🗣В рамках SOC Forum 2025 портал Cyber Media взял интервью у Андрея Жданухина, руководителя группы аналитики L1 GSOC компании «Газинформсервис», о том, как будет развиваться SOC в ближайшие годы на фоне бума технологий ИИ.

В этом ролике вы узнаете:
⏺О готовности рынка к переходу к проактивному Threat Hunting и трудностях, связанных с этим.
⏺Как меняется работа аналитика L1 в SOC с внедрением ИИ.
⏺Как выстроить совместное взаимодействие между аналитиками, инженерами и ИИ-помощниками?
⏺Какие первые шаги следует предпринять компаниям, которые готовятся к трансформации SOC и внедрению ИИ-помощников.

Видео доступно в VK, в YouTube и в Rutube.

#gis_полезности #gsoc
@gis_cybersec

⏺Австралия готовится к внедрению федерального запрета на использование социальных сетей подростками младше 16 лет. В преддверии этого решения крупные технологические платформы уже начали обозначать свои шаги.

Так, YouTube и ряд других ресурсов согласились подчиниться новым требованиям. Однако по словам некоторых австралийских подростков, для них мало что изменится: они перейдут на общение в мессенджерах или воспользуются обходными решениями.

«Прямые запреты не работают, и никогда в человеческой истории не работали. На одну блокировку соцсети появится 5 способов обхода блокировки, а также 10 новых соцсетей, которые будут устроены принципиально иначе.

Власти всех стран всего мира сегодня поставлены перед задачей контроля того, что происходит в киберпространстве. Задача эта принципиально новая, как её решать не понимает никто. И тут мы натыкаемся на основную проблему – большинство законодателей не пытаются вникать в то, что реально происходит и какие последствия имеет, и зачастую руководствуются страхом или соображениями популизма.

Отсюда мы видим, как методами 20 века, а в отдельных странах – 19-го, власти пытаются решать проблем 21-го. Понимание проблемы должно наступать до того, как государство начнет принимать законодательные инициативы, но никак не наоборот», — считает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

А как вы относитесь к таким мерам?
#gis_новости @gis_cybersec

Кибербез — это всё: готовим итальянское блюдо и обсуждаем защиту бизнеса в «Инфобезе со вкусом» 😉

Уже через неделю смотрите новый выпуск шоу об информационной безопасности и кулинарии — «Инфобез со вкусом». Гостем проекта стал Иван Чернов, директор по продуктовой стратегии компании UserGate.

В семнадцатом выпуске эксперты поговорили о подходе к разработке в UserGate, продуктах и услугах, а также о целях и планах компании. Всё в ней работает комплексно, как ингредиенты в капонате: овощи идеально дополняют друг друга, как и элементы развивающейся экосистемы UserGate.

🗓 Премьера выпуска — 18 декабря в 15:00.

А пока смотрите тизер и ставьте лайки!
#gis_развлечения #инфобезсовкусом @gis_cybersec

⚠️ В России появились первые мошеннические схемы, связанные с блокировкой игровой онлайн-платформы Roblox. Преступники предлагают перейти на фишинговые сайты, которые позволяют игре работать без VPN. После этого аккаунт пользователя взламывается и угоняется.

Также в соцсетях и мессенджерах появляются страницы и каналы с предложением купить или скачать VPN-сервисы специально для Roblox. Важно, что большинство из них создано для привлечения трафика на другие ресурсы, но среди них также могут быть мошеннические сайты с оплатой без получения услуг и риском заражения устройства вредоносными программами.

"У большинства родителей детей от шести лет уже состоялся разговор о том, что делать, когда игра теперь недоступна. Мошенники не заставили себя ждать, уже есть фейковые VPN-сервисы, которые обещают решить проблему доступа", - рассказал руководитель группы защиты инфраструктурных IT-решений компании "Газинформсервис" Сергей Полунин.

Roblox - это не какой-то адрес в интернете, это целая экосистема из виртуальных серверов, баз данных, хранилищ и прикладных сервисов - от авторизации до статистики. Заблокировать систему, не повредив что-то вокруг, непростая задача. И авторы мошеннических VPN для обхода эксплуатируют эту тематику. В этом случае нужно с особой внимательностью изучать все предложения и рассказывать детям о возможных опасностях таких обходов.

"Не существует какого-то волшебного и при этом бесплатного решения, которое мгновенно решает проблему. Блокировка вызвала большой резонанс и, естественно, привлекла внимание по обе стороны IT-баррикад. Дети будут делиться друг с другом способами обхода ограничения, и задача взрослого - вовремя объяснить, чем опасно использование таких решений", - отмечает эксперт.

#gis_новости @gis_cybersec

‼️Компания «Газинформсервис» вошла в состав Экспертного совета по вопросам внедрения и использования электронной подписи и сертификатов безопасности. Совет был воссоздан приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 9 декабря 2025 г. №1157.

«Совет призван обеспечить эффективную коммуникацию между экспертным сообществом, представителями рынка услуг на основе инфраструктуры открытых ключей (Public Key Infrastructure, PKI) и регуляторами. Целый спектр актуальных вопросов по этой тематике, таких как электронные архивы документов с ЭП, эффективное использование машиночитаемых доверенностей, мобильная электронная подпись, трансграничное признание электронной подписи и другие, нуждаются в эффективном диалоге, обсуждении, выработке качественных решений.

«Газинформсервис» с готовностью принял приглашение войти в состав экспертного совета. Уверены, что знания и опыт наших экспертов, глубоко погруженных в данную проблемную область благодаря совершенствованию продуктовой линейки Litoria, будут содействовать решению этих и многих других актуальных задач развития отрасли электронной подписи и PKI», — отметил Сергей Кирюшкин, советник генерального директора — начальник удостоверяющего центра компании «Газинформсервис».

Новый Приказ также отменяет действие ряда предыдущих документов Министерства связи и массовых коммуникаций РФ, регламентировавших работу аналогичных экспертных советов по вопросам электронной подписи в период с 2013 по 2017 годы.

#gis_новости #litoria_desktop @gis_cybersec

Мы создали для вас папку с полезными каналами по информационной безопасности😉

Хотите всегда быть в курсе свежих новостей, кейсов и инсайтов из мира кибербезопасности? Мы решили сделать эту задачу максимально простой и удобной для вас!

✔️Что внутри?

- Новости ИБ: актуальные события, атаки, разбор инцидентов
- Технические советы: лайфхаки по защите личных данных, обзоры инструментов, полезные решения
- Обучение: курсы, вебинары, статьи для новичков и профессионалов

💡Для чего вам папка?

Не нужно тратить время на поиски — мы уже отобрали лучшее для вашего профессионального роста и личной кибергигиены, а в качестве бонуса, папка регулярно будет пополняться полезными каналами по ИБ!

🔗Добавить папку Инфобез!

#Инфобез #ПапкаИБ #gis_участвует

⚠️ Исследователи обнаружили кампанию JS#SMUGGLER, в которой эксплуатируются уязвимости в легитимных веб-сайтах для распространения опасного трояна удалённого доступа (RAT) NetSupport RAT. Злоумышленники компрометируют доверенные ресурсы, превращая их в платформы для незаметной загрузки вредоносного ПО на компьютеры пользователей.

Как подчёркивает наш эксперт Александр Михайлов, руководитель GSOC, особенность этой вредоносной кампании заключается в том, что код внедряется непосредственно в скомпрометированные легитимные сайты. Для развития атаки используются легитимные инструменты операционной системы, что делает обнаружение угрозы крайне сложным для обычных пользователей:

«Атаки с использованием штатных инструментов системы, так называемые атаки Living off the Land, представляют особенную сложность для выявления. Из всей цепочки действий ярким признаком того, что что-то пошло не так, является только активность утилиты NetSupport RAT, но при должной подготовке злоумышленника и она может выпасть из поля зрения защитников».

Для компаний, которые остаются один на один с подобными угрозами без помощи внешних SOC-центров, эксперт предлагает следующее:

1️⃣Ограничить использование системных утилит вроде mshta.exe, wnoscript.exe и powershell.exe, если они не нужны сотруднику для работы, или поставить на мониторинг их запуск.

2️⃣Отслеживать не файлы, а процессы. Запуск PowerShell из-под процесса браузера или mshta — это всегда аномалия, которая должна быть проанализирована.

3️⃣Владельцам сайтов необходимо внедрять строгие политики Content Security Policy, чтобы запретить подгрузку скриптов с неавторизованных внешних доменов.

Узнать больше о решении GSOC можно здесь.
#gis_новости #gsoc @gis_cybersec

⚠️ На прошлой неделе компания SAP выпустила финальный в этом году пакет обновлений безопасности. Были закрыты 14 новых уязвимостей и обновлены три ранее опубликованных бюллетеня безопасности. Выпущенные исправления распространяются на ряд ключевых продуктов SAP, включая Solution Manager, Commerce Cloud, SDK for ASE и Business One.

🗣Среди обнаруженных проблем эксперт SafeERP Тимур Цыбденов выделил четыре критических и пять уязвимостей высокой степени опасности.

Самые опасные из обнаруженных уязвимостей получили максимальные оценки по шкале CVSS — 9.1 балла и выше — их эксплуатация напрямую угрожает всем аспектам безопасности данных: конфиденциальности, целостности и доступности систем.

1️⃣ Наиболее опасной может оказаться критическая уязвимость CVE-2025-42880 (CVSS 9.9) — инъекция кода в SAP Solution Manager (SolMan).

"Поскольку SolMan служит центральным инструментом для управления всем SAP-ландшафтом, компрометация этой системы даёт атакующему ключи ко всему цифровому бизнесу компании. Тот факт, что для атаки нужна аутентификация, не является серьёзным барьером — в корпоративной среде тысячи учётных записей. Воспользовавшись недостаточной проверкой входных данных, злоумышленник через HTTP-запрос может внедрить и выполнить произвольный код с привилегиями самого SolMan. Это открывает путь к краже критичных данных, изменению конфигураций всей экосистемы и распространению вредоносного ПО на связанные системы", — отметил эксперт.

2️⃣ Также стоит обратить внимание на критическую уязвимость CVE-2025-55754 (CVSS 9.6) — комплекс уязвимостей в Apache Tomcat для SAP Commerce Cloud.

"Сама по себе уязвимость CVE-2025-55754, связанная с обработкой ANSI-последовательностей в логах, имеет низкую оценку, но основная угроза возникает при связке с CVE-2025-55752 (уязвимость обхода путей Apache Tomcat), что может привести к компрометации сервера. Это уже третий критический патч для Tomcat в 2025 году, демонстрирующий повторяющийся риск утечек данных, RCE и DoS-атак через этот компонент", — добавляет он.

3️⃣ Ещё одна критическая уязвимость, выделенная экспертом, это десериализации в SAP jConnect для SAP ASE — CVE-2025-42928 (CVSS 9.1):

"SAP jConnect позволяет Java-приложениям подключаться к базе данных SAP Adaptive Server Enterprise (SAP ASE), и через него может проходить чувствительная для бизнеса информация. Уязвимость возникает, когда программное обеспечение некорректно обрабатывает десериализацию недоверенных входных данных. Успешная эксплуатация уязвимости злоумышленником с высокими привилегиями приводит к удалённому выполнению вредоносного кода (RCE)".

Так, уязвимости высокой степени серьёзности в основном представляют угрозы отказа в обслуживания (DoS) и обхода проверок авторизации. Они сконцентрированы в критически важных компонентах инфраструктуры SAP: платформе NetWeaver, шлюзах Web Dispatcher и Internet Communication Manager (ICM), SAP Content Server и системе Business Objects.

4️⃣ Наиболее значимая из них — CVE-2025-42878 (CVSS 8.2). Проблема связана с недокументированными тестовыми интерфейсами в Web Dispatcher и ICM, через которые неаутентифицированные злоумышленники могут получить доступ к диагностическим данным, отправлять вредоносные запросы или нарушать работу сервисов.

"Единственной эффективной защитой от эксплуатации известных уязвимостей остаётся регулярное обновление систем и своевременное применение патчей. Любая задержка в применении обновлений многократно повышает риск успешной атаки на корпоративные системы", — подытожил эксперт SafeERP.

#gis_новости #safeerp @gis_cybersec

⏺Современная IT-инфраструктура бизнеса перестала быть статичной. Данные рассредоточены по гибридным средам, включая российские облака, локальные дата-центры, SaaS-сервисы, среды разработки и даже личные устройства сотрудников. Резервные копии и архивы создают дополнительные сложности. Этот динамичный ландшафт делает задачу защиты информации привычными инструментами невыполнимой.

🗣Эксперты рынка кибербезопасности рассказали «Ъ-Информационным технологиям», какие «слепые зоны» создает текущий подход и как меняется философия защиты данных.

По мнению экспертов, даже при наличии широкого набора решений в гибридных и облачных средах остаются плохо контролируемые участки.

«Типичные слепые зоны — облачные SaaS, теневые сервисы, админские "обходные тропы", сервисные учетки, а также копии данных в дев/тест-средах и бэкапах. Все, что возникает вне формализованного процесса управления доступом, фактически выпадает из контроля»,— отмечает эксперт компании «Газинформсервис» Александр Давыдов.

#gis_полезности @gis_cybersec

Наша компания по просьбе одного из московских банков провела поиск скрытых угроз в его инфраструктуре😉

🗣Константин Хитрово, менеджер по развитию сервисов мониторинга и реагирования GSOC, рассказал, зачем необходима и как работает экспертиза в обнаружении скрытых угроз средствами поведенческой аналитики.

"Растёт число сообщений об успешных кибератаках. На этом фоне мы получаем всё больше запросов по обнаружению оставленных злоумышленниками артефактов. То есть по поиску следов компрометации. Он может быть проведён как в отсутствии успешной атаки или сразу после неё. Цель — убедиться в том, что в инфраструктуре не находятся следы взломов, "крючки", вредоносное ПО, не запущены подозрительные процессы и т. д.".

Выявление следов компрометации представляет собой углубленный анализ IT-инфраструктуры заказчика. Его основная задача — обнаружение признаков уже состоявшегося взлома или присутствия вредоносного программного обеспечения, которое могло обойти существующие средства защиты.

В отличие от расследования, которое сфокусировано на определении сценария и на сборе улик, доказательств и конкретных действий злоумышленника, "Поиск следов компрометации" проверяет все доступные элементы инфраструктуры, к которым предоставляет доступ заказчик.

"Например, к нам недавно обратился московский банк, для которого крайне важно было оперативно убедиться в отсутствии в инфраструктуре "зацепок" для киберпреступников. Наши специалисты незамедлительно провели с помощью собственных специальных средств обнаружения обследование инфраструктуры. Провели анализ журналов событий, конечных точек, сетевого трафика и памяти. Провели поиск вредоносного ПО и анализ подозрительных процессов, авторизации приложения и информационной системы банка, разработали план возможных действий по минимизации ущерба, составили рекомендации и отчёт", — рассказал Константин Хитрово.

#gis_новости #gsoc @gis_cyber

И в мире ИБ есть свои детективы...🕵🏻‍♂️

Они исследуют, наблюдают, собирают информацию и занимаются профилактикой, как и коллеги из юридической сферы, только их деятельность направлена на безопасность информационную. Как они это делают? Как происходит расследование инцидентов? Что нужно знать, чтобы стать кибердетективом?

🗣В статье нашего эксперта Александра Катасонова, инженер-аналитик компании «Газинформсервис», поговорим об этапах киберрасследования, анализе логов, дампов и не только, а также о том, где этому можно научиться.

#gis_полезности @gis_cybersec