Positive Technologies готова восстановить данные после атаки NotPetya
Информационная безопасность
Эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya, от которого в конце июня пострадали компьютеры более 100 компаний России, Украины и других стран. Этот метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком. Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованых жестких дисков крупной компании, оказавшейся в числе жертв эпидемии. Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки. «Восстановление данных с жесткого диска по этой методике требует применения эвристик и может занимать несколько часов, — рассказывает Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies. — Степень восстановления зависит от многих факторов (от размера диска, степени его заполнения и фрагментации) и может достигать 100% для дисков большого объема, содержащих много «публичных» файлов (компонентов операционной системы и программных продуктов, одинаковых на многих машинах)». Ознакомиться с подробным исследованием можно в блоге Pоsitive Technologies на Хабрахабре. Вирус NotPetya, также известный под множеством других имен — Petya, Petya.A, ExPetr и другими, начал распространяться 27 июня. Детальный разбор нового зловреда и рекомендации по борьбе с ним можно найти на сайте Positive Technologies: […]
Из каждого третьего онлайн-банка можно украсть деньги
Информационная безопасность
Доля финансовых приложений, в которых встречаются критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации. Такие выводы содержатся в отчете на основе работ по анализу защищенности финансовых приложений, которые проводились экспертами Positive Technologies в 2016 году. Как отмечается в исследовании, популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса. В частности, исследование показало, что в 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, […]
Frost & Sullivan признала Cisco лидером рынка межсетевых экранов
Информационная безопасность
Исследовательская компания Frost & Sullivan вручила Cisco награду Global Frost & Sullivan AWARD 2017 за лидерство на рынке межсетевых экранов. Многолетние разработки Cisco в области сетевых технологий и информационной безопасности обеспечили компании выручку в размере 48,7 млрд долларов США за 2016 финансовый год. Информационная безопасность — один из самых быстроразвивающихся сегментов бизнеса Cisco. Уделяя особое внимание целостной защите от угроз и упрощению управления ИБ-системами, Cisco постоянно совершенствует свои модели межсетевых экранов следующего поколения (Next-Generation Firewall, NGFW), что позволяет компании уверенно удерживать почти 19-процентную долю рынка. Напомним, что в феврале 2017 года Cisco представила новое семейство межсетевых экранов следующего поколения для интернет-периметра — Cisco Firepower® серии 2100. Эти межсетевые экраны характеризуются практически неизменной пропускной способностью при включении дополнительных сервисов безопасности, а также отвечают потребностям современных организаций в обеспечении безотказной работы и защите критически важных бизнес-функций и данных. При переходе к цифровым бизнес-моделям решения кибербезопасности должны поддерживать масштабирование для добавления новых функций и противостояния новым угрозам и уязвимостям без ухудшения производительности сети и приложений. В реальности это, к сожалению, не так. Включение функции обнаружения вторжений на межсетевом экране может привести к снижению пропускной способности вдвое и даже больше. Как следствие, существенно страдают такие веб-приложения взаимодействия с заказчиками, как интернет-банк и электронная коммерция, […]
В сетях 4G возможна слежка за абонентами
Информационная безопасность
В 2016 году каждая исследованная экспертами Positive Technologies сеть 4G на базе сигнального протокола Diameter обладала уязвимостями, позволяющими злоумышленникам перехватить SMS-сообщения (в том числе с банковскими одноразовыми паролями), определить местоположение абонента, заблокировать пользователям доступ к сети связи и выполнить другие нелегитимные действия. В отчете отмечается, что любой злоумышленник, обладающий достаточным уровнем компетенций, или специальная группа могут с легкостью заполучить информацию о текущем месторасположении абонента, а затем использовать ее при слежке, шпионаже или для публичного разглашения сведений о перемещениях абонента. Для реализации большинства атак на абонента злоумышленнику необходимо выдать себя за роуминг-партнера и заполучить международный идентификатор абонента мобильной сети (IMSI). В документе приводятся несколько техник, позволяющих узнать IMSI абонента — в частности, раскрытие этого идентификатора возможно через уязвимости сигнального протокола SS7. Проблемы с конфигурацией оборудования и сервисов позволяют перехватить пользовательские данные, в том числе SMS-сообщения. Эту возможность злоумышленник может использовать для получения доступа к системе ДБО, в которой для подтверждения входа пользователя используются временные пароли, пересылаемые по SMS. Перехватив временный пароль, атакующий получит полный доступ к интернет-банку пользователя и может похитить все денежные средства, которыми тот располагает. Важно отметить, что оповещения о транзакциях в случае несанкционированного перевода могут оказаться бесполезны, так как ряд фундаментальных особенностей реализации протокола Diameter позволяют атакующему заблокировать […]
Яровой и не снилось
Коржов Валерий
Почему-то защитники частной жизни набросились на «закон Яровой», обвиняя его в неограниченных возможностях по слежке. В то же время закон этот просто накладывает излишние требования на операторов, но с точки зрения слежки он не очень эффективен − слишком много мусорной информации. Для слежки лучше подходит другой закон, который был принят и уже вступил в силу, − это ФЗ-54 «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа», который с 1 июня распространяется и на интернет-магазины. Его возможности по слежке за гражданами более перспективны. Связаны они в основном с той информацией, которую нужно передавать в ФНС вместе с чеком. В частности, в ст. 4 «Требования к кассовому чеку и бланку строгой отчетности» указывается, что контрольно-кассовая техника (ККТ) должна передавать, в частности, следующее: «Дата, время и место (адрес) осуществления расчета (при расчете в зданиях и помещениях − адрес здания и помещения с почтовым индексом, при расчете в транспортных средствах − наименование и номер транспортного средства, адрес организации либо адрес регистрации индивидуального предпринимателя, при расчете в сети Интернет − адрес сайта пользователя)». При этом для электронных магазинов пунктом продажи является адрес доставки, который также, скорее всего, придется указывать. Однако в той же статье есть еще […]
Зловред Petya демонстрирует два основных тренда
Информационная безопасность
Команда исследователей Check Point регулярно публикует новую информацию о зловреде Petya в блоге компании: http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/ Эксперты компании также готовы ответить на ваши вопросы и дать дополнительные комментарии. Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ, отмечает: «Похоже, что это новая версия вымогателя Petya, который впервые появился в Марте 2016 года. В отличие от других типов вымогательского ПО, Petya не шифрует каждый отдельный файл на зараженной машине, а блокирует весь жесткий диск. Для защиты от шифровальщика организациям необходимо немедленно установить последние патчи Microsoft и отключить протокол обмена файлами SMBv1 в системах Windows. Чтобы предотвратить заражение всей сети, компании должны иметь возможность сканировать, фильтровать и блокировать подозрительный контент до того, как он попадет в сеть. Также необходимо провести инструктаж среди сотрудников о потенциальных угрозах, которые распространяются через письма от неизвестных отправителей». Детали: Аналитики Check Point также обнаружили активность бота Loki, который распространяется через инфицированные RTF-документы. Через них на зараженное устройство устанавливается приложение для кражи персональных данных. Однако до сих пор нет подтверждений того, есть ли связь между этими двумя угрозами. Метод заражения Petya до сих пор до конца не ясен, но он точно может заражать устройства, используя тот же протокол, что и WannaCry — он распространяется по […]
Positive Technologies и «Прософт Системы» повысят кибербезопасность электроэнергетики и нефтегаза
Информационная безопасность
Компании «Прософт Системы» и Positive Technologies заключили соглашение о технологическом партнерстве. Партнерство подразумевает создание комплексного решения на базе технологий Positive Technologies по защите автоматизированных систем управления от кибератак и вывод на отечественный и зарубежные рынки качественно новых программно-технических комплексов управления технологическими процессами, отвечающим лучшим международным практикам в области информационной безопасности АСУ ТП и растущим требованиям российских регуляторов. В июне 2017 года во втором чтении будет рассмотрен пакет законопроектов «О безопасности критической информационной инфраструктуры РФ», который предполагает создание специального реестра, куда, в частности, будут вноситься сведения о мерах и средствах, применяемых для обеспечения безопасности критически-важных объектов. Ранее Федеральной службой по техническому и экспортному контролю был представлен приказ № 31 от 14 марта 2014 года, в котором содержались требования к контролю уязвимостей, безопасной разработке ПО, инцидент-менеджменту и анализу угроз безопасности[1]. «Создаваемые комплексы будут включать современные решения по обеспечению кибербезопасности, разработанные с учетом актуальных отраслевых и государственных стандартов, — рассказывает Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. — В ходе текущих проектов в электроэнергетике и нефтегазовой отрасли нам стало очевидно, что решения Positive Technologies для обеспечения кибербезопасности индустриальных систем актуальны не только для наших клиентов, но и для разработчиков систем АСУ ТП. Компания «Прософт Системы» была одной из первых, которая предложила конкретный […]
Вредоносы «Петя» и «Миша»: что происходит и что делать?
Информационная безопасность
Вчера крупнейшие отечественные и мировые компании подверглись атаке вирусов-шифровальщиков «Пети» (Petya) и «Миши» (Misha). Для распространения вируса хакеры используют эксплойт к уязвимости MS17-010, усиленный социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения. На сегодняшний день массовые заражения зафиксированы во Франции, Испании, России, странах СНГ. В Украине от вируса пострадали десятки государственных и коммерческих организаций. Наша компания подготовила небольшой обзор, в котором подробней описан принцип работы вируса-шифровальщика, и даны рекомендации, как сделать так, чтобы избежать заражения. Вредоносы «Петя» (Petya) и «Миша» (Misha): что происходит и что делать в трех словах?
Все, что вы хотели узнать о #Petya, но боялись спросить
Информационная безопасность
Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним Petya Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Жертвами вымогателя уже стали украинские и российские компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки. Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду[1] bootrec /fixMbr для восстановления […]
Дмитрий Костров: Коды кодам рознь
Информационная безопасность
На прошлой неделе вышла «ошеломляющая» новость о том, что западным компаниям поставили на вид за то, что они дают доступ к исходным кодам по запросам ФСБ России и ФСТЭК России. При этом забыли еще одного регулятора − Министерство обороны России. Уклон перепечатанной с западной прессы информации был в сторону того, что, дескать, проверка на отсутствие недекларированных возможностей. В основном все указанные в статье производители программных продуктов со встроенными средствами защиты и программных/программно-аппаратных средств защиты проходят сертификацию во ФСТЭК России, по уже не новым требованиям. Это Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который утвержден решением №114 от 4 июня 1999 г. председателя Государственной технической комиссии при Президенте Российской Федерации. Отметим, что сам документ устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение, по уровню контроля отсутствия в нем недекларированных возможностей, без охвата программного обеспечения средств криптографической защиты информации. Отметим, что согласно Приказу ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» […]
Импортозамещение ИТ- и ИБ-решений в ОПК
Connect WIT 2017 №5-6
Несколько лет назад я принимал участие в разработке проекта документа «Концепция создания, развития и использования информационных технологий в оборонно-промышленном комплексе Российской Федерации на период до 2020 года». Документ содержал описание состояния, проблем и тенденций использования информационных технологий в ОПК, а также направления развития, цели и первостепенные задачи. К сожалению, итоговая версия документа не была принята и утверждена, но важные идеи, заявленные в нем, не потеряли актуальности. Доктрина импортозамещения Речь идет в первую очередь о необходимости обеспечивать информационную безопасность ИТ-инфраструктуры объектов ОПК и потребности в разработке и реализации программы импортозамещения. Эти задачи отражены в актуализированных верхнеуровневых документах, определяющих развитие отраслей ИТ и информационной безопасности в России: Доктрине информационной безопасности Российской Федерации (утверждена указом Президента Российской Федерации от 5 декабря 2016 г. № 646) (далее – Доктрина) и указе Президента Российской Федерации от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы» (далее – Стратегия). В частности, в Доктрине заявлена проблема «высокого уровня зависимости отечественной промышленности от зарубежных информационных технологий». Документ предлагает ориентироваться на «совершенствование методов и способов производства и безопасного применения продукции, оказания услуг на основе информационных технологий с использованием отечественных разработок, удовлетворяющих требованиям информационной безопасности». Это должно стать одним из основных […]
Актуальные вопросы защиты государственных информационных систем в период перехода на импортозамещающие технологии
Connect WIT 2017 №5-6
Актуальные вопросы защиты государственных информационных систем в период перехода на импортозамещающие технологии С момента установления запрета на закупки импортного ПО прошло уже полтора года. ИТ-инфраструктура заказчиков постепенно меняется. В статье представлен довольно широкий взгляд на проблемы, с которыми могут столкнуться операторы государственных информационных систем (ГИС), планирующие перейти на импортозамещающие технологии. Компания «Конфидент» занимается вопросами защиты информации в госсекторе 25 лет. За прошедшие годы накоплен большой опыт реализации многих тысяч проектов в качестве разработчика и производителя сертифицированных средств защиты информации (СЗИ). Этот опыт позволяет говорить о тенденциях в указанной сфере, вскрывать проблемы, которые не видны с первого взгляда, давать рекомендации заказчикам. Защита государственных информационных систем. Теория и практика Существует несколько подходов к отнесению ИС к ГИС и их классификации. Они изложены в № 149-ФЗ, постановлениях Правительства, приказах и руководящих документах ФСТЭК России и других документах. Основными (но не единственными) документами, наиболее полно описывающими требования по защите ГИС, являются: приказ ФСТЭК России от 11.02.2016 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (в редакции приказа ФСТЭК России от 15.02.2017 № 27) и методический документ «Меры защиты информации в ГИС», утвержденный ФСТЭК России 11 февраля 2014 г. Требования являются обязательными при обработке информации в государственных […]
Доверенные ПАП
Connect WIT 2017 №5-6
Определение ПАП Уж с чем с чем, а с понятием программно-аппаратная (реже аппаратно-программная) платформа (ПАП) наш ИТ-рынок определился и понимает его практически однозначно. Программно-аппаратная платформа состоит из взаимосвязанной совокупности следующих основных элементов: аппаратной составляющей платформы, представляющей собой комплекс технических средств, объединенных в одно отдельное средство вычислительной техники (СВТ); базового программного обеспечения, обеспечивающего заявленное функционирование комплекса технических средств, конфигурирование системы и реализующего другие системные функции; общесистемного ПО, реализующего описанный функционал платформы; программных средств разработчика; комплекта документации, регламентирующего процесс внедрения указанной платформы в состав информационных систем заказчика, включая разрешительные документы по специальному применению платформы и сертификаты, устанавливающие соответствие требованиям регуляторов. Аппаратная составляющая платформы определяется в основном архитектурой ее центрального процессора, а также аппаратными реализациями дополнительного оборудования в едином конструктиве СВТ, например сетевыми интерфейсами, адаптерами ввода-вывода, видеоадаптерами и интерфейсами и т. д. Основным компонентом базового программного обеспечения (программной составляющей платформы) является операционная система (ОС), обеспечивающая работоспособность прикладного программного обеспечения на выбранном типе процессора, а также комплекс специальных программных средств (драйверов и специализированных библиотек), обеспечивающих функционирование аппаратного окружения процессора на платформе (контроллеры шины, сетевые адаптеры, интерфейсы ввода-вывода, мультимедиа и пр.). К общесистемному ПО можно отнести прикладные программные средства, специализированные средства мониторинга и контроля функционирования платформы, средства удаленной настройки, интерфейсы взаимодействия с пользователем, встроенные […]
На PHDays обсуждали проблему периметра безопасности
Connect WIT 2017 №5-6
Компания Positive Technologies провела 23 и 24 мая седьмой PHDays – конференцию и конкурс CTF для специалистов информационной безопасности. Нынешняя PHDays – это полгода подготовки, 1100 компаний-участников (из которых только 250 ИБ-компаний), 196 спикеров, 50 партнеров. За два дня форум посетило рекордное число участников – около 5000 из разных стран мира: Америки, Израиля, Кореи, Италии, Франции, Германии, Казахстана, Белоруссии, Индии, Польши и, конечно, России. Конкурс среди хакеров CTF (Capture the Flag – борьба за флаг), который уже второй год проводится в формате «Противостояния», в этот раз был максимально приближен к реальности: в распоряжении участников был целый полигон с моделью мегаполиса, где помимо офисов, телеком-операторов, железной дороги, ТЭЦ и прочих объектов находилось множество IoT-устройств – целый виртуальный город. К барьеру были приглашены «хакеры», «защитники» и security operation centers (SOC). В результате хакерам удалось украсть деньги из банка виртуального города, перехватить SMS, компрометирующие меры, провести успешную атаку на электростанцию, ТЭЦ и нефтеперерабатывающий завод и перехватить автомобиль с украденными деньгами, взломав систему трекинга автотранспорта. Результаты исследований будут использованы для улучшения безопасности реальных критически важных объектов. Была затронута на мероприятии и тема эпидемии шифровальщика WannaCry, который продемонстрировал слабость современных систем защиты. Причем основная проблема даже не в технической стороне вопроса, а в процессах. Исправления […]
Наука безопасности операционных платформ
Connect WIT 2017 №5-6
В главном здании Российской академии наук прошла IV научно-практическая конференция OS DAY, подготовленная девятью компаниями и организациями: Институтом системного программирования (ИСП) РАН, DZ Systems, ГосНИИАСом, «Свемелом», «Базальт СПО», «Открытой мобильной платформой», «Лабораторией Касперского», «РусБИТех-Астра» и «Тайзен.ру». OS DAY обретает статус площадки, на которой формулируются и корректируются подходы к разработке отечественного ПО и операционных платформ. В конференции приняли участие свыше 200 участников, заинтересованных в развитии операционных систем, более 30 докладчиков рассказали о своих разработках. Корреспондент журнала Connect выяснил, что сегодня находится в центре внимания представителей научных институтов, разработчиков операционных платформ и производителей ПО. Первая конференция в 2014 г. была организована усилиями Института системного программирования РАН и группой компаний DZ Systems. В этом году список соорганизаторов расширился, а мероприятие примерило формат коммуникационной площадки для теоретиков и практиков системного программирования, производителей аппаратного обеспечения и заказчиков. Три года назад на конференции обсуждали, следует ли направлять усилия на разработку операционных систем в нашей стране, в 2015-м, когда появились трудности с использованием импортного ПО, зашла речь о прикладных задачах. В прошлом году участники OS DAY обменивались опытом встраивания операционных систем в аппаратные платформы. Лейтмотивом IV конференции OS DAY стала тема обеспечения качества операционных платформ, неотъемлемым слагаемым которого является безопасность. В настоящее время уровень информационной безопасности в […]
Петр Ефимов: «Решения по информационной безопасности становятся все более востребованными»
Интервью номера
Хакерские атаки в мае 2017, ударившие по многим странам, а также затронувшие компьютеры российских силовых ведомств и телекоммуникационных компаний, еще раз напомнили миру, что информационная безопасность сегодня становится одним из важнейших факторов, обеспечивающих нормальную жизнь современного общества. Готовы ли российские разработчики ответить на вызовы времени? Как относятся к проблемам информационной безопасности российские компании? С этими и другими злободневными вопросами мы обратились к Петру Валентиновичу Ефимову, одному из основателей Группы компаний «Информзащита» и генеральному директору крупнейшего системного интегратора в сфере информационной безопасности компании «Информзащита». – Петр Валентинович, расскажите об основных результатах и достижениях компании по итогам прошедшего года. Насколько удачным был для компании 2016 г.? – Прежде чем переходить к нашим результатам, я сразу бы хотел уточнить, что речь пойдет о достижениях всего холдинга, а не только системного интегратора «Информзащита». Если в 2015 г. у нас был рост совокупной выручки на 28% (в сравнении с 2014 г.), то в прошедшем 2016 г. нам удалось вырасти на 31%, что составляет 6867 млн руб. Понятно, что результаты нашей работы измеряются не только деньгами – нас больше интересует качественная оценка. Разумеется, нам всегда хочется больших достижений – видимо, в этом и заключается философия развития бизнеса, однако результаты прошедшего года нас вполне удовлетворяют. Как […]
Корпоративные мессенджеры становятся мишенью
Информационная безопасность
Компания Trend Micro Incorporated, мировой лидер в разработке решений для кибербезопасности, представляет краткое содержание и основные выводы отчета «Как киберпреступники используют программные интерфейсы корпоративных мессенджеров в качестве C&C-инфраструктуры» (How cybercriminals abuse chat platforms APIs as C&C infrastructures). Сегодня все больше предприятий предпочитают использовать мессенджеры для общения внутри компании. Так, 77% компаний из списка Fortune 100 используют Slack − один из популярных корпоративных мессенджеров. Благодаря тому, что такие платформы являются бесплатными и легко интегрируются в клиентские системы и бизнес-процессы, сегодня они представляют интерес не только для бизнеса, так и для киберпреступников. Trend Micro изучила наиболее популярные корпоративные платформы, чтобы выяснить, каким угрозам они подвержены. Исследование проводилось на примере таких мессенджеров как Slack, Discord, Telegram, Twitter, Facebook и др. Основные выводы отчета: Корпоративные платформы оказались уязвимы перед различными видами вредоносного программного обеспечения. В частности, вредоносные программы, файлы, и биткоин-майнеры использовали интерфейс популярной в США платформы Discord,. А разновидности таких вредоносных программ, как KillDisk или программа-вымогатель TeleCrypt используют протоколы Telegram для связи с C&C- сервером. Наиболее безопасным для пользователей оказался корпоративный мессенджер Slack – за время подготовки отчета, не было обнаружено никаких вредоносных программ или кибератак, связанных с этой платформой. Платформа Twitter долгое время оставалась крупной мишенью для злоумышленников, в результате чего социальная […]
Fireball и WannaCry атаковали каждую четвертую организацию в мире
Информационная безопасность
Исследователи компании Check Point® Software Technologies Ltd. (NASDAQ: CHKP) обнаружили, что каждая четвертая организация в мире в мае подверглась атаке Fireball или WannaCry. Данные содержатся в отчете Global Threat Impact Index. В тройку наиболее активных семейств вредоносного ПО, атакующих сети организаций по всему миру, в этом месяце вошли два новых, ранее не известных зловреда. Fireball атаковал каждую пятую организацию в мире, атакам с использованием RoughTed подверглись 16% компаний, а WannaCry атаковал около 8% организаций. Также стоит отметить экстремальную скорость распространения Fireball и WannaCry в мае. Рейтинг наиболее популярных зловредов прошедшего месяца демонстрирует, насколько разнообразными могут быть векторы атак и цели киберпреступников на любой стадии заражения. Fireball захватывал браузеры и превращал их в зомби, которые могут использоваться для множества различных действий, включая загрузку дополнительного вредоносного ПО или кражу ценных данных. В то же время RoughTed, масштабная кампания вредоносной рекламы, и WannaCry использовали возможности эксплойта Windows SMB под названием EternalBlue для распространения внутри и между сетями. WannaCry был особенно активен, захватив множество сетей по всему миру. В дополнение к тройке лидеров в топ-10 попало множество других вариантов ранее незнакомого вредносного ПО, включая Jaff (8-ое место). Этот зловред представляет собой новую форму вымогателя, что еще раз подтверждает популярность этого вектора атак среди злоумышленников. […]
Honeywell поглотила Nextnine
Информационная безопасность
Корпорация Honeywell (NYSE: HON) объявила о подписании окончательного соглашения о приобретении Nextnine, частной компании — поставщика решений и технологий для обеспечения киберзащиты промышленных объектов. Лучшие в отрасли системы безопасности и защищенные сервисы удаленного доступа Nextnine позволят значительно расширить существующий ассортимент инновационных технологий Honeywell и клиентскую базу Honeywell Connected Plant в области кибербезопасности. Флагманская технология Nextnine — ICS Shield — защищает промышленные объекты от кибератак и обеспечивает возможности для удаленного мониторинга активов. Таким образом обширный ассортимент предложений Honeywell пополнится решением, которое используется более чем на 6200 объектах нефтегазового, коммунального, химического, горнодобывающего и обрабатывающего секторов промышленности по всему миру. Ранее систему ICS Shield приходилось развертывать отдельно для каждого поставщика системы управления, что приводило к появлению на объекте заказчика нескольких отдельных установок. В результате данного приобретения заказчики получат возможность развертывать одну систему и управлять ею как единым целым. Благодаря имеющемуся у Honeywell опыту эффективного объединения решений от многих поставщиков система защиты всего объекта станет проще и лучше. Компания Nextnine, основанная в 1998 г., пользовалась поддержкой Infinity VC, XT Hi-Tech и нескольких других известных инвесторов. «С каждым днем число кибератак, направленных на промышленные предприятия и важнейшие объекты инфраструктуры, во всем мире увеличивается, — отмечает Вимал Капур (Vimal Kapur), президент подразделения «Промышленная автоматизация» Honeywell. — Данное приобретение является свидетельством нашего непрерывного стремления предлагать […]
МТС подтвердила соответствие PCI DSS
Информационная безопасность
Компания «Инфосистемы Джет» сообщает об успешном завершении ресертификации ПАО «МТС» на соответствие требованиям международного стандарта по защите информации в индустрии платежных карт PCI DSS 3.2. Проект по ресертификации затронул все системы и процессы оператора связи, обеспечивающие безопасность хранения, обработки и передачи данных платежных карт. Партнером по проекту была выбрана компания «Инфосистемы Джет», обладающая статусами Qualified Security Assessor (QSA) и Approved Scanning Vendor (ASV) и являющаяся лицензированным аудитором по сертификации на соответствие всем требованиям международного стандарта. Компания МТС предоставляет абонентам сервисы приема платежей с использованием платежных карт с 2008 г. Кроме того, она оказывает услуги центра обработки данных, в том числе для размещения оборудования, отвественного за обработку данных платежных карт. Это требует ежегодного прохождения процедуры аудита и сертификации ИТ-инфраструкутры на соотвестие требованиям стандарта PCI DSS. В рамках подготовки к сертификации эксперты компании «Инфосистемы Джет» провели предварительный анализ архитектуры инфраструктурных решений, внедряемых оператором для обеспечения обработки данных платежных карт, и сформировали рекомендации по их корректному встраиванию в существующую ИТ-инфраструктуру. Затем был проведен анализ итогового решения и даны рекомендации по настройке средств безопасности с учетом изменений в инфраструктуре заказчика. Для проверки соответствия требованиям безопасности осуществлено сканирование на предмет уязвимостей и серия тестов на проникновение. После этого проведен сертификационный аудит. «Мы стремимся предоставить абонентам […]
Веб-приложения госучреждений под прицелом
Информационная безопасность
По среднему числу атак на веб-приложения, зарегистрированных в течение одного дня, на первом месте находятся государственные учреждения, за ними следуют IT-компании и финансовые организации. Замыкают рейтинг образовательные учреждения. Такой вывод содержится в новом исследовании компании Positive Technologies, где описаны самые популярные атаки на веб-приложения по результатам пилотных проектов по внедрению межсетевого экрана уровня приложений PT AF за первый квартал 2017 года. Среднее число зарегистрированных инцидентов информационной безопасности в день в госучреждениях составляет 2160, в IТ-компаниях — 1516, в финансовых компаниях — 528 инцидентов и 32 атаки в образовательных учреждениях. Целью половины атак на государственные учреждения являлся доступ к важным данным. Наиболее ценным информационным ресурсом в государственных учреждениях являются персональные данные, поэтому атаки направлены либо на пользователей приложений, либо на получение доступа к базам, где хранится такая информация. Задачей злоумышленников при атаке на финансовые организации является кража денежных средств. Большинство атак направлены либо на получение доступа к чувствительным данным, либо на получение контроля над сервером. Нарушителями в сфере образования часто являются сами учащиеся, которые стремятся либо получить доступ к данным, например к экзаменационным материалам, либо изменить текущую информацию, например результаты экзаменов или стипендиальные списки. Об этом свидетельствуют и результаты предыдущих исследований Positive Technologies. Наиболее часто в первом квартале 2017 года встречались […]
Check Point Infinity «рекомендовано» NSS Labs
Информационная безопасность
Компания Check Point® Software Technologies Ltd. (NASDAQ: CHKP) получила оценку «Рекомендовано» в групповом тесте межсетевых экранов нового поколения (Next Generation Firewall Test) от NSS Labs, лидера в области независимого тестирования продуктов безопасности. Check Point стала обладателем оценки «Рекомендовано» уже 14-й раз подряд с 2011 года. Оценка «Рекомендовано» от NSS в категории межсетевых экранов нового поколения подчеркивает достижения Check Point в сфере предоставления наиболее эффективной защиты всех сегментов сети для заказчиков. Решение Check Point 15600 Next Generation Threat Prevention, входящее в состав Check Point Infinity, прошло тестирование NSS и показало уровень блокировки эксплойтов в 99.56% (Exploit Block Rate). «Check Point Infinity — это первая консолидированная система безопасности, которая защищает данные в сети, облаке и на мобильных устройствах, — говорит Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Последние результаты текста подчеркнули качество и эффективность этой архитектуры, а также потребность в ней. Кроме того, этот высокий балл еще раз подтверждает, что заказчики Check Point находятся в руках ведущей ИБ-компании, которая защищает все их сети». Основные результаты отчета NSS Labs 2017 об испытаниях межсетевого экрана нового поколения Check Point: 100% защита от последних атак (2013 – 2016) и от уязвимостей Apple, IBM и Oracle; 9% защита от уязвимостей […]
На каждый запрет находится свой способ обхода
Арянина Светлана
На минувшей неделе в интернет-сообществе поднялся шум из-за сообщения о том, что подготовлен законопроект, позволяющий блокировать сервисы VPN и анонимайзеры, которые не обеспечат блокировку запрещенных интернет-ресурсов. Предполагается, что сервисы VPN и анонимайзеры обяжут блокировать доступ к ресурсам, входящим в соответствующий реестр Роскомнадзора. В дополнение к этому поисковые системы должны будут не выдавать ссылки на запрещенный контент. Нарушение поисковиками таких требований чревато солидным штрафом. Инициативы, ограничивающие право легального использования технологий для обхода блокировок интернет-ресурсов, появились в законодательной базе нижней палаты парламента России. В пояснительной записке к документу говорится о предложении запретить использование на территории РФ «информационно-телекоммуникационных сетей, информационных систем и программ для ЭВМ для получения доступа к информационным ресурсам, в том числе сайтам или страницам сайтов в сети Интернет, доступ к которым на территории РФ ограничен». Проектом предусмотрено предоставление владельцам сетей и программ доступа к информационному ресурсу Роскомнадзора, содержащему сведения о ресурсах, доступ к которым в нашей стране ограничен. Авторы проекта утверждают, что в настоящее время можно обнаружить ссылки на заблокированные ресурсы в поисковиках, часто применяются технологии, позволяющие обойти блокировку запрещенных ресурсов. В частности, речь об инструментах, которые дают возможность направлять трафик российских интернет-пользователей через зарубежные серверы, прокси-серверы, виртуальные частные сети. Не дожидаясь рассмотрения инициативы, по этому вопросу высказались эксперты, представляющие основных игроков рынка. В […]
Россия заняла второе место по числу киберинцидентов
Информационная безопасность
Каждый десятый киберинцидент происходит в России, количество троянов-вымогателей вырастет благодаря направлению «ransom as a service», а мощность DDoS-атак увеличится за счет уязвимостей в «умных вещах». Такие наблюдения и прогнозы содержатся в новом исследовании актуальных киберугроз компании Positive Technologies по итогам первого квартала 2017 года. Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течении которых не поступало сведений о новых киберинцидентах. Самой атакуемой страной в первом квартале является США (41% всех атак), Россия заняла второе место по количеству киберинцидентов (10%), а на третьем месте оказалась Великобритания (7%). В целом, атакам подвергались не менее 26 стран по всему миру. Наибольшее число атак было направлено на государственные организации, на них пришлась каждая пятая атака (20%). Предпосылками для этого может служить обостренная как внешняя, так и внутренняя политическая обстановка многих стран. Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы стали мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли — на банки пришлось 9% всех инцидентов. Далее следуют сфера образования (8%), медицинские учреждения и сфера услуг (по 7%), промышленные компании (5%) и оборонные предприятия (3%). В исследовании эксперты рассмотрели произошедшие инциденты сразу с двух сторон: что атаковали злоумышленники и как они это сделали. Так, […]