Информационная безопасность *

Машинное обучение (ML) в сфере анализа безопасности приложений SAST (Static Application Security Testing) — это область, которая с каждым годом становится все более актуальной в мире разработки ПО. Многие компании активно исследуют ее, а некоторые уже внедряют машинное обучение в продукты для анализа кода. УЦСБ разрабатывает собственную платформу по непрерывному анализу защищенности приложений и занимается внедрением моделей машинного обучения в качестве рекомендательной системы при поиске и верификации проблем безопасности. В серии статей, посвященной этой теме, планируем рассказать о потенциале внедрения машинного обучения в инструменты SAST и пошагово разработать модель анализа кода.

В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции быстроного Ахиллеса, который, догоняя черепаху, всегда остается чуть позади.

Всем привет! На связи Николай Едомский, руководитель группы сетевых инженеров в ЕДИНОМ ЦУПИС.

В этой статье я простыми словами расскажу о том, что из себя представляет DDoS, о самых распространенных видах DDoS и методах борьбы с ними. Основная цель материала – на простых примерах передать суть этого явления и обозначить особую важность грамотного построения защиты от DDoS.

Пожалуй, одной из самых опасных и крайне нежелательных сущностей, которые могут завестись в скомпрометированной Windows-инфраструктуре, является Golden Ticket. Это абсолютно легитимный Kerberos-билет, содержащий специально созданные данные, позволяющие злоумышленнику обойти нормальные механизмы проверки и получить высокие привилегии в сети.

С помощью золотого билета злоумышленник может получить доступ к любому ресурсу в Active Directory, притворяясь валидным пользователем, без фактической аутентификации.

Про Golden Ticket написано уже очень много статей, и аналитики знают, что такую атаку очень сложно обнаружить (большой труд в этом направлении проделали коллеги из R-Vision, рекомендуем к прочтению статью о Golden Ticket).

Не так давно Microsoft выпустила поэтапные обновления безопасности, которые меняют правила использования Golden Ticket. В этой статье мы постараемся разобраться, как обстоят дела с этой атакой сейчас и как Microsoft упростила ее детектирование своими обновлениями. Мы возьмем два инструмента (Mimikatz и Rubeus), сделаем с помощью них Golden Ticket с разными параметрами, а потом попробуем ими воспользоваться и посмотрим, какие сгенерируются события и как отследить их в SOC.

Всем привет! На связи Ozon, и мы спешим вас поздравить с наступающим Новым Годом! С вами Дед Мороз Никита Губорев — специалист по информационной безопасности Ozon Tech.

В настоящее время модели машинного обучения становятся все более популярными и широко применяются в различных сферах — от финансов до медицины, от маркетинга до транспорта. Однако с ростом популярности и использования этих моделей возникают новые угрозы и проблемы безопасности. Модели обучаются на больших объемах данных, исходя из которых они учатся принимать решения. Хакеры изучают и используют возможности моделей машинного обучения и манипулируют входными или обучаемыми данными, чтобы получить конфиденциальную информацию или влиять на результаты принимаемых решений.

Сегодня мы рассмотрим, как злоумышленники атакуют модели машинного обучения, что они для этого делают и как от этого можно защищаться. А учитывая, что скоро Новый год, давайте я расскажу вам об этом новогоднюю сказочную историю... Мы окунемся в атмосферу подготовки к празднику, понаблюдаем за захватывающим приключением двух друзей, которые спасли Новый год, защищаясь от атак на системы машинного обучения, которые я аккуратно вписал в рассказ.

Задание: необходимо прочитать Micro QR Code версии М2, содержащий кодовое слово, состоящее из символов верхнего регистра (на примере закодированных слов – NOVICE, MONEY и M1ND5; почему выбрано именно такое количество символов будет также расшифровано) на основе алгоритма, приведенного в ГОСТ Р ИСО/МЭК 18004-2015 (п. 7.4.4). Аналогично версии М1 данный режим невозможно прочитать стандартными ресурсами мобильных устройств, производимых GAFAM (как оказалось, свободно распространяемые библиотеки страшно глючат, поэтому Ассоциация отказалась и от этого режима).

Привет, Хабр! На связи участница профессионального сообщества NTA Корсакова Елена.

Поиск аномалий в корпусе текстов является нетривиальной задачей, особенно если размечен набор данных только с аномальными текстами. При этом различия могут не бросаются в глаза — все тексты написаны на одном языке, да и стиль текстов схож: например, заявки, ошибочно попавшие не в ту очередь, нетипичные события в логах или письма от мошенников. В посте расскажу о решении данной задачи — одноклассовой классификация текстов, с помощью расхождения Кульбака—Лейблера.

Привет, Хабр. Продолжим знакомство с продуктами Киберпротекта. Сегодня обсудим продукт Кибер Протего - наше полнофункциональное DLP-решение корпоративного класса и посмотрим как оно совместно с продуктом Кибер Файлы позволяет обеспечить безопасный обмен файлами.

Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux, помечает как вредоносные и дублирует угрозы в журнале событий

Дисклеймер: статья предназначена для ребят, которые только учатся на инфобез и могут наступить на те же грабли, что и я. И предназначена для того, чтобы немного облегчить им жизнь.)

Предисловие: не так давно, проходя курс по кибербезопасности мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.

Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве...

Согласно нашему недавнему исследованию, более 30% крупных российских компаний не верят, что отечественные средства защиты информации (СЗИ) могут заменить ушедшие решения западных вендоров. Самый востребованный, но и самый проблемный в импортозамещении класс СЗИ — это межсетевые экраны. Команда наших инженеров по сетевой безопасности систематически выполняет проекты, связанные с заменой иностранных решений на продукты отечественных вендоров. 

В этой статье мы сделаем обзор NGFW одного из лидирующих российских производителей — UserGate. Если вы ещё не решились на импортозамещение или находитесь в стадии выбора отечественного NGFW, думаю эта статья будет вам полезной.

Традиционно в канун Нового года и Рождества мы просим наших аналитиков поделиться самыми запоминающимися инцидентами уходящего года. Итак, в финальном дайджесте 2023 года рассказываем о краже корпоративных секретов, мнимых тружениках, утечке генетической информации и очень мстительных сотрудниках.

Всем привет! Наверняка вы заинтересованы в сохранении собственной анонимности, обхода цензуры и сторонники конфиденциальной работы в сети.

Существуют множество методов обхода блокировок и обеспечения анонимности - VPN, прокси-серверы и другие инструменты, но сегодня я расскажу об одном лёгком способе - вместо того, чтобы использовать официальные, закрытые и не конфиденциальные сайты, мы будем использовать альтернативный фронтенд.

В этой статье я приведу список сайтов, с кратким их описанием и инструкцией.

Начинаем!

Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор остаются уязвимыми для нее. Очередной пациент — библиотека на TypeScript @clickbar/dot-diver. Уязвимость CVE-2023-45827 исправлена в версии 1.0.2 и выше, поэтому мы со спокойной душой расскажем, что могло произойти с вашим продуктом, но, к счастью, не произошло.

Под катом читайте о том, как нужно было пользоваться библиотекой, чтобы точно столкнуться с уязвимостью Prototype Pollution. Мы, кстати, писали про нее в своем телеграм-канале POSIdev — там свежие новости про безопасную разработку, AppSec, а также регулярные обзоры трендовых угроз и наша любимая рубрика «Пятничные мемы».

Всем привет, с вами я - доктор Аргентум. И сегодня я изучил фильмы и сериалы про IT, ИБ и другие произведения, связанные с ними. Я постарался включить в этот топ фильмы и сериалы, про которые вы могли не знать.

Хоть сегодня и понедельник, зато вы сразу можете выбрать фильм на выходные!

Погнали!

Есть два ключевых подхода к защите ИТ-систем: реактивный и превентивный. Реактивный — это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности. Превентивный подход подразумевает обнаружение и минимизацию возможных угроз. 

Для выстраивания комплексной системы безопасности следует внедрять оба подхода. Но ресурсов собственного штата ИБ-специалистов не всегда хватает. Чтобы решить кадровую проблему и повысить безопасность, компания может обратиться к облачному провайдеру, который обеспечивает безопасность с помощью портфеля готовых сервисов. 

Так у МТС есть собственный Security Operation Center для комплексной защиты всех ресурсов клиентов от киберугроз при помощи мониторинга и реагирования 24/7 на инциденты ИБ. Изначально SOC защищал исключительно инфраструктуру МТС и дочерних предприятий, но со временем ИБ-услуги стали доступны всем клиентам.

В другом сценарии (который, впрочем, легко реализовать не вместо облачных сервисов, а вместе с ними) специалисты по кибербезу действуют своими силами и используют открытые технологии. Сегодня мы остановимся на знакомстве с некоторыми интересными open source (Apache License 2.0) инструментами для ИБ-аудита, превентивной защиты и организации безопасных инфраструктурных решений.

Задание: необходимо прочитать Micro QR Code версии М2, содержащий кодовое слово, состоящее из цифр (на примере – 99999999 и максимальном кодовом расстоянии – 9999999999; почему выбрано именно такое количество цифр будет также расшифровано) на основе алгоритма, приведенного в ГОСТ Р ИСО/МЭК 18004-2015 (п. 7.4.3, пример 2). Аналогично версии М1 данный режим невозможно прочитать стандартными ресурсами мобильных устройств, производимых GAFAM (как оказалось, свободно распространяемые библиотеки страшно глючат, поэтому Ассоциация отказалась и от этого режима).

Для начала нужно определиться: а зачем это кому-то нужно? В интернете существует такое мнение: "Мне скрывать и бояться нечего, на моем компьютере брать нечего". Это суждение ложное. На любом устройстве, подключенном к сети Интернет, всегда есть что-то, что может использовать злоумышленник. Например, вашу цифровую личность, ваши платежные данные, ваши аккаунты от различных сервисов. Например, у меня один раз украли аккаунт доставки роллов, и с него по непонятной причине заказывали роллы. Никаких бонусных баллов там не было, но факт остается фактом.

Ваш компьютер могут использовать в качестве прокси-сервера для совершения преступлений. Если вы поинтересуетесь в интернете о покупке прокси, то увидите множество так называемых "пакетных" предложений. Это когда за определенную сумму вам дают сразу тысячи прокси. Все это — скомпрометированные машины людей, которые думали, что у них нечего брать. Реальные IPV4 обычно стоят от 1 доллара за штуку в месяц.

Помимо того, что интернет будет работать медленнее, ваш IP-адрес могут занести в различные спам-базы. При заходе на любые сайты, в том числе на Google, будет вылазить капча, и это в лучшем случае. В худшем случае с IP-адреса, зарегистрированного на вас, могут совершить преступление. Как думаете, куда пойдет товарищ майор? К неизвестному злоумышленнику, использующему цепочки прокси или VPN, или к человеку, на чьи паспортные данные оформлен договор с провайдером?