Киберэксперт компании «Газинформсервис» Вадим Матвиенко предупреждает об опасности для пользователей Linux-систем, которые стали шире использоваться в рамках импортозамещения. Так, новый руткит для Linux под названием Pumakit сохраняется даже после перезагрузки системы. Для защиты от таких вредоносных программ необходимо применять инструменты, такие как Ankey ASAP.

Pumakit — это сложный руткит, который использует перехват системных вызовов для контроля файловой и сетевой активности, обеспечивая постоянный мониторинг и скрытность операций.

«С начала программы импортозамещения операционные системы Linux стали активно использоваться не только на серверах, но и на рабочих станциях пользователей. Это создаёт серьёзную опасность, особенно в связи с появлением технически сложных вредоносных программ, таких как Pumakit, которые не только предоставляют злоумышленникам удалённый доступ, но и активно препятствуют обнаружению, подделывая журналы и отключая защитные инструменты. Чтобы противостоять этой угрозе, необходимо внедрять меры безопасности, такие как инструменты поведенческой аналитики. Один из таких инструментов — Ankey ASAP — способен выявлять аномалии в работе системы и предупреждать специалистов по информационной безопасности об активности даже неизвестных вредоносных файлов», — отметил руководитель лаборатории исследований кибербезопасности компании «Газинформсервис» Вадим Матвиенко.

Киберэксперт компании «Газинформсервис» Александр Кабанов предупреждает, что уже сейчас хакеры используют в своих атаках искусственный интеллект, который позволяет масштабировать область поражения программ-вымогателей. Так, в декабре 2024 года 85 жертв подверглись атакам программы-вымогателя FunkSec.

По данным Check Point Research*, FunkSec — это программа-вымогатель, взлетевшая на вершину рейтинга киберугроз в конце 2024 года. Используя искусственный интеллект для масштабирования операций, группа, по-видимому, в значительной степени полагается на инструменты на базе ИИ для создания программ-вымогателей и управления кампаниями двойного вымогательства.

Важно отметить, что уязвимости критически важной инфраструктуры и появление новых киберпреступных группировок подчёркивают необходимость заблаговременной адаптации организаций с помощью передовых технологий. Также необходима реализация анализа угроз в режиме реального времени и надёжных стратегий защиты для снижения развивающихся киберрисков.

«Бизнес-модель продажи вредоносного программного обеспечения как услуги (MaaS) активно набирает обороты, что делает порог вхождения в область киберпреступности значительно ниже. Теперь злоумышленникам не требуется специализированное знание для разработки ПО, способного обойти механизмы защиты инфраструктуры, так как это могут сделать операторы вредоносного программного обеспечения (ВПО)», — отметил Александр Кабанов, — «А для противодействия современным вредоносам компанией "Газинформсервис" в Ankey ASAP разработаны модели машинного обучения, способные обнаружить шифровальщики и ботнеты уже на этапе инициализации. То есть, если устройство было заражено, ASAP с высокой долей вероятности это выявит», — добавил инженер-аналитик.

* Check Point Research — структурное подразделение израильского разработчика передовых ИТ-технологий Check Point Software Technologies Ltd.

В популярном архиваторе 7-Zip нашли уязвимость, с помощью которой злоумышленники могут установить вредоносную программу на компьютер сотрудника и проникать в корпоративную сеть. Как защитить корпоративную сеть от взлома, рассказала эксперт компании «Газинформсервис».

Важно, что хакеры научились обходить защитный механизм Windows — Mark-of-the-Web. Согласно описанию, выявленная уязвимость позволяет обойти предупреждения защитного механизма Mark-of-the-Web (MoTW).

Уязвимая версия архиватора способна пропустить скачанные файлы без пометки MoTW, а пользователь в этом случае не будет даже подозревать о рисках. Эксплуатация бреши может позволить киберпреступникам выполнить код в контексте текущего пользователя. Разработчики 7-Zip уже выпустили версию архиватора под номером 24.09, в которой уязвимость устранена. Рекомендуется установить новый релиз.

«Такой баг архиватора наглядно демонстрирует, как уязвимость легко может просочиться на компьютер и далее злоумышленники могут проникнуть в корпоративную сеть. Для защиты от такого рода уязвимостей необходимо использовать многофункциональные комплексы по защите ИТ-инфраструктуры. Существуют отечественные сертифицированные решения, которые способны производить комплексную систему мониторинга и управления сетевой инфраструктурой. Например, программный комплекс Efros Defence Operations обеспечивает как контролируемое предоставление доступа в корпоративную сеть, так и выявляет уязвимости. Надо помнить, что нельзя пренебрегать средствами по обеспечению информационной безопасности. Использование отечественных многофункциональных комплексов по защите ИТ-инфраструктуры позволяет не только предотвратить хищение и утечки информации ограниченного доступа, но и снизить капитальные и операционные затраты компании», — говорит Ксения Ахрамеева, к. т. н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

Исследователи опубликовали доказательство концепции (PoC) для уязвимости нулевого дня в Windows, обозначенной как CVE-2024-49138. Злоумышленники активно использовали эту уязвимость для атак. Екатерина Едемская, инженер-аналитик компании «Газинформсервис», подчеркнула важность проактивного подхода в борьбе с киберугрозами и необходимость использования центров мониторинга и реагирования на инциденты, таких как GSOC.

Уязвимость связана с драйвером CLFS — основным компонентом Windows, используемым для регистрации системных операций. Опубликованный PoC-код демонстрирует, как легко можно воспользоваться CVE-2024-49138 в вредоносных целях: она позволяет злоумышленникам повысить свои привилегии до уровня SYSTEM, предоставляя полный контроль над взломанным устройством. В Microsoft подтвердили, что до выпуска обновления уязвимость активно эксплуатировалась.

«Уязвимость CVE-2024-49138 демонстрирует, насколько важно быть на шаг впереди в области информационной безопасности. Несмотря на наличие патчей, активная эксплуатация уязвимости до их выхода подтверждает, что без оперативного мониторинга инцидентов и реагирования на них организации могут столкнуться с серьёзными последствиями. Атаки, использующие zero-day-уязвимости, как правило, развиваются стремительно, что требует от ИБ-команд гибкости и быстрой реакции, а стандартные меры защиты часто оказываются недостаточными. В таких условиях эффективный мониторинг и защита на уровне SOC становятся необходимостью. Например, GSOC от "Газинформсервиса" обеспечивает постоянную защиту и помогает быстро локализовать проблему. Это даёт возможность не только предотвратить эксплуатацию уязвимостей, но и минимизировать потенциальный ущерб для бизнеса», — отметила Екатерина Едемская, инженер-аналитик компании «Газинформсервис».

Хакеры получили возможность удалённого управления автоматизированными системами. Эксперт компании «Газинформсервис» рассказала, как защитить ИТ-инфраструктуру.

Эксперты в кибербезе выявили новые уязвимости в промышленных коммутаторах Planet Technology WGS-804HPT, которые позволяют осуществить удалённое выполнение кода до прохождения аутентификации на уязвимых устройствах. Эти устройства активно применяются в системах автоматизации зданий и в домашних сетях, в России в том числе.

Эксперты компании Claroty* утверждают, что успешная атака на эти устройства может привести к захвату контроля над внутренними сетевыми устройствами и дальнейшему боковому перемещению злоумышленников внутри сети.

Эксплуатация уязвимостей может дать злоумышленнику возможность встраивать вредоносный код в HTTP-запросы и выполнять команды на уровне операционной системы.

«От уязвимостей на стороне поставщиков услуг не застрахован никто, поэтому важно использовать многофункциональную защиту ИТ-инфраструктуры. Существуют надёжные отечественные разработки, которые способны выявлять не только атаки на раннем этапе, но и противостоять возможным уязвимостям, которым уже подверглись устройства внутри сети. Например, Efros DefOps способен не только обнаруживать и устранять уязвимости на оборудовании в системном и прикладном ПО, но и комплексно осуществлять защиту и мониторинг распределённых сетей и удалённых подключений. Только комплексная защита ИТ-инфраструктуры позволит минимизировать риски информационной безопасности и, следовательно, минимизировать финансовые и репутационные потери», — говорит Ксения Ахрамеева, к. т. н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

            *Claroty — американская компания, занимающаяся кибербезопасностью промышленных систем.

Исследователь в области безопасности c411e выпустил PoC-эксплойт для устранения серьёзной уязвимости в устройствах QNAP NAS, обозначенной как CVE-2024-53691. Киберэксперт компании «Газинформсервис» Екатерина Едемкая отметила, что в подобных случаях необходима платформа расширенной аналитики событий информационной безопасности c функциями поведенческого анализа, такая как Ankey ASAP.

Устройства QNAP NAS предназначены для хранения данных и управления ими с возможностью доступа через интернет или локальную сеть. Они функционируют как самостоятельные серверы. Обнаруженная уязвимость, оценённая на уровне 8,7 по шкале CVSS, даёт злоумышленникам возможность повышать свои привилегии и выполнять удалённый код (RCE) от имени пользователя root. Это создаёт серьёзные риски, поскольку root-доступ предоставляет широкие возможности для настройки системы и установки вредоносного программного обеспечения.

«Эксплуатация таких уязвимостей требует быстрой реакции и комплексного подхода к защите систем, так как они могут быть использованы для дальнейших атак, включая кражу данных и установку вредоносного ПО. Для эффективного выявления и предотвращения подобных инцидентов полезно использовать системы, которые могут анализировать поведение пользователей и объектов. Программный комплекс Ankey ASAP от "Газинформсервиса" помогает специалистам по информационной безопасности справляться с этой задачей с помощью методов машинного обучения. Это становится особенно важным для организаций, обрабатывающих или хранящих чувствительные данные, так как своевременное выявление аномальной активности может помочь предотвратить утечку информации и избежать негативные последствия для бизнеса», — отметила инженер-аналитик компании «Газинформсервис» Екатерина Едемская.

Компания SAP недавно устранила две критические уязвимости в сервере веб-приложений NetWeaver, которые могли быть использованы для повышения привилегий и получения доступа к закрытой информации. Уход SAP с российского рынка создал значительные риски для предприятий, использующих эту платформу. Отсутствие официальных обновлений и патчей делает российские компании уязвимыми перед возможными атаками. На защиту бизнеса приходит SafeERP от компании «Газинформсервис».

Обнаруженные уязвимости оцениваются от 5,6 до 9,8 баллов по шкале CVSS. Критические уязвимости, такие как CVE-2025-0070 и CVE-2025-0066, затрагивающие SAP NetWeaver, подчёркивают важность своевременного устранения проблем безопасности.

Решения SafeERP охватывают множество сценариев проверки объектов полномочий и авторизаций, а также настройки пользователей и системы. Напомним, этот многофункциональный модульный комплекс по защите бизнес-приложений обеспечивает контроль безопасности ERP-систем, размещённых на платформах 1С и SAP.

«В современных условиях импортозамещение становится жизненно важным инструментом для обеспечения устойчивости бизнеса. Решение SafeERP позволяет выявлять и предотвращать уязвимости в системе SAP. Его возможности охватывают широкий спектр задач, включая анализ уязвимостей кода, проверку полномочий и авторизаций, а также аудит настроек безопасности. SafeERP помогает закрыть пробелы в поддержке, обеспечивая надёжную защиту корпоративных данных и бизнес-процессов. Такие решения позволяют российским предприятиям минимизировать риски и адаптироваться к новым условиям, сохраняя высокий уровень кибербезопасности и независимости от иностранных поставщиков», — отметила Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис».

Специалисты Google Cloud совместно с независимыми исследователями выявили шесть уязвимостей в утилите Rsync, среди которых — критическая ошибка переполнения буфера хипа. Эта уязвимость позволяет злоумышленникам удалённо выполнять код на уязвимых серверах, что создает значительные риски для безопасности данных. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует в подобных ситуациях использовать решения, такие как Ankey ASAP, которые позволяют выявлять аномалии в инфраструктуре и обнаруживать уязвимости нулевого дня, обеспечивая дополнительный уровень защиты для организаций.

По данным исследования, более 660 000 серверов Rsync могут быть уязвимы для атак, что ставит под угрозу данные и конфиденциальность организаций, использующих этот инструмент. Уязвимости оцениваются по шкале CVSS от 5,6 до 9,8 баллов. CERT/CC уже выпустил бюллетень безопасности, предостерегающий об уязвимостях Rsync. Эксперты уточняют, что проблемы касаются таких систем, как Red Hat, Arch, Gentoo, Ubuntu, NixOS, AlmaLinux OS Foundation и Triton Data Center, однако полный список уязвимых проектов и решений может быть намного длиннее.

«История с Rsync — это очередное напоминание о том, что инструмент с открытым исходным кодом не является гарантией отсутствия уязвимостей. Похожие ситуации происходили и с другими прикладными протоколами, такими как SMB, а также с операционными системами. Мантра о том, что открытое программное обеспечение обязательно будет проверено сообществом, и поэтому безопасно, уже не работает. В этом случае единственным решением является поддержание программного обеспечения в актуальном состоянии, даже если оно является вспомогательным или входит в состав более сложных решений. Если же открытое ПО используется как часть вашего собственного решения, то теперь вы несете ответственность за его поддержку и минимизацию вероятности появления уязвимостей. В этом случае могут помочь решения вроде Ankey ASAP, позволяющие выявлять аномалии в инфраструктуре и обнаруживать уязвимостей нулевого дня», — комментирует Сергей Полунин.

В популярном фреймворке для создания диалоговых приложений на базе искусственного интеллекта — Rasa, выявлена критическая уязвимость с обозначением CVE-2024-49375. Оценённая по шкале CVSS в 9,1 балла, она предоставляет злоумышленникам возможность удалённого выполнения кода (RCE) через загрузку вредоносных моделей. Руководитель лаборатории исследований кибербезопасности компании «Газинформсервис» Вадим Матвиенко подчёркивает необходимость разработки эффективной стратегии по выявлению и устранению уязвимостей; в этом поможет инструмент GSOC.

Rasa — это широко используемый фреймворк для создания текстовых и голосовых диалоговых приложений на основе искусственного интеллекта. Загруженный более чем 25 миллионов раз, он является ключевым инструментом для внедрения машинного обучения в текстовые и голосовые интерфейсы.

В рекомендациях по безопасности Rasa отмечают, что обнаруженная уязвимость затрагивает как Rasa Pro, так и Rasa Open Source, и связана с HTTP API, активируемым с помощью флага — enable-api. Злоумышленник, способный удалённо загрузить вредоносную модель в экземпляр Rasa, может получить возможность удалённого выполнения кода.

 «Атаки на цепочку поставок остаются одной из ТОП-5 угроз. Эксплуатация уязвимостей в фреймворке Rasa может привести к тому, что злоумышленник может загрузить вредоносную модель для обучения. И тогда чат-бот вместо "Добро пожаловать" будет цитировать оскорбительное или запрещённое законодательством высказывание», — комментирует Вадим Матвиенко.

Rasa уже выпустила исправления для решения этой критической проблемы. Пользователям настоятельно рекомендуется обновиться до следующих версий. Чтобы полностью устранить уязвимость CVE-2024-49375, пользователи также должны переобучить свои модели с использованием исправленной версии.

«В больших компаниях с множеством ИТ-активов сложно следить за всем уязвимым ПО. Поэтому необходимо выстраивать и поддерживать процесс управления уязвимостями, с чем отлично справляются эксперты из GSOC, центра мониторинга и реагирования компании "Газинформсервис"», — добавляет киберэксперт.

Вредоносная программа WP3.XYZ скомпрометировала свыше 5000 сайтов на WordPress, создавая поддельные учётные записи администраторов, устанавливая вредоносные плагины и крадя данные. Киберэксперт компании «Газинформсервис» Никита Титаренко отмечает, что такие атаки представляют серьёзную угрозу безопасности организаций. Эффективной защитой могут служить превентивные меры и поведенческая аналитика центра мониторинга и реагирования GSOC.

Исследователи из компании c/side выявили вредоносную программу в процессе реагирования на инцидент с одним из клиентов. WP3.XYZ использует домен wp3[.]xyz для кражи конфиденциальных данных. Однако исследователям ещё предстоит выявить первоначальный вектор заражения. Основная цель этого плагина — сбор учётных данных администратора и логов, которые отправляются на сервер злоумышленника в зашифрованном виде, маскируясь под законные запросы изображений.

«Создание нового пользователя с правами администратора и замаскированную под обычные запросы отправку конфиденциальных данных достаточно трудно обнаружить, поскольку для стандартных систем защиты такая активность может считаться легитимной. Для предотвращения подобных атак я рекомендую обратить внимание на услуги центра мониторинга, такого как GSOC. Наши специалисты осуществляют круглосуточный мониторинг событий информационной безопасности на хостах организации, идентифицируют и блокируют подозрительные источники, а также предотвращают развитие атак, минимизируя последствия их эксплуатации», — отметил инженер-аналитик компании Никита Титаренко.

Недавно специалисты по кибербезопасности зафиксировали фишинговую атаку на издательство Scholastic, известное по книгам о Гарри Поттере. Киберэксперт Сергей Полунин из компании «Газинформсервис» отметил: утечка данных этого издательства привела к компрометации весьма чувствительной информации, что подчёркивает необходимость усиления защиты систем управления базами данных (СУБД).

Хакер под псевдонимом Parasocial получил доступ к информации через взломанный аккаунт сотрудника. В результате утечки были раскрыты имена, адреса электронной почты, номера телефонов и домашние адреса пользователей из США. Инцидент затронул данные родителей, учителей и администраторов. Злоумышленник заявил, что использовал вредоносное ПО для доступа к порталу сотрудников Scholastic и действовал лишь из скуки, не намереваясь размещать данные в открытом доступе, однако подверг критике систему безопасности компании.

«К сожалению, защитой серверов веб-приложений занимаются выпускники не Хогвартса и даже не Дурмстранга. Это обычные инженеры, и никакие заклинания и обереги не помогут им защитить персональные данные от взлома. Утечка данных издателя Scholastic содержит весьма чувствительные данные, и произошла она, судя по всему, из-за недостаточного контроля доступа к СУБД. Или, по крайней мере, само веб-приложение имеет весьма ограниченный доступ к данным. В первом случае проблемы, вероятно, удалось бы избежать при использовании СУБД, в которой подобные механизмы включены по умолчанию. Например, такой, как Jatoba. Альтернативой этому может служить регулярное тестирование систем ИБ, которое, скорее всего, в случае с Scholastic тоже не проводилось на регулярной основе», — отметил Сергей Полунин.

Исследователи из Socket выявили атаку на цепочку поставок, связанную с мимикрией (клонированием) популярных библиотек Node.js. Эти библиотеки широко используются во множестве приложений, что делает их привлекательными для злоумышленников. Это подчёркивает необходимость внедрения решений, таких как SafeERP, для реализации процесса безопасной разработки — DevSecOps.

Руководитель лаборатории исследований кибербезопасности «Газинформсервис» Вадим Матвиенко предупреждает, что атаки на цепочку поставок остаются самыми популярными и для минимизации рисков в разработке программного обеспечения организациям следует внедрять подходы DevSecOps, интегрируя безопасность на всех этапах жизненного цикла.

 «Атаки на цепочку поставок остаются одним из самых распространённых методов, используемых злоумышленниками. Популярные библиотеки Node.js, например chokidar и chalk, были использованы для создания различных ресурсов и приложений, таких как Microsoft Visual Studio Code, Gulp, Karma, Webpack. Они упрощают разработку, улучшая пользовательский опыт и обеспечивая удобство в процессе. Однако недавний случай с мимикрией (клонированием) этих популярных библиотек с вредоносным кодом представляет серьёзную угрозу для компаний по всему миру. Чтобы минимизировать риски при разработке программного обеспечения, необходимо выстроить процесс безопасной разработки — DevSecOps. Одним из мощных инструментов для его реализации является программный комплекс SafeERP от компании "Газинформсервис"», — подчеркнул Вадим Матвиенко.

В 2024 году компания Zyxel выпустила уведомление об обнаруженной уязвимости в системе безопасности CVE-2024-12398, которая затрагивает несколько точек доступа (AP) и маршрутизаторы безопасности. Мировое сообщество вновь обратило на неё внимание: многие устройства остаются незащищёнными. Киберэксперт компании «Газинформсервис» Екатерина Едемская напомнила о необходимости своевременных обновлений и превентивных мер информационной безопасности — мониторинга и защиты при помощи GSOC.

Эта уязвимость, получившая оценку 8,8 по шкале CVSS, связана с возможностью повышения прав доступа злоумышленником с минимальными привилегиями до уровня администратора. Такой доступ позволяет полностью управлять устройствами: изменять настройки, загружать файлы конфигурации и даже использовать устройства для атак на другие системы.

Для компаний, чья работа зависит от стабильности и безопасности сетевой инфраструктуры, критически важно проверить свои устройства и установить актуальные версии прошивки, если это ещё не сделано. Однако в условиях современных киберугроз это лишь базовая мера защиты. Важно также иметь надёжную систему, которая сможет в режиме реального времени обнаруживать угрозы и предотвращать их. Здесь на помощь приходит GSOC от "Газинформсервиса", который предоставляет услугу комплексного мониторинга, а также объединяет экспертизу специалистов и современные средства защиты. Это особенно важно в корпоративной среде, где даже небольшой сбой может привести к серьёзным последствиям», — отметила инженер-аналитик компании «Газинформсервис» Екатерина Едемская.

CNews опубликовал рейтинг крупнейших поставщиков решений для защиты информации в России по итогам 2023 года. Он включил в рейтинг 100 лидеров рынка, в котором компания «Газинформсервис» заняла 2-ую строчку.

Напомним, что в 2022 году компания «Газинформсервис» занимала 4-ое место в аналогичном рейтинге.

«Защита информации по-прежнему остаётся приоритетом в ИТ-бюджетах предприятий из-за сохраняющегося высокого уровня угроз и требования регулятора перевести на отечественные средства защиты все объекты критической информационной инфраструктуры с января 2025 г. Пик импортозамещения пришёлся на 2023 г., что привело к рекордному росту бизнеса отечественных вендоров ИБ», — пишет CNews.

«За любым высоким рейтингом и результатом всегда стоит огромная работа и доверие к нашему бренду, к компании в целом. "Газинформсервис" динамично развивается и двигается из года в год вперёд и вверх. Мы продолжаем выводить на рынок новые продукты и услуги, которыми пользуются наши заказчики и партнёры по всей стране», — сказал Григорий Ковшов, эксперт и руководитель службы маркетинга компании «Газинформсервис».

Подробнее ознакомиться с исследованием CNews Security и участниками рейтинга можно по ссылке.

На крупнейшем веб-сервисе для хостинга ИТ-проектов и совместной разработки GitHub был выявлен фальшивый эксплойт для уязвимости LDAPNightmare. Киберэксперт компании «Газинформсервис» Александр Кабанов подчеркнул, что подобные угрозы ставят под риск как личные, так и корпоративные данные, и призвал к оперативному реагированию на такие инциденты с помощью инструмента GSOC — центра мониторинга и реагирования компании «Газинформсервис».

Специалисты Trend Micro в декабре 2024 года обнаружили на GitHub эксплойт для свежей уязвимости CVE-2024-49113 (LDAPNightmare). Использование данной уязвимости позволяло злоумышленникам получить несанкционированный доступ к данным и системам. Эксплойт заражал пользователей инфостилером — вредоносным ПО, которое похищает данные и отправляет их на сторонний FTP-сервер. 

«В наше время активно развивается аналитика киберугроз и исследование различных PoC — это одна из ключевых задач специалистов данной области. Злоумышленники, нацеленные на кибераналитиков, умело этим пользуются и не впервые используют Github для распространения вредоносного ПО. Сотрудник, запустивший подобный файл, ставит под угрозу не только свои данные, но и данные компании. Для защиты от подобного рода угроз GSOC занимается мониторингом компании в режиме реального времени и в случае подобного инцидента примет меры по реагированию в кратчайшие сроки», — отметил инженер-аналитик компании «Газинформсервис» Александр Кабанов.

В популярном open-source-сканере уязвимостей Nuclei обнаружена и исправлена уязвимость, позволяющая обходить проверку подписи и внедрять вредоносный код в шаблоны. Киберэксперт компании «Газинформсервис» Римма Кулешова, менеджер продукта SafeERP, напоминает о важности регулярного обновления программного обеспечения и применения комплексных мер защиты.

Киберэксперт отметила, что проблема, позволяющая обходить проверку подписи и внедрять вредоносный код в шаблоны, показывает, насколько серьёзными могут быть ошибки в механизмах безопасности даже у широко используемых инструментов. Разработчики оперативно выпустили обновление, устраняющее проблему, однако пользователям следует помнить о необходимости своевременного апгрейда своих систем.

«Этот инцидент также подчёркивает значимость пересмотра подходов к обеспечению безопасности. Применение методов статического (SAST) и динамического анализа кода (DAST), а также контроль состава приложений (SCA) могут существенно снизить риски, связанные с эксплуатацией уязвимостей в стороннем ПО. Кроме того, рекомендуется запускать подобные инструменты в изолированных средах, таких как виртуальные машины, чтобы минимизировать возможные последствия атак. Эта ситуация является напоминанием о том, что даже проверенные инструменты требуют постоянного мониторинга и оценки безопасности. Регулярные проверки и внедрение современных практик киберзащиты остаются важнейшими аспектами для поддержания устойчивости ИТ-инфраструктуры», — отметила Римма Кулешова.

Наступивший год уже ознаменовался несколькими крупными утечками и взломами. Киберэксперт Сергей Полунин рассказал о пяти трендах, которые наметились ещё в прошлом году и получат своё продолжение в 2025-ом.

«Первое — это значительное снижение доверия материалам в сети. С помощью ИИ злоумышленники будут создавать всё более убедительные фишинговые письма и вредоносное ПО и даже искать уязвимости. Дипфейки могут выйти на невиданный ранее уровень и доставить массу проблем обычным пользователям, далёким от современных ИТ», — говорит руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

«Вторая вещь, на которую стоить обратить внимание, — это мобильные устройства. На рынке сейчас огромное количество устройств на базе ОС Android, которые давно заброшены разработчиками по причине своего преклонного по меркам индустрии возраста. Мы ожидаем роста количества вредоносных программ для этой платформы или модификаций уже известных угроз», — продолжает эксперт в области информационной безопасности.

На третье место Сергей поставил проблему с умными устройствами в целом и умными домами в частности. «Пик популярности экспериментов с умными домами у простых пользователей, скорее всего, уже прошёл, однако количество устаревшей умной техники стало критическим. Если отказаться от неё невозможно, то стоит подумать о её обновлении», — сказал Полунин.

Четвёртая проблема, по словам эксперта, — это атаки на цепочки поставок. Об этом говорится довольно давно, и мы уже видели интерфейсные кейсы, когда пользователи теряли свои данные или были как-то иначе скомпрометированы именно по вине поставщиков программного обеспечения или облачных сервисов. Что с этим делать, пока неясно, потому что пользователь не может быть уверен, как именно обеспечивается безопасность его данных у поставщика услуг.

«Пятая проблема — это буквально слон в комнате, которого уже нельзя не замечать в 2025 году. В условиях геополитической нестабильности продолжатся атаки на государственные и коммерческие организации, включая критическую информационную инфраструктуру и предприятия оборонной промышленности. Но не только. Банки, крупные коммерческие структуры, всевозможные логистические и даже исследовательские компании тоже под угрозой. Проблема тут в том, что финансовая мотивация злоумышленников и хакеров будет всё плотнее переплетаться с политической, поэтому задача кибербезопасности должна решаться уже на государственном уровне. А здесь не всё так гладко. Нас ждёт очень интересный год. Пользователям я бы посоветовал быть бдительными, придерживаться здравого смысла, а компаниям — доверять свою безопасность профессионалам и оставаться в курсе текущей ситуации на рынке информационной безопасности», — подытожил киберэксперт.

В 4-ом квартале прошлого года японский производитель электроники Casio стал жертвой масштабной атаки программы-вымогателя, которая привела к утечке данных тысяч сотрудников, клиентов и деловых партнёров. Киберэксперт компании «Газинформсервис» рассказала, как защититься от подобных атак.

В результате киберинцидента пострадали 6456 сотрудников, 1931 деловой партнёр и 91 клиент. Расследование показало, что взлом стал возможен благодаря фишинговым письмам, которые позволили злоумышленникам проникнуть на серверы компании.

Компания подтвердила утечку внутренних документов, включая контракты, счета, материалы совещаний и данные о продажах. У сотрудников были скомпрометированы такие данные, как имена, номера сотрудников, электронные адреса и информация об отделах. У некоторых также утекли данные о поле, дате рождения, домашнем адресе и налоговых номерах.

У деловых партнёров Casio хакеры украли информацию о компаниях — адреса, телефонные номера и контакты представителей. У двух компаний были также похищены биографические данные. Клиенты потеряли информацию о заказах: адреса доставки, номера телефонов, даты покупки и названия продуктов. К платёжным данным киберпреступники доступ не получили.

Атака повлекла за собой утечку более 200 ГБ данных. Кроме того, Casio столкнулась с недельными задержками поставок и временным приостановлением некоторых сервисов.

«Фишинговые атаки, вследствие которых происходит кибератака на корпоративные сети, становится всё более актуальной угрозой. Для предотвращения такого рода атак оптимально иметь в структуре организации центр мониторинга информационной безопасности (SOC, Security Operation Center) или воспользоваться коммерческими предложениями от ведущих отечественных вендоров в области информационной безопасности. SOC позволяет проводить мониторинг событий безопасности и анализ инцидентов, своевременно реагировать на них. Также не стоит забывать о новых технологиях и методах машинного обучения. Например, в нашем SOC поведенческая аналитика и автоматизированное выявление угроз реализованы на базе собственных ML-решений и собственных актуальных продуктах, и тем самым они обеспечивают защиту репутации и активов организации», — говорит Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

Хакеры выложили в свободный доступ фрагменты двух таблиц, которые содержат данные, полученные, предположительно, из ИТ-инфраструктуры официального представительства «Киа Россия и СНГ».

Информация датируется 13.09.2024 и содержит: ФИО, адрес эл. почты (172 тыс. уникальных), телефон (448 тыс. уникальных), даты рождения, текст и даты обращения в представительство, хешированный пароль, IP-адрес. Об этом пишет ТГ-канал «Утечки информации».

«Сегодня необходимо использовать надёжные средства защиты информации, такие как СУБД Jatoba, где многие механизмы безопасности включены по умолчанию. Более того, к подобным средствам также нужна экспертиза, специалисты, которые разбираются в тонкостях современных угроз и могут грамотно настроить все аспекты информационной безопасности на предприятии», — сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует использовать специализированные средства анализа безопасности и поведенческого анализа, такие как Ankey ASAP, чтобы выявить потенциальные уязвимости и аномалии в работе систем.

Уязвимость, классифицированная как CVE-2024-40896 (CVSS 9.1) и получившая критическую оценку серьёзности 9,1, позволяет злоумышленникам использовать атаки типа XXE (XML External Entities) для компрометации систем и кражи данных. Киберпреступники могут использовать уязвимость для выполнения вредоносного кода. Помимо кражи данных, это может дать злоумышленникам полный контроль над системой и спровоцировать отказ в обслуживании (DoS), исчерпав системные ресурсы.

«Уязвимости класса XXE довольно редки и касаются программных продуктов, где используется XML. XML-процессор принимает какие-то данные в определённом формате и выдаёт результат. Проблемы начинаются, когда данные формируют таким образом, что заставляют XML-процессор сделать что-то, о чём не подумали разработчики, — прочитать системный файл, выполнить команду или даже повесить систему из-за бесконечного цикла операций. В этот раз уязвимость обнаружилась в крайне популярном libxml2, библиотеке, которая как раз и реализует работу в XML. При этом вы как разработчик можете и не знать, что эта библиотека используется в вашем продукте, если подключили её вместе с другими необходимыми для старта работы библиотеками. Даже при хорошо выстроенном процессе разработки программного обеспечения выявить такую уязвимость сложно. Однако есть продукты вроде Ankey ASAP, которые помогают выявить проблемы с ПО, даже если уязвимость ещё не опубликована. В ход идёт поведенческая аналитика и подобные механизмы. Для XML, безусловно, есть и альтернативы, но те тоже не лишены своих проблем», — отметил Сергей Полунин.

Система проверки CAPTCHA столкнулась с проблемами из-за развития искусственного интеллекта. Нейросети способны за миллисекунды решать задачи по распознаванию искажённых символов, определять объекты на изображениях и имитировать естественные действия пользователя.

Сегодняшние системы, такие как Google Vision и OpenAI Clip, распознают изображения быстрее и точнее человека. Это позволяет ботам обходить проверки, создавая фальшивые аккаунты и распространяя спам. В результате многие пользователи сталкиваются с проблемами доступа, в то время как системы остаются беззащитными перед автоматизированными атаками.

«С помощью ИИ хакерам становится легче взламывать пользователей и даже корпоративную сеть. Именно поэтому необходимо тщательно защищать ИТ-инфраструктуру. Против ИИ лучше использовать надёжные отечественные программные комплексы, которые также используют машинное обучение, например Ankey ASAP, который основан на поведенческом анализе (UEBA). Такое ПО помогает своевременно выявить признаки инцидентов ИБ, а также позволяет сотрудникам предпринять меры по деактивации и сохранить данные компании в целости и сохранности», — говорит Ксения Ахрамеева, к. т. н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

На 17-м заседании Консультативного совета торгово-промышленных палат Евразийского экономического союза (ЕАЭС) компания «Газинформсервис» представила доклад о развитии механизмов взаимного признания электронной подписи. Советник генерального директора — начальник удостоверяющего центра Сергей Кирюшкин подчеркнул критическую важность этой работы для улучшения бизнес-климата внутри ЕАЭС.

В докладе «О развитии механизмов взаимного признания электронной (цифровой) подписи в рамках ЕАЭС» эксперт сообщил о разработке механизмов взаимного признания электронной цифровой подписи в рамках ЕАЭС, подчеркнув её приоритетное значение для развития безбумажной трансграничной торговли. «Газинформсервис» продолжает активную работу над созданием надёжного трансграничного пространства доверия для электронной подписи.

«Тему взаимного признания электронной подписи в интересах развития безбумажной трансграничной торговли в странах ЕАЭС торгово-промышленные палаты стран-членов ЕАЭС считают приоритетной. 2024 год впервые показал взрывной рост практической реализации сервиса взаимного признания электронной подписи в интересах бизнеса и органов государственной власти. Базовым технологическим решением данной задачи на пространстве ЕАЭС является сервис валидации иностранной электронной подписи доверенной третьей стороны. Основой правовой конструкции признания являются соглашения B2B между участниками трансграничного электронного взаимодействия. В ТПП РФ эта тема вошла в повестку Совета ТПП по развитию ИТ и цифровой экономики», — отметил Сергей Кирюшкин в ходе своего выступления.

Заседание состоялось 24 декабря 2024 года и прошло в формате видео-конференц-связи. В нём приняли участие вице-президент Торгово-промышленной палаты РФ Дмитрий Курочкин и директор Департамента внешних связей Илья Нестеров, а также и. о. председателя Правления Внешнеторговой палаты Казахстана Асан Жакишев, вице-президент ТПП Армении Карен Иванов, заместитель председателя Белорусской ТПП Елена Малиновская и вице-президент ТПП Кыргызской Республики Мамасадык Бакиров и руководитель Проектного офиса по поддержке кооперации в Евразийском экономическом союзе Анастасия Астахова.

Обнаружена новая вредоносная атака, которая использует уязвимость Windows Defender для обхода систем обнаружения угроз и реагирования на них (EDR). Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности Вадим Матвиенко подчёркивает необходимость комплексного подхода к кибербезопасности даже на хорошо защищённых рабочих местах. По словам эксперта, реагирование на угрозы в реальном времени обеспечит Security Operations Center (SOC) «Газинформсервиса».

Недавно исследователи обнаружили новую наступательную тактику с использованием Microsoft Windows Defender Application Control (WDAC). Атака злоумышленников направлена на отключение EDR-систем, что делает их неэффективными против последующих вредоносных действий. Распространённость Windows-систем в России делает эту уязвимость особенно опасной.

«Несмотря на активную замену ОС на отечественные решения в рамках импортозамещения, на российском рынке по-прежнему широко распространены автоматизированные рабочие места под управлением операционной системы Windows. Это делает актуальными угрозы, связанные с встроенными функциями Windows, такими как WDAC. Поскольку атака направлена на отключение EDR, для обеспечения защиты, мониторинга и выявления таких угроз необходим комплексный подход. Такой подход применяется в современных центрах мониторинга безопасности (SOC), например, в SOC компании "Газинформсервис"», — отметил киберэксперт Вадим Матвиенко.

В компании «Газинформсервис» трудятся больше 40 человек, которые регулярно участвуют в подготовке статей, комментариев и интервью, а также снимаются для телесюжетов и подкастов. За экспертизой в области ИБ к специалистам компании обращается много федеральных и профильных медиа.

Их деятельность помогает популяризовать важность кибербеза среди населения. Материалы, подготовленные экспертами, освещают множество тем: релизы обновлений и совместимостей продуктов, повышающих информационную безопасность, комментарии о новых мошеннических схемах и утечках, аналитика, позволяющая улучшить собственную кибергигиену, и многое другое.

А 17 декабря в компании традиционно прошло торжественное мероприятие, на котором были награждены авторы и подведены итоги медиаактивности в уходящем году.

«Авторов в нашей компании из года в год становится всё больше. Для нас всегда было важно не просто готовить качественный контент, а делать это с пользой для широкой аудитории. В будущем году мы обязательно продолжим и дальше вести просветительскую деятельность в сфере информационной безопасности», — отметил Роман Пустарнаков, заместитель генерального директора — руководитель департамента организации работ с заказчиками.

Разработчики систем защиты информации в 2024 году успешно интегрировали несколько своих программных комплексов, что позволило повысить безопасность самых сложных инфраструктур, в том числе КИИ.

Благодаря сотрудничеству двух вендоров на рынке корпоративных ИБ-продуктов доступны мощные решения для защиты от внешних и внутренних угроз.

Успешно прошли испытания на корректность совместного функционирования СУБД Jatoba компании «Газинформсервис» и платформы контроля привилегированных доступов от «АйТи Бастион» СКДПУ НТ. Обе системы сертифицированы ФСТЭК России и подходят для использования на объектах КИИ.

Также заказчикам предлагается совместное использование PAM-платформы СКДПУ НТ с программным комплексом Efros CI — в целях фиксации информации о пользователе, который подключился к критическому оборудованию, изменив его конфигурацию, и оперативному расследованию инцидента через связанные события.

Ещё одной интеграцией, ставшей возможной благодаря запросам российских пользователей, является совместимость СКДПУ НТ с системой централизованного управления безопасностью, событиями и информацией Ankey SIEM NG. Это позволило предприятиям повысить уровень кибербезопасности и более эффективно реагировать на инциденты в режиме реального времени.

«Интеграция Jatoba и других решений "Газинформсервиса" с решениями компании "АйТи Бастион", обеспечивает клиентам улучшенное обнаружение угроз и реагирование на них. Успешная интеграция наших продуктов — это не только техническое достижение, но и показатель плодотворного партнёрства, направленного на укрепление кибербезопасности в России. Мы видим большой потенциал для дальнейшего развития наших совместных проектов», — отметил Юрий Осипов, менеджер по продукту Jatoba компании «Газинформсервис».

«Мы работаем над интеграцией своих продуктов с "Газинформсервисом", чтобы бизнес и государственный сектор могли использовать функциональные инструменты для понимания общей картины происходящего в инфраструктуре. Комплексные решения в результате серьёзно экономят ресурсы при внедрении систем мониторинга, оптимизируют и упрощают операционные процессы», — отметил руководитель отдела развития продуктов «АйТи Бастион» Константин Родин.

2024 год стал знаковым для обеих компаний не только в плане интеграций, востребованных на рынке продуктов. Обе компании отметили юбилеи: «Газинформсервису» исполнилось 20 лет со дня основания, «АйТи Бастион» — 10 лет.

Совместная работа разработчиков «Газинформсервиса» и «АйТи Бастион» продолжится и в будущем: впереди у вендоров ряд технологичных проектов, а также совместное участие в знаковых для отрасли мероприятиях, таким как форум GIS DAYS.

В популярном пакете Node.js Systeminformation обнаружена критическая уязвимость (RCE — удалённое выполнение кода), что ставит под угрозу безопасность систем, использующих эту библиотеку. Киберэксперт компании «Газинформсервис» Сергей Полунин рекомендует компаниям пересмотреть свои стратегии информационной безопасности и внедрить системы мониторинга безопасности, такие как Security Operations Center (SOC), для обнаружения угроз и реагирования на них в реальном времени.

«Уязвимость в популярном NPM-пакете — это всегда серьёзная проблема. Дело в том, что сегодня почти ничего не пишется с нуля, а разработчики используют огромное количество сторонних библиотек и модулей, зачастую даже не задумываясь об их безопасности. Их тоже можно понять: их в большей степени интересует функционал. Поэтому, когда появляется информация об уязвимости, особенно класса RCE, в библиотеке, которую вы используете, то это повод задуматься о том, как вы вообще проектируете своё программное обеспечение. Я не говорю, что всё нужно делать самому. Это как раз, скорее всего, сделает ваше ПО ещё более уязвимым, а вот использовать наложенные средства при тестировании и развёртывании ваших приложений — это хорошая идея. Подключив своё приложение к тому же SOC, выявлять атаки на эксплуатацию уязвимостей будет довольно просто. А ещё правильнее не допускать их в принципе. Для этого существует методология DevSecOps, которая позволяет на каждом этапе разработки ПО контролировать различные аспекты безопасности», — комментирует руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Напомним, в мае этого года «Газинформсервис» запустил коммерческий SOC, предоставляющий круглосуточный мониторинг и реагирование на инциденты безопасности. В основе решения лежат SIEM-, VM-, XDR- и UEBA-системы, позволяющие эффективно выявлять и нейтрализовывать угрозы, подобные внедрению команд в популярном пакете NPM Systeminformation. Состав решения может быть адаптирован под потребности конкретного заказчика.

Компании «Газинформсервис» и НПФ «КРУГ» подтвердили совместимость продуктов Ankey SIEM Next Generation и SCADA-системы КРУГ-2000 версий 4.2, 4.3, 4.4, 5.0, 5.1. По результатам испытаний, проведённых совместно специалистами компаний, выдан сертификат совместимости.

Совместное решение обеспечивает работу подсистемы мониторинга событий информационной безопасности АСУ ТП и выявления инцидентов в реальном времени. Решение обеспечивает комплексный мониторинг информационной безопасности как всей инфраструктуры АСУ ТП, так и отдельных её подсистем.

«Достигнутая совместимость между Ankey SIEM Next Generation и SCADA-системой КРУГ-2000 позволит заказчикам, использующим оба этих продукта, повысить уровень защиты ИT-инфраструктуры за счёт включения в контур мониторинга информационной безопасности решения производителя НПФ "КРУГ", собирая с него события ИБ и передавая на анализ в SIEM-систему», — отметил Дмитрий Шамаев, менеджер продукта Ankey SIEM компании «Газинформсервис».

SCADA КРУГ-2000 — полностью российская разработка, включенная в Единый реестр российских программ для ЭВМ и БД Минцифры РФ, которая может смело рассматриваться как реальная замена импортных SCADA-систем.

Вредоносное ПО Skuld вновь атакует, на этот раз поражая не только Windows-системы, но и экосистему npm (Node Package Manager). Инженер-аналитик компании «Газинформсервис» Никита Титаренко призывает организации усилить меры кибербезопасности, особенно в предновогодний период и в праздники. По его словам, решение Ankey ASAP с модулем UEBA позволяет эффективно противостоять угрозам, подобным Skuld.

Недавно команда по исследованию угроз Socket обнаружила вредоносную кампанию, проникшую в экосистему npm; киберпреступники развернули инфостилер Skuld всего через несколько недель после аналогичной атаки, нацеленной на разработчиков Roblox. Злоумышленники целенаправленно атакуют доверительные отношения разработчиков с открытыми репозиториями, используя цепочку поставок программного обеспечения в качестве точки входа.

Так, злоумышленник, используя учётную запись ‘k303903’, распространил инфостилер, похищающий пароли, файлы cookie и историю браузера, более чем в 600 проектах, прежде чем пакеты были удалены. Этот инцидент повторяет предыдущую атаку и подчёркивает риски использования непроверенных пакетов npm, требуя от разработчиков внедрения строгих мер безопасности. Распространяется Skuld, вероятно, через фишинговые письма, содержащие вредоносные вложения.

«Злоумышленники довольно часто маскируют доставку и использование вредоносного ПО под легитимную активность, что помогает им оставаться "в тени", совершая кибератаку. К сожалению, стандартные системы защиты информации могут пропустить подобного рода атаку, так как в ходе её реализации атакующий встраивается в легитимные процессы и маскирует вредоносные файлы под стандартные. Выявить скрытую атаку поможет система, имеющая "под капотом" модуль UEBA, с помощью которого можно отследить подозрительное поведение любой сущности на устройстве (пользователя, файла или процесса) и своевременно пресечь попытку злоумышленника нанести вред организации. Одной из таких систем является платформа расширенной аналитики Ankey ASAP», — отметил Никита Титаренко.

В преддверии Нового года, когда мы все смотрим на мир сквозь призму чудес и волшебства, менеджер по продукту Ankey ASAP компании «Газинформсервис» Яна Заковряжина поделилась яркой метафорой, иллюстрирующей работу системы класса UEBA — продукта Ankey ASAP. В своей истории она описывает успешное отражение вымышленной, но крайне сложной кибератаки под названием «Тень Хаоса», подчёркивая способность системы противостоять даже самым изощрённым угрозам.

«В одном волшебном мире, где переплетались технологии и магия, жил-был молодой и сильный эксперт по информационной безопасности по имени UEBA ASAPOV. Он был известен своей способностью предугадывать кибератаки, которые приходили из далёкой вселенной, где зловещие существа использовали магию и технологии для разрушения.

Каждый год, в канун Нового года, мир ASAPOVA сталкивался с новыми угрозами. В этом году из другой вселенной пришла мощная кибератака, известная как "Тень Хаоса". Она могла проникать в системы, искажая данные и создавая хаос в сердцах пользователей.

UEBA знал, что ему нужно действовать быстро. Он собрал команду из лучших специалистов Центра мониторинга информационной безопасности, и они начали разрабатывать план. Вместе они создали мощный защитный артефакт — "Щит Защиты", который мог отражать атаки и оберегать жителей мира.

В ночь перед Новым годом, когда все готовились к празднику, "Тень Хаоса" атаковала. Но UEBA и команда Центра были готовы. Они активировали "Щит Защиты", и в воздухе зажёгся яркий свет. Существа из другой вселенной начали отступать, не в силах справиться с мощью артефакта.

С каждым отражённым ударом мир становился всё более безопасным. Наконец, когда последний луч света поглотил "Тень Хаоса", мир наполнился радостью и надеждой. Люди вышли на улицы, чтобы отпраздновать победу, и в воздухе взрывались фейерверки.

UEBA ASAPOV, стоя на вершине холма, смотрел на сияющий город и понимал, что его работа никогда не закончится. Но в этот момент он чувствовал, что вместе с командой они могут справиться с любыми угрозами, которые могут прийти из других вселенных.

И так в новогоднюю ночь мир информационной безопасности был спасён, а UEBA стал героем, о котором будут рассказывать в сказках. С тех пор каждый Новый год отмечали не только как праздник, но и как день, когда добро победило зло, а технологии и магия объединились для защиты мира.

С наступающим Новым годом!»

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности компании «Газинформсервис» Вадим Матвиенко предупреждает о растущей угрозе сложных кибератак с использованием социальной инженерии. Недавние исследования специалистов «Лаборатории Касперского» подтверждают тревожную тенденцию: киберпреступники всё чаще используют психологические уловки и сложные методы маскировки вредоносного ПО, чтобы обмануть пользователей и получить доступ к их системам. В числе новых целей хакеров — предприятия атомной промышленности.

Специалисты обнаружили новую волну ключевой операции хак-группы Lazarus — DreamJob. Злоумышленники заражают инфраструктуру компаний через файловые архивы, которые распространяются под видом тестов на оценку навыков кандидатов на ИТ-позиции. Эти атаки требуют от организаций переосмысления своих стратегий кибербезопасности. Важно понимать, что традиционных мер защиты часто недостаточно для противодействия подобным угрозам.

«Понимание психологии потенциальных жертв и использование современных методов маскировки своих действий, чтобы казаться легитимными действиями пользователей, — такой тренд прослеживается при анализе кибератак, осуществляемых АРТ-группировками. Учитывая сложность выявления и высокий уровень риска, для обеспечения информационной безопасности требуется комплексный подход. Центры мониторинга информационной безопасности, такие как SOC компании "Газинформсервис", помогают обнаружить подобные угрозы и оперативно отреагировать на них», — отметил Вадим Матвиенко.

Так, киберэксперт рекомендует компаниям пересмотреть свои стратегии информационной безопасности, уделив особое внимание обучению сотрудников и внедрению систем мониторинга безопасности для обнаружения угроз и реагирования на них в режиме реального времени.

Напомним, старт работы коммерческого SOC (Security Operations Center) компании «Газинформсервис» был объявлен в мае этого года. Специалисты компании в зависимости от состава услуг и возможностей заказчика используют различные схемы подключения и меняют состав решения, но в базе всегда присутствуют SIEM, VM, XDR и UEBA.