Коллеги, давайте разберемся с Агентским режимом! Внесем ясность, поймем, для чего он нужен, как, кому и зачем его можно и нужно применять.
Что это
Агентский режим представляет из себя ПО, которое позволяет централизованно, удаленно извлекать данные из рабочих станций сотрудников внутри (а при определенных настройках и вне) корпоративной сети. А именно искать файлы, снимать полные образы дисков, артефакты операционной системы, данные приложений, почтовых клиентов, дампы оперативной памяти и т.д.
Как это работает
По своей сути функционал Агентского режима основан на трех модулях: один устанавливается на сервер, второй — на эндпоинт (рабочую станцию), а третий — на ПК сотрудника службы безопасности, который разворачивает агентов на ПК сотрудников, запуская .exe локально или проводя установку удаленно (посредством сервера, используя логин и пароль сотрудника или администратора домена). Затем он формирует из агентов рабочие группы по отделам, кейсам или другим признакам, формирует пул задач для агентов и отправляет задачи на эндпоинты. Извлечение данных происходит на эндпоинтах, передается на сервер и оттуда — на ПК специалиста ИБ.
Для чего использовать
Кейсов применения, откровенно говоря, масса: от банального аудита информационной безопасности до случаев (достаточно распространенных, к сожалению), когда на 5000 рабочих станций приходится всего 5 специалистов ИБ, а проблемы нужно решать оперативно. Не стоит забывать и про поиск грифованных документов, экстренного снятия «горячего» дампа оперативной памяти и всего того, что требует скорости, массовости или дистанционных действий.
Если хотите опробовать функционал Агентского режима, то имеет смысл взять на пробу демоверсию «MK Enterprise» от «МКО Системы».
Ссылочку прилагаем: https://mko-security.ru/
Что это
Агентский режим представляет из себя ПО, которое позволяет централизованно, удаленно извлекать данные из рабочих станций сотрудников внутри (а при определенных настройках и вне) корпоративной сети. А именно искать файлы, снимать полные образы дисков, артефакты операционной системы, данные приложений, почтовых клиентов, дампы оперативной памяти и т.д.
Как это работает
По своей сути функционал Агентского режима основан на трех модулях: один устанавливается на сервер, второй — на эндпоинт (рабочую станцию), а третий — на ПК сотрудника службы безопасности, который разворачивает агентов на ПК сотрудников, запуская .exe локально или проводя установку удаленно (посредством сервера, используя логин и пароль сотрудника или администратора домена). Затем он формирует из агентов рабочие группы по отделам, кейсам или другим признакам, формирует пул задач для агентов и отправляет задачи на эндпоинты. Извлечение данных происходит на эндпоинтах, передается на сервер и оттуда — на ПК специалиста ИБ.
Для чего использовать
Кейсов применения, откровенно говоря, масса: от банального аудита информационной безопасности до случаев (достаточно распространенных, к сожалению), когда на 5000 рабочих станций приходится всего 5 специалистов ИБ, а проблемы нужно решать оперативно. Не стоит забывать и про поиск грифованных документов, экстренного снятия «горячего» дампа оперативной памяти и всего того, что требует скорости, массовости или дистанционных действий.
Если хотите опробовать функционал Агентского режима, то имеет смысл взять на пробу демоверсию «MK Enterprise» от «МКО Системы».
Ссылочку прилагаем: https://mko-security.ru/
mko-security.ru
МКО Системы
Компания-разработчик программного обеспечения
для расследования инцидентов в сфере корпоративной и государственной информационной безопасности.
для расследования инцидентов в сфере корпоративной и государственной информационной безопасности.
Давайте поговорим о кейсе, с которым все знакомы, но которого «ни у кого не было». Итак, дамы и господа, сегодня кратенько зацепим «тварь по имени рансомварь». Или чем могут помочь DFIR-инструменты при расследовании инцидента шифрования данных.
Глава 1
Утро, кофе, звонок, паника: «Все пропало, ничего не открывается, требование выкупа». Далее — действия на усмотрение руководства: МВД, ФСБ, звонок в специализированные компании, если чувствительность информации позволяет, выплата выкупа или другие активности. Надеемся на то, что все закончится удачно и обойдется малой кровью/деньгами.
Но это не конец. Делаем выводы и деконструируем кейс:
1) ransomware был подсажен;
2) зашифровали важные (целевые) данные;
3) выдвинули требования о выкупе;
4) рабочая станция (или их группа), ставшая точкой проникновения, неизвестна;
5) метод проникновения неизвестен;
6) реальный масштаб инцидента неизвестен;
7) неизвестны меры по устранению последствий внутри и предотвращению схожих инцидентов в будущем.
Чтобы к концу квартала не наступить на те же грабли еще раз, нужно расследовать и заполнять пробелы в понимании инцидента…
Глава 2
Собираем волю в кулак, завариваем по два ведра кофе на специалиста, выбиваем у HR’ов разрешение курить в офисе, звоним супругам и предупреждаем, чтобы сегодня ужинали без нас. Возможно, завтрак тоже придется провести в одиночестве.
1) Собираем данные со всех устройств, которые попадают под подозрение. Помним, что много — не мало, и надеемся на то, что тому, кто первым прибыл на инцидент, хватило опыта не просто дернуть шнур и изолировать скомпрометированные машины, но и снять дамп оперативной памяти.
2) Кропотливо проводим кросс-анализ всех извлеченных данных. В ход пускаем все: поиск по ключевым словам, регулярным выражениям, артефактам, службам, приложениям, сетевым подключениям и активностям, подключениям внешних носителей и т.д.
3) На основе полученных данных строим гипотезы и проверяем их. Найдя истинную, выстраиваем хронологию событий инцидента — чем точнее, тем лучше. Определяем круг задействованных лиц.
4) Идентифицируем уязвимости, которые привели к возможности возникновения инцидента.
Глава 3
Преодолевая усталость, превозмогая резь в глазах и боль в затекшей спине, приступаем к, возможно, самому главному этапу.
1) Формируем подробный отчет по инциденту. Не просто бумажку, а действительно содержательный, понятный и добротный отчет. Вы же понимаете, о чем я.
2) Разрабатываем регламенты для предотвращения подобных инцидентов в будущем, включая политику для сотрудников, систем безопасности, дописываем плэйбуки. Делаем это максимально подробно и доходчиво, по дороге выписав люлей всем, кто виноват (даже себе любимому, если необходимо). Помните — проваливая подготовку, вы готовитесь к провалу!
Глава 1
Утро, кофе, звонок, паника: «Все пропало, ничего не открывается, требование выкупа». Далее — действия на усмотрение руководства: МВД, ФСБ, звонок в специализированные компании, если чувствительность информации позволяет, выплата выкупа или другие активности. Надеемся на то, что все закончится удачно и обойдется малой кровью/деньгами.
Но это не конец. Делаем выводы и деконструируем кейс:
1) ransomware был подсажен;
2) зашифровали важные (целевые) данные;
3) выдвинули требования о выкупе;
4) рабочая станция (или их группа), ставшая точкой проникновения, неизвестна;
5) метод проникновения неизвестен;
6) реальный масштаб инцидента неизвестен;
7) неизвестны меры по устранению последствий внутри и предотвращению схожих инцидентов в будущем.
Чтобы к концу квартала не наступить на те же грабли еще раз, нужно расследовать и заполнять пробелы в понимании инцидента…
Глава 2
Собираем волю в кулак, завариваем по два ведра кофе на специалиста, выбиваем у HR’ов разрешение курить в офисе, звоним супругам и предупреждаем, чтобы сегодня ужинали без нас. Возможно, завтрак тоже придется провести в одиночестве.
1) Собираем данные со всех устройств, которые попадают под подозрение. Помним, что много — не мало, и надеемся на то, что тому, кто первым прибыл на инцидент, хватило опыта не просто дернуть шнур и изолировать скомпрометированные машины, но и снять дамп оперативной памяти.
2) Кропотливо проводим кросс-анализ всех извлеченных данных. В ход пускаем все: поиск по ключевым словам, регулярным выражениям, артефактам, службам, приложениям, сетевым подключениям и активностям, подключениям внешних носителей и т.д.
3) На основе полученных данных строим гипотезы и проверяем их. Найдя истинную, выстраиваем хронологию событий инцидента — чем точнее, тем лучше. Определяем круг задействованных лиц.
4) Идентифицируем уязвимости, которые привели к возможности возникновения инцидента.
Глава 3
Преодолевая усталость, превозмогая резь в глазах и боль в затекшей спине, приступаем к, возможно, самому главному этапу.
1) Формируем подробный отчет по инциденту. Не просто бумажку, а действительно содержательный, понятный и добротный отчет. Вы же понимаете, о чем я.
2) Разрабатываем регламенты для предотвращения подобных инцидентов в будущем, включая политику для сотрудников, систем безопасности, дописываем плэйбуки. Делаем это максимально подробно и доходчиво, по дороге выписав люлей всем, кто виноват (даже себе любимому, если необходимо). Помните — проваливая подготовку, вы готовитесь к провалу!
👍2
О malware и аудите ИБ
Все совпадения случайны. Давайте считать, что этот кейс — продукт перегретого сознания автора.
Представим себе *CompanyName* и все при ней: периметр со всеми атрибутами защиты, наружу не «торчит» почти ничего, SIEM начищенный блестит. Но ребята на SIEM надеются, но сами не плошают. Периодически проводят аудит, регламенты и плэйбуки апдейтят, хороших сотрудников по голове гладят, а неблагонадежных индивидов — против шерсти. В общем, не зря свой хлеб кушают.
И вот в ходе одного из аудитов выясняется, что есть следы проникновения внутрь периметра. Ничего не украдено, ничего не зашифровано, но часть эндпоинтов малварью скомпрометировано, без последствий пока что…
Но нет дыма без огня, и специалисты ИБ инициируют расследование. Изоляция, дампы оперативной памяти, анализ сетевых подключений, артефакты, YARA-правила — в общем, по собственным плэйбукам и отработали, а чего в плэйбуках не было — отработали и дописали.
Итог:
— аудит провели;
— следы проникновения нашли;
— расследование инициировали;
— точку входа определили;
— затронутые злоумышленником элементы сети и активность на них выявили;
— «дырку» залатали;
— инцидент предотвратили до возникновения ущерба;
— плэйбуки дополнили, регламенты отредактировали.
В общем, ребята из *CompanyName* классно все отработали. Будьте как ребята из *Company Name*!
Все совпадения случайны. Давайте считать, что этот кейс — продукт перегретого сознания автора.
Представим себе *CompanyName* и все при ней: периметр со всеми атрибутами защиты, наружу не «торчит» почти ничего, SIEM начищенный блестит. Но ребята на SIEM надеются, но сами не плошают. Периодически проводят аудит, регламенты и плэйбуки апдейтят, хороших сотрудников по голове гладят, а неблагонадежных индивидов — против шерсти. В общем, не зря свой хлеб кушают.
И вот в ходе одного из аудитов выясняется, что есть следы проникновения внутрь периметра. Ничего не украдено, ничего не зашифровано, но часть эндпоинтов малварью скомпрометировано, без последствий пока что…
Но нет дыма без огня, и специалисты ИБ инициируют расследование. Изоляция, дампы оперативной памяти, анализ сетевых подключений, артефакты, YARA-правила — в общем, по собственным плэйбукам и отработали, а чего в плэйбуках не было — отработали и дописали.
Итог:
— аудит провели;
— следы проникновения нашли;
— расследование инициировали;
— точку входа определили;
— затронутые злоумышленником элементы сети и активность на них выявили;
— «дырку» залатали;
— инцидент предотвратили до возникновения ущерба;
— плэйбуки дополнили, регламенты отредактировали.
В общем, ребята из *CompanyName* классно все отработали. Будьте как ребята из *Company Name*!
Утечки, утечки, утечки — в последнее время, пожалуй, самые обсуждаемые в СМИ инциденты в сфере информационной безопасности. Вот и Минцифры на днях вынесло на обсуждение новый законопроект по оборотным штрафам — печальные инциденты «Яндекс Еды», «СДЭК» и Delivery Club явно сильно повлияли на настроения законотворцев. Если кратко, то финансовую ответственность при утечке данных от 10 000 до 100 000 субъектов понесут руководители компаний: им придется заплатить от 200 тыс. до 400 тыс. руб. Для ИП и юрлиц — 0,02% от оборота, но не менее 1 млн руб.
В новой версии есть и смягчающие обстоятельства — первая утечка, добровольный аудит ИБ и подтверждение предпринятых мер по защите и противодействию утечкам.
На стадии законопроекта всегда остается много белых пятен в отношении того, как будет трактоваться то или иное положение. Ясно одно, Минцифры явно не устраивает текущий порядок дел, и законодатели хотят повысить уровень защищенности персональных данных, в частности в корпоративном сегменте. Похоже, что команды по форензике и реагированию (DFIR) ждут очень интересные и насыщенные времена.
В новой версии есть и смягчающие обстоятельства — первая утечка, добровольный аудит ИБ и подтверждение предпринятых мер по защите и противодействию утечкам.
На стадии законопроекта всегда остается много белых пятен в отношении того, как будет трактоваться то или иное положение. Ясно одно, Минцифры явно не устраивает текущий порядок дел, и законодатели хотят повысить уровень защищенности персональных данных, в частности в корпоративном сегменте. Похоже, что команды по форензике и реагированию (DFIR) ждут очень интересные и насыщенные времена.
👍3
10 ноября в Москве в Mamaison (Покровка, 40с2) состоится новое мероприятие CIRF (Corporate Incident Response and Forensics), посвященное инструментам, трендам и методикам расследования, реагирования и предотвращения инцидентов в сфере ИБ.
В программе — бизнес-завтрак, интересная конференция с практикующими спикерами, обмен опытом и куча новых полезных контактов.
Если вам есть о чем рассказать со сцены и вы готовы поделиться своим бесценным уникальным опытом, мы открыты к предложениям и с радостью рассмотрим ваши доклады!
В случае если вы хотите поучаствовать в зарождении нового бизнес-ориентированного ИБ-сообщества, пообщаться с экспертами и получить альтернативный взгляд на наболевшее — ждем вас как гостя!
Stay tuned, stay online — подробнее о мероприятии расскажем в ближайшее время!
А пока регистрируемся здесь:
http://mko-security.ru/cirf
В программе — бизнес-завтрак, интересная конференция с практикующими спикерами, обмен опытом и куча новых полезных контактов.
Если вам есть о чем рассказать со сцены и вы готовы поделиться своим бесценным уникальным опытом, мы открыты к предложениям и с радостью рассмотрим ваши доклады!
В случае если вы хотите поучаствовать в зарождении нового бизнес-ориентированного ИБ-сообщества, пообщаться с экспертами и получить альтернативный взгляд на наболевшее — ждем вас как гостя!
Stay tuned, stay online — подробнее о мероприятии расскажем в ближайшее время!
А пока регистрируемся здесь:
http://mko-security.ru/cirf
Интересная ситуация разворачивается вокруг инициативы Минцифры по формированию фонда компенсаций для лиц, пострадавших от утечек информации.
На одном берегу, собственно, Минцифры, которое хочет сформировать такой фонд из нашумевших в индустрии оборотных штрафов. Допустил инцидент — заплати штраф, а денежку мы пострадавшим передадим. Инициатива на первый взгляд здравая, но адекватного механизма расчета компенсации пока не видно. Хотя ряд юристов говорит, что за счет этой инициативы можно неплохо прокачать граждан РФ в подаче коллективных исков. (Большой привет провайдерам услуг, ушедшим из РФ.)
На другом берегу — Ассоциация больших данных, заявляющая, что создать фонд — дорого и для его управления потребуются немалые деньги из бюджета страны, а размер компенсации для отдельных граждан будет мизерным. И вообще давайте мы эти деньги на аудит ИБ потратим, толку больше будет — тоже инициатива здравая. Ведь все понимают, что от инцидентов никто не застрахован, а лишний аудит ИБ — никогда не лишний! (Вот только непонятно, как быть с пострадавшими.)
А вообще, если бы мне давали по 50 рублей за каждый звонок из стоматологии, риелторского агентства или ребят, которые вот прям сейчас спишут мне и всей родне все долги…
На одном берегу, собственно, Минцифры, которое хочет сформировать такой фонд из нашумевших в индустрии оборотных штрафов. Допустил инцидент — заплати штраф, а денежку мы пострадавшим передадим. Инициатива на первый взгляд здравая, но адекватного механизма расчета компенсации пока не видно. Хотя ряд юристов говорит, что за счет этой инициативы можно неплохо прокачать граждан РФ в подаче коллективных исков. (Большой привет провайдерам услуг, ушедшим из РФ.)
На другом берегу — Ассоциация больших данных, заявляющая, что создать фонд — дорого и для его управления потребуются немалые деньги из бюджета страны, а размер компенсации для отдельных граждан будет мизерным. И вообще давайте мы эти деньги на аудит ИБ потратим, толку больше будет — тоже инициатива здравая. Ведь все понимают, что от инцидентов никто не застрахован, а лишний аудит ИБ — никогда не лишний! (Вот только непонятно, как быть с пострадавшими.)
А вообще, если бы мне давали по 50 рублей за каждый звонок из стоматологии, риелторского агентства или ребят, которые вот прям сейчас спишут мне и всей родне все долги…
Спецы из «Лаборатории Касперского» не только борются с малварью, уязвимостями и прочими угрозами, но и не забывают о социальных исследованиях (мы, кстати, поддерживаем такую позицию). На днях они закончили интересное исследование, напрямую связанное с утечками персональных данных.
Для мира, где девайсы знают о нас больше, чем мы сами (как будто есть какой-то другой мир), данные неутешительны:
49% респондентов вообще не в курсе, что о них можно найти информацию в интернете, 26% уверены, что данные о них из сети удалить нельзя, при этом 12% не знают, как это сделать.
Интересно, что порядка 20% опрошенных смущают только данные, которые компрометируют их банковские карты, а 17% вообще не переживают по поводу персональных данных в сети.
Честно говоря, нас сильно беспокоит осведомленность людей о «кибергигиене» не только в разрезе персональных данных, но и в формате корпоративной безопасности. На каждом ИБ-мероприятии с трибун и в кулуарах слышна одна и та же фраза: «Если бы всегда соблюдались инструкции и регламенты по обеспечению информационной безопасности, у специалистов ИБ было бы намного меньше работы».
Для мира, где девайсы знают о нас больше, чем мы сами (как будто есть какой-то другой мир), данные неутешительны:
49% респондентов вообще не в курсе, что о них можно найти информацию в интернете, 26% уверены, что данные о них из сети удалить нельзя, при этом 12% не знают, как это сделать.
Интересно, что порядка 20% опрошенных смущают только данные, которые компрометируют их банковские карты, а 17% вообще не переживают по поводу персональных данных в сети.
Честно говоря, нас сильно беспокоит осведомленность людей о «кибергигиене» не только в разрезе персональных данных, но и в формате корпоративной безопасности. На каждом ИБ-мероприятии с трибун и в кулуарах слышна одна и та же фраза: «Если бы всегда соблюдались инструкции и регламенты по обеспечению информационной безопасности, у специалистов ИБ было бы намного меньше работы».
10 ноября состоится CIRF (Corporate Incident Response and Forensics)
Мероприятие, по задумке организаторов направленное на то, чтобы собрать под одной крышей всех причастных к сфере информационной безопасности, максимально избегая приевшейся парадигмы «вендоры — клиенты». Его задача — сформировать комьюнити, привлечь не только крутых экспертов-технарей, но и юристов, аудиторов, руководителей и всех тех, кто может помочь взглянуть на инциденты и текущую ситуацию по-новому.
Цель CIRF — помочь всем найти заветный подорожник и место для его приложения (чтоб болело поменьше), настроить коммуникацию путем живого общения на равных, огласки неудобных вопросов и обмена опытом. Организаторы обещают минимум рекламы и максимум пользы (вот прям так на сайте и написали).
За модерацию живого общения, неудобные вопросы и атмосферу на мероприятии будет отвечать небезызвестный Дмитрий Борощук (BeholdIsHere). Среди тем докладов — фишинг, инсайдерство, аудит и юридические аспекты.
Мероприятие пройдет впервые. Посещение будет бесплатным, поэтому в этот раз количество мест ограничено (рекламненько получилось, но это факт: бюджеты у организаторов пока не резиновые). В общем, ссылку на мероприятие оставляем здесь: http://mko-security.ru/cirf
Мероприятие, по задумке организаторов направленное на то, чтобы собрать под одной крышей всех причастных к сфере информационной безопасности, максимально избегая приевшейся парадигмы «вендоры — клиенты». Его задача — сформировать комьюнити, привлечь не только крутых экспертов-технарей, но и юристов, аудиторов, руководителей и всех тех, кто может помочь взглянуть на инциденты и текущую ситуацию по-новому.
Цель CIRF — помочь всем найти заветный подорожник и место для его приложения (чтоб болело поменьше), настроить коммуникацию путем живого общения на равных, огласки неудобных вопросов и обмена опытом. Организаторы обещают минимум рекламы и максимум пользы (вот прям так на сайте и написали).
За модерацию живого общения, неудобные вопросы и атмосферу на мероприятии будет отвечать небезызвестный Дмитрий Борощук (BeholdIsHere). Среди тем докладов — фишинг, инсайдерство, аудит и юридические аспекты.
Мероприятие пройдет впервые. Посещение будет бесплатным, поэтому в этот раз количество мест ограничено (рекламненько получилось, но это факт: бюджеты у организаторов пока не резиновые). В общем, ссылку на мероприятие оставляем здесь: http://mko-security.ru/cirf
👍1
Роскомнадзор проявляет интерес к технологии, которая определяет недостоверные видеозаписи. Основной интерес — в том, чтобы выявлять дипфейки. Технология построена на оценке уровня внутренней и внешней агрессии, конгруэнтности и противоречивости. Плюсом идет сравнение информации с научными статьями и высказываниями других экспертов.
Вишенкой на торте считаем тот факт, что система успешно работает только с английским языком. Разработчики говорят, что это потому, что это самый популярный язык, а вот эксперты «Ъ» объясняют это тем, что почти все российские ИИ-разработки завязаны на открытых зарубежных библиотеках и дата-сетях для их обучения.
В любом случае для переобучения и адаптации под русский язык, как всегда, понадобятся килотонны денег и человеко-часов.
Вишенкой на торте считаем тот факт, что система успешно работает только с английским языком. Разработчики говорят, что это потому, что это самый популярный язык, а вот эксперты «Ъ» объясняют это тем, что почти все российские ИИ-разработки завязаны на открытых зарубежных библиотеках и дата-сетях для их обучения.
В любом случае для переобучения и адаптации под русский язык, как всегда, понадобятся килотонны денег и человеко-часов.
👍3
Уже в этот четверг, 10 ноября, состоится CIRF от «МКО Системы». Компания собирает практикующих экспертов и всех причастных к ИБ для создания нового комьюнити! Все для общения на равных, без статусов, должностей и рекламы.
Мероприятие пройдет в отеле Mamaison (Москва, ул. Покровка, д. 40с2).
Подробности здесь:
http://mko-security.ru/cirf
Расписание мероприятия:
10:30 — регистрация гостей;
11:00 — бизнес-завтрак;
12:00 — 17:00 — доклады спикеров (с перерывами на кофе-брейки);
17:00 — 18:00 — круглый стол (участвуют все спикеры);
18:00 — шампанское и неформальное общение с коллегами.
Мероприятие пройдет в отеле Mamaison (Москва, ул. Покровка, д. 40с2).
Подробности здесь:
http://mko-security.ru/cirf
Расписание мероприятия:
10:30 — регистрация гостей;
11:00 — бизнес-завтрак;
12:00 — 17:00 — доклады спикеров (с перерывами на кофе-брейки);
17:00 — 18:00 — круглый стол (участвуют все спикеры);
18:00 — шампанское и неформальное общение с коллегами.
Капитан, у нас течь!
Ничего нового, опять утечки, на этот раз утекло 7+ миллионов клиентских данных сервиса Whoosh.
Да-да, того, что про аренду самокатов (опустим шутки и мемы про любителей и самокатов из пабликов про экстремальные виды спорта).
В перечне утекших данных телефоны, имена, имейлы, частично данные банковских карт.
Vc.ru уже пообщались с представителем Whoosh – в общем, по официальным данным, группа хакеров воспользовалась «грубым нарушением установленных в компании правил и процедур», которое совершил один из сотрудников компании. Верится без труда – как мы не устаем повторять, если бы регламенты ИБ соблюдались, у специалистов служб информационной безопасности было бы гораздо меньше работы (и денег).
Ничего нового, опять утечки, на этот раз утекло 7+ миллионов клиентских данных сервиса Whoosh.
Да-да, того, что про аренду самокатов (опустим шутки и мемы про любителей и самокатов из пабликов про экстремальные виды спорта).
В перечне утекших данных телефоны, имена, имейлы, частично данные банковских карт.
Vc.ru уже пообщались с представителем Whoosh – в общем, по официальным данным, группа хакеров воспользовалась «грубым нарушением установленных в компании правил и процедур», которое совершил один из сотрудников компании. Верится без труда – как мы не устаем повторять, если бы регламенты ИБ соблюдались, у специалистов служб информационной безопасности было бы гораздо меньше работы (и денег).
vc.ru
Хакеры выставили на продажу данные пользователей сервиса аренды электросамокатов Whoosh — Сервисы на vc.ru
В компании заявили, что утечка произошла по вине одного из сотрудников и не затронула «наиболее чувствительные» данные.
Нет повести печальнее на свете, чем повесть о проваленном пентесте…
Коллеги из небезызвестной Positive Technologies обнародовали статистику по пентестам за 2021-2022 гг. Через их умелые руки прошло 50 проектов из 30 российских компаний. (Понятное дело, инфа без имен и лиц.) Предсказуемо, результаты неутешительны.
Если кратко:
— 96% организаций не смогли бы предотвратить преодоление злоумышленниками сетевого периметра (добро пожаловать во внутреннюю сеть);
— В 57% случаев вектор атаки не превышает двух шагов;
— В 9 из 10 случаев злоумышленник имел потенциальную возможность получить доступ к конфиденциальной информации (и коммерческой тайне);
— В 100% компаний при проведении внутреннего пентеста была доказана вероятность взятия полного контроля над ресурсами домена.
Самые распространенные причины — недосмотр по части парольной политики и непропатченный софт (а еще в 50% компаний нашли лазейки в коде веб-приложений).
В общем, ситуация крайне неприятная, но вот неожиданной мы ее назвать не можем. Призываем всех учиться на ошибках других — проводить пентесты, аудиты ИБ, пинать за пароли и не забывать обновлять софт!
Источник: https://www.anti-malware.ru/news/2022-11-16-118537/39923
Коллеги из небезызвестной Positive Technologies обнародовали статистику по пентестам за 2021-2022 гг. Через их умелые руки прошло 50 проектов из 30 российских компаний. (Понятное дело, инфа без имен и лиц.) Предсказуемо, результаты неутешительны.
Если кратко:
— 96% организаций не смогли бы предотвратить преодоление злоумышленниками сетевого периметра (добро пожаловать во внутреннюю сеть);
— В 57% случаев вектор атаки не превышает двух шагов;
— В 9 из 10 случаев злоумышленник имел потенциальную возможность получить доступ к конфиденциальной информации (и коммерческой тайне);
— В 100% компаний при проведении внутреннего пентеста была доказана вероятность взятия полного контроля над ресурсами домена.
Самые распространенные причины — недосмотр по части парольной политики и непропатченный софт (а еще в 50% компаний нашли лазейки в коде веб-приложений).
В общем, ситуация крайне неприятная, но вот неожиданной мы ее назвать не можем. Призываем всех учиться на ошибках других — проводить пентесты, аудиты ИБ, пинать за пароли и не забывать обновлять софт!
Источник: https://www.anti-malware.ru/news/2022-11-16-118537/39923
Anti-Malware
96% российских компаний не сдали пентест
96% организаций оказались не защищены от проникновения в локальную сеть. Positive Technologies обнародовала результаты пентестов за 2021-2022 годы. Во всех компаниях был взят полный контроль над
DFIR VS $,
или скидки от шифровальщиков
Бизнес есть бизнес, даже если он нелегальный, даже если это вымогательство, даже если это шифрование. В общем, шифровальщики делают дисконт для жертв из РФ. Вошли в положение, так сказать. А что? Себестоимость атак ниже, а жертв регуляторы поджимают, того гляди и расследовать начнут, дыры все позакрывают…
В общем, по данным «РТК-Солар», размеры выкупа в 2022 году снизились вопиюще — почти в 20 раз! По данным от Positive Technologies и Coaltion, — поменьше. А цена на малварь для атак при этом упала в 10-12 раз.
Не лишним будет упомянуть, что количество атак (шифровальщиков) на компании РФ после февральских событий выросло в 3 раза. Хотя тут дело не только в деньгах: много было и политических акций с последующей публикацией данных в публичном пространстве.
Источник: https://infobezopasnost.ru/blog/news/hakery-pozhaleli-rossijskie-kompanii/
или скидки от шифровальщиков
Бизнес есть бизнес, даже если он нелегальный, даже если это вымогательство, даже если это шифрование. В общем, шифровальщики делают дисконт для жертв из РФ. Вошли в положение, так сказать. А что? Себестоимость атак ниже, а жертв регуляторы поджимают, того гляди и расследовать начнут, дыры все позакрывают…
В общем, по данным «РТК-Солар», размеры выкупа в 2022 году снизились вопиюще — почти в 20 раз! По данным от Positive Technologies и Coaltion, — поменьше. А цена на малварь для атак при этом упала в 10-12 раз.
Не лишним будет упомянуть, что количество атак (шифровальщиков) на компании РФ после февральских событий выросло в 3 раза. Хотя тут дело не только в деньгах: много было и политических акций с последующей публикацией данных в публичном пространстве.
Источник: https://infobezopasnost.ru/blog/news/hakery-pozhaleli-rossijskie-kompanii/
Инфобезопасность
Хакеры пожалели российские компании
Хакеры, которые используют программы-шифровальщики, уменьшили сумму выкупа для российских компаний. Эксперты называют сразу несколько причин такого снижения: падение стоимости самих атак и ПО для их проведения, более низкие цены на расследование таких инцидентов…
10 ноября состоялось первое мероприятие под флагом CIRF (CORPORATE INCIDENT RESPONSE AND FORENSICS). Надеемся, что вы там присутствовали, а если нет, вот краткая сводка того, что там было:
Первый блин комом не вышел – как и планировалось, CIRF получился неформальной зоной общения для экспертов ИБ и ИТ, технических специалистов, юристов и разработчиков. Мероприятие получилось не только интересным и полезным, но и наполненным юмором, жаркими дискуссиями и «неудобными» вопросами.
Все началось с бизнес-завтрака, на котором, в формате блуждающего микрофона, начали зарождаться первые признаки дискуссий.
Затем все переместились в конференц-зал, в котором спикеры делились своим опытом, каждое выступление сопровождалось жарким обсуждением и огромным количеством вопросов.
После всех докладов, вопросов и кофе-брейков состоялось вручение наград спикерам с самыми интересными докладами и участникам с самыми интересными вопросами, и конечно-же открытая дискуссия по текущим тенденциям, трендам и проблемам ИБ.
Подводя итоги:
- CIRF удался
- CIRF еще вернется
- Жаркие дискуссии не угасают в нашем чате - https://news.1rj.ru/str/cirf_chat
- Ссылка на презентации докладчиков – https://disk.yandex.ru/d/1hC0zNyZkmkceg
- Фото здесь - https://disk.yandex.ru/d/xuYmizWk_bNpEQ
- Сайт мероприятия - http://mko-security.ru/cirf
Продуктивного дня, надеемся на скорую встречу на CIRF!
Первый блин комом не вышел – как и планировалось, CIRF получился неформальной зоной общения для экспертов ИБ и ИТ, технических специалистов, юристов и разработчиков. Мероприятие получилось не только интересным и полезным, но и наполненным юмором, жаркими дискуссиями и «неудобными» вопросами.
Все началось с бизнес-завтрака, на котором, в формате блуждающего микрофона, начали зарождаться первые признаки дискуссий.
Затем все переместились в конференц-зал, в котором спикеры делились своим опытом, каждое выступление сопровождалось жарким обсуждением и огромным количеством вопросов.
После всех докладов, вопросов и кофе-брейков состоялось вручение наград спикерам с самыми интересными докладами и участникам с самыми интересными вопросами, и конечно-же открытая дискуссия по текущим тенденциям, трендам и проблемам ИБ.
Подводя итоги:
- CIRF удался
- CIRF еще вернется
- Жаркие дискуссии не угасают в нашем чате - https://news.1rj.ru/str/cirf_chat
- Ссылка на презентации докладчиков – https://disk.yandex.ru/d/1hC0zNyZkmkceg
- Фото здесь - https://disk.yandex.ru/d/xuYmizWk_bNpEQ
- Сайт мероприятия - http://mko-security.ru/cirf
Продуктивного дня, надеемся на скорую встречу на CIRF!
👍1