Перейти к содержанию

Форумы Anti-Malware

Showing all content posted in for the last 365 days.

This stream auto-updates     

  1. Yesterday
  2. Ego Dekker
    ESET Cyber Security 8.2.800 (macOS 11/12/13/14/15) ● Руководство пользователя ESET Cyber Security 8 (PDF-файл) Полезные ссылки: Технологии ESET Удаление антивирусов других компаний Как удалить ESET Cyber Security?
  3. Earlier
  4. AM_Bot
    Весной Positive Technologies запустила сервис PT Knockin. Он позволяет в один щелчок мышью проверить защищённость корпоративной электронной почты и в короткие сроки устранить проблемы. Рассмотрим функциональные возможности и сценарии применения PT Knockin. ВведениеФункциональные возможности PT KnockinКак проверить свою почту с помощью PT KnockinВозможности коммерческой версии PT KnockinСценарии использования PT KnockinВыводыВведениеПо данным Positive Technologies, самым популярным методом атак на организации остаётся использование вредоносных программ (ВП): во втором квартале 2024 года его применяли в 64 % успешных взломов. В половине случаев ВП попадали в инфраструктуру через корпоративную почту: пользователи заражали компанию, открывая и запуская нежелательные объекты из писем. Такие вложения могут иметь множество форм и выглядеть как безопасные файлы — офисные документы, PDF, картинки, архивы и т. д. Содержимое вредоносного файла загружается на рабочую станцию с помощью эксплойта, который использует уязвимости ПО. Злоумышленники также могут включить в документ вредоносный макрос и с помощью методов социальной инженерии убедить пользователя нажать кнопку «Включить содержимое». В результате макрос запускается и заражает компьютер жертвы.Далеко не каждая компания может быть уверена, что её почтовая защита справится с любой вредоносной программой, особенно учитывая скорость создания новых экземпляров и появления разных способов их маскировки. Кроме того, любое обновление систем влечёт за собой изменения в настройках средств защиты почты и, как следствие, неконтролируемое ослабление безопасности. Оценить результативность работы почтовых СрЗИ и их способность блокировать письма с вредоносными вложениями поможет сервис от Positive Technologies — PT Knockin.Функциональные возможности PT KnockinPT Knockin — онлайн-сервис для оценки защищённости корпоративной почты. Он имитирует действия злоумышленников, отправляя на проверяемый адрес письма с вложениями, в которых замаскированы вредоносные программы. Содержимое файлов не представляет реальной угрозы для компании, так как подготовлено специальным образом и обезврежено: файлы воспроизводят различные вредоносные техники, но не оказывают негативного воздействия.На текущий момент в PT Knockin имеется более 1200 вариантов атак с различными образцами вредоносных программ, в том числе такими, которые активно используются для эксплуатации трендовых уязвимостей — например, CVE-2023-38831 в программном обеспечении WinRAR или CVE-2024-21412 для обхода MotW и Windows SmartScreen. PT Knockin умеет:отправлять экземпляры вредоносных программ на электронную почту, в т. ч. с собственного SMTP-сервера компании, и доставлять их с помощью ссылок;упаковывать их в различные форматы архивов, в том числе с паролями, для имитации вариантов атак;формировать из образцов ВП атаку для своего окружения;задавать расписание атак для регулярной проверки защищённости;проверять почтовые серверы компании на наличие уязвимостей автоматически и вручную;предоставлять описание атаки и рекомендации для защиты от подобных угроз (библиотека образцов).PT Knockin относится к SaaS-решениям — его преимуществом является возможность провести проверку почтовой защиты онлайн, без установки дополнительного ПО. Для знакомства с сервисом можно воспользоваться его бесплатной версией.Как проверить свою почту с помощью PT KnockinПерейдите на страницу сервиса knockin.ptsecurity.com и введите адрес корпоративного ящика, который хотите проверить. Не забудьте подтвердить, что принимаете условия использования сервиса. Согласие на обработку персональных данных и получение рассылок позволит присылать вам новости о появлении новых образцов и функций. Рисунок 1. Главная страница сервиса PT Knockin На указанный при регистрации адрес придёт проверочный код, который необходимо ввести в соответствующее поле на странице сервиса. Это необходимо для подтверждения принадлежности почты, чтобы избежать несанкционированных проверок вашего ящика. Рисунок 2. Поле для введения проверочного кода После введения проверочного кода сервис перенаправит вас в личный кабинет для настройки будущей проверки. Рисунок 3. Интерфейс настройки проверки в личном кабинете На момент написания статьи пользователям бесплатной версии доступны 24 образца ВП из 82 и возможность отправить до 500 писем для проверки. Различия бесплатной и платной версий будут подробнее описаны ниже.В блоке «Сохранённые атаки» есть четыре преднастроенные группы, которые сформированы экспертами Positive Technologies согласно уровням сложности вредоносных программ. При выборе той или иной группы в блоках «Параметры отправки» и «Семплы» будут определены соответствующие образцы и способы их доставки.В блоке «Семплы» представлены все варианты проверок. При самостоятельной настройке проверки следует выбрать те варианты атак, которые подходят для вашего корпоративного окружения. Другими словами, вы можете выбрать те типы файлов, с которыми работают в вашей компании.Хакеры используют разные способы доставки вредоносных программ, в т. ч. несколько способов упаковки. В блоке «Упаковывать семплы» можно выбрать один или несколько архиваторов и установить пароли.Для знакомства с системой можно воспользоваться одной из преднастроенных групп или настроить проверку самостоятельно. Для демонстрации была выбрана группа «Стандартный уровень» и запущена проверка (внимание: проверка подразумевает отправку 182 писем на вашу электронную почту).На почту обязательно должно прийти письмо с темой «[PT] Проверочное письмо». Оно является индикатором того, что проверка успешно начата и вам на электронную почту отправлены все образцы, выбранные при настройке. В этом письме нет ВП или ссылок на них. Если письмо не пришло, следует определить причину, почему оно не было получено. Рисунок 4. Пример проверочного письма В зависимости от специфики почтовых средств защиты и их настроек вам может прийти какое-то количество писем с образцами ВП. Чем их меньше, тем лучше. В случае безупречной работы защиты вы не получите ни одного письма с ВП.Важно! После сверки количества доставленных писем с количеством отправленных настоятельно рекомендуем проанализировать правила, с помощью которых недоставленные письма были заблокированы системой защиты информации (СЗИ).В прошлом мы сталкивались с тем, что СЗИ блокировала IP-адрес SMTP-сервера. Кроме того что такой подход может помешать корректной работе PT Knockin, он неспособен защитить от реальных атак, поскольку хакеры создают собственные адреса и почтовые серверы.Если вы столкнулись с похожими правилами, рекомендуется отключить их, провести проверку повторно и включить правила снова. Так вы увидите реальное количество писем, которое может отфильтровать ваша СЗИ.Далее необходимо проверить каждое письмо и отметить в отчёте, получено ли оно на электронную почту, а если получено — удалось ли средствам защиты обезвредить вложение. Инструкция относительно того, как это проверить, содержится в самом письме. Рисунок 5. Пример письма с инструкциями В отчёте необходимо отметить статусы всех писем. Рисунок 6. Экран отчёта, где необходимо отметить, какие письма были доставлены После нажатия кнопки «Продолжить» система сгенерирует отчёт и даст рекомендации по устранению уязвимостей. Рисунок 7. Экран отчёта о проведённой проверке с рекомендациями по защите от подобных угроз После выполнения всех рекомендаций желательно провести повторную проверку и убедиться, что настройки сработали.Возможности коммерческой версии PT KnockinВерсия по подписке предоставляет дополнительные преимущества по сравнению с бесплатной версией. Бесплатная версияПлатная подпискаДоступные образцы ВП2482Обновление образцов1 раз в месяц4 раза в месяцКорпоративные домены1До 10Количество писем для проверки500До 10 000Сохранение сценариев отправкиНетДаАвтоматическая отправка по расписаниюНетДаPT Knockin внесён в единый реестр российского ПО.Сценарии использования PT KnockinСуществует несколько сценариев использования PT Knockin:Оценка актуального состояния защиты электронной почты.Сравнение различных СЗИ при выборе поставщика.Проведение регулярного аудита защищённости электронной почты (например, при обновлении или перенастройке СЗИ).Проверка защиты после появления новых трендовых ВП.ВыводыБесплатная версия PT Knockin — простой способ проверить, насколько хорошо защищена ваша электронная почта. Для проверки не нужно ничего устанавливать: достаточно ввести адрес и подтвердить его. Коммерческая версия PT Knockin позволит провести более глубокий анализ защищённости корпоративной почты и сделать проверки регулярными. Это поможет реагировать на новые уязвимости и устранять их раньше, чем произойдёт атака.Достоинства: Проверяет надёжность защиты почтового сервера, эмулируя реальные атаки без опасности для инфраструктуры.Проверяет на самые трендовые вредоносы.Оценивает защищённость почты за две минуты.Даёт рекомендации по улучшению работы СЗИ.Формирует отчёт по проведённым атакам.Позволяет гибко настраивать симуляцию.Есть образцы ВП для платформ Windows и Linux.Регулярная проверка электронной почты по расписанию.Недостатки: Отсутствуют образцы ВП для платформ macOS, Android, iOS.Отсутствуют проверки SPF, DKIM, DMARC, PTR.Отсутствует проверка на перебор пользователей на SMTP.Нет проверки облачных почтовых служб.Реклама, АО "Позитив Текнолоджиз", ИНН 7718668887, 16+Читать далее
  5. santy
    Выявлять это можно через критерий: C:\WINDOWS\SYSTEM32\WUAUENG.DLL HKLM\System\CurrentControlSet\Services\wuauserv_bkp\Parameters\ServiceDLL а для исправления нужен твик с соответствующим файлом reg из чистой системы, например, wuauserv.reg для соответствующей системы.
  6. demkd
    --------------------------------------------------------- 4.99.2 --------------------------------------------------------- o Это обновление повышает качество работы с удаленной системой и снимает некоторые ограничения. Работа с удаленным рабочим столом вышла на новый уровень недостижимый для подавляющего большинства программ удаленного управления. Функция оптимизирована для работы в локальной сети, что обеспечивает минимальный, почти неощутимый лаг и высокий максимальный fps. Дополнительно это обновление исправляет проблему с анализом ответа от сервиса VT. o Для Windows 8 и старше для получения копии экрана теперь используется Desktop Duplication API + DX11, который уменьшает загрузку процессора в удаленной системе и изменяет FPS в зависимости от интенсивности изменения содержимого экрана, что позволяет устанавливать нулевую задержку для обновления экрана без существенной загрузки процессора, что в свою очередь обеспечивает минимальный инпут лаг. В этом режиме состояние кнопки "CAPBLT" игнорируется. Максимальный fps в этом режиме минимум в 2 раза выше, чем в устаревших системах. o В клиентской части для отрисовки экрана задействован Direct2D с поддержкой использования ресурсов видеокарты, что позволяет отображать удаленный рабочий стол с приличным FPS даже при масштабировании кадра. Качество масштабирования экрана при использовании аппаратного ускорения стало заметно выше. (!) Минимальные требования Vista SP2/Windows Server 2008 SP2. o Добавлена поддержка передачи стандартных курсоров, стандартные курсоры не рендерятся на рабочий стол, а устанавливаются в клиентской системе, что позволяет избежать лагов при движении курсора и повышает fps. (!) В удаленных системах без физической мыши для поддержки этой функции необходимо активировать отображение курсора мыши. (!) Win+U -> Мышь и выбрать "Управлять мышью с помощью клавиатуры". o Исправлена и оптимизирована функция сжатия фреймов при работе с удаленным рабочим столом, из-за ошибки не поддерживались фреймы размером более 2560x1600 пикселей. Время сжатия фрейма уменьшено на 40%. (для 32/24 битных режимов) Коэффициент сжатия фрейма увеличен на 25%. (для всех режимов) (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках флаг bReUseRemote = 1, (!) то перед обновлением необходимо закрыть все серверные часть uVS на удаленных компьютерах с помощью (!) старой версии uVS. o В целях уменьшения трафика добавлена поддержка понижения цветности для 32/24/16bpp режимов экрана (детализация не понижается, а лишь удаляется избыточная информация о цвете). Вы можете выбрать в списке 24bpp (24 бита на цвет), 15bpp (15 бит) и 7bpp (7 бит). 7bpp это черно-белый режим со 128 градациями серого. Яркость в это режиме представлена средним арифметическим цветовых компонент, этот вариант смотрится лучше и требует меньше ресурсов процессора, чем "правильное" обесцвечивание. Каждый шаг понижения цветности экономит до 70% трафика относительно предыдущего режима, однако 24bpp позволяет достичь максимального fps (только при достаточной ширине канала), за счет минимального времени сжатия картинки. o Повышена точность трансляции координат курсора. o Добавлена дополнительная кнопка "1:1", при нажатии на нее устанавливается размер отображаемого рабочего стола 1:1 (при физической возможности), а при нажатии на нее правой кнопкой мыши высота окна остается неизменной, а ширина окна подстраивается под соотношение сторон удаленного рабочего стола. o Изменена функция кнопки "[ ]", при при первом нажатии на нее высота удаленного рабочего стола становится максимальной с учетом высоты таскбара, при повторном нажатии размер удаленного рабочего стола масштабируется до максимума в соответствии с текущим разрешением клиентского монитора и учетом соотношения сторон исходного изображения вплоть до перехода в полноэкранный режим, заголовок окна и управляющие кнопки автоматически скрываются и проявляются если подвести курсор мыши к верхней границе дисплея, эффект от третьего нажатия на эту кнопку соответствует эффекту от первого нажатия. Горячая клавиша RWIN доступна и в полноэкранном режиме, при ее нажатии в клиентской системе полноэкранный режим будет отменен и будет активировано ближайшее окно другого приложения (эмуляция Alt+Tab), при повторном ее нажатии или переключении в окно удаленного рабочего стола полноэкранный режим будет восстановлен. o Передача удаленного рабочего стола и нажатий кнопок теперь производится через сокет открываемый на время передачи по случайному порту, что позволило дополнительно повысить FPS и отзывчивость удаленного интерфейса. Серверная часть uVS на удаленном компьютере автоматически добавляет себя в исключения брандмауэра Windows при запуске и удаляет себя из исключений при завершении. При использовании стороннего фаервола необходимо добавить uVS в исключения самостоятельно на удаленной машине, в этом случае необходимо прописать bFixedName=1 в settings.ini, что бы имя исполняемого файла было постоянным. В качестве имени удаленного компьютера допустимо использовать: o IPv4 (подключение по TCP-IPv4, максимальная скорость запуска серверной части) o Имя компьютера (автоматический выбор версии IP, скорость передачи картинки выше в случае TCP-IPv6 в пределах 4%) o Доменное имя (автоматический выбор версии IP) (!) Приоритетным протоколом является IPv6, т.е. если у удаленной системы есть IPv4 и IPv6 адрес, то подключение будет по IPv6. (!) Если вы используете Ф или сторонний фаервол то в клиентской и удаленной системе необходимо разрешить исходящие запросы (!) по протоколу ICMPv6 для SYSTEM. (!) Подключение по IPv6 доступно начиная с WinXP. (!) Для работы с удаленной системой без отображения рабочего стола внесение изменений в настройки фаервола не требуется. o Новый параметр в settings.ini [Settings] ; Использовать IPv6 при подключении к удаленному рабочему столу. bIPv6 (по умолчанию 1) o В окне удаленного рабочего увеличено количество поддерживаемых мониторов с 6 до 10 (кнопки 1-10). o Окно удаленного рабочего стола теперь не приходится перезапускать при смене разрешения, положения или смены состояния текущего монитора в удаленной системе. o При работе с удаленным рабочим столом добавлена поддержка нажатия Ctrl+Alt+Del (кнопка CAD) для Windows Vista и старше. Для реализации этой функции добавлен новый модуль: usas. (!) На время его выполнения модифицируется групповая политика для разрешения использования SAS. (!) Чтобы эта функция работала в Windows Server 2008 и Windows Vista, (!) необходимо скопировать библиотеку(и) sas.dll из Windows 7: (!) C:\Windows\System32\sas.dll и C:\Windows\SysWOW64\sas.dll (для Vista x64 нужны обе) (!) и поместить их в C:\Windows\System32 и C:\Windows\SysWOW64 соответственно. (!) Эти библиотеки из Windows 7 были добавлены в STORE (каталоги NT60 и NT60x64). o Улучшена функция получения доступа к защищенным от чтения файлам на NTFS разделах. Теперь файлы, которые полностью защищены от открытия на уровне ядра, т.е. те что ранее не читались uVS, можно проверять по хэшу, копировать в Zoo и проверять их ЭЦП (в том числе и драйвер Ф). Добавлена поддержка чтения мелких защищенных файлов и файловых потоков полностью помещающихся в записи MFT. (новая функция прямого доступа к диску портирована из badNTFS Pro v2.21) o Обновлено окно лога для более быстрого добавления в него строк из нескольких потоков одновременно. Отображение строки лога ограничено 512 символами, однако при копировании строки или всего лога в буфер обмена копируется строка исходной длины, теперь лимита на длину строки нет. o Снят лимит на длину строк в окне информации о файле. o Снят лимит на путь и длину командной строки в окне истории процессов и задач. o Максимальный размер cmd/vbs и т.д. текстовых файлов, хранящихся в описании файла в поле #FILE#, увеличен до 128kb. Восстановить файл из образа автозапуска можно поместив значение данного поля в буфер обмена и далее сохранив его в любом текстовом редакторе. o В лог добавлено состояние брандмауэра. (0 - выключен, 1 - включен). o В окно установленных программ добавлена кнопка "Сохранить", которая сохраняет список программ в текстовый файл. o Обновлены start и start_x64: улучшена четкость шрифта в новых системах. o Обновлена функция разбора ответа от сервиса VT. Дополнительно в лог добавлены результаты из раздела sigma_analysis. o Окно истории процессов и задач стало немодальным. Перейти в это окно теперь можно из окна информации через его контекстное меню при щелчке правой кнопкой мыши по строке содержащей pid. (!) История процессов доступна лишь при активном отслеживании процессов и задач. (твик #39) o Исправлена критическая ошибка в функции обновления окна списка. o Исправлена критическая ошибка в функции проверки одного файла по списку критериев. o Исправлена критическая ошибка в функции сканирования реестра: длинные значения ключей полностью игнорировались. Теперь при обнаружении значения длиной свыше 1024 байт в лог выводится предупреждение с указанием ключа, имени значения и содержимого значения. Если в значении будет выделен файл то файл становится подозрительным. Эта ошибка присутствовала с v1.0. o Исправлена ошибка при открытии окна удаленного рабочего стола, задержка обновления экрана была 50мс вне зависимости от текущих настроек до ее изменения вручную. o Обновлена функция определения файлов запускавшихся неявно для совместимости с новыми билдами Windows. o Исправлена ошибка из-за которой в очень редких случаях мог не отображаться удаленный рабочий стол. o Исправлена функция обработки двойного щелчка кнопкой мыши. o Исправлена ошибка из-за которой клиент мог долго завершать работу с выдачей ошибок при штатном завершении серверной части. o Исправлена ошибка [Error: 0x80004002 - Интерфейс не поддерживается] в твике(27) удаления политик Chrome при работе с удаленной системой и при выполнении команды "regt 27" из скрипта. o Для Windows 11 возвращен оригинальный стиль чекбоксов, начиная с некоторого обновления их наконец-то исправили.
  7. Ego Dekker
    Домашние антивирусы для macOS были обновлены до версии 7.5.74. Добавлена поддержка macOS Sequoia (версия 15). Для ESET Cyber Security 7-й версии установлена ограниченная поддержка.
  8. Ego Dekker
    Домашние антивирусы для Windows были обновлены до версии 17.2.8.
  9. Ego Dekker
    ESET Online Scanner был обновлён до версии 3.7.4.0.
  10. PR55.RP55
    demkd На форумах ( на всех ) прежде всего используется программа FRST ( часто... в связке с uVS) Можно ли сделать программу для анализа лога? Или некое дополнение к текстовому редактору В помощь оператору. Например в HiJackThis Fork есть - ( список игнорирования ) Команда: Добавить в список игнорирования; Добавить всё в список игнорирования. А можно добавить команду: Найти ранее удаляемые объекты и пометь их закладкой. ; Разбить строки для удобства чтения и т.д. Заранее спасибо
  11. AM_Bot
    Дефицит кадров на рынке ИБ привёл к увеличению количества услуг, предоставляемых как интеграторами, так и вендорами. «Лаборатория Касперского» тоже предлагает ряд сервисов: выявление кибератак, реагирование на инциденты в ИБ, анализ защищённости, мониторинг цифровых рисков и другие. ВведениеKaspersky Digital Footprint IntelligenceKaspersky Compromise AssessmentKaspersky Security AssessmentKaspersky SOC ConsultingKaspersky Tabletop ExerciseKaspersky Adversary Attack EmulationKaspersky Cybersecurity TrainingKaspersky Managed Detection and ResponseKaspersky Incident ResponseKaspersky Ask The AnalystВыводыВведение«Лаборатория Касперского» активно развивает перечень сервисов по информационной безопасности, предоставляемых ею. Основная предпосылка для этого — недостаток квалифицированных кадров с богатым опытом на рынке ИБ. Так, согласно исследованию Kaspersky, 42 % компаний обращаются к поставщикам управляемых ИБ-услуг (MSSP) в связи с нехваткой собственных специалистов, а 36 % опрошенных отметили недостаток опыта в сфере кибербезопасности внутри своей организации.Услуги, предоставляемые «Лабораторией Касперского», охватывают весь цикл работы с киберугрозами: прогнозирование, предотвращение, обнаружение и реагирование. Рисунок 1. Услуги Kaspersky в соответствии с циклом киберугроз Kaspersky Digital Footprint IntelligenceВ рамках услуги предоставляется комплексный мониторинг цифровых рисков, который помогает компаниям отслеживать свои цифровые активы и обнаруживать угрозы на теневых ресурсах (дипвеб, даркнет и дарквеб).Сервис позволяет оперативно реагировать на возникающие в отношении цифровых активов угрозы, что снижает вероятность нанесения репутационного ущерба бренду, потери доверия клиентов и остановки бизнес-операций в целом.Типы угроз, с которыми работает услуга, включают в себя:угрозы связанные с сетевым периметром, такие как неправильно настроенные службы, незакрытые уязвимости, повреждённые или скомпрометированные ресурсы;угрозы связанные с даркнетом, в том числе схемы мошенничества и планы киберпреступников, украденные кредитные карты, инсайдерская деятельность, продажа доступов и баз данных;угрозы связанные с вредоносным кодом, включая фишинговые атаки, целевые атаки и APT-кампании;утечки данных и конфиденциальной информации, в том числе скомпрометированные учётные записи партнёров, сотрудников и клиентов;неправомерное использование бренда, заключающееся в подделке веб-сайтов компании, учётных записей в соцсетях и мобильных приложений, размещённых в Google Play и App Store.Kaspersky Compromise AssessmentKaspersky Compromise Assessment (CA) позволяет выявить активные кибератаки, а также обнаружить следы прошлых взломов, не зафиксированных и не предотвращённых средствами защиты информации. CA повышает возможности защиты от киберугроз без необходимости инвестировать в дополнительный персонал или экспертизу: обнаруживает и анализирует происходящие в данный момент и произошедшие в прошлом инциденты, а также составляет список систем, затронутых этими инцидентами. Эксперты «Лаборатории Касперского» обеспечивают проактивное обнаружение и расследование целевых атак, чтобы обеспечить безопасность бизнес-активов в любой отрасли.Проведение подобных работ может потребоваться, если есть косвенные признаки, указывающие на взлом инфраструктуры компании. К таким признакам относятся:атака на сети партнёров или подрядчиков;пристальное внимание злоумышленников к сектору экономики, в котором функционирует компания;подозрение на компрометацию сети организации или появление непроверенной информации о таком инциденте.Кроме того, поиск следов компрометации может понадобиться, если есть требование регулятора проводить такие работы на периодической основе или нужна оценка интегрируемой инфраструктуры в процессе слияния и поглощения. Полезен он и после реагирования на инцидент, когда есть необходимость удостовериться, что сеть не взломана другими группировками, использующими иные техники и инструменты.Работы проводятся в несколько этапов: сбор данных, анализ и активный поиск угроз, валидация инцидента и раннее реагирование, подготовка отчётности.По результатам работы сервиса заказчик получает заключение о выявленных следах взлома сети, релевантные аналитические данные и индикаторы компрометации (IoC), рекомендации по устранению последствий и по защите ресурсов от аналогичных атак в будущем.Kaspersky Security AssessmentАнализ защищённости — популярный у многих компаний формат поиска уязвимостей в инфраструктуре и векторов атак, которые могут быть применены злоумышленниками. В сервис от «Лаборатории Касперского» входят как привычное тестирование на проникновение, так и анализ защищённости приложений, промышленных сетей, банкоматов, POS-терминалов и оценка безопасности беспроводных сетей.Результатом работ является подробный отчёт о процессе тестирования, его результатах и обнаруженных уязвимостях, с рекомендациями по их устранению.Анализ защищённости промышленных системЭто направление анализа особенно актуально в связи с участившимися атаками на промышленный сектор. В ходе работ проводится анализ защищённости как всей инфраструктуры АСУ ТП, так и её компонентов.Сервис позволяет выявить недостатки защиты АСУ ТП, обеспечить её соответствие внутренним, отраслевым и государственным стандартам, а также избежать потенциального ущерба и угроз для жизни и здоровья людей за счёт своевременного обнаружения и устранения уязвимостей, которые могут быть использованы при проведении атак на АСУ ТП. Кроме того, проводимые работы дают возможность выявить уязвимости компонентов АСУ ТП, таких как SCADA, ПЛК и другие.Анализ защищённости банкоматов и POS-терминаловСервис позволяет обнаружить уязвимости, использование которых поможет злоумышленникам несанкционированно снимать наличные, проводить неавторизованные транзакции, собирать данные платёжных карт клиентов или проводить DoS-атаки. Также сервис даёт возможность выявить проблемы в системе защиты банкоматов и POS-терминалов, найти неизвестные ранее уязвимости в управляющем ПО банкомата (в т. ч. позволяющие выйти из режима киоска и получить доступ к ОС), проанализировать возможность развития атаки на смежные устройства, процессинговый центр и банковскую сеть.Анализ защищённости приложенийРаботы по анализу защищённости приложений проводятся с использованием методов чёрного, серого и белого ящиков, что позволяет как эмулировать действия внешних злоумышленников, так и разбирать недостатки приложения, зная его код. Также возможно проведение тестирования при включённых и выключенных механизмах превентивной защиты брандмауэра веб-приложений (WAF) для проверки эффективности обнаружения и блокирования атак.Kaspersky SOC ConsultingСоздание собственного центра мониторинга (SOC) — ответственный и долгосрочный проект, который трудно реализовать без экспертной поддержки. Услуга по SOC-консалтингу предназначена для компаний, которые планируют строить и развивать внутренний центр мониторинга. Цель сервиса — разработка дизайн-концепции SOC, которая будет учитывать задачи и инфраструктуру клиента, а также обеспечит эффективную эксплуатацию и дальнейшее развитие центра.В рамках работ решаются следующие задачи:разработка общей концепции SOC в части технических средств, команды и сервисной модели;определение детальной организационно-штатной структуры SOC, ролей, задач, режима работы, программы обучения, планирование численности команды и т. д.;разработка технической архитектуры в части средств самого SOC, источников и потоков данных, смежных и внешних систем;разработка сервисов и процессов SOC, а также соответствующих процедур для их реализации;разработка специфичных сценариев детектирования угроз ИБ (use cases) и реагирования на инциденты (playbooks);разработка метрик и индикаторов (KPI) для контроля эффективности деятельности SOC и шаблонов отчётности для аудиторий разного уровня;разработка стратегии и плана развития SOC, постпроектная поддержка и консультирование.Работы проводятся в несколько этапов, включающих в себя сбор информации, проектирование SOC, сопровождение внедрения и развёртывания технических средств, а также комплексную поддержку и консультирование заказчика в течение оговорённого времени после введения SOC в эксплуатацию. При этом поддерживаются проекты по созданию SOC как на продуктовой линейке решений «Лаборатории Касперского», так и на сторонних разработках.Результатом оказания услуги является согласованная адаптированная концепция, охватывающая все аспекты создания, эксплуатации и развития SOC на основе опыта «Лаборатории Касперского» и лучших практик (best practices).Kaspersky Tabletop ExerciseТренинг Kaspersky Tabletop Exercise помогает улучшать процессы связанные с реагированием на инциденты, а также оптимизировать взаимодействия между командами, участвующими в этих процессах.В рамках тренинга эксперты международной команды «Лаборатории Касперского» GERT (Global Emergency and Response Team) разрабатывают сценарий инцидента, учитывающий актуальный ландшафт угроз, а также специфику компании и производственные нужды. Особенно интересно, что сценарии максимально приближены к реальным и основаны на собственном опыте команды.После этого эксперты распределяют роли среди участников и объясняют им сценарий атаки, а затем проверяют работу команд: соответствуют ли принятые ими решения по устранению последствий инцидентов той стратегии реагирования, которая установлена в компании.Kaspersky Adversary Attack EmulationKaspersky Adversary Attack Emulation позволяет регулярно проверять, насколько хорошо средства детектирования SOC могут обнаруживать атаки, соответствующие различным техникам. Кроме того, с помощью сервиса можно обучать специалистов центра мониторинга и реагирования работе с конкретными сценариями и типами угроз, проверять способность специалистов обнаруживать атаки конкретных APT-группировок и строить карту охвата правил детектирования SOC.Ключевыми преимуществами Kaspersky Adversary Attack Emulation являются широкий набор сценариев с опорой на базу MITRE ATT&CK, возможность комплексной оценки сильных и слабых сторон системы обнаружения и проведение регулярных эмуляций в рамках сервиса.Kaspersky Cybersecurity TrainingПроцесс повышения осведомлённости пользователей стал привычным для компаний с высоким уровнем зрелости. Однако на рынке отмечается дефицит курсов по информационной безопасности для ИТ- и ИБ-специалистов. Немногие учебные центры и онлайн-площадки дают актуальный материал, проверенный на практике, и реальную экспертную поддержку по обучающему контенту.«Лаборатория Касперского» обладает обширным опытом обнаружения и исследования угроз, а также большой экспертной базой. На основе этого опыта сформированы следующие курсы: цифровая криминалистика (стандартный и экспертный курсы), анализ и обратная разработка вредоносных программ (стандартный и экспертный курсы), реагирование на инциденты, YARA, а также курсы посвящённые Kaspersky Anti Targeted Attack (KATA) — администрирование и анализ инцидентов.Kaspersky Managed Detection and ResponseKaspersky MDR представляет круглосуточную управляемую защиту: от мониторинга и проактивного поиска угроз до автоматизированного и управляемого реагирования как на целевые атаки, так и на скрытые угрозы, не использующие вредоносных программ и имитирующие легитимную активность.В рамках решения у клиента есть возможность самостоятельно зарегистрировать инцидент при подозрении на компрометацию для дальнейшей проверки экспертами SOC «Лаборатории Касперского», при условии, что затронутые инцидентом хосты входят в охват мониторинга. Встроенные механизмы искусственного интеллекта (ИИ) в Kaspersky MDR помогают минимизировать число ложноположительных срабатываний и ускорить процесс обработки событий в безопасности. В решение Kaspersky MDR входят: круглосуточный мониторинг и проактивный поиск угроз (Threat Hunting) силами экспертов «Лаборатории Касперского», автоматический поиск угроз с применением IoA-правил, сценарии реагирования и автоматическое реагирование на инциденты, консультации аналитиков SOC «Лаборатории Касперского», обзор всех защищаемых ресурсов с их текущим статусом, консоль управления услугой и отчётами, хранение истории инцидентов в течение одного года, прикладной интерфейс (API) для интеграции с платформами реагирования и автоматизации (IRP / SOAR), хранение необработанной телеметрии в течение трёх месяцев. Рисунок 2. Принцип работы Kaspersky MDR Kaspersky MDR обеспечивается командой SOC «Лаборатории Касперского», эксперты которой обладают многочисленными сертификатами, подтверждающими их высокий уровень экспертизы и знаний в индустрии ИБ: CHFI, CEH, GCFA, OSCP, CISM, OSCE, GNFA, CISA, GCIH, GCTI, CISSP и другими.Kaspersky Incident ResponseKaspersky Incident Response — сервис по реагированию на инциденты в информационной безопасности, начиная с этапа сбора доказательств и заканчивая подготовкой комплексного отчёта с описанием результатов расследования, а также рекомендациями по устранению последствий атаки.Результатом оказания услуги является подробный отчёт о случившемся инциденте, в котором будут:краткое описание инцидента с определением природы атаки и затронутых информационных активов, а также действий по незамедлительному реагированию, углублённый анализ инцидента с полной хронологией событий, анализ действий атакующих и используемых ими инструментов, описание использованных уязвимостей, возможных источников атаки и затронутых сетевых ресурсов, результаты анализа вредоносных программ, заключение о наличии или отсутствии признаков компрометации, рекомендации по устранению последствий атаки и предотвращению подобных атак в будущем.Расследования «Лаборатории Касперского» проводятся высококвалифицированными аналитиками и экспертами команды GERT. Члены GERT — специалисты по управлению инцидентами, компьютерной криминалистике, анализу вредоносного кода, сетевой безопасности и анализу рисков, обладающие широким набором признанных в отрасли сертификатов, таких как GREM, GRID, GCFE, GCFA, eCTHP, eCIR, CISM и другие.Kaspersky Ask The AnalystKaspersky Ask The Analyst — сервис, который будет полезен для дальнейшего повышения уровня кибербезопасности: те организации, у которых нет специалистов с достаточной экспертной квалификацией, будут обеспечены всесторонней коммуникацией с экспертами, а также расширенными возможностями в области анализа угроз и реагирования на инциденты за счёт знаний и ресурсов «Лаборатории Касперского».В рамках сервиса заказчик получает:дополнительную информацию об опубликованных отчётах по сложным угрозам (APT) и вредоносному коду (crimeware),комплексный отчёт об анализе образца / образцов вредоносных программ или других технических индикаторов,анализ вредоносного кода,информацию о конкретной активности в даркнете,информацию по запросам связанным с АСУ ТП (уязвимости, сведения о нормативных требованиях и стандартах, статистика угроз для АСУ ТП и др.).Преимущество услуги — поддержка профессионалов, которая позволит обойтись без поиска и найма узких специалистов, ускорить расследование инцидентов, оперативно реагировать на угрозы и уязвимости, блокируя известные векторы атак.Выводы«Лаборатория Касперского» обладает не только известными продуктами, направленными на обеспечение безопасности систем разного класса, но и международной экспертизой, используя которую можно выстроить защиту как на основании имеющихся в компании компетенций, так и с применением сервисов вендора. При этом компания имеет признание в индустрии, которое подтверждается многочисленными наградами и отзывами клиентов. Экспертиза «Лаборатории Касперского» может применяться в организациях с любым уровнем ИБ и в любой сфере деятельности: в промышленном сегменте, финансовом, ИТ, СМИ и других.Читать далее
  12. AM_Bot
    Недавно на российском рынке появился новый сервис повышения киберграмотности МТС RED на базе платформы Phishman. Он отличается широким набором учебных материалов, а также возможностью интеграции с корпоративными системами и решениями по кибербезопасности. ВведениеСостав и формат реализации сервиса повышения киберграмотности МТС REDФункциональные возможности и архитектура системы обучения PhishmanИнтерфейсФишингСоздание фишинговых писем и формУправление сотрудникамиОбучениеОтчётностьПравилаПодключение и сопровождение сервиса повышения киберграмотности МТС REDВыводыВведениеС каждым годом информационные технологии всё глубже проникают во все сферы жизни, в том числе в корпоративную среду. Поэтому всё более актуальным в компаниях становится обучение сотрудников основам кибербезопасности и культуре безопасного поведения. Несмотря на внедрение различных межсетевых экранов, антивирусов, систем предотвращения утечек и прочего, даже комплексные системы защиты (SIEM, IRP, SOAR и другие) не позволяют добиться эффекта абсолютной защищённости, так как пользователем информационных систем компании остаётся человек, от которого и зависит их безопасность.Подавляющее большинство угроз, нацеленных на компанию, связаны с действиями сотрудников внутри: соблюдают ли они общие принципы кибербезопасного поведения, применяют ли в своей работе практики, позволяющие повысить уровень защищённости. В целом человеческий фактор остаётся самым уязвимым звеном в кибербезопасности, что требует использовать упреждающие способы защиты и постоянно повышать осведомлённость сотрудников в сфере борьбы с киберугрозами.Для решения этой задачи на рынке ИБ существует класс продуктов «обучение сотрудников основам кибербезопасности» (Security Awareness). Постоянное повышение осведомлённости позволяет существенно снизить риски для кибербезопасности компаний. Вышедший на днях на российский рынок новый сервис повышения киберграмотности МТС RED на базе системы Phishman позволяет реализовать комплексный — теоретический и практический — подход к обучению для формирования у сотрудников культуры кибербезопасного поведения.Состав и формат реализации сервиса повышения киберграмотности МТС REDВ состав сервиса повышения киберграмотности МТС RED входят:Услуга по проведению тренировочных фишинговых рассылок: планирование, подготовка и рассылка тренировочных фишинговых писем по необходимой заказчику тематике.Услуга по сопровождению процесса обучения, включая анализ бизнес-процессов заказчика, поиск оптимальных форм тренировочных рассылок и настройки интеграций (при необходимости).Услуга по подготовке персонализированных под клиента фишинговых писем и форм.Предоставление фишингового домена для компании-клиента с целью учёта статистики рассылок.Доступ к системе обучения Phishman для прохождения пользователями обучающих курсов.Доступ к порталу управления параметрами сервиса.Услуга по предоставлению отчётности за заданный период по результатам прохождения сотрудниками обучения и эффективности тренировочных фишинговых рассылок.Сервис предоставляется в двух моделях на выбор заказчика: в облачной инфраструктуре МТС RED (заказчик получает к ней защищённый доступ) или в инфраструктуре заказчика (специалисты МТС RED получают к ней защищённый доступ для администрирования).Функциональные возможности и архитектура системы обучения PhishmanФункциональность системы включает в себя:проведение тренировочных фишинговых рассылок и учёт статистики по ним;назначение обучения сотрудникам;формирование отчётов по результатам тренировочных фишинговых рассылок и обучения;автоматизация процессов обучения и формирования тренировочных фишинговых рассылок с помощью правил;интеграции с системами управления обучением (Learning Management System, LMS), с Active Directory и со средствами защиты (антивирус, МТС RED SOC).Архитектурно система состоит из трёх элементов:Модуль обучения (образовательный портал) — собственная LMS для прохождения пользователями курсов.Модуль (портал) администрирования — управление настройками системы, создание тренировочных фишинговых рассылок, назначение учебных программ, администрирование системы в целом.Модуль фиксации (учёта статистики) тренировочных фишинговых рассылок.Интерфейс Рисунок 1. Интерфейс системы Phishman Продукт имеет дружественный и интуитивно понятный интерфейс. На главной странице отображаются комплексные показатели, демонстрирующие уровень риска и устойчивость работников к фишингу. Кроме того, здесь можно увидеть топ уязвимых и стойких сотрудников, а также фишинговую активность по часам.Фишинг Рисунок 2. Страница создания тренировочных фишинговых атак Одна из основных функций сервиса МТС RED на базе Phishman — создание тренировочных фишинговых атак. При их создании можно выбрать вид атаки и задать время рассылки. Доступно три типа атак: обычная, автоматическая и случайная автоматическая.Обычная атака позволяет отправить письма в строго фиксированный момент времени. Автоатака подразумевает отправку писем всем сотрудникам в несколько волн в определённом временном интервале. Случайная автоатака в дополнение к предыдущей схеме позволяет выбрать, какая часть (доля) сотрудников и шаблонов фишинговых писем будет задействована в каждой волне рассылки. Рисунок 3. Параметры фишинговой атаки После выбора типа атаки можно назначить её цели (сотрудников, на которых будет направлена рассылка) и шаблоны.Создание фишинговых писем и форм Рисунок 4. Страница шаблонов При выборе шаблонов имеется возможность поиска и выбора по категориям. Сейчас в системе доступно 12 категорий шаблонов из различных сфер деятельности, таких как онлайн-сервисы, услуги, образование, социальные сети. Имеется функция поиска необходимых шаблонов. Рисунок 5. Редактор фишинговых шаблонов и форм Система Phishman позволяет создавать шаблоны для фишинговых писем и форм с помощью встроенного редактора. Здесь можно задать название фишингового письма, выбрать категорию шаблона, по которому письмо будет сформировано, составить текст письма. При необходимости можно также внести правки в исходный код (HTML) элементов формы — например, чтобы исправить съехавшую разметку, убрать ссылки на оригинальные страницы и проч.Управление сотрудниками Рисунок 6. Раздел «Сотрудники» При формировании тренировочного фишингового письма можно либо добавлять сотрудников в список адресатов вручную, либо автоматически загружать перечень из CSV-файла либо из службы каталогов с помощью LDAP-протокола. Каждый сотрудник должен быть привязан к отделу. Отделы имеют иерархическую структуру. Рисунок 7. Добавление нового сотрудника Перед добавлением сотрудника вручную требуется создать отдел. Ручное добавление сотрудников происходит путём ввода данных и выбора отдела либо путём перечисления в аналогичном CSV формате (данные о пользователях указываются через запятую в каждой строке). Рисунок 8. Поиск по сотрудникам В интерфейсе также имеется опция поиска по сотрудникам. Фильтр поиска можно настраивать как по основным атрибутам пользователей (Ф. И. О., отдел, адрес электронной почты), так и по более специфичным (уровень риска / устойчивости, дата добавления сотрудника в систему, дата перемещения в другой отдел, учебные группы).Сотрудники по умолчанию распределяются в системе по отделам, но их также можно отдельно добавлять в учебные группы, что позволяет объединять сотрудников, например, по уровню знаний и назначать им соответствующее их уровню обучение. Рисунок 9. Настройка синхронизации с Active Directory Для загрузки списка пользователей из Active Directory (AD) требуется настроить параметры подключения и указать учётную запись для доступа. В дополнительных параметрах можно указать отделы, которые следует исключить из синхронизации, а также настроить фильтры поиска по AD и используемые атрибуты в AD для Ф. И. О. Рисунок 10. Дополнительные параметры синхронизации с Active Directory Обучение Рисунок 11. Раздел обучения Раздел обучения включает в себя список учебных программ, а также строку для поиска. Сотрудники компании по умолчанию имеют доступ ко всем учебным программам своей компании, однако пользователи сервиса могут настроить доступ конкретного сотрудника (или группы) к конкретным обучающим курсам. Обучение для сотрудников может назначаться вручную либо при возникновении различных событий из области безопасности на основе заданных в системе правил. Например, если сотрудник попытался отправить на внешний адрес электронной почты скан паспорта, ему будет автоматически назначен курс «Защита конфиденциальной информации». Рисунок 12. Создание учебной программы Для назначения обучения нужно создать учебную программу, куда включаются нужные курсы. На момент публикации обзора в сервисе представлено 15 курсов обучения. В последнем обновлении системы Phishman были добавлены специализированные курсы по 187-ФЗ (КИИ) и 152-ФЗ (персональные данные), включающие в себя полноценное обучение по всем аспектам этих законодательных актов и обязательную проверку знаний по итогам. При создании учебной программы можно выбрать период и порядок прохождения курсов, количество попыток. Рисунок 13. Выбор курсов После установки основных параметров происходит выбор курсов, а также сотрудников, которым они будут назначены. Сотрудники получают уведомление о назначенном им обучении, а новым работникам высылаются данные для входа в личный кабинет на образовательном портале. Рисунок 14. Интерфейс образовательного портала Прохождение курсов осуществляется на отдельном образовательном портале. Сотрудник входит на портал после получения регистрационных данных (логин и пароль). После входа можно увидеть ориентировочное время, необходимое для прохождения курса, и его название, а также выбрать любой из назначенных сотруднику курсов. Рисунок 15. Пример курса Каждый курс открывается в отдельном окне, при необходимости его можно развернуть на весь экран. Этапы прохождения курсов фиксируются, пользователь всегда может вернуться к прохождению с того места, на котором остановился. На главной странице курса есть значок «Термины»; нажав на него, сотрудник может ознакомиться с определениями основных терминов, встречающихся в курсе. Значок «Меню» позволяет увидеть перечень основных разделов (страниц) курса и осуществлять удобную навигацию по ним.Отчётность Рисунок 16. Стандартные виды отчётов В продукте представлено несколько вариантов отчётов по результатам фишинговых атак и обучения сотрудников. Можно выбрать любой вариант из заданных в системе или создать свой (пользовательский) вариант отчёта. Рисунок 17. Выбор отчёта Для формирования отчёта нужно выбрать фишинговую атаку или учебную программу. После этого можно сформировать отчёт и увидеть его содержимое. На странице отчёта показываются графики и таблица со статистикой. Все отчёты доступны для скачивания в форматах PDF и XLSX. Рисунок 18. Пример отчёта На странице отчёта можно сразу посмотреть сам отчёт в графическом представлении. В случае с отчётом по фишинговым атакам можно увидеть общую статистику по сотрудникам, минимальное время реакции на фишинг, кто из работников переходил по ссылкам или открывал вложения.Правила Рисунок 19. Раздел правил В продукте присутствует функциональность создания правил, позволяющих автоматизировать рутинные действия, такие как назначение обучения или отправка фишинга, и дающих возможность автоматически реагировать на действия различных подключённых источников данных о событиях по безопасности — например, антивируса. Клиентам центра мониторинга и реагирования на киберинциденты МТС RED также доступна интеграция с МТС RED SOC, что позволит оперативно назначать обучение основам киберграмотности по результатам корреляции и / или анализа событий первой линии мониторинга. Таким образом можно назначать курсы по событиям от всех используемых в компании средств защиты информации. Помимо назначения обучения при регистрации инцидента можно создать правило, позволяющее автоматически назначать обучение новым сотрудникам. Рисунок 20. Создание правила Для создания правила требуется указать его имя и время проверки. Рисунок 21. Выбор событий для правила После указания периода срабатывания и имени правила выбираются события, при наступлении которых оно будет применяться (например, переход по фишинговой ссылке). Рисунок 22. Действия при создании После формирования списка сотрудников происходит выбор действия, которое будет выполняться при наступлении заданного события (например, запись на учебный курс).Подключение и сопровождение сервиса повышения киберграмотности МТС REDДля подключения к сервису клиент заполняет опросный лист с базовой информацией о компании и указанием способа подключения сервиса. Специалисты МТС RED организуют доступ к системе обучения и помогут загрузить в систему список сотрудников компании. По запросу возможно использование защищённого с помощью ГОСТ VPN канала передачи данных.Команда МТС RED формирует необходимые заказчику тренировочные фишинговые рассылки, утверждает их дизайн и целевые группы у клиента. По согласованию с заказчиком формируются триггеры — события в информационных системах компании, при срабатывании которых сотрудникам автоматически назначается то или иное обучение.Ежемесячно компания получает отчёты о прохождении сотрудниками курсов обучения. Также в течение всего срока действия подписки на сервис пользователям доступны все обновления обучающих курсов — не только имеющихся в системе Phishman, но и разработанных сервисной командой МТС RED. Кроме того, сервис включает в себя решение любых задач по администрированию и сопровождению системы повышения киберграмотности сотрудников силами специалистов МТС RED.ВыводыСервис повышения киберграмотности МТС RED на базе системы Phishman имеет простой и удобный пользовательский интерфейс, обладает одним из самых широких на рынке наборов обучающих курсов для сотрудников. Интеграция с центром мониторинга и реагирования на киберинциденты МТС RED SOC, антивирусными и другими решениями по кибербезопасности позволяет компаниям отрабатывать ИБ-навыки своих сотрудников на реальных событиях.Читать далее
  13. Ego Dekker
    Компания ESET (/исэ́т/) — лидер в области информационной безопасности — представляет новые комплексные решения для многоуровневой и мультиплатформенной защиты, которые доступны в виде подписок — ESET HOME Security Essential и ESET HOME Security Premium. Таким образом, пользователи смогут обеспечить еще более мощную защиту устройств домашней сети на всех распространенных операционных системах, включая Windows, macOS, Android и iOS, а также позаботиться о безопасности важных конфиденциальных данных. Кроме того, была усовершенствована платформа управления безопасностью — ESET HOME, которая позволяет просматривать состояние домашних сетей и подключенных смарт-устройств, управлять лицензиями и загружать программы, доступные в рамках подписки. «Мы рады представить новые решения ESET для домашних пользователей. Это больше, чем просто безопасность, это комплексная защита пользователей в современной цифровой среде. Специалисты ESET объединили искусственный интеллект, человеческий опыт и облачную защиту для современной защиты от различных киберугроз. Новые планы подписок ESET обеспечивают многоуровневую защиту конфиденциальности и безопасность устройств домашней сети», — прокомментировала Мария Трнкова, директор по маркетингу ESET. Новые планы подписок и их возможности Теперь домашним пользователям доступны два плана подписок для защиты устройств — ESET HOME Security Essential и ESET HOME Security Premium, которые отвечают потребностям отдельных пользователей и их сетей для обеспечения конфиденциальности и безопасности цифровой жизни. Пользователи ESET HOME Security Essential или ESET HOME Security Premium могут использовать мощную защиту для всех основных операционных систем — Windows, macOS, Android и iOS (но количество одновременно защищенных устройств должно оставаться в рамках подписки!). ESET HOME Security Essential — это план стандартной подписки, который обеспечивает современную и многоуровневую защиту устройств от различных видов угроз в режиме реального времени с помощью следующих модулей: платформа ESET HOME для управления защитой; современная антивирусная защита ноутбуков и компьютеров (на базе операционной системы Windows — с помощью ESET Internet Security, на базе операционной системы macOS — с помощью ESET Cyber Security), смартфонов и планшетов Android (с помощью ESET Mobile Security), а также защита смарт ТВ (с помощью ESET Smart TV Security); родительский контроль (с помощью ESET Parental Control), который позволяет родителям контролировать использование мобильных устройств детьми; защита онлайн-банкинга и безопасный браузер, которые позволяют защищать конфиденциальные данные пользователей при осуществлении онлайн-платежей; расширение для конфиденциальности и безопасности браузера; инспектор сети, который предоставляет информацию о безопасности роутера и подключенных устройствах. Следует отметить, что с выходом обновленных решений были улучшены функции конфиденциальности и безопасности благодаря добавленным расширениям браузера. Кроме этого, пользователям также доступен инструмент очистки, который удаляет файлы cookie, историю и многое другое из браузера, автоматически или по требованию. ESET HOME Security Premium — план премиум-подписки, который обеспечивает еще более мощную защиту ноутбуков и компьютеров с помощью дополнительных модулей. Таким образом, в рамках данной подписки пользователям доступны все модули ESET HOME Security Essential, а также дополнительные уровни защиты ноутбуков и компьютеров (составляющие программы ESET Smart Security Premium): защита информации с помощью шифрования; управление паролями для защиты и хранения паролей и личных данных пользователей, а также для автоматического ввода данных для входа, что экономит время пользователей при заполнении веб-форм; мощное шифрование файлов и сменных носителей, что обеспечивает защиту конфиденциальных данных и предотвращает похищение информации при потере USB-накопителя или ноутбука; инструмент облачной защиты ESET LiveGuard, специально разработанный для обнаружения и обезвреживания неизвестных угроз. Подробнее о планах подписок и сравнение их функций читайте по ссылке. Обновленная платформа для управления безопасностью! Благодаря улучшению платформы ESET HOME пользователям доступны следующие возможности: управление устройствами, покупка, активация и обновление подписок, загрузка или обновление решений по безопасности, а также включение функций, в частности Управление паролями. Кроме того, теперь пользователи смогут просматривать общий уровень безопасности домашней сети, который учитывает состояние действия лицензий и статус защиты устройств, подключенных к учетной записи в трех категориях: «Защищено», «Требуется внимание» и «Предупреждение безопасности». Таким образом, пользователи получают самую современную защиту, тогда как для настройки продукта требуется минимальное взаимодействие. В то же время, новая платформа имеет параметры и функциональные возможности для активных пользователей, которые хотят контролировать и настраивать все самостоятельно. Следует отметить, что ESET HOME доступна для использования в виде веб-портала или мобильного приложения для устройств iOS и Android. Следует отметить, что помимо новых планов подписок пользователям все еще доступна защита отдельных устройств, в частности ноутбуков и компьютеров Windows, смартфонов и планшетов Android, а также программа для родительского контроля и защита смарт-телевизора. Чтобы попробовать новые возможности защиты ESET, перейдите по ссылке. Пресс-выпуск.
  14. AM_Bot
    «МегаФон ПроБизнес» с 2016 года предоставляет услуги информационной безопасности по модели MSSP (Managed Security Service Provider). Рассмотрим, какие сервисы предлагает компания и какие риски в ИБ минимизирует. ВведениеЗащита от DDoS-атакWAFNGFWЗащита корпоративной почтыКриптозащитаАнализ защищённости ИТ-инфраструктуры7.1. Решения для анализа безопасности ИТ-инфраструктуры7.2. Соответствие нормативным требованиямВыводыВведениеСогласно исследованию «Лаборатории Касперского», 42 % компаний обращаются к поставщикам управляемых ИБ-услуг (MSSP) в связи с нехваткой собственных специалистов по информационной безопасности, ещё столько же — в связи с экономической целесообразностью и необходимостью следования требованиям регуляторов.Согласно выводам из того же исследования, среди главных угроз ИБ следует выделять ненадлежащее использование ИТ-ресурсов сотрудниками компании, атаки с целью вызвать отказ в обслуживании (DDoS), инциденты с поставщиками услуг.Впервые «МегаФон ПроБизнес» начал предоставлять сервис по модели MSSP семь лет назад — это была «Защита от DDoS-атак». Сейчас в портфеле компании уже более 15 решений. Рассмотрим некоторые сервисы и предоставляемую ими помощь в борьбе с обозначенными угрозами.Общий обзор российского рынка и сравнение провайдеров услуг по управлению информационной безопасностью (MSSP) наша редакция проводила ранее.Защита от DDoS-атак«Защита от DDoS-атак» — это сервис мониторинга и защиты сетевой инфраструктуры, веб-ресурсов компании от атак, результатом которых может стать недоступность активов, использующих внешние адреса. Подобные действия могут совершаться с разными целями: для вмешательства конкурентов, шантажа, сокрытия атак другого типа и т. д. Обзор этого сервиса публиковался ранее.Услуга «Защита от DDoS-атак» осуществляет фильтрацию вредоносного трафика и сохраняет доступность сервисов и приложений легитимным пользователям.Сервис построен на базе высокопроизводительного аппаратно-программного комплекса фильтрации, который входит в реестр отечественного ПО и имеет сертификат соответствия от ФСТЭК России. Защита осуществляется на уровнях L3–L7 (от сетевого до уровня приложений), а реакция на атаку может наступить уже через пять секунд. Система способна отражать крупномасштабные атаки объёмом до 300 Гбит/c.Настройка услуги занимает от 15 минут до двух часов в зависимости от сложности, а само подключение может производиться в том числе и под атакой. Выделенная служба мониторинга и реагирования работает круглосуточно и без выходных.Всего под защитой описываемого сервиса находятся более 1100 организаций, включая банки из топ-10, организации из госсегмента и телеком-сектора.WAFУслуга «МегаФон WAF» предназначена для защиты веб-приложений от сетевых атак различных типов, включая вредоносные операции с использованием бот-сетей, атаки на прикладные интерфейсы (API) и эксплуатацию уязвимостей из перечня OWASP Top-10 (наиболее опасные бреши по мнению некоммерческой организации Open Web Application Security Project Foundation).Принцип работы услуги заключается в фильтрации веб-трафика программным комплексом межсетевого экранирования уровня приложений, установленном в «МегаФон Облаке» или в инфраструктуре клиента (on-premise). В случае обнаружения вредоносного трафика, попыток взлома приложений, кражи информации или чрезмерного потребления ресурсов серверных платформ такие попытки блокируются, а в приложения передаются только легитимные запросы.NGFWМежсетевой экран следующего поколения (NGFW) от «МегаФона» защищает информационные ресурсы от компьютерных атак, обеспечивает безопасный удалённый доступ по VPN и фильтрует интернет-запросы пользователей. Для этого используются модули предотвращения вторжений, антивирусной проверки, инспекции трафика и другие.NGFW предоставляется из «МегаФон Облака» или устанавливается в собственную инфраструктуру компании.Защита корпоративной почтыУслуга «Защита корпоративной почты» предназначена для очистки почтового трафика от спама, фишинга и вредоносных программ. Принцип действия заключается в перенаправлении почтового трафика через фильтрующие узлы путём перенастройки MX-записи в базе DNS-регистратора домена. Решение позволяет гибко настраивать все функции безопасности, в том числе и исключения для входящего почтового трафика.КриптозащитаВ рамках услуги «Криптозащита» шифруется вся информация, передаваемая по открытым каналам связи. Это позволяет обеспечивать конфиденциальность данных даже в случае их перехвата злоумышленниками.Шифрование передаваемого трафика выполняется с использованием современных российских криптографических алгоритмов на высокопроизводительном криптооборудовании ведущих производителей. Сервис позволяет организовать защищённое взаимодействие между географически удалёнными объектами в любых регионах России и выполнить требования регуляторов и российского законодательства. В рамках услуги «Криптозащита» используются СКЗИ (средства криптографической защиты информации), сертифицированные ФСБ России.Анализ защищённости ИТ-инфраструктуры«МегаФон ПроБизнес» предоставляет широкий спектр услуг по анализу защищённости ИТ-инфраструктуры, которые можно условно разделить на практическую безопасность и соответствие нормативным требованиям.Решения для анализа безопасности ИТ-инфраструктурыВ рамках услуг по анализу практической безопасности компания осуществляет поиск уязвимостей и ошибок в процессах обеспечения ИБ, которыми могут воспользоваться злоумышленники для совершения кибератак. «МегаФон ПроБизнес» предоставляет шесть услуг, направленных на выявление проблем связанных с уязвимостями и потенциальных инцидентов в ИБ.Объектами анализа могут быть внутренняя и внешняя инфраструктура, мобильные и веб-приложения, сети Wi-Fi, сотрудники (социотехнические тестирования), системы дистанционного банковского обслуживания (ДБО), автоматизированные системы управления технологическим процессом (АСУ ТП), бизнес-приложения (ERP, CRM) и другие. При проведении анализа защищённости описываются границы работ и модели нарушителей, составляется список выявленных уязвимостей и ошибок в бизнес-логике, разрабатываются подробные рекомендации по устранению выявленных уязвимостей. Также эксперты «МегаФон ПроБизнеса» дают общее заключение об уровне защищённости инфраструктуры и предоставляют рекомендации по его повышению.Тестирование на проникновение (пентест) помогает найти критические уязвимости. Команда «МегаФон ПроБизнеса» оценивает устойчивость инфраструктуры в случае вторжения злоумышленника и выявляет возможную глубину продвижения вглубь системы. Анализ защищённости используют для определения общего уровня безопасности инфраструктуры. Определяется максимальное количество уязвимостей, через которые может быть совершено вторжение злоумышленника без продвижения вглубь инфраструктуры. Во время командной имитации реальных кибератак (Red Teaming) проверяется работа технической защиты и команды ИБ, оцениваются скорость и эффективность реагирования на различные угрозы. Услуга реагирования на инциденты в ИБ включает в себя пакет сервисов по оперативному реагированию или расследованию уже случившихся инцидентов, а также подключение команды экспертов «МегаФон ПроБизнеса» для устранения последствий кибератак и проведения компьютерной криминалистической экспертизы (форензики). Преимуществом пакетного подхода является то, что если к концу срока там остались неиспользованные часы, то их можно потратить на другие виды активности. Аудит в формате «As Is / To Be» — это комплексное изучение уровня ИБ и процессов управления ИТ-инфраструктурой: оценка процессов, выявление и описание проблемных зон, выдача рекомендаций по их устранению с предоставлением дорожной карты и бюджетной оценки модернизации СУИБ и системы управления ИТ-процессами, анализ существующей архитектуры инфраструктуры и средств информационной безопасности, предоставление рекомендаций по настройке элементов инфраструктуры (харденинг). В рамках аудита и построения процессов безопасной разработки (SSDLC) команда «МегаФон ПроБизнеса» исследует конвейер разработки, адаптирует методологии и процессы для трансформации и перехода к безопасной разработке ПО.Соответствие нормативным требованиямАнализ соответствия нормативным требованиям может включать в себя несколько направлений. Для субъектов КИИ производятся обследование, категорирование и проектирование системы защиты значимых объектов критической информационной инфраструктуры и реализация системы защиты в соответствии с требованиями закона № 187-ФЗ. В связи с регулярно озвучиваемыми планами по увеличению штрафов за утечки персональных данных, услуга анализа и оценки соответствия требованиям закона № 152-ФЗ «О персональных данных» поможет понять, какие риски для бизнеса существуют в реалиях компании. Ещё одна услуга, оказываемая провайдером, — аттестация ГИС по требованиям ФСТЭК России, необходимая, в частности, для государственных информационных систем.ВыводыСервисы, предоставляемые «МегаФон ПроБизнесом» по модели MSSP, востребованны по нескольким причинам: они позволяют компаниям строить эффективную информационную защиту, экономить на капитальных инвестициях в собственную инфраструктуру и фонд оплаты труда, не тратить время на подбор квалифицированного персонала и его адаптацию под применяемые СЗИ, своевременно получать квалифицированную экспертизу от команды провайдера.Команда «МегаФон ПроБизнеса» регулярно участвует в программах поиска уязвимостей за вознаграждение (Bug Bounty) и обладает рядом профильных сертификатов, таких как CEH, CHFI, CND, MCSE, EXIN, OSCP, CISSP. Имеется опыт внедрения процессов ИБ и участия в расследовании инцидентов. При необходимости оперативная команда провайдера выезжает на место инцидента с целью поиска улик, которые могут понадобиться для дальнейшего расследования.Реклама. Рекламодатель ПАО «МЕГАФОН», ИНН 7812014560, ОГРН 1027809169585 от 15 июля 2002 г.LdtCKW8PDЧитать далее
  15. AM_Bot
    26 октября Positive Technologies выпустила новую версию системы MaxPatrol SIEM — 8.0. Нововведения в продукте позволяют гарантированно выявлять попытки нарушения киберустойчивости компаний и инциденты в ИБ, ведущие к реализации недопустимых событий. ВведениеУпрощение работы аналитиков (Analyst Experience)2.1. Новый модуль BAD с машинным обучением2.2. Обновлённая карточка события2.3. Перекрёстные поисковые запросы и реагирование из карточки события2.4. Повышение удобства работы с PDQL2.5. Просмотр связанных корреляционных событий2.6. GeoIP: определение местоположения узлов по IP-адресуСкорость обработки — свыше 540 000 EPSДвукратная оптимизация ресурсовВыводыВведениеВ MaxPatrol SIEM 8.0 мы увеличили скорость обработки инцидентов операторами — за счёт того, что появилась новая подсистема поддержки принятия решений Behavioral Anomaly Detection (BAD), основанная на машинном обучении (ML). Также обновлена карточка события, которая позволяет просматривать связанные корреляционные феномены, проверять потенциально опасные артефакты и реагировать без переключения между интерфейсами разных продуктов. При этом скорость обработки превысила 540 000 событий в секунду, а ресурсов теперь требуется в два раза меньше, чем раньше.Упрощение работы аналитиков (Analyst Experience)По данным Forrester, аналитики центра мониторинга (SOC) посвящают основную часть времени не своим прямым задачам — расследованию инцидентов и реагированию на них, — а тому, чтобы преодолеть сложности использования инструментов ИБ. Одно из фокусных направлений развития MaxPatrol SIEM — упрощение деятельности аналитика (analyst experience, AX). Глобальная задача состоит в том, чтобы пользователь без опыта работы с системами этого класса смог быстро разобраться в продукте и обеспечивать с его помощью результативную кибербезопасность. Рисунок 1. Структура AX Совершенствование AX в MaxPatrol SIEM затрагивает сразу несколько аспектов: экспертизу, которая помогает без дополнительных вложений и доработок начать выявлять инциденты уже во время пилотного тестирования,технологии машинного обучения, берущие на себя рутинную работу аналитика (например, пометить похожие события как ложноположительные, написать похожие запросы) и помогающие принимать решения,оптимизацию интерфейса, позволяющую выявлять, расследовать инциденты и реагировать на них в едином окне.Специалисты нашего экспертного центра кибербезопасности PT Expert Security Center (PT ESC) и исследователи Positive Technologies постоянно изучают новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний PT Knowledge Base в виде пакетов экспертизы. Кроме того, мы постоянно совершенствуем механизмы работы с базой знаний. В новой версии, например, установка и обновление правил нормализации и агрегации для облегчённой версии компонента MaxPatrol SIEM Server теперь происходят автоматически.Новый модуль BAD с машинным обучениемКак мы уже упоминали, в новой версии продукта появилась подсистема поддержки принятия решений на основе технологий машинного обучения — BAD (Behavioral Anomaly Detection). Этот модуль помогает оператору SOC принять решение с опорой не только на срабатывания правил корреляции, но и на альтернативное мнение о поведении объектов, связанных с событием. BAD выставляет оценку риска (risk score) от 0 до 100 на основании результатов работы порядка 30 моделей машинного обучения, основанных на более чем двадцатилетнем опыте изучения поведения злоумышленников во время атаки.Нагляднее — в нашем видео: Модуль BAD предоставляет больше контекста и информации о происходящем, поэтому его можно назвать интеллектуальным помощником, системой «второго мнения», помогающей сократить время на принятие решения.При этом инструмент для жёсткого профилирования в MaxPatrol SIEM также присутствует. Подробнее о нём можно прочитать здесь.Обновлённая карточка событияЦелый ряд изменений затронул работу с настраиваемыми карточками событий. Чтобы аналитик мог сконцентрироваться на наиболее важных деталях, мы упростили доступ к данным о субъекте, объекте, отправителе, получателе и источнике события, а также изменили внешний вид карточек нормализованных и корреляционных событий. Рисунок 2. Карточка события В новой версии можно изменить отображение карточки события с учётом требований конкретного пользователя и настроить удобный набор визуализируемых полей с гранулярностью PDQL-фильтра. Напомним, что PDQL (Positive Data Query Language) — это язык, разработанный в Positive Technologies для написания запросов к базе знаний при обработке событий, инцидентов, динамических групп активов и табличных списков.Перекрёстные поисковые запросы и реагирование из карточки событияВ MaxPatrol SIEM 8.0 можно отправлять поисковые запросы в сторонние системы и сервисы прямо из карточки события. На данный момент поддерживаются MaxPatrol EDR, PT Network Attack Discovery (PT NAD), RST Cloud, Spur, Whois7, VirusTotal, IP-API, AbuseIPDB, PT Threat Analyzer и др. MaxPatrol SIEM можно использовать совместно с MaxPatrol EDR. Таким образом помимо расширенных возможностей для фильтрации и группировки событий мы обеспечиваем реагирование на инциденты непосредственно со страницы события. Это существенно сокращает время реакции операторов и позволяет быстрее останавливать атаки. Рисунок 3. Реагирование на инцидент Повышение удобства работы с PDQLДля написания запросов в MaxPatrol SIEM 8.0 не нужно изучать документацию. В новой версии PDQL-запросы для фильтрации и группировки событий можно копировать и передавать как обычный текст. Например, чтобы передать запрос другому оператору, достаточно скопировать текст запроса и переслать его по электронной почте или в мессенджере.Для повышения удобства работы с запросами в скором времени появится подсветка синтаксиса PDQL в поле фильтра событий, а также конструктор условий с возможностью автозаполнения.Просмотр связанных корреляционных событийВ MaxPatrol SIEM 8.0 стало легче работать с инцидентами благодаря проверке гипотез. Просмотр связанных корреляционных событий повышает скорость обработки инцидентов. Аналитик может быстро перейти из дерева гипотез на интересующее его событие. Рисунок 4. Работа с деревом гипотез GeoIP: определение местоположения узлов по IP-адресуАктуальное обновление в настоящее время — это определение местоположения узлов по IP-адресу. В MaxPatrol SIEM 8.0 можно настроить обогащение событий данными GeoIP, дополнив информацию о событии уникальным номером (ASN), данными о городе, стране и организации, которым принадлежат узел-источник и узел назначения. Рисунок 5. Статистика по GeoIP Рисунок 6. Использование данных GeoIP Скорость обработки — свыше 540 000 EPSПроизводительность MaxPatrol SIEM продолжает увеличиваться, чтобы мониторинг энтерпрайз-уровня обеспечивался при самых высоких нагрузках. Скорость мониторинга выросла в девять раз: MaxPatrol SIEM 8.0 может обрабатывать более 540 000 событий в секунду (events per second, EPS) на одном ядре с полным набором экспертизы. Добиться такого результата удалось в том числе за счёт архитектурных возможностей: горизонтальное масштабирование позволяет подключать несколько конвейеров к одному ядру.Двукратная оптимизация ресурсовНайти подходящее оборудование — сегодня по-прежнему нетривиальная задача. Мы стремимся оптимизировать требования к аппаратным мощностям.Например, для развёртывания системы MaxPatrol SIEM 8.0, которая обрабатывает до 5000 EPS, требуется в два раза меньше виртуальных процессоров (vCPU) и вдвое меньше оперативной памяти, чем в предыдущих версиях. Начиная с версии MaxPatrol 7.0 можно использовать СУБД LogSpace, разработанную нашими специалистами. По эффективности она превосходит опенсорсные аналоги как минимум в два раза. Рисунок 7. Руководство по масштабированию Новое руководство по масштабированию можно посмотреть здесь.ВыводыЕсли описывать MaxPatrol SIEM 8.0 одним словом, то это — «результативность». Во-первых, MaxPatrol SIEM может обеспечивать мониторинг событий на огромных инсталляциях и требует в два раза меньше ресурсов, чем раньше. Во-вторых, новый ML-помощник BAD предоставляет альтернативный метод оценки событий, помогая аналитику держать фокус на самом важном. И, в-третьих, за счёт просмотра связанных корреляционных событий, проверки потенциально опасных IP-адресов, доменов и файлов, а также благодаря возможности реагирования из единого окна мы повышаем скорость обработки инцидентов.Если вы хотите протестировать функции MaxPatrol SIEM 8.0, заполните короткую форму на сайте.Если вы уже пользуетесь MaxPatrol SIEM, для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies.Любые вопросы по продукту можно обсудить в официальном телеграм-чате: t.me/MPSIEMChat.Реклама. Рекламодатель АО «Позитив Текнолоджиз», ИНН 7718668887, ОГРН 1077761087117LdtCKNgpUЧитать далее
  1. Load more activity
×