📌Медицина – в фокусе внимания киберпреступников!

По данным Вебмониторэкс, с начала года каждая организация здравоохранения (включая аптеки и медклиники) могла столкнуться в среднем с 3 млн попыток компрометации своих веб-приложений!

📈Пик хакерской активности пришелся на апрель, а после традиционного спада в июле динамка веб-атак набирает обороты. В августе число попыток компрометации медицинских онлайн-ресурсов выросло на 60%, и нарастающий тренд сохраняется.

Серьезная угроза — поведенческие веб-атаки. За август их число выросло на треть. Такие атаки стараются «запутать» веб-приложение и его защиту, используя легитимные функции в злонамеренных целях. Например, это брутфорс, BOLA, dirbust.

В чем опасность таких атак:
🔘их относительно легко организовать (особенно, если использовать ботов и другие автоматизированные средства)
🔘для их обнаружения нужен продвинутый анализ веб-угроз (атаки направлены на логику приложения и не содержать вредоносных паттернов)

Подробности можно прочитать в новости агентства Прайм по ссылке

📢Компании «Лаборатория Касперского» и Вебмониторэкс настроили бесшовную интеграцию своих решений: ПроWAF и KUMA

В рамках интеграции были написаны правила нормализации для событий, передаваемых с ПроWAF, разработанного Вебмониторэкс, в SIEM «Лаборатории Касперского» — KUMA.

Что такое «нормализация»❓
Это процесс приведения данных из разных источников к единому формату, чтобы SIEM могла их корректно анализировать.

Что это дает❓
Это значительно ускоряет взаимодействие ИБ-решений, повышает качество детектирования угроз и создает дополнительный контекст при реагировании на инцидент.

«Интеграция различных ИБ-инструментов позволяет создать общий контекст безопасности. С учетом специфичности атак на веб и API дополнение корреляционной логики KUMA событиями ПроWAF позволит точнее реагировать на события такого класса, а при наличии реальной угрозы для веб-приложений заказчика ускорить время реагирования SOC. И мы уверены, что партнерство с «Лабораторией Касперского» значительно повысит безопасность клиентов и еще раз продемонстрирует, что за мультивендорностью и объединением экспертиз – будущее", – отметил директор по информационной безопасности Вебмониторэкс Лев Палей.

«Работа любой SIEM-системы требует постоянной эволюции детектирующей логики, чтобы гарантировать полноценность ИБ-мониторинга и надежную защиту от атак. Такие системы должны быть готовы к работе с разнообразными источниками событий, которые находятся в инфраструктуре заказчика. Поэтому мы постоянно добавляем в KUMA новые нормализаторы и правила корреляции. В частности, интеграция с ПроWAF позволит оперативно реагировать на веб-угрозы и эффективно приоритизировать их», - сказал руководитель направления развития единой корпоративной платформы «Лаборатории Касперского» Илья Маркелов.

📈Металлургическая компания ЕВРАЗ расширяет защиту веб-ресурсов с помощью межсетевого экрана уровня приложений ПроWAF

Решение дополнит технологический стек, используемый ЕВРАЗом для многоуровневого противодействия киберугрозам. В сочетании с системами защиты от DDoS-атак и блокировки ботов WAF создает надежный многоуровневый барьер веб-безопасности.

«Любому бизнесу, который активно осваивает веб-форматы, нужно оценивать возможные угрозы. ЕВРАЗ демонстрирует высокий уровень знания киберландшафта, а также зрелый и ответственный подход к оценке рисков информационной безопасности», — отметила коммерческий директор Вебмониторэкс Ольга Мурзина.

«Защита от веб-угроз для нас крайне важна. Именно поэтому мы выстроили многоуровневую систему безопасности, частью которой стал ПроWAF. Наряду с безопасностью ключевым требованием была доступность ресурсов для клиентов и партнеров. Мы выбрали межсетевой экран, который не замедляет трафик и не влияет на скорость работы сайтов», — сказал начальник отдела обеспечения безопасности информационных систем ЕВРАЗа Андрей Нуйкин.

⚡️⚡️⚡️Иногда обновления нужны не только продуктам, но и самим компаниям. Сегодня у нас довольно заметный апдейт: Вебмониторэкс превращается в WMX. 

Новое имя короче и динамичнее, а стиль — легче и прозрачнее. Точно так же и наши решения: невесомые и гибкие, современные и технологичные. Именно так мы видим суть кибербеза: защита, которая не ломает процессы и не замедляет трафик, а делает их чище и надёжнее.

Нам хотелось упростить, но не потерять смысл, сохранив преемственность 12-летнего опыта. Остался неизменным основной корпоративный цвет и наша фирменная волна. А новое название WMX родилось в живом общении — именно так нас называют между собой партнёры и клиенты.

🗂И главное, осталось неизменным то, что Web Monitoring eXperts по-прежнему на защите вашего веба!

🗂Представим ситуацию: накануне черной пятницы онлайн-магазин отключает свой WAF, чтобы решение случайно не заблокировало легитимных пользователей. Итог – в потоке покупателей оказывается хакер, который беспрепятственно получает доступ к приложению.

Проблема ложноположительных срабатываний знакома всем ИБшникам. Фолзы на любом СЗИ – это не просто досадная мелочь. Они забивают алерты, раздражают аналитиков и в итоге снижают эффективность защиты.

Именно поэтому команда WMX постоянно работает над качеством детекта, чтобы число ложноположительных срабатываний на нашем WAF для клиента было на самом минимальном уровне. Это и регулярное обновление базы актуальных угроз, и глубокий бессигнатурный анализ трафика, позволяющий заглянуть в детали каждого запроса, и гибкость настроек WAF под особенности инфраструктуры и потребности каждого клиента.

В новой статье для Cyber Media наш руководитель продуктового развития Динко Димитров разбирает, почему ИБ-решения кричат «Волки!», как ложные срабатывания превращаются в операционную боль для ИБ-команд и как найти WAF, который не будет фолзить.

➡️Когда WAF кричит «Волки!»: чем опасны фолзы для кибербезопасности и как их сократить

📈 Веб-ресурсы промышленных предприятий под ударом: за 9 месяцев 2025 года количество кибератак на них выросло более чем в 4 раза. Такие данные приводит WMX.

Если в 1 квартале каждое промышленное предприятия в среднем столкнулось c 140 тыс. атак на свои веб-приложения, то в 3 квартале показатель составил уже 650 тыс.

«Рост числа веб-атак на промышленные предприятия напрямую связан с массовой цифровизацией производств и размытием границ между IT и OT-средами и наполнением функциональностью. В то же время инструменты для реализации веб-векторов становятся доступнее: ransomware-as-a-Service, наборы эксплойтов, скрипты для сканирования и AI-помощники сделали автоматизацию атак доступной даже для низкоквалифицированных хакерских групп», - отмечает генеральный директор WMX Анастасия Афонина.

Самые актуальные угрозы:
🔘20% от общего числа выявленных веб-атак – попытки автоматизированного сканирования;
🔘18% - попытки взлома серверной части приложений (RCE-атаки).

В чем опасность?
Злоумышленники используют те же веб-векторы, что и против цифровых сервисов, но в промышленности последствия гораздо серьезнее — компрометация может повлиять не только на данные, но и на физические процессы.

➡️Подробнее о веб-атаках на отрасль читайте в материале Газета.ru

⚠️⚠️Раз в 3-4 года OWASP (Open Web Application Security Project) обновляет перечень десяти самых критичных угроз для веб-приложений (OWASP Top Ten). В пятницу организация опубликовала предварительный релиз нового списка. Пока это release candidate, но, скорее всего, финальный вариант не сильно поменяется.

Почему это важно?
Этот список считается золотым стандартом в области веб-безопасности. OWASP Top Ten помогает понять, какие угрозы чаще всего встречаются и к каким последствиям они приводят: от кражи данных до полной компрометации системы.

Что интересного в апдейте?
🔘Первую позицию сохраняет нарушение контроля доступа (Broken Access Control). А это значит, что базовые ИБ-практики остаются в приоритете. Всего в эту категорию входит 40 векторов атак (СWE). А с этого года в нее включили и «Подделку запросов на стороне сервера» (SSRF), которая раньше была отдельным видом угрозы и занимала 10 строчку списка.

🔘Неправильная конфигурация безопасности (Security Misconfiguration) поднялась с 5 строчки на 2, что неудивительно, поскольку в современной разработке всё больше функциональности приложений определяется именно через конфигурацию.

🔘Сбои в цепочке поставок (Software Supply Chain Failures) программного обеспечения замыкает Тор-3. Это более расширенный вариант категории A06:2021 («Уязвимые и устаревшие компоненты»). Обновление учитывает всю программную экосистему, включая зависимости, системы сборки и инфраструктуру распространения.

🔘Новая категория – A10:2025 Некорректная обработка исключительных ситуаций (Mishandling of Exceptional Conditions). Она включает 24 CWE, которые возникают, когда приложение не может предотвратить, обнаружить или должным образом отреагировать на необычные и непредсказуемые состояния. Эти ошибки сложно обнаружить, и они могут годами угрожать безопасности приложения.

Если кратко...
Очевидно, что OWASP смещает фокус с изолированных ошибок в коде на системные недостатки, охватывающие весь жизненный цикл приложения.

Что дальше?
Мы внимательно изучим обновление и, конечно, интересными деталями будем делиться с вами.

🗂Другие Тоp Ten
OWASP регулярно выпускает списки актуальных угроз для разных элементов приложения. Ранее в этом году был выпущен список актуальных уязвимостей бизнес-логики [мы о нем, кстати, писали]. Также одним из ключевых считается список OWASP API Top Ten [об этом у нас тоже есть пост на Хабре].

✅Совсем скоро - 13 ноября в 16:00 пройдет вебинар "Охотники за веб-угрозами: киберзащита в сезон всплеска трафика". Присоединяйтесь и вы к онлайн-дискуссии, организованной экспертами RED Security. В качестве спикера компанию коллегам составит директор по информационной безопасности WMX Лев Палей.

Подробности ниже⬇️⬇️⬇️

Первый день SOC Forum по традиции самый жаркий и насыщенный. Вы уже встретили знакомых, поделились ИБ-сплетнями, запланировали новые проекты и сделки?

🟧WMX тоже подготовил для гостей форума много интересного. Заходите на наш стенд! Найти нас легко – мы недалеко от кибербара. Да-да, мы умеем выбирать места🍹

Что интересного на стенде WMX сегодня?

🎙В 13:30 CISO WMX Лев Палей расскажет, как научить WAF разговаривать на языке SOC:
➡️Как события с WAF помогают автоматизировать и ускорить реагирование?
➡️Какой информацией WAF обогащает событие ИБ?
➡️Как настроить и протестировать интеграцию?

У нас также можно немного отвлечься от деловой программы и поиграть в:
🧩 web_bingo и получить подарок от WMX;
✅firewall_лото и выиграть супер-приз;
🎯дартс_vs_bots и забрать наш фирменный мерч.

Заходите в гости! Мы вас ждем😉

#SOCForum2025 #WMX

Начинается второй день SOC Forum 2025! Надеемся, у вас ещё остались силы!

🟧Сегодня на стенде WMX будем много рассказывать про бот-трафик. Конечно, тему мы выбрали неспроста, но это пока секрет. 

🎙Мы его раскроем сегодня в 14:30. Также на стендовом докладе вы узнаете:
➡️Как изменились веб-атаки за 2025 год;
➡️На каком этапе эволюции веб-угроз мы находимся сейчас;
➡️Почему ловить ботов становится все сложнее.

🎙А если не успеваете, приходите на наш стенд в 16:15. Мы продолжим рассказывать о том, какими бывают боты:
➡️Как из глупых скриптов они превратились в умную угрозу;
➡️Почему для надёжной защиты надо знать бота в лицо.

🧩Дартс, бинго и лото тоже сегодня с нами весь день. Заходите испытать удачу!

#SOCForum2025 #WMX

⚡️⚡️⚡️Ты — последний безопасник на Земле. Остальные просто исчезли в один день...

Представьте апокалипсический сюжет, в котором город остался без своих ИБ‑защитников. Стратегические объекты выходят из строя, системы сбоят, сети рушатся...

Пережить такое в реальности никто не хочет. Зато можно испытать свои силы и попытаться восстановить системы в игре «CyberCity: Протокол защиты». Это симулятор непредвиденного дня в карьере ИБ‑специалиста, который К2 Кибербезопасность запустила ко Дню защиты информации.

🗂Задача знакома каждому безопаснику — тушить киберпожары: от сбоев светофоров до атак на электростанцию. Но вместо привычных тикетов вас ждут задания на криптографию, реверс, логику и внимательность.

Выполняйте задания, ищите пасхалки от WMX🟧, участвуйте в розыгрыше призов: PS5, Oculus VR, LEGO и мерч‑паков.

➡️ Присоединиться к игре

🤖Вы уверены, что на ваш сайт заходят реальные пользователи?!

В 2025 году впервые в истории большую часть интернет-трафика сгенерировали не люди, а боты. Более трети таких запросов – вредоносные.

И если несколько лет назад по Интернету бегали простые скрейперы, то сегодня это уже продвинутые AI-powered боты. Они не просто собирают данные с открытых страниц, а ищут уязвимости в компонентах, хитро обходят защиту, готовят плацдарм для будущей атаки на организацию. Согласитесь, звучит уже не так безобидно!

В новой статье для РБК системный аналитик WMX Кирилл Ященко разобрал:

✔️Какими бывают современные боты и что они ищут на сайтах?
✔️Почему даже headless-браузеры и ИИ-скрипты оставляют следы?
✔️Как распознать гибридного бота, который меняет тактику в реальном времени?
✔️Как эти знания повышают уровень ИБ-защиты?

➡️Читайте полную статью здесь

❗️❗️❗️Уязвимость в React Server – это 10 из 10!

В React Server Components обнаружена критическая уязвимость CVE 2025-55182, которую уже назвали «идеальной десяткой». Она получила максимальную оценку CVSS 10, а эксплойт доступен публично.

CVE 2025-55182 – это RCE-уязвимость, которая позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Под ударом версии: 19.0, 19.1.0, 19.1.1 и 19.2.0.

Что такое React?
React (иногда React.js или ReactJS) – это очень популярная JavaScript-библиотека для разработки фронтенд-части веб-сайтов и приложений.

React Server Components (RSC) – это механизм React, который позволяет часть работы приложения выполнять на сервере, а не в браузере. Это значительно снижает «вес» приложения и ускоряет его работу, так как вся работа выполняется где-то, а не в браузере клиента.

В чем суть уязвимости?
Функции сервера React (React Server Functions) позволяют клиенту вызывать функцию на сервере. React предоставляет точки взаимодействия и инструменты, которые используются фреймворками и бандлерами, чтобы React-код мог выполняться как на клиенте, так и на сервере. React преобразует запросы на стороне клиента в HTTP-запросы, которые перенаправляются на сервер. На сервере React транслирует HTTP-запрос в вызов функции и возвращает необходимыe данные клиенту.

Неаутентифицированный атакующий может сформировать вредоносный HTTP-запрос к любому endpoint’у Server Function, который при десериализации в React приводит к удалённому выполнению кода (RCE) на сервере. Это критическая ошибка в процессе проверки данных, которая позволяет злоумышленнику заложить абсолютно любую опасную нагрузку в запрос.

❗️Если в вашем приложении React не используется сервер или ваше приложение не использует фреймворк, сборщик или плагин сборщика, поддерживающий React Server Components, то вы в безопасности и уязвимость вас не затронула.

Почему она 10 из 10?
Любая RCE-уязвимость опасна, так как хакер получает контроль над сервером и может заставить его выполнить абсолютно любые действия: отдать данные, изменить файлы, установить вирусы и бэкдоры, выдать API, токены доступа, развернуть вируса-шифровальщика. Эксплуатация уязвимости относительно проста: захватить сервер можно одним HTTP-запросом.

Защитит ли меня WMX?
Да! В WMX ПроWAF есть виртуальный патч, закрывающий CVE 2025-55182. Чтобы его установить, обратитесь в нашу техподдержку.

Также мы настоятельно рекомендуем обновить React Server Components до актуальной версии. И, на всякий случай, проверьте логи: не было ли попыток отправить вредоносные сериализованные запросы на ваш сервер.