С 21 по 24 ноября 2023 года прошел Standoff 12 — международные киберучения по информационной безопасности, на которых команды «красных» (атакующих белых хакеров) исследуют защищенность IT-инфраструктуры виртуального Государства F. Синие же команды (защитники) фиксируют эти атаки, а иногда даже отражают. Атакующие пытались перехватить управление спутником, украсть данные клиентов банка или скомпрометировать систему управления дорожным движением; в общей сложности можно было воплотить в жизнь 137 атак и недопустимых событий. Всего было развернуто семь отраслевых сегментов: шесть офисов Государства F и один офис со сборочной инфраструктурой Positive Technologies.

Разработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики прямо во время написания кода могли осуществить его проверку на уязвимости и сразу исправлять их, не выходя из IDE. Давайте разберемся, какие бывают плагины и как с ними работать?

В ноябре 2023 года мир был свидетелем кибербитвы Standoff, которая длилась несколько дней. Пятнадцать команд этичных хакеров провели серию впечатляющих технических ходов.

Атакам подверглись все представленные на киберполигоне отрасли. Напомним, на нем воссозданы технологические и бизнес-процессы реальных компаний, обеспечивающих жизнедеятельность целых стран: нефтеперерабатывающий завод, банки, МФЦ и многое другое. В минувшем сезоне кибербитвы в Государстве F появилась новая компания — CosmoLink Labs. По легенде, она была создана в качестве инновационного центра для разработки и проведения космических исследований. Компания построила космолифт до орбитальной станции, владеет центром управления полетами и центром радиосвязи, запускает спутники.

Появление нового сегмента привлекло внимание мировых киберпреступников, которые решили использовать эту уникальную локацию в своих целях. В этой статье мы — Айнур Мухарлямов и Сергей Болдырев, специалисты группы обнаружения атак на конечных устройствах — разберем цепочку атак одной команды на космическую отрасль с помощью продуктов Positive Technologies. Давайте вместе погрузимся в мир кибербезопасности и узнаем, какие вызовы и возможности нас ждут в будущем.

Всем привет! Я Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. Сегодня хотел бы поговорить об основных мифах в этом сегменте, что такое OT Security Framework и как он может изменить уровень защищенности предприятий.

В новостях мы регулярно видим сообщения о взломах промышленных предприятий. В среднем за последние два года 8–10% всех успешных атак были направлены на этот сектор. Постоянная активность вирусов-вымогателей, блокирующих технологические процессы (например, в Азии именно промышленные предприятия стали главными жертвами шифровальщиков), и большое количество утечек данных создают впечатление, что злоумышленники нащупали слабое звено среди отраслей и на производствах еще не все осознали важность кибербезопасности. Так ли это?

Большой хабросалют всем! С вами на связи я, Ксения Наумова, и мой коллега Антон Белоусов. Мы работаем в компании Positive Technologies, в отделе обнаружения вредоносного ПО.

В декабре 2023 года, в ходе постоянного отслеживания новых угроз ИБ, изучая в PT Sandbox и других песочницах вредоносные образцы и генерируемый ими трафик, мы обнаружили подозрительное сетевое взаимодействие, с которого наше дальнейшее исследование и началось. Надо сказать, обратили мы внимание на это еще и благодаря внезапно увеличившемуся количеству похожих семплов. Сами злоумышленники, видимо призрачно надеясь на убедительность, назвали в коде свой троян удаленного действия SafeRAT, с именованием которого мы, конечно, не согласны, но довольно спойлеров! Ниже мы постарались детально описать вредонос, который ранее исследователям не встречался, чтобы показать его НЕбезопасность.

Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.

Давайте знакомиться! Меня зовут Света Газизова, и я работаю в Positive Technologies директором по построению процессов DevSecOps. Мы с командой помогаем выстраивать процессы безопасной разработки в компаниях наших клиентов, занимаемся GR, участвуем в исследованиях и развиваем направление application security со всех его сторон. Помимо такой «обычной» работы, я еще участвую в образовательных проектах, потому что верю, что знания спасут мир 😊

Привет, Хабр! С вами Екатерина Косолапова. Я занимаюсь аналитикой в Positive Technologies и сегодня хочу поговорить с вами про фишинг. Этот вид мошенничества никогда не устаревает, киберпреступники любят его до слез, и в 2023 году почти половина всех успешных атак на организации была проведена с его использованием. В ход идет все: электронная почта, СМС-сообщения, социальные сети и мессенджеры. Фишеры не гнушаются звонками из банка (потому что это работает!) и используют искусственный интеллект (про дипфейки, наверное, слышали).

Фишинговые атаки эффективны. Сами посудите: затрат мало, а куш, если грамотно нацелиться, можно сорвать большой. В этой статье мы с коллегами из отдела собрали пять популярных тем, которые используют фишеры нашего времени. И конечно, привели волнующие примеры — куда же без них! Говорить будем про организации и целевой фишинг. Мы уже поймали вас на крючок? Тогда держитесь!

Привет! Меня зовут Михаил, в Positive Technologies я руковожу бэкенд-разработкой метапродукта MaxPatrol O2. В этой статье я расскажу, зачем нам в компании понадобилось разграничение доступа на основе атрибутов. Его еще называют ABAC (attribute-based access control). Рассмотрим, чем ABAC отличается от других способов разграничения доступа, как это реализуется и что мы в итоге сделали у себя.

Свою первую SIEM-систему я внедрял в 1998-99-х годах (сам термин Gartner ввел только в 2005 году), и тогда от этого класса продуктов ожидать многого было сложно: они собирали события безопасности от систем обнаружения вторжения и сканеров уязвимостей и коррелировали их, снижая тем самым число ложных срабатываний и позволяя специалистам по ИБ фокусироваться именно на том, что имело значение для организации с точки зрения реальных киберугроз. Прошло 25 лет, и что мы видим сейчас? Насколько изменился рынок средств управления событиями безопасности и как он будет развиваться в ближайшем будущем? Я попробовал немного пофантазировать, посмотреть не столько на российский рынок SIEM-систем, сколько выйти за его пределы и оглядеться в целом на рынке средств анализа данных ИБ, в том числе и зарубежных. В итоге я сформулировал некоторые направления развития, которые могут стать реальностью в обозримом будущем.

Исследование российского рынка NGFW показало, что только 16% опрошенных довольны установленными российскими межсетевыми экранами. Наше общение с клиентами это подтверждает. При этом ошибка при выборе межсетевого экрана нового поколения может стать фатальной, так как именно NGFW отвечает за отказоустойчивость бизнеса и его защиту от кибератак.

Я, Юрий Дышлевой, более 10 лет занимаюсь сетевыми технологиями. За это время я успел построить множество сетей федерального масштаба. Большинство этих сетей сейчас активно перестраивают, пытаясь найти аналоги зарубежным продуктам. Вместе с командой разработки PT NGFW мы поставили себе цель — создать межсетевой экран мирового уровня.

Проанализировав потребности клиентов, мы решили рассказать о том, какими сложными могут быть ответы на вроде бы простые вопросы: как правильно выбрать NGFW? Что может послужить стоп-фактором? Кроме того, собрали топ пять ошибок при выборе межсетевого экрана, чтобы вам было проще ориентироваться в будущем, когда вам понадобится идеальный NGFW.

Приветствую всех любителей изучать новое. Меня зовут Рома, и я занимаюсь исследованием безопасности ОС Linux в экспертной лаборатории PT Expert Security Center.

В рамках инициативы нашей компании по обмену экспертными знаниями с сообществом я расскажу вам об известной многим администраторам системе журналирования в Linux-подобных ОС — подсистеме аудита Linux (auditd). При должной настройке она позволяет получать полную информацию о действиях, выполняемых в операционной системе.

Специалистам по информационной безопасности полезно уметь расшифровывать и обрабатывать события auditd для отслеживания потенциально вредоносной активности. В связи с этим нам потребовалось организовать для них экспертную поддержку в системе мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM.

Всем привет! В эфире команда Cyber Analytics Positive Technologies. В компании мы занимаемся разработкой методологии результативной кибербезопасности и подготовкой консалтинговых отчетов по проектам, связанным с проведением тестирований на проникновение и анализом защищенности. Мы сделали обзор новой версии стандарта для оценки степени опасности уязвимостей Common Vulnerability Scoring System (CVSS). Под катом расскажем о некоторых нововведениях версии 4.0 (а их немало!) и сравним ее с предыдущей.

Такие истории редко оказываются публичными: мало кто любит хвастаться тем, как их пошифровали (даже если это хэппиэнд). Но пора признать — эти истории есть, они ближе, чем мы думаем, и их абсолютно точно в разы больше, чем все привыкли считать. Шифровальщики все еще остаются в топе угроз среди атак на организации. Одну из таких атак сумела запечатлеть система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), которая в это время пилотировалась в компании. И если бы только оператор SOC обратил внимание на алерты в интерфейсе новой системы… но история не терпит сослагательного наклонения.

Привет, Хабр! Меня зовут Алексей Колесников, я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Недавно я выступил на международной конференции AVAR 2023, которая проходила в Дубае. Рассказывал про новые плагины, разработанные PT Expert Security Center для опенсорсной системы динамического анализа вредоносного программного обеспечения DRAKVUF, и показывал, как с их помощью в песочнице PT Sandbox детектировать актуальные угрозы для Linux.

Под катом мини-обзор популярных инструментов для мониторинга вредоносов в Linux, о работе наших плагинов в DRAKVUF и анализ ВПО с их использованием.

Друзья, приветствую! Меня зовут Сергей Соболев, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье начну рассказывать про методы и инструменты формальной верификации, их практическое применение в аудите смарт-контрактов, а также про подводные камни.

Сегодня поговорим про общие теоретические аспекты формальной верификации, проблемы SAT и SMT и закрепим все это на простом примере с использованием хайпового инструмента для анализа смарт-контрактов Certora Prover со своим языком спецификаций.

Наше кибертурне по разным частям мира продолжается! Мы уже успели рассказать вам про путешествия по Ближнему Востоку и Азии, сегодня на очереди регион с огромным потенциалом — Африка. За последние пару десятков лет объединенный ВВП африканских стран увеличился более чем в пять раз. Цифровизация тоже происходит быстро, а вот трансформация кибербезопасности хромает, и это объяснимо: регион не успевает за мировыми трендами по усилению защиты. В Африке нет ни достаточного количества специалистов по ИБ, ни должного уровня киберграмотности населения, ни необходимой законодательной базы.

Под катом расскажем, какие проблемы кибербезопасности Африки мы нашли.

Салют! Мы завершаем мини-цикл о том, что произошло в кибербезопасности (и не только) в 2023-м и как это откликнется в предстоящем году. Уже поведали о наиболее пострадавших от киберпреступников отраслях и резонансных атаках, а еще поделились своим видением, куда катится движется отечественный рынок ИБ. На десерт оставили самое интересное — российские и мировые тренды в области блокчейна, машинного обучения, разработки IT-продуктов, защиты приложений и ОС.

Итак, в следующем году наши эксперты ожидают увеличение отрыва мировых лидеров от отстающих вендоров по уровню безопасности их IT-решений, создание сервисов с помощью естественного языка, рост числа атак на блокчейн-проекты … но давайте обо всем по порядку и обстоятельно 😉 Заваривайте чашечку ароматного чая и устраивайтесь поудобнее — занимательного чтива будет много.

Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор остаются уязвимыми для нее. Очередной пациент — библиотека на TypeScript @clickbar/dot-diver. Уязвимость CVE-2023-45827 исправлена в версии 1.0.2 и выше, поэтому мы со спокойной душой расскажем, что могло произойти с вашим продуктом, но, к счастью, не произошло.

Под катом читайте о том, как нужно было пользоваться библиотекой, чтобы точно столкнуться с уязвимостью Prototype Pollution. Мы, кстати, писали про нее в своем телеграм-канале POSIdev — там свежие новости про безопасную разработку, AppSec, а также регулярные обзоры трендовых угроз и наша любимая рубрика «Пятничные мемы».

Привет, дорогой хабровчанин! Приближается конец года, и вроде бы до праздничного звона бокалов еще далековато, но итоги уходящего года подвести уже хочется. Чем мы с удовольствием и занялись в своем прошлом посте. В этой статье речь пойдет о рынке кибербезопасности и ИТ, а также о том, как строится защита от киберугроз. Не спеши зевать, любезный читатель. Тебя ждут интереснейшие наблюдения и POV из первых уст.

«Где-то в Москве, где много этажей, кафешек и офисов, а на входе логотип, находится папина работа. Обычно папин день выглядит как подъём, кофе, он много печатает и сохраняет файлы, и так до вечера. Таким образом папа улучшает программу для защиты телефонов и компьютеров».

Так ребёнок описал работу своего папы — старшего программиста, который участвует в разработке PT XDR. Недавно мы решили разузнать, чем же на самом деле занимаемся. И отправились за ответом к самому достоверному источнику — нашим детям возрастом от 5 до 9 лет.

Некоторые рассказы правдиво отразили будни айтишника. А некоторые вышли совершенно фантастическими. Лучшие истории мы собрали под катом. Ещё подготовили квиз: угадайте, чем на самом деле занимаются родители каждого из юных рассказчиков.