Почему важно проводить аудит сетевых устройств и как не сделать сеть вашим врагом 😱

Если вы недостаточно качественно подходите к аудиту сетевых устройств, скрытые в них бреши безопасности могут быть использованы злоумышленниками в ходе атаки.

На вебинаре 10 июня в 14:00 наши эксперты расскажут, как актуальная карта сети способствует усилению защищенности.

Вы узнаете:

😠 Как грамотно подойти к аудиту сети

🧐 Для чего это специалистам по ИТ и ИБ

🕵️‍♂️ Как искать сетевые устройства в инфраструктуре

🤩 Как выглядит новая топология и какие возможности она открывает

Регистрируйтесь на вебинар заранее, чтобы получить знания о лучших практиках и экспертное руководство по аудиту сетевых устройств.

@Positive_Technologies

🕗 Впереди выходные, а значит самое время посмотреть новый выпуск нашего подкаста «КиберДуршлаг»

Сегодня ведущие Михаил Козлов и Павел Попов поговорят о харденинге с Маратом Чураковым, руководителем департамента по повышению защищенности ИТ-инфраструктуры Positive Technologies.

Да-да, о той самой палочке-выручалочке, которая усиливает защиту инфраструктуры и превращает путь по ней в сложный лабиринт для хакеров. В итоге злоумышленники пробираются через него так долго, что на выходе их уже поджидают успевшие подготовиться киберзащитники, и атака захлебывается.

Вместе с гостем ведущие разобрали, что такое харденинг, с чего начать прокачивать инфраструктуру и как это связано с управлением уязвимостями. Они также обсудили самые распространенные ошибки, способы их избежать и то, как оценить эффективность всего, что вы сделали во имя харденинга.

Ищите подкаст в стриминговых сервисах:

📺 YouTube | 📺 RUTUBE | 📺 VK Видео

А также слушайте на любой удобной платформе.

#КиберДуршлаг
@Positive_Technologies

Все записи PHDays Fest — уже на видеоплатформах 🤩

Разложили их по плейлистам, чтобы вам было удобно смотреть сотни часов крутейшего контента.

• Научпоп
«VK Видео» / RUTUBE

• Технологии под сомнением
«VK Видео» / RUTUBE

• Лица и грани кибербеза
«VK Видео» / RUTUBE

• Defense
«VK Видео» / RUTUBE

• Offense
«VK Видео» / RUTUBE

• Positive Labs
«VK Видео» / RUTUBE

• Архитектура ИБ
«VK Видео» / RUTUBE

• Development Security
«VK Видео» / RUTUBE

• Development Data
«VK Видео» / RUTUBE

• Open Source & Open Security
«VK Видео» / RUTUBE

• Development Ops
«VK Видео» / RUTUBE

• Devices & Technologies
«VK Видео» / RUTUBE

• Development People & Culture
«VK Видео» / RUTUBE

• ИТ-инфраструктура
«VK Видео» / RUTUBE

• AppSec-воркшопы
«VK Видео» / RUTUBE

• ИБ как она есть
«VK Видео» / RUTUBE

• Лайфхаки SOC
«VK Видео» / RUTUBE

• День инвестора POSI
«VK Видео» / RUTUBE

• Development General
«VK Видео» / RUTUBE

• Школа CISO
«VK Видео» / RUTUBE

• Fast track
«VK Видео» / RUTUBE

• Python Day
«VK Видео» / RUTUBE

• Web3
«VK Видео» / RUTUBE

• AI Track
«VK Видео» / RUTUBE

• Партнерский
«VK Видео» / RUTUBE

Также записи можно найти на нашем YouTube-канале и на сайте.

Приятного просмотра! 🍿

#PHDays
@Positive_Technologies

🪄Хотите научиться волшебству анализу вредоносов на MacOS?

Тогда поступайте в Хогвартс читайте статью, которую написал для Positive Research Виталий Самаль, ведущий специалист отдела обнаружения вредоносного ПО в PT ESC, и борец с темной хакерской магией.

🚂 Встречаемся на платформе 9 и ¾, настраиваем окружение для исследования ОС и анализа ВПО и отправляемся в увлекательное путешествие. В пути вам встретятся разные фантастические твари файлы, но они не причинят вреда, если пользоваться нужными утилитами и скриптами (расскажем, какими).

👽 В конце пути вы встретитесь с дементорами непривычными языковыми конструкциями, возникшими при обратной разработке бинарного файла с семлпами, скомпилированными на Objective-C и Swift. Но уверены, вы сможете разобраться, что с ними делать.

Волшебство не ждет, открывайте учебник по магии наш материал и в путь!

P. S. Фанатам вселенной Гарри Поттера, даже если вы не разбираетесь во вредоносах, статью тоже советуем, просто посмотрите на нее — и сами все поймете.

#PositiveResearch
@Positive_Technologies

😠 Новая версия PT ISIM контролирует изменения конфигурации активов технологической сети

Чтобы IT-инфраструктура была прозрачной, предприятиям важно отслеживать подозрительную активность комплексно: не только в трафике, но и на узлах (рабочих станциях, контроллерах, сетевых устройствах и пр.).

Установка ПО, подключение сменных носителей, изменение аппаратной конфигурации устройства или параметров безопасности могут оказаться действиями злоумышленников. Кроме того, такая активность от лица внутреннего пользователя может непреднамеренно привести к появлению дефектов безопасности, которыми воспользуются нарушители.

🪲 Чтобы предупредить эту опасность, мы расширили возможности агентов PT ISIM Endpoint, выявляющих подозрительную активность на рабочих станциях и серверах SCADA под управлением Windows и Linux.

Теперь компонент анализирует сведения об аппаратном обеспечении узлов и подключенных к ним устройствах, начиная от процессоров и сетевых карт и заканчивая принтерами и USB-устройствами.

Такое нововведение позволяет:

🔴 обнаруживать неавторизованные устройства и устаревшее оборудование, предотвращая возможную остановку производства;

🔴 выявлять нелегитимное повышение привилегий или получение доступа к устройству сотрудниками, которым он не нужен;

🔴 актуализировать перечень ПО, установленного на узле, просматривать историю обновления и удаления программ, чтобы эффективнее контролировать соблюдение требований кибербезопасности.

«Инвентаризация активов — важная задача в обеспечении кибербезопасности, которая позволяет определить наиболее ценные узлы и системы, нуждающиеся в первостепенной защите. Благодаря ей сотрудники SOC получают четкое представление о том, что они защищают, и могут фиксировать и устранять уязвимости до того, как ими успеют воспользоваться злоумышленники», — отмечает Илья Косынкин, руководитель разработки продуктов для безопасности промышленных систем в Positive Technologies.

В ближайших планах — добавить к базам данных, собираемых PT ISIM, инструменты для управления уязвимостями и контроля конфигураций узлов.

➡️ Больше подробностей об обновлениях PT ISIM ищите в телеграм-канале @pt_ics_news.

#PTISIM
@Positive_Technologies

⚡️ Представляем обновленную версию PT NGFW: производительность VPN — более 40 Гбит/с

В новой версии PT NGFW добавлена поддержка набора стандартных протоколов IPsec VPN. Это позволяет организациям избегать реактивных переходов и дублирования инфраструктуры в процессе импортозамещения.

Для улучшения производительности VPN внутри PT NGFW реализована балансировка нагрузки между ядрами центрального процессора.

Скорость передачи данных в VPN-туннелях превышает 40 Гбит/с для HTTP-трафика. Это дает возможность подключать большое количество филиалов и строить защищенные каналы между центрами обработки данных.

«Бизнес ждал PT NGFW, чтобы поддерживать распределенную инфраструктуру компаний. Сейчас мы максимально ориентируемся на подключение филиальных сетей и расширение возможностей для работы с ними. Для этого, помимо интеграции VPN в PT NGFW, мы разработали младшие модели программно-аппаратных комплексов для фильтрации трафика, о которых вскоре расскажем.

Мы видим колоссальную потребность рынка в новой функциональности PT NGFW. За первую половину 2025 года продукт приобрел критически важные для межсетевого экрана функции», — отметил Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.

🆕 Другие нововведения (подробности — на нашем сайте):

• Добавлена поддержка функции DHCP relay, которая позволяет устройствам в выбранном сегменте сети получать IP-адрес от внешнего DHCP-сервера. Опция необходима организациям, имеющим в своей структуре филиалы, где нет возможности развернуть отдельный DHCP-сервер.

• Улучшена совместимость с продуктами Cisco, Check Point, Juniper и других крупных вендоров за счет поддержки протокола IKEv2 для обмена ключами и алгоритмов AES, 3DES, DES для шифрования данных между устройствами.

• Изменения претерпел и отказоустойчивый кластер active-standby, который стал удобнее в использовании.

• Добавлена возможность сбора событий безопасности через Windows Event Collector (WEC).

🏭 Для защиты сегмента АСУ ТП внедрена поддержка промышленных протоколов. В будущем запланировано получение сертификата ФСТЭК России на межсетевой экран типа «Д» (уровня промышленной сети).

🔥 Оставить заявку на тест-драйв продукта

#PTNGFW
@Positive_Technologies

Мутация Exchange. Как мы аномалии в Outlook-страницах ловили 😮

В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге:

• Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов.

• Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники.

• Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване.

• Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года.

📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании.

#TI #IR #Malware
@ptescalator

👽 На ПМЭФ-2025 пройдет международная кибербитва Standoff в специальном формате

На три дня легендарное киберсражение превратится в полноценные учения для синих команд — киберзащитников. В них примут участие очно и онлайн сотни специалистов из 21 страны — Египта, Индии, Индонезии, Китая, Омана и других.

Они будут расследовать атаки с предыдущих битв на киберполигоне, воссоздающем IT-инфраструктуру логистической и нефтегазовой отраслей (с реальными системами SCADA и ПЛК).

💪 Участники посетят брифинг с экспертами Positive Technologies, смогут ближе познакомиться с российской индустрией кибербезопасности и испытать на практике наши продукты: MaxPatrol SIEM, PT Application Firewall, PT Sandbox, PT NAD, PT ISIM.

«Угрозы в цифровом пространстве не знают границ, и противостоять им нужно сообща. Мы продолжаем активно развивать международное сотрудничество, обмениваться экспертизой и открывать российскую индустрию ИБ миру. На ПМЭФ участники киберучений смогут не только усовершенствовать свои навыки защиты, но и попробовать самые передовые решения в сфере кибербезопасности», — отметил Алексей Новиков, управляющий директор Positive Technologies.

Полученный практический опыт команды смогут использовать для защиты своих компаний по всему миру.

👀 Увидеть макеты отраслей виртуального Государства F можно будет на стенде Positive Technologies с 18 по 20 июня (площадка «Территории инноваций»).

#Standoff
@Positive_Technologies

ЦИПР смотрели? Мы защитили ☕️

Точнее, остановили все попытки атак на веб-ресурсы конференции совместно с партнером Servicepipe.

Защита сайтов форума имела особое значение: через них регистрировались первые лица регионов и топ-менеджеры крупных компаний. Внедрение комплексной защиты прошло в сжатые сроки — в течение двух недель.

PT Application Firewall и Servicepipe Cybert обеспечили результативную защиту веб-ресурсов ЦИПР от эксплуатации уязвимостей и угроз ботового трафика, а также помогли предотвратить утечки данных более 10 тысяч участников конференции.

«Необходимо было обеспечить результативную безопасность ресурсов, не блокируя легитимный трафик, включая обращения из других стран, запросы крупных корпоративных клиентов. При этом защита никак не повлияла на время отклика веб-ресурса на запросы пользователей и осталась незаметной для посетителей сайтов конференции и премии», — отметил Алексей Антонов, директор по развитию бизнеса безопасной разработки Positive Technologies.

Все попытки автоматизированного сканирования веб-ресурсов, поиска слабых мест и уязвимостей были заблокированы. В итоге на форум не было совершено ни одной успешной атаки.

Подробности — в нашем материале.

#PTAF
@Positive_Technologies

🪲 Продолжаем сагу о том, как устроены антивирусы

Защитные решения — это синергия нескольких продуктов, но за каждым из них — множество инструментов и технологий, и у всех свои задачи по обнаружению и блокировке угроз.

В прошлой статье наши коллеги из PT Expert Security Center разобрали антивирусные решения по компонентам и рассказали, на каких движках те могут работать. Во второй части вы узнаете, почему вредоносы не пройдут и какими способами можно узнать их из тысячи (если вы антивирус, конечно).

В статье эксперты подробно рассказали о методах:

👾 Статический анализ — когда у антивируса есть база сигнатур и хешей и он ищет что-то похожее в структуре, библиотеках и коде полученных файлов, не запуская их.

👾 Динамический анализ — когда файл запускается, чтобы по его поведению стало ясно, заражен он ВПО или нет.

👾 Анализ в эмуляторе — тут предполагаемые вирусы изолируют и создают для них ловушки — например, фальшивые файловые системы, чтобы они начали проявлять активность.

👾 Эвристический анализ — выявляет вирусы по их поведению в файлах. Для этого отслеживаются характерные признаки подозрительной активности, а специальные алгоритмы исследуют код в поисках потенциально опасных фрагментов.

👾 И наконец, анализ сетевого трафика — он позволяет отслеживать сетевую активность, чтобы обнаружить вредоносные соединения и подозрительное поведение программ.

Читайте материал на Anti-Malware.ru, чтобы разобраться во всем детально и понять, в каких случаях эти методы работают, а в каких нет.

#PositiveЭксперты
@Positive_Technologies

👽 Взлом крупных финансовых компаний — это не только цель хакеров, но и челлендж для редтимеров из PT SWARM

Как ребята готовились и проводили атаки при помощи социальной инженерии, что из этого вышло и чем помогло клиентам, подробно рассказал в своей статье для Positive Research Константин Полишин, руководитель группы Red Team SE отдела тестирования на проникновение Positive Technologies.

Вы удивитесь, как много можно узнать о компании, применяя лишь методы пассивной разведки. Например, используемый стек технологий легко находится в вакансиях для айтишников и резюме сотрудников. А корпоративные адреса — в публичных утечках данных и логах инфостилеров. А уж если искать информацию активно — можно собрать из разных источников целые досье на предполагаемых жертв.

🎣 Дальше остается тщательно подобрать фокус-группу, разработать фишинговый сценарий и раз за разом забрасывать удочку, пока не сработает. Для этого редтимеры (как и предполагаемые злоумышленники) тщательно изучают содержимое почтовых ящиков, ключевые слова в письмах, корпоративный стиль общения, внутреннюю жизнь и процессы в компании.

👽👽 Хотите посмотреть на атаку изнутри в мельчайших деталях? Читайте крутое журналистское расследование новый материал в нашем медиа.

#PositiveResearch
@Positive_Technologies