Эксперты подчёркивают новую тенденцию в кибератаках, когда современные вредоносные программы превращают пользователей в соучастников. Эксперт «Газинформсервиса» рассказал о том, как хакеры атакуют через видеохостинги и как защититься от современных атак.

Исследование угроз безопасности за третий квартал Gen Digital выявило стремительное усложнение ландшафта угроз. Главные тенденции — это рост количества атак с использованием социальной инженерии, увеличение числа программ-вымогателей и развитие новых видов вредоносного ПО, нацеленного как на настольные системы, так и на мобильные устройства.

В отчёте отмечается тип атак «взломай себя сам», число которых за третий квартал увеличилось на 614% по сравнению с предыдущим. Такой подход использует методы социальной инженерии для того, чтобы обманом заставить пользователей самостоятельно выполнять действия, приводящие к заражению устройств. Примеры включают поддельные CAPTCHA, но на самом деле заражают системы вредоносными скриптами.

Атаки часто распространяются через поддельные обучающие видео на YouTube, ложные обновления браузеров и инструкции по исправлению ошибок в ПО.

«Во многих организациях открыт доступ к различным видеохостингам, так как на них часто выложена полезная информация, которая позволяет сотрудникам повысить уровень своих знаний и компетенций. Однако злоумышленники и тут могут найти наживу, записывая специально зловредное видео под видом обучающего ролика "помоги себе сам". Если сотрудник будет действовать на рабочем компьютере, который не защищён, то может нанести вред не только себе и своему рабочему месту, но и всей корпоративной сети. Для недопущения таких ситуаций необходимо использовать качественные отечественные программные комплексы, направленные на обеспечение информационной безопасности ИТ-инфраструктуры. Например, Efros DevOps позволяет как осуществлять централизованный контроль доступа пользователей, так и проводить анализ уязвимостей. В таком случае, даже если сотрудник попался на уловки злоумышленника, уязвимость будет вовремя обнаружена и локализована», — говорит Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

Злоумышленники также побуждают пользователей отключать антивирусные программы, чтобы избежать обнаружения угроз. Киберпреступники используют такие кампании для установки инфостилеров, которые собирают данные пользователей, включая пароли и финансовую информацию.

Вышло обновление СУБД Jatoba компании «Газинформсервис» до версии 6.4.1. Новая версия предлагает пользователям ряд преимуществ, которые обеспечивают более высокий уровень защиты данных.

Среди ключевых обновлений — совместимость с PostgreSQL 16.4.

«СУБД Jatoba 6.4.1 — это значительный шаг вперёд в развитии нашей платформы для управления базами данных. Обновление обеспечивает полную совместимость с актуальной версией PostgreSQL 16.4, а также предоставляет ряд новых функций, повышающих безопасность, удобство управления и производительность», — отметил Юрий Осипов, менеджер по продукту Jatoba.

Также среди новинок версии 6.4.1 — обновлённая версия компонента Jatoba Data Safe 2.5.1. Расширен набор параметров производительности, отображаемых в разделе «Мониторинг». Теперь доступно управление паролями пользователей на основе парольных политик. Поставляются предустановленные политики, соответствующие требованиям ФСТЭК для ИС первого и второго класса защищённости, CIS, а также типовым корпоративным стандартам. Это обеспечивает более гибкое и безопасное управление доступом к базе данных, упрощая администрирование и повышая защиту информации.

В числе других нововведений — управление отказоустойчивым кластером: автоматизированное создание, режим технического обслуживания. Улучшена регистрация событий безопасности, что способствует повышению уровня защиты данных.

Кроме того, обновлены ключевые расширения «Запись событий информационной безопасности», «Расширенное резервное копирование» и «Формирование отчётов производительности СУБД». Компонент «Запись событий информационной безопасности» теперь интегрируется с системами информационной безопасности ещё эффективнее, предлагая формирование журналов событий в стандартах Syslog и JSON с функцией автоматической очистки архивов.

В компоненте «Расширенное резервное копирование» функционал резервного копирования дополнен поддержкой облачных хранилищ на основе протокола S3. Реализовано инкрементальное резервное копирование (DELTA).

Компонент «Формирование отчётов производительности СУБД» дополнен метриками компонента «Высокопроизводительный кластер» для мониторинга и оптимизации производительности, предоставляя подробную информацию о запросах, узлах, таблицах и других ключевых аспектах работы системы.

Компании «Газинформсервис» и «МСОФТ» завершили технические испытания, которые подтвердили корректность совместной работы СУБД Jatoba с программным обеспечением MFlash версии 8.

Совместимость Jatoba с MFlash была подтверждена в ходе совместных испытаний: проверено корректное функционирование MFlash с Jatoba, а также успешно проведено функциональное тестирование.

Совместное использование Jatoba и MFlash открывает новые возможности для организаций, нуждающихся в надёжном и эффективном решении для хранения данных и управления ими.

«Вместе Jatoba и MFlash позволят корпоративным пользователям использовать файловый обмен наиболее эффективно. Когда понимаешь, что оба продукта компаний заточены на обеспечение безопасного хранения данных и обмена ими, то не остаётся сомнений для их совместного использования в своей компании. В тандеме СУБД Jatoba и MFLash v8.2 позволят решить различные задачи, такие как архивирование данных или управление документами, а также организовать защищённый и эффективный файловый обмен предприятия», — отметил инженер поддержки продаж СУБД Jatoba Иван Титлинов.

 «Защита корпоративных данных при файловом обмене является одной из наших первоочередных задач. При этом мы уделяем внимание вопросам безопасности не только в прикладном ПО, но и в той среде, где мы функционируем. В ходе совместных испытаний с БД Jatoba наши специалисты отметили вариативность реализованных мер защиты метаданных, находящихся в БД. Тандем наших решений можно использовать при построении ГИС, ИСПДн и КИИ: обе разработки имеют сертификат ФСТЭК по 4 ОУД», — комментирует Директор по развитию MFlash, Владимир Емышев.

Хакерская группировка RansomHub* заявила о взломе официального сайта федерального правительства Мексики и похищении 313 ГБ данных. Эксперт «Газинформсервиса» рассказал, как пресечь подобные атаки.

Киберпреступники украли финансовую отчётность, страховые документы и другие конфиденциальные данные. Хакеры дали правительству десять дней на выплату выкупа, иначе все похищенные материалы будут опубликованы.

Группировка RansomHub использует модель «вымогательство как услуга» (RaaS) и применяет методы двойного вымогательства: похищение данных с последующей угрозой их публикации. Известно, что RansomHub ранее действовала как аффилированное лицо более крупной группы BlackCat (ALPHV).

Инцидент со взломом мексиканского госресурса подчёркивает растущую уязвимость даже самых защищённых систем перед новыми игроками киберпреступного мира. За весьма короткое время они могут достичь масштабов деятельности традиционных хакерских групп и с разных континентов планеты успешно атаковать правительственные структуры целых стран.

«Масштаб атаки свидетельствует о том, что злоумышленники могли находиться внутри инфраструктуры довольно давно, поэтапно собирая чувствительные данные с хранилищ. Известно, что в процессе реализации подобного вида атак хакеры не всегда прибегают к использованию инструментов или техник, которые могут заметить стандартные системы защиты информации, следовательно, оставаться "в тени" долгое время. Чаще всего их действия носят нейтральный характер — переход по каталогам, открытие файлов и т. д. Для пресечения подобных атак ещё до момента утечки организациям следует использовать продукты, которые содержат в себе решения UEBA, например платформу расширенной аналитики Ankey ASAP, позволяющую отслеживать нетипичное поведение сущностей внутри корпоративной инфраструктуры», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».

*RansomHub — относительно новая группировка, впервые заявившая о себе в феврале 2024 года. По данным исследователей из Searchlight Cyber, они уже вошли в тройку самых активных вымогательских групп текущего года, опередив многие более известные коллективы.

Исследователи из MalwareHunterTeam отмечают рост числа атак с использованием вложения в формате Scalable Vector Graphics (SVG) для доставки вредоносных программ. В «Газинформсервисе» рассказали, как обнаружить «заражение» ПК.

Такой формат атаки, по мнению экспертов, помогает уходить от детектирования. SVG — пример векторной графики, отличающийся от растровых JPG и PNG использованием линий, форм и текстовых данных. Помимо самой графики, файлы в формате SVG способны выводить HTML-контент с помощью элемента, а также выполнять JavaScript-код после загрузки графики. Эта функциональность позволяет атакующим создавать фишинговые формы, передающие введённые учётные данные, пишет Bleepingcomputer.

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко:

«Уже не первый год фишинговые атаки являются одной из самых серьёзных угроз. Всегда существует весомый риск того, что кто-то из сотрудников откроет фишинговое письмо и запустит вредоносное программное обеспечение. Это особенно опасно, когда текстовое содержание выглядит как обычный контент, а вредоносное ПО скрыто. Для того чтобы оперативно обнаружить "заражение" компьютеров сотрудников, обычно используются специальные средства защиты информации, основанные на анализе поведения и имеющие модуль UEBA, например Ankey ASAP».

Компании «Газинформсервис» и «Стахановец» завершили серию технических

испытаний на совместимость СУБД Jatoba и системы защиты данных от утечек и мониторинга персонала «Стахановец».

Специалисты провели всесторонние испытания, которые подтвердили корректность совместной работы ПО. Результат зафиксирован в двустороннем сертификате совместимости. 

Благодаря интеграции продуктов клиенты «Стахановец» смогут использовать программный комплекс на отечественной СУБД. Оба продукта сертифицированы ФСТЭК.

«Jatoba предоставляет нашим клиентам широкие возможности для надёжной и безопасной обработки данных в критически важных инфраструктурах. Интеграция с системой защиты от утечек данных "Стахановец" усиливает защиту от несанкционированного доступа к персональным данным и иным видам конфиденциальных данных, чем повышает уровень информационной безопасности российских предприятий», — отметил ведущий менеджер группы по работе с партнёрами компании «Газинформсервис» Андрей Макаров.

«Мы планомерно расширяем совместимость программного комплекса "Стахановец" с востребованными отечественными продуктами. Это гарантирует максимально эффективную интеграцию, помогает повысить надёжность нашего продукта и упрощает внедрение ПО», — прокомментировал операционный директор «Стахановец» Александр Канатов. 

СУБД Jatoba — это современная система управления базами данных, разработанная ООО «Газинформсервис». СУБД обеспечивает отказо- и катастрофоустойчивость, фильтрацию запросов и шифрование обрабатываемых данных. Отечественная СУБД может работать как в банковской инфраструктуре, так и в небольшом клиентском сервисе, обеспечивая безопасность, возможность работать с большим объёмом данных и высокую скорость ответа.

«Стахановец» — многофункциональный программный комплекс для защиты коммерческих и персональных данных, мониторинга сотрудников, учёта рабочего времени и кадровой аналитики. Оптимальный инструмент для защиты бизнеса от коммерческих, репутационных и иных рисков, включающий в себя решение кадровых задач.

«Газинформсервис» принял участие в ежегодной конференции компании «Аквариус» «AQ PRO Время решений». В рамках мероприятия, где эксперты и представители ИТ-индустрии обсуждали актуальные технологические вызовы в сфере отечественной электроники и программного обеспечения, «Газинформсервис» представил ряд докладов, посвящённых решениям для повышения информационной безопасности.

На экспертной сессии менеджер по продуктам Константин Хитрово познакомил аудиторию с решениями «Газинформсервиса», совместимыми с оборудованием Aquarius. Особое внимание было уделено технологическому партнёрству с компанией «Аквариус», направленному на развитие совместных проектов и выход на рынок новых решений для защиты от несанкционированного доступа.

Так, «Газинформсервис» предоставляет модуль доверенной загрузки SafeNode System Loader, обеспечивающий безопасную загрузку и защиту оборудования Aquarius от вредоносных программ.

Новой точкой взаимодействия компаний стала совместимость телекоммуникационного оборудования Aquarius и продукта «Газинформсервис» Efros DefOps NAC (EDO NAC), предназначенного для защиты ИТ-инфраструктуры и контроля доступа к сети.

На конференции специалисты «Аквариус» познакомили гостей мероприятия с подходом валидированного дизайна при построении кампусных сетей. Данный подход состоит в том, что вендор предлагает проверенные варианты проектирования сети на оборудовании Aquarius и операционной системе AqNOS, которые включают набор практик и рекомендаций построения надёжных и эффективных сетей. В качестве оптимального решения для обеспечения контролируемого доступа к сети, построенной на оборудовании Aquarius, рекомендуется применять продукт EDO NAC.

«С выпуском новой линейки телекоммуникационного оборудования, представленного на конференции "AQ PRO Время решений", технологическое сотрудничество с компанией "Аквариус" получило очередной виток развития. Поддержка коммутаторами и беспроводными контроллерами различных сценариев аутентификации и авторизации, а также гарантированная совместимость оборудования с продуктом EDO NAC позволит нашим клиентам создавать надёжную и безопасную ИТ-инфраструктуру, решая задачи импортозамещения», — отметил менеджер продукта EDO NAC компании «Газинформсервис» Евгений Варламов.

«Заказчикам необходимо наличие комплексного решения, полностью закрывающего требования по организации контролируемого доступа к сети, содержащего рекомендации поставщика сетевой инфраструктуры о доступных, протестированных и предлагаемых в составе единого функционального комплекта компонентах. Наше сотрудничество с "Газинформсервис" является примером реакции на существующий запрос рынка», — подчеркнул Артем Дрожжин, директор департамента телекоммуникационных решений «Аквариус».

Разработка отечественной компании «Газинформсервис» — защищённая система управления базами данных (СУБД) Jatoba — интегрирована с программной платформой видеоконференцсвязи (ВКС) TrueConf Enterprise.

Это открывает новые возможности для организации безопасной и надёжной видеокоммуникации в государственном секторе, финансовых организациях, энергетических компаниях и других отраслях, где защита данных является первостепенной задачей.

Успешно завершена серия испытаний на совместимость, по результатам которого подписан сертификат совместимости TrueConf Enterprise с Jatoba.

Jatoba — это отечественная СУБД, соответствующая требованиям ГОСТ Р 57281-2016, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.3-2017, ГОСТ Р 57580.4-2017, обеспечивающая максимальную защиту данных от несанкционированного доступа.

TrueConf Enterprise — система объединённых коммуникаций, которая предоставляет широкий набор функций для безопасной совместной работы. Решение работает на автономном протоколе связи, разработанном компанией «Труконф» в России, поддерживает шифрование и многофакторную авторизацию, а также разворачивается в корпоративной сети на аппаратных мощностях заказчиков, что защищает данные от несанкционированного доступа и передачи на сторонние сервера.

«Объединяя силы с "Труконф", мы предоставляем отечественным предприятиям надёжное и безопасное решение для проведения видеоконференций. За счёт отказоустойчивых и высокопроизводительных решений, а также функций безопасности, которые реализованы в СУБД Jatoba, достигается наиболее эффективная архитектура. Поэтому Jatoba и TrueConf Enterprise— это идеальное сочетание для организаций, стремящихся обеспечить защиту данных и эффективную видеокоммуникацию», — отметил инженер поддержки продаж СУБД Jatoba Иван Титлинов.

«‎Опыт последних лет показал серьёзный рост количества утечек информации, подчеркнув важность обеспечения высокого уровня безопасности и цифрового суверенитета во время корпоративной работы и совместной работы в режиме онлайн, — комментирует Дмитрий Одинцов, директор по развитию «Труконф». — Совместно с коллегами из ООО "Газинформсервис" мы нацелены на предоставление надёжных отечественных решений, способных гарантировать безопасность и конфиденциальность данных в ВКС-инфраструктуре российских компаний».  

На студенческих международных киберсоревнованиях Standoff команда GISCYBERTEAM Junior, представляющая компанию «Газинформсервис», заняла второе место в рейтинге победителей.

Завершился осенний сезон международных игр по кибербезопасности. Отборочные Standoff начались ещё в сентябре, а в октябре прошёл отбор через CyberCamp и CyberED. Игры состоялись 30—31 октября, и в результате победителями стали 28 команд атакующих и 25 команд защитников.

GISCYBERTEAM Junior — команда от компании «Газинформсервис», которая состоит из начинающих специалистов в сфере тестирования на проникновение. Ребята прошли отбор и среди 89 вузовских команд заняли 5 место, реализовав все критические события. На финальном этапе GISCYBERTEAM Junior заняла второе место в рейтинге. Участники команды реализовали 7 событий и получили за них почти 12 с половиной тысяч баллов. А за 6 обнаруженных уязвимостей им было начислено 1200 баллов. По сумме очков команда отстала от первой строчки на 3000 пунктов, при этом чисто событий и уязвимостей у них одинаковое.

В качестве награды победители-атакующие смогут принять участие в легендарной кибербитве Standoff в 2025 году без отборочных, а также получат мерч и возможность попасть на одну из двух стажировок от партнёров.

«Участие в международных играх по кибербезопасности стало для нас отличной возможностью показать, насколько мы выросли как профессионалы за время работы в компании. Наша команда подошла к этому мероприятию с полной ответственностью и готовностью решать самые сложные задачи. Каждый из нас вложил максимум усилий в подготовку, и результаты этого труда были видны на протяжении всего соревнования. Инфраструктура Standoff впечатлила своим масштабом и качеством. Организаторы постоянно работают над её улучшением, и это чувствуется. В этом году мы столкнулись с новыми интересными кейсами, которые позволили нам проверить свои силы в решении нестандартных задач. Особенно приятно отметить, что организаторы учли специфику современного российского IT-сектора, предложив инфраструктуру на базе Astra Linux и ALDpro. Мы гордимся тем, что наша команда смогла успешно справиться со всеми вызовами и показать себя настоящими профессионалами. Их успехи на Standoff — результат длительной и целенаправленной работы, которая обязательно принесет плоды в будущем», — отметил капитан команды GISCYBERTEAM Junior Шерягин Максим.

Международные игры Standoff проходят два раза в год — осенью и весной. Благодаря этому мероприятию будущие специалисты по информационной безопасности могут получить практический опыт в ИБ, выполняя задания на реалистичных копиях разных инфраструктур, изучить кейсы, собранные лучшими специалистами по кибербезу, поучаствовать в онбординге с топовыми компаниями из сферы ИБ, а также сразиться за главные призы и почётный статус победителя.

Хакеры стали использовать API для рассылки поддельных счетов на оплату, которые выглядят как настоящие. Как противостоять новой атаке, рассказала эксперт «Газинформсервиса».

Крупная американская компания DocuSign* уже оказалась в центре кибератак нового типа.

Преступники создают платные аккаунты на DocuSign, где настраивают шаблоны с имитацией счетов от известных брендов, таких как Norton Antivirus. Счета включают достоверные данные и часто содержат дополнительные сборы, например «активационный сбор» в размере $50, что придаёт подделкам ещё больше правдоподобности.

При подписании такого счёта пользователь фактически даёт разрешение на оплату, которое злоумышленники могут использовать для перевода денег на свои счета. Такие счета трудно отследить — они приходят напрямую через платформу DocuSign, не имея вредоносных ссылок или вложений, поэтому фильтры электронной почты пропускают их.

Эта схема — новое слово в киберпреступности, когда злоумышленники успешно встраивают свои операции в надёжные платформы, что усложняет их обнаружение.

Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис», говорит, что только комплексный подход к защите данных поможет избежать непоправимых последствий.

«Помимо разговора с сотрудниками об основах цифровой гигиены, необходимо защищать ИТ-инфраструктуру корпоративной сети. В случае, когда возникают новые уязвимости, могут прийти на помощь программные комплексы, которые способны детектировать подозрения на инциденты методами поведенческой аналитики UEBA и ML. Только использование ПО, которое способно распознать атаки в начале её жизненного цикла, поможет спасти компанию от серьёзных финансовых, а порой и репутационных потерь. Хороший пример подобного ПО — это Ankey ASAP», — говорит киберэксперт Ксения.

*DocuSign — компания, которая предоставляет сервис, позволяющий загружать, отправлять на подписание, просматривать, подписывать и отслеживать статус различных электронных документов.

Новая группировка Interlock разработала шифровальщик, нацеленный на серверы FreeBSD.

В начале осени текущего года Interlock уже заявила об атаке на шесть компаний и о публикации их украденных данных после отказа в уплате выкупа.

На прошлой неделе компания Trend Micro сообщила, что обнаружила ещё один шифровальщик для FreeBSD и образец для Windows. По их данным, FreeBSD популярен среди критически важных инфраструктур, что делает его привлекательной целью для злоумышленников, стремящихся нарушить работу организаций и вынудить их к выплате выкупа.

Для давления на жертвы Interlock использует технику двойного вымогательства — кражу данных и угрозу их утечки при отказе в выплате. Размер выкупа может варьироваться от сотен тысяч до миллионов долларов в зависимости от масштаба организации.

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко:

«Свободно распространяемое программное обеспечение (ПО) приносит пользу обществу, способствуя быстрому развитию технологий. Однако есть и обратная сторона медали: злоумышленники могут изучить код раньше экспертов в области безопасности приложений (AppSec), выявить уязвимости в выпущенных версиях свободного ПО и создать вредоносное ПО для эксплуатации данных уязвимостей. Аналитики SOC "Газинформсервиса" внимательно следят за новыми угрозами и используют самые современные средства защиты информации, чтобы своевременно выявлять и предотвращать подобные риски».

Логистическая компания DHL столкнулась с масштабной кибератакой, нарушившей работу системы отслеживания доставки для британской сети магазинов Nisa.

Проблемы возникли на стороне технологического партнёра DHL — компании Microlise, которая, как сообщается, стала целью кибератаки. Инцидент произошёл вчера, о чём Nisa уведомила своих ритейлеров, сообщив о «глобальном сбое» в системе.

В компании говорят, что проблема ограничена только трекинговой системой DHL, что создало трудности с мониторингом доставки для магазинов Nisa. Хотя сбоев в графике поставок не наблюдается, временно отсутствует возможность получать оперативные уведомления о статусе заказов.

Представитель DHL подтвердил инцидент с Microlise, добавив, что собственные системы DHL не пострадали.

«Крупные компании чаще других подвергаются атакам, однако благодаря качественному обеспечению информационной безопасности и использованию многофункциональных средств защиты ИТ-инфраструктуры функционирование компании не нарушается и о наличии той или иной атаки может узнать только специалист ИБ из отчёта ПО. Для предотвращения последствий кибератак необходимо заранее побеспокоиться об информационной безопасности компании. В данном случае компании-жертве помог бы многофункциональный комплекс по защите ИТ-инфраструктуры, такой как Efros Defence Operations, который за счёт контроля доступа, аудита уязвимостей, моделирования векторов атак позволил бы защитить инфраструктуру от кибератак и обеспечить непрерывную работу не только своей организации, но и компаний-партнёров», — рассказала эксперт Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

В 3-ем квартале 2024 года количество кибератак с применением вирусов-шифровальщиков увеличилось на 32% по сравнению с аналогичным периодом 2023 года. О том, как противостоять таким атакам, рассказала эксперт «Газинформсервиса».

Чаще всего от таких атак страдает малый и средний бизнес, пишет IT Speaker, ссылаясь на исследование экспертов «Нейроинформ». Также эксперты говорят, что больше всех подобным кибератакам подвержены компании из финансовой сферы, ритейла, ИТ-сектора и логистики. По их словам, это связано с тем, что именно в таких сферах готовы чаще платить указанную хакерами сумму.

Отмечается, что в текущем году выросли суммы выкупа за восстановление файлов. Так, в 2023 году в среднем сумма выкупа составляла 130 млн рублей, а в 2024 — более 175 млн рублей.

Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис», говорит, что сегодня использование вирусов-шифровальщиков для вымогательства — достаточно популярное действие злоумышленников.

«Чаще всего вирусы-шифровальщики попадают в систему при помощи социальной инженерии. Как ни обучай персонал цифровой гигиене, человеческий фактор будет всегда, поэтому необходимо на программном и программно-аппаратном уровнях защищать ИТ-инфраструктуру от различного рода атак. Вредоносное ПО развивается с каждым днём, и проверенное ПО может уже не спасти. В таких случаях предпочтительнее использовать ПО, применяющее в своей работе машинное обучение. Например, поведенческая аналитика UEBA, которая лежит в основе Ankey ASAP, позволяет определять отклонения в поведении пользователей и устройств, выявлять всплески их активности и в целом отклонения от базовой линии поведения. Используя качественные отечественные разработки, возможно определить аномалии в работе и своевременно принять меры по обезвреживанию данного рода атак и, как следствие, сохранить как финансовое, так и репутационное благополучие компании», — рассказала эксперт Ксения Ахрамеева.

Компания «Газинформсервис» представила квартальное обновление платформы расширенной аналитики безопасности Ankey ASAP — релиз 2.4.3. И это не просто очередной набор улучшений, а внушительный удар по киберугрозам, который заставит злоумышленников понервничать.

Ключевое нововведение — это возможность визуализировать профили поведения пользователей. Специалистам по безопасности доступны не просто сухие цифры, а живая картина активности. Хакерам станет сложнее спрятать свои следы, ведь аномалии будет проще обнаружить.

В релизе 2.4.3 обновлены разделы «Инциденты» и «Алерты», что позволит ускорить поиск и анализ подозрительной активности, а значит, реагировать на угрозы оперативнее.

Добавим, что Ankey ASAP теперь интегрируется с платформой бизнес-аналитики Luxms BI. Интеграция позволит собирать информацию из разных источников и визуально отражать полную картину безопасности компании. Вся информация — перед глазами, все угрозы — под контролем.

 «Мы добавили к анализу поведения пользователей наглядную визуализацию. Этот инструмент позволит быстрее и эффективнее обнаруживать аномалии и реагировать на угрозы», — рассказывает Яна Заковряжина, менеджер продукта Ankey ASAP. — «Мы постоянно работаем над совершенствованием Ankey ASAP, чтобы предоставить нашим заказчикам самый современный и эффективный инструмент для обеспечения информационной безопасности».

Компании «Газинформсервис» и «Лаборатория МБК» подтвердили совместимость своих разработок — СУБД Jatoba и почтового сервера TEGU Enterprise.

Jatoba — это современная СУБД, предназначенная для работы в различных сферах, включая банковскую и финансовую. Обеспечивая высокую скорость обработки данных, безопасность и масштабируемость, Jatoba становится отличным выбором для решений по безопасной обработке критически важной информации.

TEGU Enterprise — это отечественное современное серверное геораспределённое высоконагруженное программное обеспечение, работающее на оборудовании заказчика (on-premise) под управлением ОС Linux, включающее в себя почтовую службу, сервис адресных книг и календарей.

«Это партнёрство демонстрирует наше стремление к созданию качественных отечественных решений для российского рынка. Мы уверены, что совместное использование TEGU Enterprise и Jatoba позволит организациям добиться новых уровней эффективности и безопасности в работе с электронной почтой», — отметил ведущий менеджер группы по работе с партнёрами компании «Газинформсервис» Андрей Макаров.

«Одно из уникальных свойств почтового сервера TEGU Enterprise заключается в том, что для хранения почты, календарей и адресных книг он использует СУБД. Именно это обстоятельство делает его масштабируемым и функциональным. В этой связи понятно, с какой тщательностью мы подходим к выбору отечественных СУБД, которые рекомендуем использовать с TEGU. Благодарим наших коллег из "Газинформсервис" за помощь в тестировании и рекомендуем нашим пользователям использовать СУБД Jatoba», — отметил генеральный директор ООО «Лаборатория МБК» Игорь Кальметов.

22 октября в Минске состоялся юбилейный Международный форум по банковским информационным технологиям «БАНКИТ-2024», в ходе которого советник генерального директора — начальник удостоверяющего центра ООО «Газинформсервис» Сергей Кирюшкин рассказал об участии представителей кредитно-финансового сектора в трансграничном ЭДО.

В секции «Технология электронной цифровой подписи в банковской сфере и трансграничный электронный документооборот» выступил советник генерального директора — начальник удостоверяющего центра Сергей Кирюшкин с докладом по теме «Интероперабельность трансграничного электронного документооборота в интересах кредитно-финансового сектора». Кроме того, эксперт компании «Газинформсервис» стал соведущим заседания в формате круглого стола на тему «Технология ЭЦП в банковской сфере. Формирование и использование "цифровых образов документов" в Республике Беларусь».

«Участие банков в трансграничном ЭДО, сопровождающем импортно-экспортные процедуры, является приметой времени. Кредитно-финансовая система — ключевой участник цепочек поставок, и начало использования трансграничных документов с иностранными электронными подписями в интересах банковского сопровождения договоров, услуг кредитования и факторинга, интернет-трейдинга, других банковских услуг — это логичное развитие темы трансграничного юридически-значимого ЭДО, сопровождающего внешнеэкономическую деятельность. Сейчас к этой теме подключаются крупнейшие банки ЕАЭС и СНГ. На операторов услуг признания иностранной электронной подписи — доверенных третьих сторон (ДТС) — в результате возлагаются специфические для этого сектора требования по обеспечению поддержки новых форматов электронных документов, новых бизнес-процессов, большого числа участников цепочек поставок, обеспечению работы в режиме 24/7. Коммерческие и частно-государственные операторы сервисов проверки иностранной электронной подписи в Армении, Беларуси, Казахстане, Кыргызстане, России, Узбекистане проводят большую работу по развитию своей технологической инфраструктуры и приведению её в соответствие с высокими требованиями, которые предъявляет бизнес, в том числе банки, этому востребованному для международной торговли сервису "электронного апостилирования"», — отметил по итогам участия в форуме «БАНКИТ-2024» Сергей Кирюшкин.

Форум ежегодно проходит по инициативе Ассоциации «Инфопарк» и Национального банка Республики Беларусь, при поддержке Ассоциации белорусских банков и Научно-технологической ассоциации «Конфедерация Цифрового Бизнеса».

В работе форума приняли участие как представители банковской системы стран СНГ, так и представители органов государственного управления и власти Республики Беларусь.

Напомним, что ранее был реализован первый трансграничный обмен электронными товаросопроводительными документами между Россией и Беларусью, подробнее здесь.

Исследователи из ESET обнаружили новое вредоносное ПО, созданное группой Embargo для развёртывания одноимённого шифровальщика. Эксперт «Газинформсервиса» рассказала, какие средства защиты наиболее эффективны от созданного вредоноса.

Программы написаны на языке Rust, что позволяет разработчикам Embargo создавать универсальные кроссплатформенные инструменты для атак на системы Windows и Linux. Система включает в себя загрузчик MDeployer и программу для отключения средств безопасности MS4Killer, которые настраиваются под каждого конкретного пользователя, что делает обход защитных систем более эффективным. Отдельное внимание привлекает MS4Killer, компилируемая для каждой цели и направленная на определённые системы безопасности, что облегчает доступ к корпоративным данным.

Также исследование ESET выявило, что инструменты Embargo подвержены багам и логическим ошибкам. Например, одна из версий MDeployer удаляла файл полезной нагрузки и пыталась выполнить его же, что вызывало сбои.

Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис»:

«Необходимо отметить, что в данном случае работает тандем: загрузчик-шифровальщик и программа для доступа к корпоративным данным. На данный момент активно разрабатываются отечественные продукты по защите ИТ-инфраструктуры и управлению ИБ. Один из продуктов, который защитит от неправомерного доступа к сети и дальнейшему распространению за счёт изменений уровня доступа пользователей, является Ankey IDM. Оперативный контроль учётных записей, оперативное расследование инцидентов информационной безопасности с последующим прекращением доступа к скомпрометированным учётным записям приводит к снижению рисков несанкционированного доступа и дальнейшему исключению распространения вредоносного ПО. Использование продуктов по управлению информационной безопасностью позволит избежать утечек конфиденциальной информации и предотвратить финансовые потери», — подчеркнула Ксения.

В некоторых моделях принтеров Xerox обнаружена критическая уязвимость, которая позволяет хакерам удалённо выполнять произвольные команды с повышенными привилегиями. Эксперт «Газинформсервиса» рассказала, как защититься от подобной атаки.

В зоне риска оказались модели EC80xx, AltaLink, VersaLink и WorkCentre, если они не обновлены до последних версий прошивки. Уязвимость позволяет злоумышленникам получить доступ к операционной системе принтера и выполнять команды от имени суперпользователя.

Эксплуатация данной уязвимости может привести к установке обратной оболочки (reverse shell), что даст киберпреступникам полный контроль над системой принтера.

SEC Consult пишет, что уязвимость подтверждена на моделях Xerox WorkCentre 7970 (073.200.167.09610) и WorkCentre 7855 (073.040.167.09610). Чтобы предотвратить возможные атаки, пользователям настоятельно рекомендуется обновить прошивку своих устройств и ознакомиться с инструкциями по устранению проблемы в официальной заметке Xerox XRX24-015.

Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» говорит, что даже обычный принтер может стать тем слабым звеном, через которое злоумышленники могут получить доступ к внутренней корпоративной сети организации.

«Для защиты от такого рода уязвимостей необходимо заранее позаботиться о защите сетевых и оконечных устройств. Есть продукты, которые позволяют осуществлять профилирование пользовательских устройств, централизованный контроль над доступом пользователей и администраторов к сетевым устройствам. Например, в многофункциональном комплексе по защите ИТ-инфраструктуры Efros Defence Operations есть модуль NETWORK ACCESS CONTROL, который за счёт аутентификации и авторизации устройств, профилирования пользовательских устройств позволит предотвратить такого рода атаки и защитить сеть от злоумышленников. Выбор качественных многофункциональных комплексов по защите ИТ-инфраструктуры от надёжных отечественных вендоров позволит быть уверенным в информационной безопасности своей корпоративной сети», — подчеркнула Ксения.

«Газинформсервис» и ICL Системные технологии разработали совместный продукт — программно-аппаратный комплекс (ПАК) «Комплекс мониторинга ИТ-инфраструктуры TR/ST», который уже прошёл процесс регистрации в реестре ПАК в Минцифре РФ.

«Комплекс мониторинга ИТ-инфраструктуры TR/ST», созданный на базе серверов ICL Техно, продуктов компании «Газинформсервис» и решений других технологических партнёров, предназначен для комплексной автоматизации мониторинга ИТ-инфраструктуры. ПАК позволяет контролировать состояние оборудования, качество каналов связи, оперативно уведомлять о возникших и возможных проблемах, а также анализировать накопленные данные для повышения эффективности работы.

Решение от «Газинформсервиса» и ICL может использоваться во всех отраслях экономики, включая объекты критической инфраструктуры, что особенно важно в условиях ускоренного перехода на продукты российских компаний.

«"Комплекс мониторинга ИТ-инфраструктуры TR/ST" — эффективный инструмент для обеспечения бесперебойной работы информационных систем. Совместное с ICL Системные технологии решение ориентировано на широкий круг заказчиков, но прежде всего оно для объектов КИИ. Регистрация в реестре Минцифры в свою очередь подтверждает высокое качество, надёжность и соответствие нашего решения самым высоким стандартам», — отметил заместитель генерального директора — руководитель департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.

Генеральный директор ICL Системные технологии, Ирек Азизов, добавил: «Мы видим программно-аппаратный комплекс как вариант быстрого решения задач заказчиков и выполнение требований регуляторов, как некую "волшебную таблетку", особенно для субъектов КИИ. Мы за то, чтобы от использования ПАК, кроме гарантированной совместимости компонентов, заказчики получали ещё и дополнительную ценность, например в части оптимизации ресурсов (финансовых, человеческих, временных)».

Важно, что решение «Комплекс мониторинга ИТ-инфраструктуры TR/ST» прошло тщательное тестирование совместимости всех компонентов и оптимизацию работы систем. Это гарантирует стабильность и непрерывность работы информационных систем, что особенно важно для отраслей с интенсивным использованием информационных технологий и необходимостью обеспечивать стабильность и непрерывность функционирования ИТ-инфраструктуры.

«Газинформсервис» подвёл итоги киберсоревнований в формате CTF, которые проходили в рамках форума GIS DAYS 2024. С результатом 13 400 очков победил Антон Бабаев — студент 1-го курса Санкт-Петербургского политехнического университета Петра Великого.

Соревнования проходили сразу в двух форматах: на площадке форума GIS DAYS 2024 и онлайн. Всего их участниками стали более 920 студентов из более чем 20 городов РФ. Очными участниками стали представители более 8 вузов: СПбГУТ им. М.А.Бонч-Бруевича, СПбПУ, ИТМО, СПбГМТУ, СПбГЭТУ «ЛЭТИ», БГТУ «ВОЕНМЕХ» им. Д.Ф.Устинова, СПбМТУ, ГУАП, РАНХиГС и др.

 Организаторы проекта разработали более 35 кейсов разной сложности для новичков и настоящих профи в ИБ. Всего игрокам предлагали попробовать свои силы в 7 разных тематических блоках: «Стеганография», «Криптография», OSINT, «Веб», «Анализ сетевых атак», «Реверс-инжиниринг», «Разное». Составлением заданий занимались специалисты Аналитического Центра Кибербезопасности (АЦКБ) «Газинформсервиса» совместно с МЦЦК ФИЦ РАН.

«Я очень рад, что довольно большое количество студентов поучаствовало в наших соревнованиях. Это мероприятие позволило по-новому посмотреть на студентов. Некоторые из них в рамках проекта показали такой уровень знаний, при котором они могут уже сейчас, продолжая обучаться в университете, пробовать трудоустроиться в крупные компании в области ИБ. Верю, что мы и дальше будем проводить подобные мероприятия», — отметил Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».

13 400 очков из 13 400: таким оказался максимальный балл для участников соревнований в этом году. Его получили 7 игроков из 927, и лучшего пришлось определять по скорости выполнения заданий. Им оказался Антон Бабаев, который справился с заданиями за 5 часов и 3 минуты.

«Все задачи были довольно интересными, больше всего времени потребовали задания категории OSINT. Мне очень понравилось это соревнование, я обязательно буду участвовать, если "Газинформсервис" организует подобное соревнование вновь!» — поделился впечатлениями от игры Антон Бабаев.

Подробнее о проекте читайте на сайте.

Справка:

CTF (Capture The Flag) — формат киберспортивного или хакерского соревнования, в котором участники или команды соревнуются в решении различных задач, связанных с информационной безопасностью. Цель участников — найти и использовать уязвимости в предоставленных системах или задачах для получения «флагов»: определённых последовательностей символов. Победителем является пользователь (или команда), набравший наибольшее количество «флагов» за определённый период времени.

*Дни глобальной информационной безопасности

Корпорация Nidec* сообщила, что хакеры, стоящие за кибератакой с использованием программы-вымогателя, опубликовали похищенные данные в даркнете. Эксперт «Газинформсервиса» рассказал, как пресекать подобного рода атаки на этапе их становления.

Известно, что киберпреступники пытались шантажировать компанию Nidec, требуя выкуп за украденную информацию, но, не получив денег, решили выложить данные в сеть.

По результатам расследования внутри компании оказалось, что злоумышленники получили доступ к системам через украденные учётные данные VPN одного из сотрудников. Получив доступ к серверам, хакеры скачали 50 694 файла, включая внутренние документы, коммерческие договоры, такие как заказы на покупку, счета и контракты, и другую чувствительную информацию.

 «Всегда трудно рассчитать, будут ли финансовые и репутационные потери больше, чем стоимость выкупа украденной информации. Тем не менее платить злоумышленникам, подогревая интерес сообщества хакеров к данному виду атаки, плохое решение. Как минимум, потому что никто не предоставит вам гарантии, что после оплаты ваши данные не появятся в даркнете. С пресечением подобного рода атак на этапе их становления справится платформа расширенной аналитики Ankey ASAP, которая позволяет отслеживать аномальное поведение пользователей в корпоративной сети, включая переходы в новые для пользователя каталоги и обращения к файлам, ранее не представляющим никакого интереса. Важно понимать, что атака, связанная с утечкой данных, может протекать абсолютно незаметно, так как злоумышленники всё чаще обходят традиционные меры защиты данных», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».

*Nidec Corporation является мировым лидером в производстве прецизионных двигателей, автомобильных компонентов, промышленных деталей, запчастей для бытовой техники и роботизированных систем. Компания работает в 40 странах, насчитывает 120 000 сотрудников.

В Москве и Санкт-Петербурге завершился 7-й форум по кибербезопасности Global Information Security Days*, с докладами выступили 65 спикеров.

Форум проходил с 3 по 4 октября офлайн в Москве и Санкт-Петербурге, онлайн трансляцию форума смотрели более 900 тысяч зрителей.

Студенты, представители технических вузов, «белые хакеры», крупные работодатели в области ИБ стали участниками проекта в Санкт-Петербурге. Молодые специалисты смогли получить ответы на самые острые вопросы трудоустройства и карьерного развития в сфере информационных технологий. Впервые состоялся проект «Киберарена» — новый формат соревнований для специалистов по кибербезопасности, а студенты со всей России приняли участие в соревнованиях в формате CTF*.

В Москве форум объединил представителей бизнеса, регуляторов, разработчиков отечественного программного обеспечения и компонентов в области информационной безопасности. Участники обсудили промежуточные итоги импортозамещения и будущее сферы информационной безопасности, в дискуссии принял участие заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов.

«Есть все основания полагать, что регуляторы в области ИБ не будут выступать с инициативой продления сроков импортозамещения по Указу №250. Исходя из нашей практики работы с крупным бизнесом и госсектором, мы видим, что заказчики в целом готовы к изменениям, которые наступят 1 января 2025 года. И это закономерно, так как для всех участников процесса это важная дата, к которой реально готовились», — отметил Николай Нашивочников, заместитель генерального директора — технический директор компании «Газинформсервис».

Также в рамках форума подвели итоги конкурса «Биржа ИБ и ИТ-стартапов», победителем стал проект «Комплекс решений по обеспечению автомобильной кибербезопасности», определили лучшее название для SOC от «Газинформсервис», а также презентовали новую книгу «ИБ-пророк» — собственный издательский проект компании — сборник прогнозов от 22 экспертов рынка ИБ.

«Будущее кибербезопасности всем видится по-разному: кто-то рассматривает весьма негативные сценарии, кто-то склонен рассуждать позитивно. В одном эксперты сходятся: мы постоянно приспосабливаемся к новым требованиям, учимся работать в ситуации ограниченных ресурсов, и такая адаптивность делает бизнес только крепче. Мы объединяемся для реализации общей цели: она сейчас для всех понятна и едина — исполнение Указов № 250 и 166 и достижение максимально возможного уровня импортонезависимости. Это существенно помогает в работе», — отметил Роман Пустарнаков, заместитель генерального директора — руководитель департамента организации работ с заказчиками компании «Газинформсервис».

Спикерами форума стали 65 экспертов из: Positive Technologies, Аквариус, «Код Безопасности», Zecurion, ИнфоТеКС, Xello, Fplus, BI.ZONE, «Лаборатория Касперского», R-Vision, UserGate, ГК «Солар», «Аладдин Р.Д.», «АйТи БАСТИОН», «Киберпротект», ГК InfoWatch, «Атом Безопасность», ICL Системные Технологии и других компаний и организаций.

В рамках форума представители бизнеса делились практическими кейсами импортозамещения, интеграции компаний в интересах заказчиков.
«Число APT-группировок и количество кибератак с каждым годом растет: киберпреступники используют многоэтапные сценарии реализации угроз, применяют ИИ для генерации текстов фишинговых писем и используют техники обхода средств защиты. Злоумышленники атакуют почти все отрасли, но чаще всего целятся в госсектор, промышленность, телекоммуникации и финансовый сектор, стремясь нарушить работу критически важных систем или украсть конфиденциальную информацию (кибершпионаж). С учетом современного ландшафта киберугроз мы говорили на конференции о тех методах, которые позволяют государственным и коммерческим компаниям видеть угрозы на ранних этапах, иметь возможность обнаружить и остановить злоумышленников», - рассказал Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies.

Тема форума — «Уроки русского» объединила деловую повестку и культурную. Завершением проекта стал моно-спектакль Виктора Сухорукова «Счастливые дни».

Следить за новостями GIS DAYS можно на сайте. Global Information Security Days* — это ежегодный форум, повещенный наиболее острым и актуальным вопросам цифровизации и кибербезопасности.

*Дни глобальной информационной безопасности

            *CTF (Capture The Flag) — формат киберспортивного соревнования, в котором участники или команды соревнуются в решении различных задач, связанных с информационной безопасностью. Цель участников — найти и использовать уязвимости в предоставленных системах или задачах для получения «флагов»: определённых последовательностей символов. Победителем является пользователь (или команда), набравший наибольшее количество «флагов» за определённый период времени.

Boston Children’s Health Physicians (BCHP), организация, которая объединяет более 300 врачей в 60 региональных офисах в Нью-Йорке и Коннектикуте, США, подтвердила утечку данных, произошедшую в сентябре. Данные тысяч несовершеннолетних пациентов оказались скомпрометированы.

Подозрительная активность в системах организации была зафиксирована 6 сентября, а уже 10 сентября руководство компании отключило системы для предотвращения дальнейшего проникновения. В ходе расследования выяснилось, что хакеры скопировали данные пациентов с серверов организации.

Кибератаки продолжают наносить серьёзный ущерб сфере здравоохранения. Microsoft недавно сообщила, что за последний финансовый год пострадали 389 медицинских учреждений в США.

 «Анализируя отчёт утечек от Аналитического центра кибербезопасности "Газинформсервис", можно сказать, что данный вид инцидентов нужно брать под особый контроль. Злоумышленники всё чаще находят способы обхода стандартных мер по защите данных от утечек, проводя подобные атаки практически "незаметно". При этом до проведения атаки значительно изменяется один параметр, который подделать сложнее всего, — активность и поведение пользователя. Злоумышленник, внешний или инсайдер, начинает "ходить" по каталогам, копировать те файлы (и обращаться к ним), к которым ранее не имел интереса. Отследить аномальное поведение пользователя и/или устройства внутри корпоративной сети можно с помощью платформы расширенной аналитики Ankey ASAP, анализирующей активность объектов информационной безопасности, в том числе пользователей, устройств или сущностей, позволяя пресечь утечку данных до момента её осуществления», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».

3 октября «Газинформсервис» подвёл итоги киберсоревнований «Киберарена» на собственном киберполигоне, имитирующем инфраструктуру города будущего. Лучшие результаты показали команды CyberArt среди защитников и Invuls среди атакующих.

За победу в игре боролись 8 команд — 5 команд-атакующих Invuls, Cult, CR4.SH, TRUE0XA3, KIBERS и 3 команды-защитников CyberArt, Your Shell Not Pass, K2 Кибербезопасность. Соревнования длились 2 дня: команды атакующих проводили эффективные атаки, а защитники бдительно следили за их действиями и пытались раскрыть цепочки атак. По условиям игры призовой фонд поделили между собой все восемь команд: каждая из них смогла отстоять право на призы. Однако благодаря результативным атакам и эффективной тактике расследований самые крупные суммы достались трём из них:

CyberArt (Blue Team) — 740 000 рублей;

Your Shell Not Pass (Blue Team) — 620 000 рублей;

Invuls (Red Team) — 580 000 рублей;

«Пилотный запуск проекта прошёл успешно, мы получили хорошую обратную связь от участников. Особенно участники отметили новый формат киберсоревнований, в котором реальный выигрыш зависит от включённости команд в игру, их активности и профессионализма. В отличие от других подобных соревнований, наша игра не ориентирована на команды нападающих: стать лучшими и забрать денежный приз могут и защитники. Что мы и видим в финале первого запуска. Также участники оценили креативный сценарий игры с использованием возможностей ИИ. Нам есть над чем работать, но мы убедились, что в будущем хотим масштабировать идею и создать платформу для организации онлайн-соревнований между атакующими и защитниками», — отметила Лидия Виткова, начальник Аналитического центра кибербезопасности «Газинформсервис».

«”Киберарена” для нас — большой и серьёзный проект, который мы трансформировали в новый для нас формат: киберполигон. Это место для поединка и реальная возможность проверить свои навыки как в нападении, так и в защите. Мы готовим в будущем году ещё больше увлекательного внутри этого проекта, следите за “Киберареной”», — отметил Григорий Ковшов, руководитель службы маркетинга «Газинформсервиса».

Соревнования проходили в рамках форума GIS DAYS* 2024. Организатор форума — крупный отечественный вендор и интегратор в сфере кибербезопасности, компания «Газинформсервис». С результатами кибербитвы можно ознакомиться на сайте.

*Дни глобальной информационной безопасности.

Компании МУЛЬТИФАКТОР и «Газинформсервис» подтвердили совместимость своих продуктов и корректность их работы.

Компании МУЛЬТИФАКТОР и «Газинформсервис» успешно провели испытания собственных продуктов и подтвердили совместимость системы двухфакторной аутентификации MULTIFACTOR с комплексом для централизованного управления учётными записями пользователей Ankey IDM. По результатам испытаний оформлен сертификат совместимости.

Объединение этих решений, включённых в реестр российского программного обеспечения, предоставляет более надёжную защиту от несанкционированного доступа и упрощает управление доступом к информационным системам.

MULTIFACTOR — это система двухфакторной аутентификации и контроля доступа для всех видов удалённых подключений: RDP, VPN, VDI, SSH и других.

Ankey IDM — программный комплекс класса IGA (Identity Governance and Administration). Предназначен для централизованного управления учётными записями сотрудников и их полномочиями, поддерживает более 60 типов информационных систем, включая отечественное корпоративное ПО.

Ankey IDM обеспечивает кибербезопасность крупных топливно-энергетических компаний, а также предприятий сегмента FMCG в России и за рубежом, используется в компаниях с большим количеством информационных систем как в облачной, так и в корпоративной инфраструктуре.

«Сотрудничество с “Газинформсервис” позволит нашим компаниям предоставить лучшие решения под самые разные запросы рынка. Объединив работу MULTIFACTOR и Ankey IDM, мы сможем защитить данные корпораций и предотвратить риски несанкционированного доступа», — сказал Роман Башкатов, коммерческий директор МУЛЬТИФАКТОР.

«Мы уже несколько лет работаем с коллегами из МУЛЬТИФАКТОР над проектами, где предполагался контроль полномочий сотрудников и централизованная парольная политика совместно с единой аутентификацией. Документальное подтверждение совместимости — это закономерный плод совместной деятельности в интересах наших заказчиков. Наша общая цель — обеспечить контроль полномочий пользователей в информационных ресурсах и снизить риски несанкционированного доступа, растущие из года в год в последнее десятилетие», — отметил Иван Корешков, менеджер по продукту Ankey IDM «Газинформсервис».

25 октября в 13:00 на ТВ-канале «Большой эфир» выйдет третий выпуск шоу об информационной безопасности и кулинарии — «Инфобез со вкусом». Тема: как «приготовить» эффективный коллектив в крупном бизнесе.

В рамках выпуска ведущий проекта, киберэксперт Сергей Полунин, и Анна Прабарщук, руководитель службы управления персоналом компании «Газинформсервис», поделятся рецептом эффективного коллектива в крупном бизнесе, а заодно приготовят древнерусские классические щи.

 Также гостья подскажет соискателям, что нельзя говорить на собеседовании, и расскажет, как в целом сейчас обстоят дела на рынке труда.

Ведущий шоу, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин:

«Это особенный выпуск — к юбилею компании "Газинформсервис". Для зрителей он будет привлекателен, потому что мы обсудим много интересных тем для широкой общественности».

Выпуск приурочен к 20-летию компании «Газинформсервис».

«Инфобез со вкусом» выходит каждую последнюю пятницу месяца в 13:00. Смотрите третий выпуск шоу 25 октября в «Большом эфире. Телеканал доступен не только спутниковым клиентам, но и всем желающим на сайте kino.tricolor.ru и в мобильном приложении «Триколор Кино и ТВ» бесплатно и без регистрации.

Данные Microsoft Entra показывают, что из более чем 600 миллионов ежедневных атак на идентификационные данные пользователей Windows 99% построены на использовании паролей в хакерских комбинациях.

Киберпреступники используют законные и авторизованные идентификационные данные для кражи конфиденциальной информации и получения доступа к учётным данным. Применяются различные способы: фишинг, вредоносное ПО, утечка данных, атаки методом перебора / рассылка паролей и компрометация учётных данных.

 Как и в прошлые годы, большинство атак, связанных с идентификационными данными, представляют собой атаки на пользователей с использованием паролей, которые поддерживаются обширной инфраструктурой, предназначенной для поиска паролей в цифровом мире. Семи тысячам таких атак в секунду за последний год подвергались пользователи Windows.

Однако, поскольку многофакторная аутентификация блокирует большинство атак с использованием паролей, злоумышленники переключают своё внимание на другие способы:

1. Атаку на инфраструктуру;
2. Обход аутентификации;
3. Использование уязвимостей в приложениях.

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко говорит, что в крупных компаниях существует множество сервисов и программного обеспечения, в которых используются идентификационные данные.

«Каждый узел инфраструктуры где происходит идентификация, представляет собой потенциальный вектор атаки. Чтобы контролировать и управлять этими данными, компании используют специальные инструменты — системы управления идентификационными данными (IDM). Одной из таких систем является Ankey IDM, которая может подключаться к большинству бизнес-систем и надёжно управлять доступом и полномочиями сотен тысяч пользователей», — говорит киберэксперт Матвиенко.

Исследователи из западной ИБ-компании Outflank рассказали о новом методе внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR).

Новая техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection.

В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима. Метод объединяет преимущества Early Bird APC Injection и недавно разработанного EDR-Preloading. В отличие от ранних методов, новый подход устраняет необходимость использования межпроцессного вызова асинхронных процедур (APC), что снижает вероятность обнаружения.

Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы. Например, при загрузке первых DLL-модулей EDR часто вставляет свои хуки, чтобы отслеживать активность. Новый метод вмешивается как раз на этой стадии, что может сорвать запуск таких защитных модулей.

«Атака, связанная с внедрением в процессы создания приложений Windows на ранней стадии, делает её особенно "скрытной", так как она не требует модификации системных прав доступа и исключает подозрительные взаимодействия между процессами. Данная уязвимость может быть использована для обхода стандартных систем обнаружения угроз в целях загрузки вредоносного кода. С наблюдением за "активностью" процессов на устройстве поможет справиться платформа расширенной аналитики Ankey ASAP, позволяющая детектировать аномалии в поведении пользователей и сущностей. Для пресечения использования подобного рода уязвимостей следует обновлять системные компоненты, включая критически важные библиотеки, а также мониторить изменения в поведении инициированных процессов», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».

Исследователи из западной ИБ-компании HarfangLab выявили новую кампанию, распространяющую вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи. В «Газинформсервисе» рассказали, как защититься от подобных атак.  

Злонамеренная активность зафиксирована в начале октября текущего года. Цель атаки — установка программы для кражи данных под названием Lumma.

Hijack Loader распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.

Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.

С октября 2024 года злоумышленники начали использовать подписанные бинарные файлы вместо DLL, чтобы избежать обнаружения антивирусными программами. Как сообщают эксперты, сертификаты, использовавшиеся для подписания вредоносного ПО, уже были отозваны.

«Распространение вредоносного ПО через установку "пиратских" файлов — уже устоявшийся вид кибератаки. Мы давно убедились, что установка файлов с непроверенного источника под видом подлинных не гарантирует легитимность установленного ПО, в некоторых случаях — даже при наличии цифровой подписи. Подобные файлы требуют дальнейшего наблюдения за их активностью и вызываемыми процессами. С данной задачей прекрасно справится платформа расширенной аналитики Ankey ASAP, позволяющая анализировать поведение пользователей и сущностей, а также использование легитимного ПО в злонамеренных целях», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».

С 1 сентября 2024 года вступили в силу изменения в требования к форме квалифицированного сертификата ключа проверки электронной подписи (ЭП), утверждённые приказом ФСБ России от 2 февраля 2024 г. N 50. «Газинформсервис», как лидер в области информационной безопасности, оперативно адаптировал свои решения к новым требованиям и среди первых в отрасли представил обновлённое программное обеспечение Litoria Desktop 2, полностью соответствующее актуальному законодательству.

Ключевое изменение — добавление в сертификат информации о сроке действия ключа электронной подписи (PrivateKeyUsagePeriod). Теперь сертификаты, выпущенные после 1 сентября 2024 года, считаются квалифицированными только при наличии этого поля. Кроме того, срок действия ключа электронной подписи учитывается при определении действительности квалифицированной электронной подписи (63-ФЗ, статья 11, часть 2.1).

«Новые требования особенно важны при использовании так называемых "длинных" сертификатов, срок действия которых превышает срок действия ключа электронной подписи», — отмечает Сергей Кирюшкин, советник генерального директора — начальник удостоверяющего центра компании «Газинформсервис». — «Без доказательств действительности ключа электронной подписи на момент подписания (метка доверенного времени + OCSP-ответ или CRL) ЭП, созданная с использованием такого "длинного" сертификата, не является действительной по истечении срока действия ключа электронной подписи. То есть в таком случае (если доказательств момента подписания и доказательств действительности сертификата на этот момент в электронной подписи нет), срок действительности электронной подписи будет определяться более коротким сроком действия ключа электронной подписи: "длинный" сертификат превратится в "короткий". Крайне важно, чтобы средства электронной подписи выполняли такие проверки».

Правильно выполнять операции с квалифицированными сертификатами, соответствующими всем последним изменениям нормативного регулирования, и решать весь комплекс задач электронной подписи и шифрования позволяет универсальное средство электронной подписи Litoria Desktop 2.