🔍 В пятом поколении PT ISIM появились новые инструменты для asset management — ISIM Endpoint и сетевой сканер

Инвентаризация хостов как часть процесса asset management — необходимый элемент для построения качественных процессов ИБ в технологической сети. Специалисты по безопасности должны контролировать конфигурацию наиболее важных активов, таких как SCADA-серверы, автоматизированные рабочие места (АРМ) инженеров и операторов.

Установка нового ПО, изменение прав пользователей, подключение сменных носителей могут привести к возникновению брешей, которыми воспользуются злоумышленники для атаки.

🎙 На вебинаре 9 сентября в 14:00 наши эксперты расскажут, как работают ISIM Endpoint и сетевой сканер и в каких ситуациях их лучше использовать.

Вы узнаете, какие данные о конфигурации оборудования в технологической сети они смогут собрать, и о других новинках, которые появились или появятся в PT ISIM в 2025 году.

Регистрируйтесь на вебинар заранее на нашем сайте.

#PTISIM
@Positive_Technologies

📕 Мы разработали и опубликовали OT Cybersecurity Framework — методическое руководство по построению комплексных систем кибербезопасности для промышленной инфраструктуры

Увеличение числа кибератак на промышленность (рост во втором квартале 2025 года — 11%) и большое количество требований регуляторов к защите АСУ ТП (ФЗ-187, ФЗ-1912, приказы ФСТЭК России № 31 и № 239) диктуют необходимость тщательнее подходить к вопросу безопасности промышленных систем.

Фреймворк поможет предприятиям решить задачи по построению надежной защиты. В его основе — более 15 лет опыта в проектах компании и ее партнеров в различных отраслях промышленности с использованием технологий и продуктов Positive Technologies. В разработке участвовали сотрудники практически всех подразделений компании (центра компетенций, департаментов консалтинга, разработки и других) и эксперты организаций-партнеров.

Методическое руководство состоит из пяти разделов с конкретными инструкциями для специалистов:

1️⃣ введение с анализом угроз и особенностей OT;

2️⃣ руководство по архитектурному дизайну решений на базе PT ISIM, PT NGFW и других продуктов Positive Technologies;

3️⃣ руководство по обеспечению соответствия требованиям международных стандартов и национальной нормативной базы;

4️⃣ методика построения процессов управления безопасностью;

5️⃣ практические рекомендации по реализации проектов.

Первая версия фреймворка включает три раздела из пяти предусмотренных. Еще два появятся в последующих выпусках.

«Построение систем промышленной кибербезопасности — это сложный процесс, где любая ошибка может привести к большим убыткам и нарушению непрерывности бизнеса. Без понятных и готовых инструкций растут и риски, и сроки внедрения средств защиты, — подчеркивает Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. — Мы уже видим интерес к нашему фреймворку, в том числе и со стороны зарубежных компаний. Это подтверждает, что рынку промышленной безопасности действительно необходимо такое практическое руководство».

Фреймворк помогает компаниям эффективно проектировать решения для кибербезопасности и оценивать их соответствие положениям стандартов и требованиям регуляторов.

💡 Планируем регулярно дополнять OT Cybersecurity Framework новыми разделами и перерабатывать рекомендации, чтобы они соответствовали актуальным требованиям и технологическим изменениям в отрасли.

@Positive_Technologies

🙂 Где обсудить высшие достижения кибербезопасности? Конечно, на Positive Security Day!

Наша ежегодная осенняя конференция пройдет 8 октября во Дворце Ирины Винер в Лужниках в офлайн и онлайн-формате.

Как и всегда, будем говорить о своих продуктах и экспертизе, анонсировать новинки, делиться практиками и идеями, которые определяют будущее всей индустрии.

Среди спикеров — топ-менеджеры и технические визионеры компании, руководители команд разработки, эксперты по кибербезопасности и расследованию инцидентов, лучшие в своей области.

Что планируем

⭐️ Подробнее рассказать о технологической стратегии компании, ключевых направлениях развития продуктового портфеля, наших приоритетах и подходах, а также анонсировать новое предложение для рынка.

⭐️ Презентовать наши новые продукты и технологии.

⭐️ Показать, как изменились за лето год существующие продукты и решения, поделиться важными кейсами из практики.

⭐️ Провести нетворкинг с продуктовыми командами.

⭐️ Познакомить вас с ведущими игроками рынка ИТ и ИБ, которые вместе с нами строят результативную кибербезопасность.

Подайте заявку на очное участие (обязательно получив подтверждение от организаторов) либо присоединяйтесь к онлайн трансляции.

Больше новостей о предстоящем событии (и с него) — в канале @positivesecurityday. Подпишитесь, чтобы ничего не пропустить.

#PositiveSecurityDay
@Positive_Technologies

Такого вы еще точно не видели! Пятидневный онлайн-марафон «PT NGFW: исповедь инженеров»

🗓 С 15 по 19 сентября в 11:00 команда нашего межсетевого экрана нового поколения будет выходить в прямой эфир, чтобы рассказать, как работает PT NGFW и почему все в нем устроено именно так.

Разбавим теоретические выкладки разборами реальных кейсов и живыми диалогами, обменяемся опытом и ответим на ваши вопросы, а также дадим практические советы, которые можно тут же применить в работе.

🎁 Приятный бонус — возможность выиграть маленький, но свой PT NGFW*, разгадывая головоломки от экспертов.

Регистрируйтесь на марафон и не забывайте подключаться ровно в 11:00!

* Правила проведения конкурса.

#PTNGFW
@Positive_Technologies

🔍 Мы добавили в PT Sandbox новую ML-модель, которая выявляет по следам в сети неизвестное и скрытое ВПО, необнаруживаемое другими методами

Наши специалисты разработали и обучили ML-модель, отличающую чистый трафик от зловредного путем поиска особых признаков поведения ВПО. Благодаря этому возможно обнаружить неизвестные вредоносы до того, как на них будет написана сигнатура.

🔥 Кроме того, мы обогатили экспертизу в PT Sandbox, в которой за последние полгода появилось более 100 новых поведенческих сигнатур и 900 уникальных сетевых правил, позволяющих песочнице фиксировать любые подозрительные действия в трафике. Всего встроенная в продукт база насчитывает свыше 16 500 поведенческих и сетевых правил для своевременного обнаружения любых угроз.

«Мы непрерывно совершенствуем механизмы обнаружения и развиваем встроенную в PT Sandbox экспертизу по поиску ВПО и защите от него. Одним из главных нововведений в этом году стало внедрение в песочницу еще одной ML-модели. Новый метод анализа на основе машинного обучения помогает еще качественнее определять ВПО и защищать инфраструктуру от угроз нулевого дня», — комментирует Шаих Галиев, руководитель отдела экспертизы PT Sandbox антивирусной лаборатории PT ESC.

😍 Что еще новенького в нашей песочнице

1️⃣ Проверка QR-кодов в теле письма и в прикрепленных к нему PDF-документах: PT Sandbox может извлекать из них ссылки и анализировать их на потенциальную опасность.

2️⃣ Возможность кастомизации YARA-правил: раньше их разрабатывал исключительно PT ESC, а сейчас пользователи могут писать и добавлять в PT Sandbox собственные правила, максимально учитывающие специфику защиты их компаний.

3️⃣ Поддержка S3-совместимых облачных и локальных хранилищ файлов для непрерывного отслеживания безопасности популярных отечественных «облаков» (Cloud․ru, Yandex Cloud и VK Cloud).

4️⃣ Ручной поведенческий анализ отдельных файлов в веб-интерфейсе PT Sandbox для выполнения с ними любых необходимых действий.

Больше о том, как работает обновленный PT Sandbox, расскажем на примере реальных кейсов 16 сентября во время онлайн-митапа NetCase Day, присоединяйтесь!

#PTSandbox
@Positive_Technologies

🐟 А что попадается в ваших сетях: золотые рыбки мечты или аномалии? 👾

Если не получается определиться с уловом самостоятельно, доверьтесь PT NAD — системе поведенческого анализа трафика, которая умеет искать угрозы в инфраструктуре компаний.

🔍 Как она это делает на практике, расскажет наша команда, а также эксперты из HeadHunter, K2 Cloud и «Программного продукта» 16 сентября в 15:00 на онлайн-митапе NetCase Day.

Никакой теории, только реальные кейсы использования PT NAD — отдельно и в синергии с песочницей PT Sandbox (о преимуществах такого объединения тоже обязательно расскажем!).

👉 Регистрируйтесь и присоединяйтесь к митапу уже в следующий вторник.

#PTSandbox #PTNAD
@Positive_Technologies

4️⃣ Старший специалист PT ESC Максим Суслов нашел четыре опасные уязвимости в почтовом сервере CommuniGate Pro

CommuniGate Pro — это отечественная платформа для унифицированных коммуникаций, разрабатываемая компанией «СБК». Она включает серверные и клиентские компоненты, обеспечивающие безопасную работу почты, мессенджера, видеосвязи, контакт-центров и интеграцию с популярными клиентами, такими как Microsoft Outlook и Thunderbird. Решение используется крупными государственными организациями, корпорациями и телеком-операторами. По данным компании «СБК», CommuniGate Pro развернута в 53 странах и обслуживает свыше 135 млн учетных записей.

Уязвимости обнаружены в версии 6.5.1 и более ранних версиях предыдущего правообладателя.

1️⃣ Наиболее серьезный из найденных недостатков безопасности — PT-2025-21649 (BDU:2025-02495 — имеет критический уровень опасности (9,3 балла по шкале CVSS 4.0). Ошибка заключается в потенциальной возможности выполнить вредоносный код и получить полный контроль над системой.

2️⃣ 3️⃣ Следующим двум уязвимостям — PT-2025-20235 (BDU:2025-01798) и PT-2025-30037 (BDU:2025-08669) — присвоен высокий уровень опасности (8,7 балла по шкале CVSS 4.0). Они связаны с отсутствием корректной проверки прав в одном из методов при отправке почты. В случае успешной эксплуатации злоумышленник мог бы подделывать внутренние запросы системы и рассылать письма от имени любого пользователя.

4️⃣ Последний устраненный недостаток PT-2025-20237 (BDU:2025-01820), набравший 6,9 балла по шкале CVSS 4.0, теоретически давал атакующему возможность получить доступ к любым файлам на сервере, включая личные письма пользователей.

«До устранения эти пробелы в защите потенциально позволяли захватить полный контроль над почтовым сервером, — отметил Максим Суслов. — Если бы атакующим удалось этим воспользоваться, могли бы возникнуть инциденты, связанные с масштабными утечками конфиденциальной информации и компрометацией части корпоративной IT-инфраструктуры».

Мы своевременно сообщили вендору о найденных пробелах в безопасности, и он выпустил обновление. Чтобы не рисковать, обновите ПО до версии не ниже 6.5.1hotfix1, доступной для свободного скачивания на сайте компании-производителя. Если такой возможности нет, наши эксперты рекомендуют ограничить доступ к CommuniGate Pro из недоверенных сетей.

👾 Больше об этих и других актуальных уязвимостях с рекомендациями вендоров по их устранению мы рассказываем на портале dbugs.

#PositiveЭксперты
@Positive_Technologies

📸 Знаете, кто эти ребята на фото? Победители прошлой олимпиады НТО по профилю «Информационная безопасность», которых мы пригласили и привезли на киберфестиваль PHDays в мае.

Уже второй год мы выступаем партнером этих соревнований для школьников 8–11 классов, которые организует НИЯУ «МИФИ». Тайная комната Регистрация на новый этап олимпиады открыта, стартуем уже 15 сентября.
Участвуйте сами (если вы еще учитесь в школе) или приглашайте своих детей, внуков и знакомых.

Решая задания от топовых экспертов по кибербезопасности, можно:

🔴 получить +100 баллов к ЕГЭ и поступить в ведущие вузы России без вступительных испытаний;
🔴 прокачаться в этой теме с нуля, даже если вы пока не знаете, что такое red team и blue team;
🔴 посмотреть изнутри на реальные ситуации из мира ИБ и понять, как с ними справляться;
🔴 прикоснуться к профессии будущего и развить свое аналитическое мышление.

«В условиях нехватки квалифицированных специалистов по кибербезопасности важно использовать любые возможности для поиска талантов. Поэтому считаю важным поддерживать такие активности. Совместно с коллегами из «МИФИ» и партнерами соревнований мы уже не первый год вкладываем свои время и силы в их подготовку и проведение. И, кажется, не зря. Этим летом ребята, которые уже не первый год участвуют в олимпиаде НТО, взяли семь из восьми медалей на международной олимпиаде по кибербезопасности», — говорит Иван Булавин, архитектор олимпиады и директор по продуктам Standoff.

Читайте подробнее об олимпиаде НТО и становитесь теми, кто уже завтра будет обеспечивать цифровую безопасность бизнеса, страны и целого мира.

#PositiveEducation
@Positive_Technologies

👾 Популярность вредоносов стремительно растет: во втором квартале 2025 года злоумышленники использовали их в атаках на 26% чаще, чем в предыдущем

Наши эксперты в исследовании актуальных киберугроз объясняют это способностью ВПО быстро проникать в целевые системы, длительное время оставаться незамеченным и обеспечивать киберпреступникам устойчивый контроль над захваченными ресурсами.

😓 Вредоносные тренды

По данным PT ESC, в тройку самых распространенных типов зловредов вошли шифровальщики (вымогатели), программы для удаленного управления и шпионское ПО.

Кроме того, злоумышленники стали в три раза чаще использовать загрузчики, которые помогают скрытно развертывать на финальной стадии многоэтапной атаки другие вредоносные программы: трояны удаленного доступа, инфостилеры и шифровальщики.

Новый загрузчик ModiLoader (DBatLoader) распространялся через фишинговые письма с вложениями, выдаваемыми за официальные банковские документы. На завершающем этапе атаки в систему загружалось шпионское ПО Snake Keylogger, способное перехватывать нажатия клавиш, собирать данные из буфера обмена и сохраненные учетные записи.

Наши исследователи также фиксируют рост на 11% использования в кибератаках легальных программ, которые регулярно пополняют арсенал киберпреступников.

В одной из недавних атак группировки вымогателей Fog исследователи из Symantec обнаружили крайне нетипичный для этих злоумышленников набор инструментов, включавший и легальные программы, и малоизвестные опенсорсные утилиты.

По нашим прогнозам, в ближайшем будущем станет больше сложных атак, комбинирующих несколько видов ВПО, а также точечных и скрытых атак программ-вымогателей, цель которых не столько шифрование данных, сколько их кража и последующее вымогательство. Злоумышленники будут еще активнее использовать легитимные инструменты, облачные сервисы и в целом подход living off the land для маскировки вредоносных действий, что может значительно усложнить обнаружение угроз.

🙂 Как защититься

Вредоносное ПО продолжает эволюционировать, становясь сложнее и опаснее. В таких условиях критически важно внедрять многоуровневую систему безопасности, которая также будет адаптироваться к появляющимся вызовам, в том числе к активности новых вредоносных программ.

Она может включать современные песочницы, такие как PT Sandbox, которые умеют анализировать подозрительные объекты и предотвращать попадание зловредов в контур организации, а также средства глубокого анализа сетевого трафика, например PT Network Attack Discovery (PT NAD), умеющие обнаруживать и подсвечивать для аналитика SOC активность ВПО в трафике.

«В новом релизе PT NAD появились модули для обнаружения аномальных запросов к Telegram API. Это наш ответ на использование вредоносными программами инфраструктуры Telegram в качестве канала управления», — рассказывает Кирилл Шипулин, руководитель экспертизы PT NAD.

Для комплексной защиты от кибератак организациям также следует использовать антивирусы, почтовые шлюзы, межсетевые экраны нового поколения, SIEM-системы и продукты класса WAF.

🔔 Больше о том, как строить результативную кибербезопасность на основе реальных кейсов, расскажем на онлайн-митапе NetCase Day, который состоится 16 сентября в 15:00.

#PositiveЭксперты
@Positive_Technologies

🛡 Новосибирск и Санкт-Петербург, готовы на день окунуться в мир кибербезопасности? Тогда приходите на Positive Tech Day в вашем городе!

Наши эксперты расскажут, как меняется рынок, поделятся информацией об актуальных атаках и угрозах и о том, как продукты Positive Technologies помогают сделать кибербезопасность результативной. Вы сможете задать любые вопросы и продуктивно пообщаться с коллегами.

🔥 Новосибирск

Когда: 18 сентября с 9:30
Где: отель Grand Autograph, ул. Орджоникидзе, 31
Как попасть: заранее зарегистрироваться на сайте

Вас ждут:

• Рассказ об успехах на рынке, новых функциях и планах развития PT NGFW.
• Лекция Алексея Лукацкого о том, как начать предсказывать киберзло и поставить это на поток.
• Подробная информация о наших продуктах и сервисах, помогающих проверить защищенность вашей компании снаружи: пентест и Standoff Bug Bounty, анализ защищенности приложений и PT MAZE.
• Два разговора о важном: как проводить безопасный внутренний автопентест с PT Dephaze и для чего вам переходить на PT Application Firewall PRO.

🔥 Санкт-Петербург

Когда: 25 сентября с 10:00
Где: Loft Hall, Арсенальная набережная, 1
Как попасть: заранее зарегистрироваться на сайте

Вас ждут:

• Два крутых тест-драйва. На одном покажем, как настроить PT NGFW, дадим возможность протестировать устойчивость настроек и пройтись по сложным сетевым сценариям. На втором вы узнаете, как на практике работает PT Boost — решение, помогающее в минимальные сроки вывести киберустойчивость компании на новый уровень. Внимание: на оба тест-драйва требуется отдельная регистрация!
• Самые актуальные обновления PT NAD, MaxPatrol SIEM, PT Sandbox и MaxPatrol EDR.
• История о PT NGFW в Петербурге: любовь, производственная драма, а также самая актуальная информация о продукте.
• Лекция Алексея Лукацкого «Семь когнитивных искажений и их влияние на повседневную деятельность ибэшника».
• Разговор с юристом о том, что вам стоит учесть в работе в ближайшее время: от изменений в антимонопольном законодательстве до нюансов работы с персональными данными.
• Много интересного о хакерах, расследованиях и платформе Standoff, которая помогает оттачивать навыки и командам защиты, и атакующим.

📆 Бронируйте дни в календарях, увидимся на Positive Tech Day!

#PositiveЭксперты
@Positive_Technologies

8️⃣ Microsoft устранила в восьми ОС Windows дефект безопасности , найденный экспертом PT ESC Сергеем Тарасовым

Уязвимость PT-2025-368801 (CVE-2025-54916, BDU:2025-06402) высокого уровня опасности (7,8 балла по шкале CVSS 3.1) была обнаружена в драйвере файловой системы Microsoft и затрагивала ряд ОС, среди которых Windows 10, Windows 11 и Windows Server 2025.

В ходе мониторинга актуальных угроз наши эксперты установили, что потенциально по всему миру уязвимо не менее 1,5 млн устройств с одной только Windows 11 (по данным платформы StatCounter, в июле 2025 года ее использовали 54% клиентов вендора). Большинство из них находятся в США (28%), Китае (13%), Японии (8%), Германии и Южной Корее (по 4%), а также в России (3%).

🥷 Используя недостаток безопасности, для обнаружения которого наш эксперт провел целое расследование, атакующий мог бы похитить учетные данные пользователя и начать продвижение по корпоративной сети, что теоретически могло привести к нарушениям бизнес-процессов, утечке информации и нанесению организации финансового ущерба.

«Для успешной эксплуатации уязвимости нарушителю было бы достаточно запуска жертвой на своем устройстве зловредного виртуального диска. Для этого злоумышленник мог бы направить его по электронной почте, сопроводив убедительным фишинговым письмом. В результате атакующий смог бы удаленно выполнить произвольный код и получить полный контроль над операционной системой для дальнейшего развития атаки», — делится подробностями Сергей Тарасов, руководитель группы анализа уязвимостей, PT ESC.

Мы вовремя уведомили разработчика об угрозе, и он уже выпустил обновление безопасности, которое необходимо установить как можно скорее.

🪲 Больше информации об этой и других актуальных уязвимостях в ПО и оборудовании производителей со всего мира можно найти на нашем портале dbugs.

#PositiveЭксперты
@Positive_Technologies

Как поменялись требования к сертификации средств защиты конечных устройств ✍️

Мы запускаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель MaxPatrol EDR, подробно разберут, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности СОР — систем обнаружения и реагирования.

Наша продуктовая команда и специалисты отдела сертификации вместе с регулятором участвовали в рабочей группе по формированию требований к СОР. Сейчас эти требования активно разрабатываются ФСТЭК России с привлечением производителей СЗИ.

❣️ Один из пунктов сертификации, о котором мы расскажем сегодня, — это методы обнаружения кибератак на узлах.

Изначально перед ФСТЭК стояла сложная задача —сохранить границы и контекст в рамках конкретного узла, что само себе крайне сложно в сфере кибербезопасности. Дело в том, что уже существуют требования к антивирусу (САВЗ), которые важно было сохранить независимыми, а EDR как решение может взаимодействовать с множеством других СЗИ. Важно было не приписать их функции EDR, а показать, что такая взаимосвязь — базовое требование для этого класса решений. Например, отправка в SIEM-системы, песочницу, работа с TI и антивирусами.

В финальной версии требований мы увидели большой объем исправлений, который появился благодаря диалогу с вендорами. Это говорит о том, что к представителям индустрии прислушиваются и на выходе появляется документ, который отражает суть именно этого класса решений.

👀 В одном из требований нормативного документа есть предписание, что механизмы обнаружения должны позволять находить на узле признаки:

• получения первоначального доступа;
• внедрения и исполнения вредоносного программного обеспечения;
• закрепления (сохранения доступа) с возможностью получения повторного доступа;
• управления вредоносным программным обеспечением и его компонентами;
• повышения привилегий доступа;
• сокрытия действий;
• сбора и вывода информации;
• неправомерного доступа или воздействия.

Этот список подтверждается на практике, а в нашем MaxPatrol EDR такие признаки полностью закрываются работой коррелятора. Кроме того, наши пользователи могут связать отдельные события обнаружения с этими признаками, используя разметку по MITRE ATT&CK Framework.

💡 Как правило, путь злоумышленника состоит из разведки, анализа в контексте узла и сетевого окружения, закрепления на узлах, дампа административных учетных записей, перемещения между узлами, эксфильтрации данных. Время нахождения злоумышленника в инфраструктуре может достигать 90 дней, и нужно уметь собирать все его шаги в цепочки. Так пользователь получит не множество отдельных событий, а комплексное понимание о тактиках и техниках атаки. За счет этого сертифицируемые решения становятся по-настоящему прикладными.

💡 Среди критериев оценки есть указание на типы данных мониторинга, которые должны собирать такие решения (посмотреть их можно здесь).

Для обнаружения угроз в MaxPatrol EDR поддерживаются не только эти типы данных наряду со стандартными для отрасли методами сбора, но и расширенные возможности, которые помогают нашим клиентам снижать количество ложноположительных срабатываний и оперативно обнаруживать киберугрозы на конечных устройствах. Все эти параметры можно увидеть в карточках активов, в событиях, они используются в правилах коррелятора и YARA.

В следующих публикациях подробнее расскажем о требованиях к реагированию в СОР и кастомной экспертизе. Stay tuned!

#MaxPatrolEDR
@Positive_Technologies