👾 Вредоносы еще не В С Ё
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
🎥 Ключевые выводы исследования (данные по всему миру):
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
🛡 О том, как компании защищаются от вредоносов в сетевом и почтовом трафике, вы сможете узнать на NetCase Day уже 16 сентября.
#PTSandbox
@Positive_Technologies
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
«В ближайшие пару лет использование ВПО сохранит свое лидерство в методах атакующих, поскольку с помощью вредоносов можно автоматизировать большинство этапов атаки. Особенно актуальными останутся программы-вымогатели, шпионское ПО и трояны удаленного доступа — как наиболее эффективные. При этом атаки будут более скрытными, персонализированными и технологичными, с акцентом на сбор конфиденциальной информации, манипуляцию сессиями и обход систем обнаружения», — отметил Федор Чунижеков, руководитель исследовательской группы Positive Technologies.
#PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤10👏8💯2😁1🤨1
Forwarded from ESCalator
Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.
👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.
#TI #IR #APT #Malware
@ptescalator
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
#TI #IR #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍10👌6❤3😱1🤨1
Что для вас важно в NGFW? «Нормальный IPS, который не отъедает 80% аппаратных ресурсов», — ответит инженер по сетевой безопасности.
Что ж, вызов принят!Дорогой дневник дорогие сетевики, наш коллега Алексей Егоров, главный архитектор проектов, написал отличную статью на Хабр, в которой подробно рассказывает, как устроена система предотвращения вторжений (IPS) в нашем PT NGFW.
Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.
Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа(но это сведет весь эффект от работы NGFW к нулю) или тонкая настройка IPS.
В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».
👀 Больше подробностей — в материале на Хабре.
#PTNGFW
@Positive_Technologies
Что ж, вызов принят!
Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.
Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа
В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».
Например, в PT NGFW трафик проверяется всеми сигнатурами вне зависимости от того, какой именно набор сигнатур подключен к правилу. При этом действия с трафиком и отображение событий выполняются только по сигнатурам, которые помещены в набор. Эта логика удобна для администраторов, потому что им не приходится волноваться насчет утилизации аппаратных ресурсов межсетевого экрана при формировании набора сигнатур.
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥18❤11👍7🔥4🤨2
А о ключевых трендах в самом управлении уязвимостями рассказывает в статье для Positive Research Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.
Скорее открывайте и читайте:
Подробности ищите на сайте нашего медиа.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥5👍4
В обновлениях компания Apple устранила уязвимость PT-2025-34177 (CVE-2025-43300), которая была обнаружена во фреймворке ImageIO. Он позволяет приложениям считывать и записывать файлы изображений в большинстве форматов, а также дает доступ к метаданным изображения.
🍏 Apple уточнила, что обработка файла вредоносного изображения может привести к повреждению памяти.
Вендор сообщил, что уязвимость была устранена за счет улучшения проверки границ памяти в версиях iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, MacOS Sequoia 15.6.1, MacOS Sonoma 14.7.8, MacOS Ventura 13.7.8.
«Такие уязвимости потенциально могут приводить к сбоям, повреждению данных или даже удаленному выполнению кода. Выполнив произвольный код, злоумышленник потенциально может повысить права в системе, получить данные с устройства и зашифровать его. Кроме того, атакующий мог бы использовать устройство как точку входа для дальнейшего развития атаки на инфраструктуру компании», — уточняет Александр Леонов, ведущий эксперт PT Expert Security Center.
Под угрозой — iPhone XS и более поздние модели, iPad разных поколений, а также устройства на macOS.
«Подобные уязвимости являются основой для zero- или 1-click-атак, когда не требуется вообще никаких действий пользователя (картинка открывается автоматически при получении сообщения в мессенджере) или необходимо минимальное простое действие (например, открыть картинку). Конкретно эта уязвимость — в системном компоненте, и в теории злоумышленник может проэксплуатировать ее через любое приложение, в котором этот компонент используется», — отмечает Николай Анисеня, руководитель разработки PT Maze в Positive Technologies.
Похожие недостатки безопасности могут встречаться и в приложениях, которые обновляются чаще, чем системные компоненты. В таких случаях необходима защита от реверс-инжиниринга — обязательного этапа любой атаки на мобильное приложение. Это позволит выиграть время для самостоятельного обнаружения и исправления уязвимости, а также повысить стоимость атаки для злоумышленника и, как итог, спасти пользователей от взлома. Защитить приложения можно с помощью PT Maze.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤14🤩8😱2
Дефект безопасности PT-2025-28938 (BDU:2025-08181) содержался сразу в двух линейках UserGate NGFW — в версиях до 6.1.9.12193R и 7.3.1.153682R включительно. Он возник из-за недостаточной фильтрации данных на служебной странице блокировки, на которую перенаправляются пользователи после отказа в доступе к тому или иному URL-адресу.
Успешная эксплуатация уязвимости позволяла нарушить работу UserGate NGFW, похитить персональные данные сотрудников либо развить атаку в локальной сети.
«Совершив успешную атаку, злоумышленник гипотетически смог бы отправлять запросы от имени жертвы к внутренним сервисам компании, таким как корпоративная почта и база знаний. Это могло бы обернуться утечкой информации, содержащей коммерческую тайну, — рассказал Владимир Власов, старший специалист отдела исследований безопасности банковских систем Positive Technologies. — Если бы нарушитель сумел закрепиться во внутренней сети организации, под угрозой могли бы оказаться ее бизнес-процессы».
«Positive Technologies уведомила нас об уязвимости, и специалисты центра мониторинга и реагирования UserGate uFactor оперативно выпустили обновление и произвели оповещение клиентов компании. При этом, учитывая особенности найденной уязвимости и трудность ее реализации, вероятность эксплуатации вне лабораторных условий равна нулю. Это подтверждается информацией, размещенной на ресурсе БДУ ФСТЭК. Согласно БДУ ФСТЭК уязвимость была сразу устранена, фактов ее использования не обнаружено», — рассказали в пресс-службе UserGate.
Для устранения ошибки необходимо загрузить исправленную версию UserGate NGFW (начиная с 6.1.9.12198R или 7.3.2.183745R). Если обновить ПО невозможно, наш эксперт рекомендует отключить страницу блокировки или вывести ее на отдельный домен, не связанный с основным.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👏9❤4😁3👌2
👾 Освойте полный цикл управления уязвимостями с экспертами кибербезопасности за 4 недели
Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Практикум «Управление уязвимостями: от теории к практике» стартует 8 сентября, она станет вашим ключом к организованной и эффективной стратегии управления уязвимостями.
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями. Практикум можно проходить не только индивидуально, но и командой!
👉 Больше подробностей — на странице практикума.
#PositiveEducation
@Positive_Technologies
Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Практикум «Управление уязвимостями: от теории к практике» стартует 8 сентября, она станет вашим ключом к организованной и эффективной стратегии управления уязвимостями.
Чему вы научитесь:
• Строить систему управления уязвимостями.
• Проводить инвентаризацию активов и оценивать риски.
• Настраивать MaxPatrol VM: сканеры, теги, фильтры, автоматизация.
• Приоритизировать и устранять уязвимости системно.
• Анализировать отчеты и выделять критические уязвимости.
• Обеспечивать слаженную работу ИТ и ИБ.
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями. Практикум можно проходить не только индивидуально, но и командой!
👉 Больше подробностей — на странице практикума.
#PositiveEducation
@Positive_Technologies
👍15🔥9❤8
Наше исследование актуальных киберугроз за первое полугодие 2025 года показало, что использование вредоносного ПО — по-прежнему самый популярный метод успешных атак (63% случаев). При этом злоумышленники в два раза чаще, чем год назад, распространяют ВПО через сайты. По данным наших аналитиков, это связано с ростом популярности схем, нацеленных на разработчиков.
Киберпреступники размещают на популярных платформах GitHub и GitLab фиктивные проекты. А потом обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Например, в России, Бразилии и Турции от такой вредоносной кампании пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии обнаружено не менее 233 жертв кампании группировки Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.
Также с начала года злоумышленники активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга (создания вредоносных пакетов с названиями, похожими на легальные), рассчитывая на ошибки и опечатки пользователей при вводе этих названий.
Специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.
«Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще», — поделилась Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.
Эксперты рекомендуют вендорам, производящим ПО, выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. А именно — внедрить инструменты, позволяющие выявлять уязвимости в коде и тестировать безопасность приложений, а также решения для динамического анализа кода и анализаторы пакетов. Ну и конечно, нужно своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👏14🔥8❤5❤🔥5
🎦 Эксперт PT SWARM Никита Петров выявил критически опасные уязвимости в TrueConf Server
Эксплуатация цепочки обнаруженных недостатков (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) могла привести к полной компрометации серверов видео-конференц-связи.
На момент публикации в сети, по данным мониторинга актуальных угроз, проводимого экспертами Positive Technologies, насчитывалось более 7000 серверов только в России. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.
🖥 Уязвимы версии TrueConf Server до 5.5.1, 5.4.6, 5.3.7 на любых ОС. Атаке могли быть подвержены серверы, которые подключены к публичной сети.
Нарушитель, скомпрометировавший систему, мог бы получить возможность развития атаки внутри корпоративной сети организации. Кроме того, он мог бы провести атаки на пользователей этой ВКС (в фокусе внимания — бизнес и государственные организации).
Ранее эксперты Positive Technologies помогли устранить уязвимость типа RCE в системе ВКС Vinteo. В случае успешной эксплуатации недостатка безопасности потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контроль над ним.
❗️ Для устранения недостатка необходимо обновить TrueConf до версий 5.5.1.10180, 5.4.6.10010, 5.3.7.10043 и выше.
Исследователь также рекомендует использовать продукты класса vulnerability management, например MaxPatrol VM. Кроме того, эти уязвимости можно обнаружить с помощью правил MaxPatrol SIEM, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows. Продвинутые продукты классов NTA/NDR, например, PT Network Attack Discovery (PT NAD) детектируют попытки эксплуатации данной уязвимости, а продукты класса NGFW, такие как PT NGFW, и блокируют ее.
#PTSWARM
@Positive_Technologies
Эксплуатация цепочки обнаруженных недостатков (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) могла привести к полной компрометации серверов видео-конференц-связи.
На момент публикации в сети, по данным мониторинга актуальных угроз, проводимого экспертами Positive Technologies, насчитывалось более 7000 серверов только в России. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.
TrueConf — российский разработчик решений для совместной работы. Ключевой продукт компании, TrueConf Server, используется как мессенджер и ВКС-система для проведения видеоконференций в формате 4K Ultra HD, поддерживает до 1500 участников в одной сессии и не ограничивает число параллельных конференций.
🖥 Уязвимы версии TrueConf Server до 5.5.1, 5.4.6, 5.3.7 на любых ОС. Атаке могли быть подвержены серверы, которые подключены к публичной сети.
Нарушитель, скомпрометировавший систему, мог бы получить возможность развития атаки внутри корпоративной сети организации. Кроме того, он мог бы провести атаки на пользователей этой ВКС (в фокусе внимания — бизнес и государственные организации).
«Атака на эту систему открывает злоумышленнику дорогу во внутреннюю сеть организации, то есть служит вектором первоначального доступа, если система расположена на внешнем периметре. Далее нарушитель может получить максимальные привилегии во внутренней сети и провести классическую атаку, связанную, например, с использованием шифровальщика и последующим вымогательством. Если нарушитель просто выведет ВКС из строя, пользователи не смогут коммуницировать не только внутри компании, но и с внешними контрагентами», — отметил Никита Петров.
«Для нас безопасность — наивысший приоритет. Обновления TrueConf Server доступны для скачивания всем компаниям. Мы гордимся тем, что в кратчайшие сроки устраняем угрозы для серверов совместно с ведущими экспертами в сфере информационной безопасности, такими как Positive Technologies», — дополнил Дмитрий Одинцов, директор по развитию TrueConf.
Ранее эксперты Positive Technologies помогли устранить уязвимость типа RCE в системе ВКС Vinteo. В случае успешной эксплуатации недостатка безопасности потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контроль над ним.
❗️ Для устранения недостатка необходимо обновить TrueConf до версий 5.5.1.10180, 5.4.6.10010, 5.3.7.10043 и выше.
Исследователь также рекомендует использовать продукты класса vulnerability management, например MaxPatrol VM. Кроме того, эти уязвимости можно обнаружить с помощью правил MaxPatrol SIEM, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows. Продвинутые продукты классов NTA/NDR, например, PT Network Attack Discovery (PT NAD) детектируют попытки эксплуатации данной уязвимости, а продукты класса NGFW, такие как PT NGFW, и блокируют ее.
#PTSWARM
@Positive_Technologies
🔥26👏7👍6😁2❤1
Media is too big
VIEW IN TELEGRAM
Как за три месяца Rambler&Co и Positive Technologies сделали кибербезопасность измеримой 😎
Rambler&Co — крупнейший медиахолдинг России по объему аудитории цифровых ресурсов (40% пользователей Рунета ежемесячно). Кибербезопасность для компании — ключевой компонент стратегического планирования, так как она связана с защитой не только важных активов, но и репутации.
🤝 За три месяца в партнерстве с Positive Technologies холдинг реализовал проект результативной кибербезопасности (РКБ) и начал проверять защищенность с помощью кибериспытаний на платформе Standoff 365.
О ценности РКБ для бизнеса и ее отличиях от классических подходов в видео рассказали Евгений Руденко, директор по кибербезопасности Rambler&Co, Константин Ермаков, руководитель направления проектной безопасности Rambler&Co, и Алексей Трипкош, директор по результативной кибербезопасности Positive Technologies.
👀 Больше подробностей — в материале на нашем сайте.
@Positive_Technologies
Rambler&Co — крупнейший медиахолдинг России по объему аудитории цифровых ресурсов (40% пользователей Рунета ежемесячно). Кибербезопасность для компании — ключевой компонент стратегического планирования, так как она связана с защитой не только важных активов, но и репутации.
🤝 За три месяца в партнерстве с Positive Technologies холдинг реализовал проект результативной кибербезопасности (РКБ) и начал проверять защищенность с помощью кибериспытаний на платформе Standoff 365.
О ценности РКБ для бизнеса и ее отличиях от классических подходов в видео рассказали Евгений Руденко, директор по кибербезопасности Rambler&Co, Константин Ермаков, руководитель направления проектной безопасности Rambler&Co, и Алексей Трипкош, директор по результативной кибербезопасности Positive Technologies.
👀 Больше подробностей — в материале на нашем сайте.
@Positive_Technologies
❤🔥14👍11👏5❤4
Как появился онлайн-полигон Standoff Defend для blue team 👽
С 2016 года мы проводим кибербитву Standoff — уникальное событие, где красные команды атакуют реалистичные инфраструктуры (банки, АЭС, нефтепровод и другие) и пытаются реализовать критические или недопустимые события, а команды защитников учатся обнаруживать и отражать сложные атаки.
Для blue team участие в Standoff — это интенсивный, почти экстремальный опыт. С одной стороны, он дарит невероятные эмоции и уникальные навыки, с другой — требует полной концентрации и отрыва от привычной работы👨💻
После очередной битвы мы задумались: а что, если создать инструмент, доступный чаще, чем два раза в год, и при этом более удобный для синих команд? Тем более у нас уже был онлайн-полигон для red team, доступный в любое время. Если есть онлайн‑полигон для «красных», значит, должен быть и для «синих».
🏃♀️➡️ С этого и начался путь создания Standoff Defend — инструмента, который помогает командам SOC становиться сильнее и расширять свои знания при поддержке ментора. Подробнее о том, как все начиналось и к чему мы пришли, в нашем блоге на Хабре рассказала Полина Спиридонова, product owner Standoff Cyberbones и Standoff Defend.
В статье вы узнаете, как на онлайн-полигоне с помощью модуля Archer запускаются регулируемые атаки, какие гипотезы мы проверяли в процессе разработки, как справлялись с вызовами и — главное — как убедились, что продукт «зашел» клиентам по всем пунктам.
💪 А после прочтения заходите на Standoff Defend и пробуйте свои силы: расследование одной APT-атаки — в открытом доступе для всех, кто хочет прокачать свои навыки в области defensive security.
#StandoffDefend
@Positive_Technologies
С 2016 года мы проводим кибербитву Standoff — уникальное событие, где красные команды атакуют реалистичные инфраструктуры (банки, АЭС, нефтепровод и другие) и пытаются реализовать критические или недопустимые события, а команды защитников учатся обнаруживать и отражать сложные атаки.
Для blue team участие в Standoff — это интенсивный, почти экстремальный опыт. С одной стороны, он дарит невероятные эмоции и уникальные навыки, с другой — требует полной концентрации и отрыва от привычной работы
После очередной битвы мы задумались: а что, если создать инструмент, доступный чаще, чем два раза в год, и при этом более удобный для синих команд? Тем более у нас уже был онлайн-полигон для red team, доступный в любое время. Если есть онлайн‑полигон для «красных», значит, должен быть и для «синих».
🏃♀️➡️ С этого и начался путь создания Standoff Defend — инструмента, который помогает командам SOC становиться сильнее и расширять свои знания при поддержке ментора. Подробнее о том, как все начиналось и к чему мы пришли, в нашем блоге на Хабре рассказала Полина Спиридонова, product owner Standoff Cyberbones и Standoff Defend.
В статье вы узнаете, как на онлайн-полигоне с помощью модуля Archer запускаются регулируемые атаки, какие гипотезы мы проверяли в процессе разработки, как справлялись с вызовами и — главное — как убедились, что продукт «зашел» клиентам по всем пунктам.
💪 А после прочтения заходите на Standoff Defend и пробуйте свои силы: расследование одной APT-атаки — в открытом доступе для всех, кто хочет прокачать свои навыки в области defensive security.
#StandoffDefend
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥7👍3
Кто в этот раз у нас в «Темной комнате»? Ого, да это же настоящий топовый багхантер со Standoff Bug Bounty.
Пользуясь тем, что интервью в этой рубрике Positive Research анонимные, выспросили у него все важные подробности и задали парочку провокационных вопросов. Вот несколько цитат на затравку.
🔴 Как найти дорогую уязвимость в скоупе, где уже «все найдено»
🔴 Почему белые хакеры не продают баги на черном рынке
🔴 Что хотелось бы исправить во взаимодействии с вендорами
🔜 А весь материал целиком читайте по ссылке.
#PositiveResearch
@Positive_Technologies
Пользуясь тем, что интервью в этой рубрике Positive Research анонимные, выспросили у него все важные подробности и задали парочку провокационных вопросов. Вот несколько цитат на затравку.
Во время очередного созвона мне стало скучно, и я решил зайти в программу, которую ранее не просматривал. Сразу же нашел там простейший IDOR, который позволял выкачивать множество данных о клиентах. При этом баг не был дубликатом, хотя программу уже просматривали опытные исследователи (это к вопросу о том, что «все уже нашли»). Я сдал отчет и заработал свыше 700 тыс. руб. всего за пару минут.
Не продал бы ни в коем случае , потому что спокойствие дороже любых денег. Так что не интересовался, осуждаю и вообще представления не имею :) Наше дело — ломать, чтобы сервисы становились безопасными.
На данный момент багхантеры совершенно не защищены: при оценке критичности багов им приходится полагаться на честность вендора, реальность скриншотов и «внутренние метрики компании». При этом суммы вознаграждений зачастую оказываются совсем небольшими. На рынке мало программ, которым я полностью доверяю и с оценкой которых безоговорочно соглашаюсь. Мне все еще кажется диким, когда вендор говорит, что заплатит после устранения уязвимости. При этом непонятно, в какой момент это произойдет… Такие инвестиции лично меня не привлекают.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍7🔥7
Эксперты Positive Education обновили и расширили созданную ими схему карьерного развития — первый и единственный в отрасли ресурс, описывающий актуальные профессиональные роли и пути построения карьеры в ИБ в России. Студенты и молодые специалисты легко смогут ответить на вопрос «Кем вы хотите быть через пять лет?» и построить карьерный маршрут в индустрии кибербезопасности с учетом трендов.
Для этого пришлось проделать большую работу: собрать и проанализировать несколько сотен вакансий на рынке труда и интервью с экспертами по кибербезопасности из крупных компаний.
«Ежегодно тысячи начинающих специалистов пытаются понять, к какой должности стремиться, какой план развития наиболее перспективен. Мы в Positive Education видим, как им бывает сложно выбрать путь, — комментирует Дмитрий Федоров, руководитель проектов Positive Technologies по взаимодействию с вузами. — Наша схема — это общедоступный навигатор, который укажет движение к перспективным ролям и в целом сформирует представление о том, как сейчас работают и растут специалисты по кибербезопасности».
Как показывает опыт наших экспертов, переходы из одного направления в другое — стандартная процедура в сфере кибербезопасности. С появлением новых технологий формируются узкие специализации и перспективные роли, например роль специалиста по анализу защищенности Web 3.0 и ML-инженера в ИБ. Недавно возникшие роли превращаются в карьерные треки, пересекаются с другими ролями, образуя профессии-гибриды.
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥15❤14👌2💯2