👽👽 Я б в пентестеры пошел, пусть меня научат

Все, что вы хотели бы знать об этой профессии, но почему-то пока не спросили, рассказал в своем интервью Positive Research наш коллега Александр Морозов, руководитель отдела тестирования на проникновение.

Вы узнаете, почему Саша не выбрал темную сторону несмотря на печеньки, всегда ли заказчики рады отчетам, проверяют ли позитивные пентестеры собственную ИТ-инфраструктуру, часто ли они придерживаются первоначального «плана по взлому» и, наконец, как попасть в его команду.

🔥 Полный текст статьи — на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

🏭 Мы добавили в PT ISIM пакет экспертизы с поддержкой сетевых протоколов Honeywell Experion PKS

Honeywell — один из мировых лидеров в области технологий автоматизации промышленности и управления производственными процессами. Вендор на протяжении многих лет входит в четверку ключевых игроков на отечественном рынке АСУ ТП, являясь основным поставщиком специализированных решений для 27% предприятий.

Теперь PT ISIM детально разбирает трафик семейства распределенных систем управления (РСУ) Experion PKS, выявляя различные аномалии, которые могут указывать на вмешательство злоумышленников. В их числе: неавторизованные изменения прошивки, эксплуатация уязвимостей и модификация параметров технологических процессов. Такие РСУ установлены на критически важных промышленных объектах (АЭС, газопроводах и других) во многих странах мира. В России эти решения в основном применяются нефтеперерабатывающими компаниями.

🚨 С новым пакетом экспертизы PT ISIM своевременно обнаруживает и сообщает оператору:

🔵об умышленном изменении параметров технологических процессов;

🔵о нелегитимных операциях перепрошивки и изменения конфигурации ПЛК, которые могут повлечь остановку производства и ухудшение качества продукции;

🔵о неавторизованной передаче сервисных команд, нетипичных для работы АСУ в штатном режиме;

🔵 о попытках эксплуатации ранее найденных и закрытых производителем уязвимостей нулевого дня в решениях Honeywell (в их числе CVE-2023-24474, CVE-2023-25770, CVE-2023-24480, CVE-2023-26597, CVE-2023-25178).

«Предприятия медленно и с осторожностью внедряют защитные механизмы в силу специфики непрерывного производства. Кроме того, они не всегда решаются обновить уязвимое ПО, даже когда появляются патчи. Системы мониторинга безопасности промышленных инфраструктур, такие как PT ISIM, позволяют неинвазивно повысить их защищенность. Установив новый пакет экспертизы для Honeywell, промышленные организации, использующие SCADA-системы этого вендора, смогут обезопасить себя от актуальных угроз», — прокомментировал Дмитрий Скляр, руководитель направления экспертизы по анализу защищенности промышленных систем в Positive Technologies.

#PTISIM
@Positive_Technologies

👾 Как выстроить эффективный процесс управления уязвимостями?

Обсудим завтра на онлайн-эфире AM Live, в котором примет участие Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.

Разберем, как адаптировать модель управления уязвимостями под особенности вашей компании, как грамотно распределить роли и зону ответственности между службой ИБ, департаментом ИТ и бизнесом и как наша система MaxPatrol VM не даст злоумышленникам шанса использовать уязвимости для взлома.

Вы узнаете:

➡️ Какие существуют методологии и стандарты управления уязвимостями.

➡️ С чего начать построение процесса управления уязвимостями и как оценить его эффективность.

➡️ Какие специалисты и отделы организации должны участвовать в процессе и каковы их индивидуальные задачи.

Встречаемся в прямом эфире завтра (9 апреля) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

Мы запустили новый статус для партнеров — метапартнер ⭐️

Его получают компании, на практике реализующие стратегию результативной кибербезопасности (РКБ) и запустившие свои программы открытых кибериспытаний. А также имеющие партнерский уровень Premium или Professional Advanced.

🤩 На недавно состоявшемся дне открытых дверей (подробнее об этом ежегодном мероприятии для партнеров рассказывали в посте по ссылке) мы объявили, что первым обладателем этого статуса стала Innostage. Компания активно внедряет РКБ и почти год находится на открытых кибериспытаниях.

Если мы присвоили компании статус метапартнера, это значит, что она имеет экспертизу по всем продуктам Positive Technologies и достаточный опыт для реализации проектов РКБ у клиентов. Мы будем рекомендовать такого партнера для дальнейшего внедрения продуктов, проведения киберучений и подготовки к кибериспытаниям 🧐

«Почти пять лет мы развиваем стратегию результативной кибербезопасности и продвигаем необходимость измерять свой уровень ИБ. Появление метапартнерства имеет для нас большую ценность: наши партнеры разделяют смыслы РКБ и транслируют их на рынок, повышая тем самым его уровень зрелости», — отметила Оксана Полякова, директор по работе с партнерами Positive Technologies.

До конца года новый статус смогут получить еще несколько наших партнеров.

@Positive_Technologies

🔎 Научим находить атаки в трафике до того, как они нанесут ущерб

С 28 апреля Positive Education запускает новую образовательную программу «Анализ сетевого трафика», в которую включили максимум практики с фокусом на разборе реальных атак.

⭐️ Практикум готовили наши эксперты-практики

За их плечами — десятки обнаруженных атак, сложные кейсы и работа с трафиком в боевых условиях. Встречайте:

⭐️ Алексей Леднев — руководитель продуктовой экспертизы PT Expert Security Center
⭐️ Кирилл Шипулин — руководитель экспертизы PT NAD

В подготовке курса также принимали участие другие эксперты Positive Technologies: Евгений Бечкало, Роман Ежов, Дмитрий Еронин, Никита Лазарев, Евгений Летягин, Ксения Наумова и Андрей Тюленев.

🎓 Что вас ждет

Текстовые материалы и видеосессии, которые можно изучать в удобном темпе, а также обширная практика на облачном стенде: вы будете воспроизводить хакерские атаки и исследовать их при помощи средств защиты, проверяя те на прочность.

Вы узнаете:

🔵 какие именно следы и артефакты оставляют злоумышленники в сети
🔵 почему в сети невозможно скрыть свое присутствие
🔵 как интерпретировать сетевые алерты и работать с ложноположительными срабатываниями
🔵 какие ключевые подходы и инструменты используются для анализа сетевого трафика
🔵 как расследовать инциденты на основе трафика, чтобы не тратить много времени на шум

Мы разберем основные приемы и инструменты хакеров, а приятный бонус — чат, в котором вы сможете обмениваться опытом и совместно решать практические задачи.

👉 Больше подробностей — на сайте программы.

#PositiveEducation
#PositiveЭксперты
@Positive_Technologies

🖥 Новая версия MaxPatrol EDR 7.2 может выявлять угрозы на конечных устройствах под управлением более чем 25 операционных систем

Теперь решение поддерживает в три раза больше ОС, в числе которых основные версии из мирового топ-10: Windows 11, Debian 12, Ubuntu 22.04 LTS и 24.04 LTS. Работает MaxPatrol EDR 7.2 и с последними версиями популярных отечественных систем: «РЕД ОС Рабочая станция» 8.0, Astra Linux Special Edition 1.8, «Альт Рабочая станция» 10.2 и «Альт Сервер» 9, помогая обеспечить надежную защиту конечных устройств тем организациям, которые с 2025 года обязаны были перейти на отечественные ОС.

«Для Positive Technologies важно, чтобы продукт мог защищать как можно больше конечных устройств. Именно поэтому мы будем и дальше оперативно добавлять свежие версии ОС, — рассказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. — Мы хотим, чтобы агенты EDR развивались и могли встроиться в инфраструктуру любой сложности, поэтому, помимо антивирусных технологий, в этом году особое внимание уделим повышению отказоустойчивости, управляемости и качества установки».

Рассказываем, что еще появилось в MaxPatrol EDR:

🎱 Модуль изоляции узлов для Linux-систем, блокирующий сетевой трафик.

🎱 Модуль трассировки событий для Windows (ETW), который позволяет получить расширенную информацию об активности в операционных системах и повышает качество обнаружения угроз.

🎱 Модуль удаленного выключения и перезагрузки защищаемых рабочих станций. Он позволяет блокировать подозрительную или потенциально опасную активность и останавливать развитие атаки, если другие способы не помогают, а также — перезагружать узлы с целью установки обновлений для устранения уязвимостей.

🎱 Возможность добавлять исключения для правил корреляции с помощью табличных списков из MaxPatrol SIEM, которая сокращает количество ложных срабатываний.

👉 Подробности о новой версии продукта ищите на нашем сайте.

#MaxPatrolEDR
@Positive_Technologies

💪 Продолжаем онлайн-марафон Standoff Defend для тех, кто хочет прокачать свои навыки киберзащиты

В новом версии онлайн-полигона вы сможете как следует размяться проверить, что уже умеете, тренируясь в спецверсии Standoff Cyberbones, где собраны лучшие инциденты и атаки команд белых хакеров с кибербитвы Standoff.

Специально для вас — участников марафона — мы добавили в бесплатную версию нашего онлайн-симулятора целых четыре новых инцидента и цепочку атак (какие — не расскажем, пусть будет сюрприз).

А если застопоритесь, используйте подсказки, которые мы оставили внутри расследования цепочки 👌

Регистрируйтесь на нашей платформе (если вы еще этого не сделали) и беритесь за расследования!

#StandoffDefend
@Positive_Technologies

🙄 Взлом больших языковых моделей (LLM) может привести к финансовым потерям? Да не, ерунда какая-то…

А вот и нет! LLM все чаще интегрируют в Web3-приложения, такие как DAO- и dApp-боты, или автоматические трейдеры. Не за горами время, когда именно они будут принимать решения о продаже и покупке криптовалюты на основе новостей или команд пользователей. Если злоумышленники найдут способ обмануть или взломать модель, плакали ваши биткоины…

В ноябре 2024 года энтузиасты запустили публичный эксперимент: ИИ-агент Freysa с кошельком (≈50 000 $ в крипте), запрограммированный никому не переводить деньги. Всем желающим предложили попробовать уговорить агента нарушить это правило за плату за каждый запрос. Взломать модель смог некто p0pular.eth, который и получил всю сумму в качестве призового фонда.

Такой пример приводит в своей первой статье на Хабре о безопасности ИИ-агентов Виктор Рябинин из команды безопасности блокчейн-технологий, Positive Technologies. Он рассказывает об архитектуре AI-агентов Web3 и возможных векторах атак на них.

А во второй — Виктор подробно описывает jailbreak-методы (способы обойти программные ограничения) для разных моделей GPT и других популярных ИИ, а также способы их комбинации.

Например, так как все модели самообучаемые, можно создать новый паттерн, подгрузив в окно запроса диалоги или скриншоты диалогов, в которых нейросеть отвечает на запрещенный запрос. Нейросеть учится новому поведению и реагирует соответствующе.

А еще можно «брутфорсить» промпт, автоматически генерируя и подбирая такие сочетания слов, которые могут обойти ограничения ИИ, чтобы получить ответ на запрещенный запрос.

Между прочим, благодаря тому, что даже в топовых LLM есть уязвимости, появились площадки и соревнования, на которых эксперты и энтузиасты пробуют силы во взломе AI-агентов и LLM.

👀 Подробнее о таких соревнованиях и методах защиты больших языковых моделей читайте в наших материалах (первом и втором).

#PositiveЭксперты
@Positive_Technologies