Анализ угроз информационной безопасности

Во сколько злоумышленникам обходятся подготовка и проведение целевых кибератак (Advanced Persistent Threat, APT)? Компании должны понимать методики APT-атак, ведь очевидно, что прибыль от реализованного взлома должна превосходить затраты, помноженные на время. Именно из этих соображений подбирается тактика, определяется скорость продвижения в инфраструктуре и создаётся инструментарий взломщика.

Мы собрали оценки зарегистрированного уровня DDoS-атак, наблюдавшихся в I квартале 2022 г. российскими компаниями «Лаборатория Касперского», Qrator Labs и StormWall, а также американским телеком-оператором Lumen Technologies. Действительно ли DDoS-атаки в этот период носили экстремальный характер и нанесли российским ресурсам ощутимый ущерб? Анализ четырёх отчётов, выпущенных независимо друг от друга, позволяет сделать выводы.

В России в условиях санкций растёт спрос на отечественные программные разработки, для создания которых нередко используется софт с открытым исходным кодом (Open Source). Чем это может обернуться? Какие опасные уязвимости присутствуют в финансовых приложениях и угрожают пользователям и организациям? Что интересует злоумышленников в первую очередь?

Сервис «Яндекс.Еда» оштрафован на 60 тыс. рублей за утечку данных. Пользователи получили от «Яндекса» инструкции, как вести себя при поступлении звонков с неизвестных номеров. Однако ущерб от этой утечки может оказаться значительно выше.

Кампании операторов программ-вымогателей (шифровальщиков), атаки APT-группировок на промышленные сети (АСУ ТП) и государственные учреждения. Крупные утечки конфиденциальной информации и рекордные суммы выкупов, а также продолжение истории с «удалёнкой» и связанными с ней киберрисками. Чем отметился 2021 год для информационной безопасности?

Фишинг и программы-вымогатели (шифровальщики, ransomware) — очень опасные и при этом тесно связанные киберугрозы. Сотрудники организаций, пользующиеся корпоративной почтой, мессенджерами, просматривающие веб-страницы в браузере, всегда могут столкнуться с ними. Что лучше: организовать защиту собственными силами или воспользоваться сервисной моделью?

Как подобрать правильный набор средств защиты информации (СЗИ), который поможет защитить онлайн-ресурсы компании от современных киберугроз? Расскажем о защите веб-сайтов от DDoS-атак и взлома.

OAuth 2.0 — протокол авторизации, позволяющий входить на сайты с помощью профиля в социальных сетях. Протокол имеет гибкую структуру, в нём отсутствуют обязательные функции безопасности, что повышает вероятность успешной атаки со стороны злоумышленников. Наличие уязвимостей в OAuth 2.0 зависит от правильности применения потоков протокола, а также от использования его параметров.

Zero-Click Attacks или 0-click — интересная форма кибератаки, которую злоумышленники реализуют безо всякого взаимодействия с пользователем. В чём состоит риск компрометации данных на мобильном устройстве под управлением iOS или Android при использовании беспроводных каналов связи (GSM, Wi-Fi, NFC)? Как защититься от атаки, которой не видно и начало которой практически невозможно отследить?

Последнее время об утечках персональных данных слышно всё чаще. Они происходят не только в компаниях. Нередко люди выкладывают свои персональные данные на обозрение всему интернету, сами того не понимая. Частой причиной таких утечек является неверная настройка программного обеспечения, в котором хранятся эти данные.