, ведущий инженер компании «Газинформсервис», совместно с АО Гринатом.
Место проведения – Аудитория 108, 1 этаж
Трансляция в аудиторию А107, 1 этаж

🗓 25 июня 13:20-13:40, ТЕХНИЧЕСКИЙ ТРЕК.
⏺«Jatoba - безопасная СУБД», Иван Титлинов, инженер поддержки продаж СУБД Jatoba компании «Газинформсервис».
Место проведения – А108, 1 этаж

Будем рады каждому!

🔐 Почему ваш бизнес нуждается в современном SOC?

В эпоху цифровых угроз защита данных — это не роскошь, а необходимость. Давайте разберем, почему GSOC от «Газинформсервис» — ваш надежный щит в мире кибербезопасности.

Что изменилось за год работы?
⏺Скорость реагирования на инциденты выросла в разы благодаря оптимизации процессов
⏺Точность обнаружения угроз повысилась благодаря внедрению AI-технологий
⏺Интеграция с клиентами стала проще и быстрее

🗣Подробнее о достижении GSOC за год рассказали редакции CISOCLUB Александр Михайлов, руководитель GSOC, и Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений.

Не рискуйте безопасностью вашего бизнеса — доверьте защиту профессионалам!

Узнать больше о GSOC можно здесь.
#gis_полезности #gsoc

⏺В популярном антивирусном движке ClamAV обнаружены две критические уязвимости (CVE-2025-20260 и CVE-2025-20234), позволяющие злоумышленникам получить контроль над системой или даже вывести её из строя.

🗣Екатерина Едемская, инженер-аналитик компании «Газинформсервис», подчеркнула растущую опасность уязвимостей в широко используемых программных решениях:

«В последние годы уязвимости в популярных антивирусных движках становятся всё более серьёзной угрозой для организаций, и ситуация с ClamAV не является исключением. Обе выявленные уязвимости в этой версии ClamAV могут иметь критические последствия для безопасности. Первая из них, CVE-2025-20260, позволяет атакующему вызвать переполнение буфера через неправильно обработанные PDF-файлы, если антивирус настроен на сканирование больших файлов. Вторая уязвимость, CVE-2025-20234, хотя и менее критична по шкале CVSS (5.3), может привести к отказу в обслуживании (DoS) при обработке файлов UDF».

Эксперт подчеркнула, что атака через CVE-2025-20260 может быть успешно проведена только при использовании специфичных настроек, часто встречающихся в корпоративных и высокопроизводительных средах. Это делает уязвимость особенно опасной для организаций, работающих с большими объёмами данных, такими как архивы или электронные почтовые вложения.

Через вторую уязвимость, CVE-2025-20234, злоумышленник может отправить специально подготовленный UDF-файл, что приведёт к сбою процесса сканирования и ослаблению общей безопасности системы. Хотя уязвимость не предоставляет возможности удалённого выполнения кода, она может существенно повлиять на операционную деятельность, особенно в случаях, когда ClamAV используется в качестве основного средства защиты при работе с большими объёмами данных.

«В долгосрочной перспективе организациям необходимо не только оперативно обновлять свои системы и следить за уязвимостями, но и внедрять более продвинутые решения для повышения уровня безопасности. В этом контексте системы, использующие поведенческую аналитику для обнаружения аномалий, такие как Ankey ASAP компании "Газинформсервис", могут стать эффективным дополнением к традиционным средствам защиты. Программный комплекс не только позволяет обнаруживать атаки на ранних стадиях их жизненного цикла, но и способен выявлять уязвимости нулевого дня, которые могут быть упущены при использовании только сигнатурных методов», — подытожила киберэксперт.

#gis_новости #ankey_asap

⚠️ Группа северокорейских хакеров BlueNoroff использует дипфейки в Zoom для обмана сотрудников компаний и установки вредоносного ПО на компьютеры под управлением macOS.

Атака BlueNoroff представляет собой сложную многоступенчатую операцию. Под видом легитимных инструкций в Zoom они убеждают жертв установить вредоносное ПО, которое затем используется для кражи криптовалюты. Хотя технические аспекты атаки важны, главная уязвимость — это человеческий фактор.

🗣Как подчёркивает Александр Михайлов, руководитель GSOC компании «Газинформсервис», эта атака демонстрирует эволюцию киберпреступности: фокус смещается с технических уязвимостей на обход даже самых надёжных средств защиты.

«Мы видим уже не просто техническую атаку, а сложную многоэтапную операцию, где передовые технологии, такие как дипфейки, служат инструментом для изощрённой социальной инженерии. Ключевая уязвимость здесь — это доверие. Атака нацелена на то, чтобы обойти самые надёжные технические средства защиты, манипулируя сотрудником.

Для бизнеса критически важно смещать фокус с чисто технической защиты на комплексную. Нужны не только антивирусы, но и строгие внутренние регламенты (например, обязательная верификация любых подозрительных запросов по альтернативному каналу связи) и обучение сотрудников распознаванию подобных атак. Доверять, но всегда проверять — вот новая реальность».

За мерами по превентивной и активной защите должны следовать мониторинг и реагирование, например, силами коммерческого SOС. Злоумышленники становятся всё более изобретательными при проникновении в инфраструктуру и маскировке деятельности вредоносного ПО на конечных узлах, но подобные атаки видны аналитикам SOС по комплексу индикаторов и благодаря выявлению аномалий в поведении пользователей и сущностей.
#gis_новости #gsoc

🗂 ИИ всё чаще используют в задачах, где важна точность: в медицине, финансах, безопасности.

Но вместе с ростом применения появляются и новые типы уязвимостей. Один из них — adversarial AI. #gis_полезности

До премьеры нового выпуска шоу «Инфобез со вкусом» осталось2️⃣4️⃣ часа, а значит, самое время рассказать вам чуть больше 😉

В этот раз гостем на нашей кухне стала Лидия Виткова, начальник аналитического центра компании "Газинформсервис".

В этом выпуске мы ответим на следующие вопросы:
⏺Как вообще развивался искусственный интеллект?
⏺Почему он иногда «галлюцинирует» и выдаёт фейки?
⏺Как работает самоцензура у искусственного интеллекта?

Подписывайтесь на группу ВКонтакте, чтобы не пропустить новый интересный выпуск!
#инфобезсовкусом #gis_развлечения

⚠️ Иранские хакеры, предположительно связанные с группировкой Cyber Fattah, осуществили целевую атаку на саудовские организации, в результате чего были украдены и опубликованы конфиденциальные данные спортсменов.

🗣Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», отметил, что утечка стала следствием обострения геополитической обстановки и объяснил, какая уязвимость, судя по открытым данным, была использована хакерами.

«Участие специалистов по кибербезопасности в ходе военного противостояния государств – это уже не новость. Все более-менее заметные военные конфликты в 21 веке проходили с участием хакеров, причём, не обязательно состоящих на службе у государства. Часто это энтузиасты и наёмники, что ничего не говорит об уровне их компетенций. Хотя, государства, находящиеся в противостоянии с соседями уже долгое время, как правило, имеют штатных хакеров в погонах. Группировку Cyber Fattah связывают с правительством Ирана, который в ситуации обострения геополитической ситуации, решил таким образом атаковать ИТ-инфраструктуру на территории Саудовской Аравии».

Судя по открытым данным, была похищена информация через интерфейс phpMyAdmin, что, конечно, звучит крайне печально, потому что веб-интерфейс доступный из сети Интернет – это серьёзный промах ответственных за кибербезопасность специалистов. Безусловно, ситуация бывают разные, однако веб-интерфейс необходимо защищать с помощью межсетевого экрана уровня приложений, а сами данные хранить в защищённой СУБД вроде Jatoba. В этом случае, риски утери данных снижаются на порядки.
#gis_новости #jatoba

🗣Уже завтра, 27 июня в 11:00 (МСК), в прямом эфире AM Live примет участие наш эксперт Роман Андреенко, руководитель разработки продукта SafeERP компании «Газинформсервис».

Эксперты разберут, как внедрить безопасность в каждую фазу жизненного цикла разработки ПО: от создания модели угроз, разработки концепции продукта и его архитектуры, до контроля секретов, композиционного анализа (SCA), использования сканеров исходного кода (SAST, DAST) и управления уязвимостями. Обсудят рабочие практики, частые ошибки, реальные кейсы и новый российский ГОСТ Р 56939-2024 как каркас зрелости процессов РБПО.

Вопросы для обсуждения:
⏺Как правильно учитывать безопасность в low-code/no-code проектах и при работе с LLM?
⏺Как управлять найденными уязвимостями: процессы, триаж (triage), баг-репорты?
⏺Какие этапы жизненного цикла самые уязвимые — и почему?
⏺Как разработать и учесть модель угроз (Threat Modeling) при разработке ПО?
⏺Как обеспечить контроль доступа к репозиторию исходного кода и среде разработки?
⏺Зачем нужен композиционный анализ программного продукта (SCA, Software Composition Analysis)?
⏺Какие инструменты анализа кода используются: SAST, DAST, IAST — что реально работает?

Требуется регистрация: https://live.anti-malware.ru/am-live/bezopasnaya-razrabotka/#reg
#gis_участвует #safeerp

Смесь кулинарии и искусственного интеллекта: готовим шакшуку в новом выпуске шоу «Инфобез со вкусом»🔥

Одиннадцатый выпуск шоу полностью посвящён беседе об искусственном интеллекте. Под приготовление яркого арабского блюда собеседники говорили об истории ИИ, о том, как он работает, развивается и как им пользуются бизнес и государство.

Шакшука, которая значит «всё вперемешку», такая же хаотичная и живая, как стремительно развивающийся и слабо предсказуемый искусственный интеллект.

«Для нового выпуска мы выбрали горячую тему искусственного интеллекта. И с кем об этом говорить, как не с начальником АЦКБ? Получилась крайне насыщенная беседа, и, конечно, мы приготовили очередное блюдо — самый здоровый завтрак настоящего чемпиона ИИ, шакшуку с томатами, перцами и многообразием специй», — рассказывает Сергей Полунин, ведущий проекта «Инфобез со вкусом».

«В эпоху, когда дипфейки становятся всё более убедительными, мошенники используют эти технологии для обмана и манипуляций. На нашем шоу мы не только приготовили вкусную шакшуку, но и погрузились в проблему, разбирая, что такое информационная безопасность в эпоху ИИ, как распознать новые угрозы и защититься от них. Мы стремились показать зрителям, как быть на шаг впереди киберпреступников», — делится Лидия Виткова, к.т.н., начальник аналитического центра кибербезопасности компании «Газинформсервис».

Посмотреть 11-й выпуск шоу об информационной безопасности и кулинарии можно здесь.

#gis_развлечения #инфобезсовкусом

🗯Облачные хранилища уже давно вошли в бытовой обиход и рабочие процессы. Мы без раздумий скидываем туда снимки из отпуска, черновики проектов и отчёты — это ведь надёжнее, чем держать всё на одном-единственном ноутбуке. Бизнесу облако даёт гибкость: добавляй мощности, когда нужно, и не плати за лишнее. Но за этим комфортом прячутся риски, о которых многие вспоминают только тогда, когда «грянет гром».

Совсем недавно прогремела новость о том, что пользователю, который 30 лет своей жизни хранил в облачном хранилище, ограничили доступ к его файлам и фотографиям. В настоящее время он борется за сохранность своих данных и их спасение, ведь пока идут судебные разбирательства может пройти месяц и согласно внутреннему регламенту провайдер будет иметь право удалить все данные.

У крупных провайдеров инфраструктура внушительная: резервируемые дата-центры, армия инженеров, современное «железо». Данные шифруются на лету и в покое, вход прикрыт двухфакторной аутентификацией, а автоматические системы ловят аномалии. Снаружи всё выглядит неприступно. Проблема в другом: конечный пользователь всецело зависит от внутренней политики компании.

Появляется вопрос: а что же делать, чтобы спать спокойно? Ответ — в статье нашего эксперта Александра Катасонова, инженера-аналитика лаборатории развития и продвижения компетенций кибербезопасности.
#gis_полезности

⚠️ Исследователи обнаружили, что многокомпонентное вредоносное ПО PickAI, нацеленное на платформу для создания ИИ-изображений, поразило как минимум 695 серверов по всему миру.

Кампания была впервые зафиксирована в феврале 2025 года, когда ранняя версия вредоносного кода была загружена на VirusTotal с территории Гонконга. Основная концентрация зараженных систем наблюдается в Германии, США и Китае.

🗣Эксперт Ирина Дмитриева рассказала, что злоумышленники использовали скомпрометированную инфраструктуру, включая официальный сайт Rubick.ai — коммерческой ИИ-платформы, обслуживающей свыше 200 крупных розничных брендов. Это представляет серьёзную угрозу для безопасности ИИ-инфраструктуры.

«Для распространения вредоноса использовались уязвимости ComfyUI. Злоумышленники распространяли исполняемые файлы формата ELF, замаскированные под конфигурационные файлы (включая config.json, tmux.conf и vim.json). При запуске с root-привилегиями PickAI создает пять идентичных копий себя в различных системных каталогах. Каждая копия имеет синхронизированные временные метки модификации, соответствующие таковым у файла /bin/sh, что маскирует их под легитимные системные компоненты.

Каждая реплика реализует механизмы персистентности через дублирующие методы, создавая в совокупности десять различных служб. Все это продумано для противодействия сигнатурному анализу, а дополнительно ВПО дополняет копию случайными данными, что приводит к генерации уникальных хэшей MD5 для идентичной по функционалу вредоносной нагрузки. В средах без прав суперпользователя PickAI обеспечивает свою персистентность, поддерживая пять точек восстановления через сервисы systemd в пользовательских каталогах».

Вирус чрезвычайно устойчив к обнаружению: он создаёт несколько копий себя в разных системных папках, изменяя свои временные метки и добавляя случайные данные, чтобы обмануть антивирусы. Даже если запускается без административных прав, PickAI обеспечивает себе «выживание» с помощью резервных копий в пользовательских папках.

Для снижения рисков атак на ИИ-сервера наш эксперт рекомендует выделить их в отдельные сегменты DMZ, использовать механизмы контейнеризации, а также ограничить запуск ИИ-сервисов под минимальными привилегиями. В вопросах контроля доступа к ИИ-сегменту стоит обеспечить соблюдение принципа минимальных привилегий и внедрить MFA.

«В контексте этого кейса, SOC имеет определяющее значение для обеспечения проактивной защиты инфраструктуры: обеспечение мониторинга критических системных файлов (/bin/sh, файлы в init.d/, systemd, конфиги) на предмет изменений, а также отслеживать наличие характерных имен файлов, сигнатур C2, хэшей несмотря на рандомизацию. Аналитикам SOC рекомендуется проводить и ретроспектвный анализ аномалий: несвойственные процессы, сетевые соединения, изменения файлов. Для выстраивания проактивной защиты можно обратиться в GSOC компании "Газинформсервис" — квалифицированные аналитики способны выступить центральным звеном, связывающим технические средства защиты, аналитику угроз и оперативные действия», — объяснила эксперт.

#gis_новости #gsoc

🌐 Открытая сеть может предоставить мошенникам полный доступ к вашим паролям от сайтов, личным кабинетам и перепискам. Порой сложного пароля недостаточно для защиты WI-FI.

Для максимальной безопасности сети можно:

- Отключить Wi-Fi Protected Setup (WPS)

WPS упрощает подключение устройств к сети, но эта функция уязвима к взлому.

- Включить фильтрацию по MAC-адресам

Хотя MAC-адреса можно подделать, это создаст дополнительный барьер для случайных злоумышленников.

- Использовать статический IP

Назначьте устройствам фиксированные IP-адреса вручную и отключите DHCP. Это усложнит подключение новых устройств без вашего ведома.

- Включить защиту от поддельных точек доступа

Некоторые роутеры умеют сканировать эфир на наличие несанкционированных точек доступа с вашим SSID и блокировать их.

Проверяйте количество подключённых устройств, регулярно обновляйте пароли, и безопасность будет на высоте. #gis_полезности

⏺Финансовый сектор остаётся в тройке самых атакуемых хакерами отраслей экономики. В 2024 году на него пришлось около 17% всех кибератак — более 20 000 инцидентов. Чаще всего атаковали сотрудников и контрагентов банков, чтобы получить доступ к инфраструктуре и базам данных.

Аналитики прогнозируют рост доли успешных кибератак на финансовые организации с 6% в 2024 году до 8–9% в 2025–2026 годах. Более того 75% атак уже в 2025 году, согласно исследованиям, будет с применением ИИ, к сожалению, к этой угрозе банки оказались не готовы в полной мере. На данный момент сохраняется актуальность минимизации рисков успешных атак и повышения устойчивости банков к киберугрозам за счёт комплексного подхода, частью которого является формирование киберкультуры и обучение сотрудников противодействию мошенникам.

Согласно исследованиям, по итогам 2024 года были выделены 3 основных метода атак на российские банки: социальная инженерия, распространение вредоносного программного обеспечения, эксплуатация уязвимостей в системах защиты.

Основные темы образовательных мероприятий для сотрудников банков:
⏺базовые принципы защиты информации,
⏺работа с конфиденциальными данными,
⏺основы фишинга и социальной инженерии,
⏺правила безопасной работы с электронной почтой и интернетом,
⏺алгоритмы действий при обнаружении мошенничества.

🗣Рекомендации к организации обучения - в статье нашего эксперта Татьяны Буториной.
#gis_полезности

⚠️ Северокорейские хакеры используют фишинговые атаки, направленные на конкретных пользователей, злоупотребляя сервисами GitHub и Dropbox.

🗣Александр Михайлов, руководитель GSOC компании «Газинформсервис», предупреждает, что злоумышленники рассылают фишинговые письма со ссылками на эти популярные платформы:

«В серии атак преступники используют общедоступные и разрешенные инструменты для своих целей, что приносит свои плоды, так как стандартные системы безопасности с меньшей вероятностью заблокируют ссылку на легитимный Dropbox или GitHub, чем на неизвестный подозрительный сайт», — объяснил эксперт.

Для бизнеса это означает, что традиционного выстраивания «стены» на периметре уже недостаточно — замотивированный преступник сможет проникнуть практически через любую периметральную защиту. Атака начинается с обычного, на первый взгляд безобидного письма, легко проходящего базовые фильтры. Основная ставка делается на человеческий фактор.

Для защиты от таких атак необходим комплексный подход:

«Во-первых, ключевую роль играет осведомленность персонала. Необходимо постоянно обучать команды распознавать такие уловки и не доверять слепо даже ссылкам на известные сервисы.

Во-вторых, нужны современные средства защиты, которые анализируют не только сам файл, но и его поведение в системе уже после запуска. Именно на этом уровне профессиональные центры мониторинга выявляют аномальную активность и останавливают атаку, даже если первый рубеж обороны был пройден.

Сегодняшний урок прост: цифровая бдительность и многоуровневая технологическая защита — единственный работающий рецепт против современных угроз».

#gis_новости #gsoc

⏺Эксперт в области кибербезопасности Екатерина Едемская предупреждает об участившихся случаях использования уязвимости Bluetooth Low Energy (BLE) в чипах Realtek. Эта уязвимость позволяет злоумышленникам проводить атаки типа "отказ в обслуживании" (DoS) во время сопряжения устройств. Злоумышленники могут внедрять вредоносные данные, вызывая сбой Bluetooth-стека на целевом устройстве и блокируя все последующие попытки подключения.

"Уязвимость в Bluetooth Low Energy от Realtek является серьёзной угрозой для пользователей, — объяснила Едемская. — Проблема заключается в том, что устройства не проверяют корректность последовательности пакетов, что позволяет злоумышленникам внедрять данные до того, как процесс сопряжения завершится. Это может привести к сбою Bluetooth-стека на целевом устройстве и блокировке всех дальнейших попыток подключения, что затруднит эксплуатацию устройства и может стать причиной длительного простоя. Атаки могут быть выполнены дистанционно, без необходимости физического доступа к устройствам, что значительно увеличивает масштаб возможных угроз".

Технически атака выполняется путём создания специально подготовленных пакетов, таких как ll_terminate_ind, которые могут быть отправлены для разрыва связи или для принудительного выхода устройства из сопряжения. Такой подход позволяет атакующим управлять процессом установления соединения, вмешиваясь на этапе обмена ключами и вводя устройства в состояние отказа. Для того чтобы сделать атаку более успешной, злоумышленники могут использовать инструменты автоматизации, такие как l2ping или самописные скрипты, которые позволяют быстро наводнять устройство пакетами, создавая перегрузку и не давая ему времени на восстановление.

"Для защиты от подобных угроз организациям и пользователям следует внедрить несколько ключевых мер. Во-первых, необходимо обновлять прошивки устройств, чтобы устранить эту уязвимость, как только производители выпустят соответствующие патчи. Во-вторых, можно реализовать сегментацию сети для устройств BLE, что позволит изолировать критически важные устройства и уменьшить потенциальный вектор для атак. Для пользователей, в частности, следует отключать Bluetooth, когда он не используется, чтобы минимизировать риски несанкционированных подключений. Наконец, необходимо постоянно мониторить активность Bluetooth на устройствах, чтобы оперативно выявлять аномальные или подозрительные попытки подключений и своевременно предотвратить атаки", — отметила инженер-аналитик. Она добавила, что для коммерческого мониторинга рекомендуется использовать центры типа SOС, такие как GSOC компании "Газинформсервис".

#gis_новости #gsoc