🏭 Мы добавили в PT ISIM пакет экспертизы с поддержкой сетевых протоколов Honeywell Experion PKS

Honeywell — один из мировых лидеров в области технологий автоматизации промышленности и управления производственными процессами. Вендор на протяжении многих лет входит в четверку ключевых игроков на отечественном рынке АСУ ТП, являясь основным поставщиком специализированных решений для 27% предприятий.

Теперь PT ISIM детально разбирает трафик семейства распределенных систем управления (РСУ) Experion PKS, выявляя различные аномалии, которые могут указывать на вмешательство злоумышленников. В их числе: неавторизованные изменения прошивки, эксплуатация уязвимостей и модификация параметров технологических процессов. Такие РСУ установлены на критически важных промышленных объектах (АЭС, газопроводах и других) во многих странах мира. В России эти решения в основном применяются нефтеперерабатывающими компаниями.

🚨 С новым пакетом экспертизы PT ISIM своевременно обнаруживает и сообщает оператору:

🔵об умышленном изменении параметров технологических процессов;

🔵о нелегитимных операциях перепрошивки и изменения конфигурации ПЛК, которые могут повлечь остановку производства и ухудшение качества продукции;

🔵о неавторизованной передаче сервисных команд, нетипичных для работы АСУ в штатном режиме;

🔵 о попытках эксплуатации ранее найденных и закрытых производителем уязвимостей нулевого дня в решениях Honeywell (в их числе CVE-2023-24474, CVE-2023-25770, CVE-2023-24480, CVE-2023-26597, CVE-2023-25178).

«Предприятия медленно и с осторожностью внедряют защитные механизмы в силу специфики непрерывного производства. Кроме того, они не всегда решаются обновить уязвимое ПО, даже когда появляются патчи. Системы мониторинга безопасности промышленных инфраструктур, такие как PT ISIM, позволяют неинвазивно повысить их защищенность. Установив новый пакет экспертизы для Honeywell, промышленные организации, использующие SCADA-системы этого вендора, смогут обезопасить себя от актуальных угроз», — прокомментировал Дмитрий Скляр, руководитель направления экспертизы по анализу защищенности промышленных систем в Positive Technologies.

#PTISIM
@Positive_Technologies

👾 Как выстроить эффективный процесс управления уязвимостями?

Обсудим завтра на онлайн-эфире AM Live, в котором примет участие Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.

Разберем, как адаптировать модель управления уязвимостями под особенности вашей компании, как грамотно распределить роли и зону ответственности между службой ИБ, департаментом ИТ и бизнесом и как наша система MaxPatrol VM не даст злоумышленникам шанса использовать уязвимости для взлома.

Вы узнаете:

➡️ Какие существуют методологии и стандарты управления уязвимостями.

➡️ С чего начать построение процесса управления уязвимостями и как оценить его эффективность.

➡️ Какие специалисты и отделы организации должны участвовать в процессе и каковы их индивидуальные задачи.

Встречаемся в прямом эфире завтра (9 апреля) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

Мы запустили новый статус для партнеров — метапартнер ⭐️

Его получают компании, на практике реализующие стратегию результативной кибербезопасности (РКБ) и запустившие свои программы открытых кибериспытаний. А также имеющие партнерский уровень Premium или Professional Advanced.

🤩 На недавно состоявшемся дне открытых дверей (подробнее об этом ежегодном мероприятии для партнеров рассказывали в посте по ссылке) мы объявили, что первым обладателем этого статуса стала Innostage. Компания активно внедряет РКБ и почти год находится на открытых кибериспытаниях.

Если мы присвоили компании статус метапартнера, это значит, что она имеет экспертизу по всем продуктам Positive Technologies и достаточный опыт для реализации проектов РКБ у клиентов. Мы будем рекомендовать такого партнера для дальнейшего внедрения продуктов, проведения киберучений и подготовки к кибериспытаниям 🧐

«Почти пять лет мы развиваем стратегию результативной кибербезопасности и продвигаем необходимость измерять свой уровень ИБ. Появление метапартнерства имеет для нас большую ценность: наши партнеры разделяют смыслы РКБ и транслируют их на рынок, повышая тем самым его уровень зрелости», — отметила Оксана Полякова, директор по работе с партнерами Positive Technologies.

До конца года новый статус смогут получить еще несколько наших партнеров.

@Positive_Technologies

🔎 Научим находить атаки в трафике до того, как они нанесут ущерб

С 28 апреля Positive Education запускает новую образовательную программу «Анализ сетевого трафика», в которую включили максимум практики с фокусом на разборе реальных атак.

⭐️ Практикум готовили наши эксперты-практики

За их плечами — десятки обнаруженных атак, сложные кейсы и работа с трафиком в боевых условиях. Встречайте:

⭐️ Алексей Леднев — руководитель продуктовой экспертизы PT Expert Security Center
⭐️ Кирилл Шипулин — руководитель экспертизы PT NAD

В подготовке курса также принимали участие другие эксперты Positive Technologies: Евгений Бечкало, Роман Ежов, Дмитрий Еронин, Никита Лазарев, Евгений Летягин, Ксения Наумова и Андрей Тюленев.

🎓 Что вас ждет

Текстовые материалы и видеосессии, которые можно изучать в удобном темпе, а также обширная практика на облачном стенде: вы будете воспроизводить хакерские атаки и исследовать их при помощи средств защиты, проверяя те на прочность.

Вы узнаете:

🔵 какие именно следы и артефакты оставляют злоумышленники в сети
🔵 почему в сети невозможно скрыть свое присутствие
🔵 как интерпретировать сетевые алерты и работать с ложноположительными срабатываниями
🔵 какие ключевые подходы и инструменты используются для анализа сетевого трафика
🔵 как расследовать инциденты на основе трафика, чтобы не тратить много времени на шум

Мы разберем основные приемы и инструменты хакеров, а приятный бонус — чат, в котором вы сможете обмениваться опытом и совместно решать практические задачи.

👉 Больше подробностей — на сайте программы.

#PositiveEducation
#PositiveЭксперты
@Positive_Technologies

🖥 Новая версия MaxPatrol EDR 7.2 может выявлять угрозы на конечных устройствах под управлением более чем 25 операционных систем

Теперь решение поддерживает в три раза больше ОС, в числе которых основные версии из мирового топ-10: Windows 11, Debian 12, Ubuntu 22.04 LTS и 24.04 LTS. Работает MaxPatrol EDR 7.2 и с последними версиями популярных отечественных систем: «РЕД ОС Рабочая станция» 8.0, Astra Linux Special Edition 1.8, «Альт Рабочая станция» 10.2 и «Альт Сервер» 9, помогая обеспечить надежную защиту конечных устройств тем организациям, которые с 2025 года обязаны были перейти на отечественные ОС.

«Для Positive Technologies важно, чтобы продукт мог защищать как можно больше конечных устройств. Именно поэтому мы будем и дальше оперативно добавлять свежие версии ОС, — рассказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. — Мы хотим, чтобы агенты EDR развивались и могли встроиться в инфраструктуру любой сложности, поэтому, помимо антивирусных технологий, в этом году особое внимание уделим повышению отказоустойчивости, управляемости и качества установки».

Рассказываем, что еще появилось в MaxPatrol EDR:

🎱 Модуль изоляции узлов для Linux-систем, блокирующий сетевой трафик.

🎱 Модуль трассировки событий для Windows (ETW), который позволяет получить расширенную информацию об активности в операционных системах и повышает качество обнаружения угроз.

🎱 Модуль удаленного выключения и перезагрузки защищаемых рабочих станций. Он позволяет блокировать подозрительную или потенциально опасную активность и останавливать развитие атаки, если другие способы не помогают, а также — перезагружать узлы с целью установки обновлений для устранения уязвимостей.

🎱 Возможность добавлять исключения для правил корреляции с помощью табличных списков из MaxPatrol SIEM, которая сокращает количество ложных срабатываний.

👉 Подробности о новой версии продукта ищите на нашем сайте.

#MaxPatrolEDR
@Positive_Technologies

💪 Продолжаем онлайн-марафон Standoff Defend для тех, кто хочет прокачать свои навыки киберзащиты

В новом версии онлайн-полигона вы сможете как следует размяться проверить, что уже умеете, тренируясь в спецверсии Standoff Cyberbones, где собраны лучшие инциденты и атаки команд белых хакеров с кибербитвы Standoff.

Специально для вас — участников марафона — мы добавили в бесплатную версию нашего онлайн-симулятора целых четыре новых инцидента и цепочку атак (какие — не расскажем, пусть будет сюрприз).

А если застопоритесь, используйте подсказки, которые мы оставили внутри расследования цепочки 👌

Регистрируйтесь на нашей платформе (если вы еще этого не сделали) и беритесь за расследования!

#StandoffDefend
@Positive_Technologies

🙄 Взлом больших языковых моделей (LLM) может привести к финансовым потерям? Да не, ерунда какая-то…

А вот и нет! LLM все чаще интегрируют в Web3-приложения, такие как DAO- и dApp-боты, или автоматические трейдеры. Не за горами время, когда именно они будут принимать решения о продаже и покупке криптовалюты на основе новостей или команд пользователей. Если злоумышленники найдут способ обмануть или взломать модель, плакали ваши биткоины…

В ноябре 2024 года энтузиасты запустили публичный эксперимент: ИИ-агент Freysa с кошельком (≈50 000 $ в крипте), запрограммированный никому не переводить деньги. Всем желающим предложили попробовать уговорить агента нарушить это правило за плату за каждый запрос. Взломать модель смог некто p0pular.eth, который и получил всю сумму в качестве призового фонда.

Такой пример приводит в своей первой статье на Хабре о безопасности ИИ-агентов Виктор Рябинин из команды безопасности блокчейн-технологий, Positive Technologies. Он рассказывает об архитектуре AI-агентов Web3 и возможных векторах атак на них.

А во второй — Виктор подробно описывает jailbreak-методы (способы обойти программные ограничения) для разных моделей GPT и других популярных ИИ, а также способы их комбинации.

Например, так как все модели самообучаемые, можно создать новый паттерн, подгрузив в окно запроса диалоги или скриншоты диалогов, в которых нейросеть отвечает на запрещенный запрос. Нейросеть учится новому поведению и реагирует соответствующе.

А еще можно «брутфорсить» промпт, автоматически генерируя и подбирая такие сочетания слов, которые могут обойти ограничения ИИ, чтобы получить ответ на запрещенный запрос.

Между прочим, благодаря тому, что даже в топовых LLM есть уязвимости, появились площадки и соревнования, на которых эксперты и энтузиасты пробуют силы во взломе AI-агентов и LLM.

👀 Подробнее о таких соревнованиях и методах защиты больших языковых моделей читайте в наших материалах (первом и втором).

#PositiveЭксперты
@Positive_Technologies

📝 Определение недопустимых событий — первый шаг к построению системы результативной кибербезопасности в любой компании

А еще это важный повод для диалога между бизнесом и теми, кто отвечает за ИБ. Задача первых — рассказать, какие сценарии действительно недопустимы, а вторых — определить, могут ли они быть реализованы при атаке злоумышленников на ИТ-инфраструктуру.

❌ Например, если недопустимое событие — последствие затопления складов с готовой продукцией, то отвечать за ливни, наводнения или плохое состояние сантехники специалисты по кибербезопасности не могут.

✅ А вот позаботиться о том, чтобы не было несанкционированного срабатывания системы автоматического пожаротушения или чтобы хакеры не взяли под контроль датчики отопления и подачи воды, — вполне.

Для каждого бизнеса недопустимые события свои, но в качестве отправной точки обсуждения можно использовать универсальные сценарии (такие, например, как потеря денег или нарушение ключевых процессов).

🗺 Кроме того, мы создали отраслевую карту недопустимых событий, на которую могут ориентироваться компании из разных сфер. Поделились ей в статье для Positive Research — ее написал наш коллега Кирилл Босов, руководитель отдела риск-ориентированного консалтинга.

Полезная в материале — не только карта! Читайте, чтобы разобраться, с какой стороны подойти к определению недопустимых событий и как выстроить этот процесс вместе с топ-менеджментом.

#PositiveЭксперты
#PositiveResearch
@Positive_Technologies

👾 «Улов» уязвимостей, которые наши эксперты отнесли к трендовым, был богатым: в новом дайджесте их 11

Это недостатки безопасности в продуктах Microsoft и контроллере Kubernetes, а также гипервизорах VMware и веб-сервере для создания веб-приложений Apache Tomcat.

👾 Пользователи MaxPatrol VM уже о них знают: туда информация об угрозах поступает в течение 12 часов после их появления.

Уязвимости в продуктах Microsoft

Потенциально затрагивают около миллиарда устройств с установленными на них устаревшими версиями Windows (например, Windows 11 и Windows 10).

1️⃣ Уязвимость, приводящая к повышению привилегий, в драйвере фильтра Windows Cloud Files Mini, CVE-2024-30085 (CVSS — 7,8)

Злоумышленник может получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством.

2️⃣ Уязвимость повышения привилегий, подсистемы ядра Windows Win32, CVE-2025-24983 (CVSS — 7,0)

Запуск аутентифицированным пользователем спецпрограммы приводит к выполнению кода с привилегиями SYSTEM и возможности красть и уничтожать данные в системе.

3️⃣ Уязвимость удаленного выполнения кода в файловой системе Windows NTFS, CVE-2025-24993 (CVSS — 7,8)

Переполнение буфера в области памяти файловой системы Windows NTFS дает возможность выполнить код локально, установить вредоносное ПО и получить доступ к новым устройствам через компрометацию сети.

4️⃣ Уязвимость обхода функции безопасности консоли управления Microsoft, CVE-2025-26633 (CVSS — 7,0)

Эксплуатация уязвимости через открытие жертвой специально созданного MSC-файла может привести к утечке данных и установке ВПО.

5️⃣ Уязвимость спуфинга в компоненте графического интерфейса Microsoft Windows File Explorer, CVE-2025-24071 (CVSS — 7,5)

Эксплуатируя уязвимость, злоумышленник может получить возможность использовать перехваченный протокол сетевой аутентификации NTLMv2 хеша в атаках с передачей хеша. Подобное может привести к краже данных и раскрытию конфиденциальной информации.

6️⃣ Уязвимость удаленного выполнения кода в драйвере файловой системы Windows Fast FAT, CVE-2025-24985 (CVSS — 7,8)

Эксплуатация уязвимости может привести к установке ВПО, компрометации сети и получению доступа к новым устройствам.

Уязвимости в продуктах VMware

Могут затронуть более 40 000 узлов гипервизора VMware ESXi, доступных в интернете. Под угрозой — все пользователи устаревших версий продукта.

7️⃣ Уязвимость произвольной записи в высокоскоростном интерфейсе гипервизоров VMware ESXi и Workstation, CVE-2025-22224 (CVSS — 9,3)

Злоумышленник с локальными правами администратора на виртуальной машине может выполнить код от имени процесса VMX, который отвечает за обработку ввода-вывода на устройствах, на гипервизоре и получить полный контроль над узлом.

8️⃣ Уязвимость произвольной записи памяти в гипервизоре VMware ESXi, CVE-2025-22225 (CVSS — 8,2)

Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра и обойти механизмы безопасности.

9️⃣ Уязвимость разглашения информации в компоненте гипервизоров VMware ESXi, Workstation и Fusion, CVE-2025-22226 (CVSS — 7,1)

Киберпреступник с привилегиями администратора может получить доступ к защищенной информации и извлечь содержимое памяти процесса VMX, который нужен для запуска виртуальной машины.

1️⃣0️⃣ Уязвимость компонента в контроллере Kubernetes Ingress nginx Controller, CVE-2025-1974 (CVSS — 9,8)

Застрагивает более 6500 кластеров. Злоумышленник может захватить кластер и использовать его в своих целях, например для получения полного контроля над инфраструктурой организации.

1️⃣1️⃣ Уязвимость удаленного выполнения кода в комплекте серверных программ Apache Tomcat, CVE-2025-24813 (CVSS — 9,8)

На GitHub обнаружено около 200 публично доступных уязвимых серверов. Эксплуатация уязвимости может привести к загрузке ВПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов.

Подробнее обо всех недостатках безопасности — в дайджесте на сайте.

#втрендеVM
@Positive_Technologies

🐈‍⬛ Подрядчики на аутсорсе — удобно, быстро, выгодно. Но стоит одному из них допустить ошибку — и ваша безопасность под угрозой.

На вебинаре 18 апреля в 14:00 Алексей Лукацкий расскажет, как защитить свой бизнес от таких рисков.

🕳 Поговорим про очевидные и неочевидные дыры, которые можно обнаружить даже в самом надежном партнерстве.

🛡 Поделимся проверенными стратегиями и инструментами защиты — от оценки рисков и ключевых пунктов договора или SLA с подрядчиками до практических методов проверки и мониторинга.

🔍 Рассмотрим реальные кейсы и обсудим, что помогает вовремя вычислить подозрительных поставщиков, организовать безопасное взаимодействие с ними и не дать злоумышленникам ни малейшего шанса.

Регистрируйтесь заранее и присоединяйтесь к прямому эфиру, чтобы получить действенную пошаговую стратегию по предотвращению «партнерских» рисков.

⚠️ UPD: вебинар перенесен, о новой дате сообщим в отдельной публикации.

#PositiveЭксперты
@Positive_Technologies

⏱ Самое время для нового задания марафона Standoff Defend

В этот раз вам предстоит протестировать новинку нашего полигона для киберзащитников — регулируемые атаки, достоверно воспроизводящие техники, тактики и инструменты крупнейших APT-группировок.

Сегодня мы опубликовали в открытом доступе одну из таких атак — от группировки Charming Kitten, а еще написали инструкцию, чтобы вам было проще ее расследовать.

🏆 В этот раз задание конкурсное и на время: первые три участника марафона, которые полностью завершат расследование до 23 апреля, получат славу в залах Вальгаллы по три приза:

🎫 Билет на PHDays Fest с проходом в закрытую часть, включая кибербитву Standoff.
🎁 Стильный мерч Standoff.
🎗 Уникальные ачивки на платформе Standoff 365.

Готовы? Подробности задания уже на сайте марафона.

#StandoffDefend
@Positive_Technologies

🔥 Все 10 моделей программно-аппаратного комплекса PT NGFW включены в реестры Минцифры и Минпромторга России

Включение ПАК продукта в единый реестр российской радиоэлектронной продукции Минпромторга и реестр отечественного ПО (раздел ПАК) Минцифры подтверждает, что PT NGFW — российский межсетевой экран нового поколения, имеющий необходимую степень доверенности, так как проектируется, разрабатывается и производится на территории России.

«Мы успешно прошли все проверки регуляторов, комиссия осмотрела производственную линию аппаратных комплексов, изучила особенности их создания и сборки», — отметила Анна Комша, руководитель продуктовой практики PT NGFW, Positive Technologies.

С этого момента PT NGFW может защищать инфраструктуры организаций, которым разрешено приобретать оборудование и ПО исключительно российского происхождения. К таким организациям относятся ведомства и компании с госучастием, предприятия ТЭК, оборонной и атомной промышленности, а также транспортные, телекоммуникационные и кредитно-финансовые компании.

Напомним, что PT NGFW — первое и на настоящий момент единственное решение в своем классе, сертифицированное по новым требованиям ФСТЭК России к многофункциональным межсетевым экранам уровня сети.

🔥 Результатами PT NGFW за 2024 год мы делились ранее в публикации. Оставить заявку на тест-драйв продукта можно на нашем сайте.

#PTNGFW
@Positive_Technologies