Летом 2021 года мы, специалисты экспертного центра безопасности Positive Technologies, выявили ранее неизвестную APT-группировку, которая действует по меньшей мере с 2017 года. Главные цели Space Pirates (именно так мы решили назвать группу киберпреступников) — шпионаж и кража конфиденциальных данных. Как показало наше исследование, впервые мы встретили Space Pirates еще в конце 2019 года, когда в рамках мониторинга угроз ИБ обнаружили фишинговое письмо с ранее неизвестным вредоносным ПО, направленное в адрес одного российского авиационно-космического предприятия.

Кто на прицеле у новой хакерской группировки, какие утилиты она использует в атаках и как ее активность связана с уже известными APT-группами, читайте под катом.

Привет, Хабр! На связи Антон Белоусов и Алексей Вишняков, и мы продолжаем вместе с вами изучать буткиты — наиболее опасный класс вредоносного ПО. Гонка вооружений между разработчиками решений в области ИБ и вирусописателями не останавливается ни на секунду: первые активно внедряют новые механизмы противодействия киберугрозам, а вторые — инструменты их обхода. Как раз с точки зрения безопасности нас заинтересовал современный стандарт предзагрузки операционных систем UEFI. Поэтому в этом посте мы решили:

• разобраться, чем загрузка в режиме UEFI отличается от загрузки в режиме Legacy BIOS;

• рассказать о новых экземплярах буткитов, нацеленных на компрометацию UEFI;

• выяснить, похожи ли они на своих предшественников (обширную группу так называемых legacy-буткитов мы подробно изучили в прошлый раз);

• рассмотреть используемые злоумышленниками техники и слабые места систем на платформе UEFI.

Информационная безопасность напрямую связана с безопасностью граждан и всего государства. Об этом не раз говорилось на международном форуме по практической безопасности Positive Hack Days 11. Живая демонстрация происходила одновременно — в ходе самой масштабной открытой кибербитвы в мире The Standoff. Мероприятия стали самыми посещаемыми в своей истории: за ними наблюдали свыше 127 тысяч зрителей онлайн, а 8700 человек посетили площадку в Москве.

В программу PHDays 11 вошло около 100 докладов, секций и круглых столов, различные конкурсы с денежными призами (например, по взлому банкомата, кассовой системы или POS-терминала), творческие фестивали Positive Wave и HackerToon, финал первого Всероссийского конкурса проектов open source для школьников и студентов, состязание по похищению произведений кибер-арта и многое другое.

На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. За первые два дня на платформе зарегистрировались 366 белых хакеров. Первыми на ней разместили свои программы «Азбука вкуса» и Positive Technologies. Спустя всего 20 минут после запуска был получен первый отчет об уязвимости.

Грандиозная кибербитва The Standoff пройдет уже 18 и 19 мая на PHDays.

160 исследователей безопасности соберутся, чтобы найти слабые места в защищенности виртуальных компаний из разных отраслей экономики, и попытаются парализовать жизнь виртуального Государства F. А пять команд защитников в режиме реального времени выяснят, как недопустимое стало возможным.

Ситуации, как и раньше, взяты из жизни, но масштаб возможных катастроф растет: вирус-шифровальщик останавливает нефтепровод и создает тотальный дефицит топлива в стране, атаки на систему управления электроподстанциями приводят к перебоям в подаче водопроводной воды в жилые дома и в поставках лекарств.

Последствия атак зрители и участники смогут наблюдать на макете  Государства  F  офлайн или онлайн на сайте события.

Считаные недели остаются до Positive Hack Days 11. Международный форум по практической безопасности пройдет 18 и 19 мая в Москве.

На PHDays традиционно будет три больших трека, посвященных вопросам отражения атак (defensive), защиты через нападение (offensive) и влияния кибербезопасности на бизнес. Сегодня мы представляем первые доклады.

Коллекционеры уже давно не хранят произведения искусства в сейфах — галереи и музеи по уровню безопасности не уступают самым надежным хранилищам. Но можно ли украсть картину, не выходя из дома? 

На PHDays 2022 в мае пройдет обновленный The Standoff Digital Art. Аазартные исследователи снова попытаются завладеть крипто-артом настоящих художников прямо в метавселенной, а гости форума побывают в Лондоне, не покидая Москвы.

Вслед за пандемией пришла настоящая эпидемия кибератак, и форум PHDays в новых реалиях как никогда актуален. Как обычно, скучать не придется.

Помимо серьезных докладов по информационной безопасности вас ждет кибербитва The Standoff, а захватывающие конкурсы помогут не только развлечься, но и получить новые знания и ценный опыт. Соревнования открыты для всех заинтересованных исследователей. Принять участие в них можно как онлайн, так и офлайн.

В этом году на площадке Positive Hack Days пройдет финал первого Всероссийского конкурса open source проектов школьников и студентов по направлению «Кибербезопасность». Мероприятие организовано Кружковым движением Национальной технологической инициативы при поддержке Минцифры, Минобрнауки, Positive Technologies и других IT-компаний России.

Регистрация открыта, работы принимаются до 10 мая.

Продолжаем сдавать все явки и пароли и представляем третью подборку полезных материалов, рекомендуемых экспертами Positive Technologies. Наша команда аналитиков собрала русские и зарубежные базы знаний и блоги, курсы и лабы, исследовательские отчеты и Telegram-каналы, которые будут интересны всем, кто хочет разбираться в актуальных трендах кибербезопасности.

Кстати, если пропустили, ловите ссылку на полезные материалы по машинному обучению и не забывайте про наш хит — подборку 100+ ресурсов, посвященных анализу защищенности мобильных и веб-приложений, реверсу зловредов и киберразведке. А если интересно узнать, чем занимается департамент аналитики в Positive Technologies и почему специалисты этого направления уникальны на рынке, читайте другой наш пост.

Самый популярный совет в случае, если что-то идет не так или работает медленно, ― перезагрузить компьютер. Вторая по популярности рекомендация ― переустановить ОС, чтобы избавиться от вирусов. Если не помогает ни первое, ни второе, то вам «повезло»: ваш компьютер инфицирован вредоносным ПО опаснейшего класса, которое называется буткит.

Мы начали погружение в тему буткитов и рассмотрели обширную группу так называемых legacy-буткитов (подробнее об этом рассказали на вебинаре от команды PT Expert Security Center «Компьютер заBIOSает? Изучаем буткиты»). Ответили на вопрос, почему вредоносы, нацеленные на системы на базе Legacy BIOS, все еще актуальны, поговорили о наиболее известных представителях буткитов, а также рассказали, как они работают, какие преследуют цели и применяют техники.

Продолжаем делиться интересными курсами и лабами, книгами и подкастами, блогами и сообществами, а также Telegram- и YouTube-каналами, которые наши крутые эксперты читают сами и советуют тем, кто хочет быть в курсе всего, что происходит в мире практической кибербезопасности.

В этом посте — три десятка полезных ресурсов по машинному обучению от Александры Мурзиной, Вадима Столярова и Игоря Пестрецова. По их словам, они подойдут и совсем новичкам, которые хотят развиваться в этом направлении, и тем, кто делает первые шаги и еще не успел освоить все тонкости, и опытным исследователям, которым важно следить за новостями из мира ML и data science и постоянно совершенствовать свои навыки.

Вакцинация, туризм, инвестиции в криптовалюту, крупные спортивные соревнования, киноновинки и подписки на популярные сервисы — в топе тем, которые активнее всего эксплуатируются в фишинговых атаках по версии Positive Technologies. Какие схемы кибермошенничества стали самыми популярными в 2021 году, читайте в горячей подборке от наших аналитиков.  

Полезные рекомендации и векторы будущих кибератак — в конце статьи.

Всем привет! Я Максим Максимович, директор департамента инжиниринга Positive Technologies. В этой статье я затрону тему обработки и оптимизации хранения событий в высоконагруженных SIEM-инсталляциях, расскажу о сложностях, с которыми многие наверняка уже сталкивались при выполнении подобных задач, и на примере одного реального проекта покажу, как их можно преодолеть. Надеюсь, описанный в посте опыт будет полезен специалистам и энтузиастам, внедряющим и эксплуатирующим решения классов Log Management и SIEM.

Метрики производительности, которых требовал проект, сыграли нам на руку, так как изначально были отмечены в дорожной карте MaxPatrol SIEM. По завершении проекта мы получили не только приятный профит в виде (почти!) готового раньше намеченного срока релиза, но и возможность сразу же подтвердить новые характеристики решения в боевых условиях. Речь идет о версии 6.2, которая позволяет обрабатывать до 60 тыс. событий в секунду. Добиться такой скорости мы смогли за счет гибридной схемы хранения данных, которая помогла увеличить производительность хранилища событий и при этом сократить расходы на аппаратное обеспечение.

Ты учишься в колледже либо вузе по направлению «Информационная безопасность»? Хочешь научиться выявлять комплексные атаки на корпоративную инфраструктуру и узнать, как на практике защищают современные компании? Тогда эта новость для тебя!

⚡️Мы запускаем оплачиваемую стажировку the Young Hats: SOC Trainee в экспертном центре безопасности Positive Technologies. Старт — 31 января 2022 года. Подробности в посте. Успей подать заявку!

Всем привет! Меня зовут Валерий Кузьменков, я работаю аналитиком информационной безопасности в Positive Technologies (если интересно, чем занимается мой отдел и почему специалисты этого направления уникальны на рынке, читайте другой наш пост).

Начну немного издалека: специалисты по кибербезопасности множество раз пытались похоронить символьные пароли, но сделать это все никак не удавалось. Вместо них предлагали использовать то ПИН-коды, то графические ключи, а с приходом нейросетей хотели даже идентифицировать пользователей по манере ввода символов с клавиатуры.

Многих исследователей до сих пор занимает идея о том, что в паролях было бы здорово использовать эмодзи: комбинаций с ними намного больше, а запоминать их в разы легче. И вот, наконец, у меня появилось время поизучать, сможет ли это нововведение повысить безопасность наших аккаунтов и окупятся ли усилия, потраченные на его внедрение.

2021 год стремительно подходит к концу. Мы решили не обходить стороной новогоднюю традицию и подвести его итоги. Для нас 2021 год прошел еще насыщеннее, чем предыдущий: мы выпустили новые продукты (PT XDR, MaxPatrol O2, MaxPatrol VM), засекли активность парочки новых для России АРТ-группировок и не пропустили ни одной известной, нашли и помогли устранить несколько десятков уязвимостей, мало того —  под конец года мы еще и вышли на биржу в режиме прямого листинга…😄

Но наша сегодняшняя статья о другом: ведь за последние дни вы, наверное, уже устали читать о достижениях и успехах, про которые компании сейчас рапортуют в своих блогах.

Мы же решили рассказать о самых громких и беспрецедентных событиях кибербезопасности уходящего года, которые войдут в историю. Атаки и утечки обрушились как на правительственные организации и государственные структуры, так и на частный бизнес и головы простых граждан — словом, никого не обошли стороной.

Привет, Хабр! Меня зовут Алиса Комиссарова, я менеджер проектов в департаменте информационной поддержки Positive Technologies.

Еще пять лет назад технические писатели Positive Technologies для создания руководств пользователя и прочей техдокументации использовали разные программы, произвольно затачивая стиль и оформление документов под свои проекты. В один прекрасный день объем разрабатываемой документации перестал поспевать за бурным ростом бизнеса и запросами наших подразделений, и мы поняли, что надо срочно что-то делать. И тогда к нам пришла она — идея корпоративного управления контентом.

В этом посте я поделюсь историей о том, как мы в Positive Technologies внедряли (ох, это было непросто) систему SСHEMA ST4, профессиональную CMS для создания и управления информацией о продуктах, в рабочие процессы различных департаментов, а также расскажу:

•      быстро ли прижилась система в компании,

•     сколько сотрудников сейчас ею пользуются,

•     как мы продолжаем внедрять СМS в различные департамены,

•     какие у нас планы на будущее.

…а также способами обнаружения вредоносных техник в сетевом трафике

Чтобы специалистам по кибербезопасности было проще раскладывать по полочкам действия атакующих и расследовать атаки, мы решили перевести на русский язык и визуализировать в удобном интерактивном формате матрицу MITRE. Да-да, ту самую таблицу тактик, техник и общеизвестных фактов о злоумышленниках, в которую постоянно заглядывают ибэшники со всего мира.

Одним только переводом решили не ограничиваться. Мы дополнили матрицу экспертизой Positive Technologies о том, как обнаруживать ту или иную технику  с помощью систем анализа трафика (network traffic analysis, NTA), например таких, как PT Network Attack Discovery.  Готовы познакомить вас со своим проектом и рассказать, как устроена наша матрица и чем мы руководствовались при переводе названий тактик и техник. Welcome под кат!

Всем привет! Меня зовут Тимур Гильмуллин, я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры занимаются автоматизацией различных процессов и помогают программистам и тестировщикам. В числе прочего мы проводили работы, связанные с внедрением инструментов безопасной разработки в CI/CD-конвейер. В этой статье я рассмотрю концепцию безопасной разработки DevSecOps (или SecDevOps) в целом: разберемся, что это за концепция, что она дает бизнесу, разработчикам, инженерам DevOps и безопасникам, какие инструменты можно при этом использовать и насколько трудоемко их внедрение.