Смогут ли китайцы "задавить" Microsoft. - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Андрей-001

Смогут ли китайцы "задавить" Microsoft.

Recommended Posts

Андрей-001

Китайцы могут "задавить" Microsoft 3dflagsdotcom_chcom_2faws.gif

Сделал небольшую интернет-подборку по теме противодействия Китая и Microsoft. Прошу уделить немного времени и оставить своё мнение или проголосовать.

ac7.gifac9.gifac5.gif

29 октября, 2008. Китайцы недовольны антипиратской деятельностью Microsoft. На прошлой неделе компания Microsoft в очередной раз обновила свою программу Windows Genuine Advantage, предназначенную для проверки подлинности системы. Что, в свою очередь, вызвало бурю судебных исков в Китае, где, как полагают представители Microsoft, подавляющее большинство пользователей, преднамеренно или нет, имеет пиратское программное обеспечение. Причина негодования проста - экран компьютера, использующего пиратское программное обеспечение, после проверки становится черным.

Заместитель директора Национальной организации Китая по защите авторских прав, Ян Сяоахун (Yan Xiaohong) поддерживает антипиратские кампании, предпринимаемые различными фирмами, однако отмечает, что стоит уделить внимание методам воздействия. Он полагает, что решение проблемы с помощью «черного экрана» должно стать открытым вопросом для обсуждения.

Дун Жэнвэй (Dong Zhengwei), пекинский юрист, отмечает, что Microsoft, используя свое влияние на рынке, вынудило пользователей проверить подлинность программного обеспечения, а также предъявила свои жалобы к Китайской администрации промышленности и коммерции. Как утверждает юрист, компания Microsoft должна быть оштрафована на 1 млрд. долларов, поскольку ей стоило бы проанализировать рынок и изменить свою ценовую политику в отношении китайских пользователей. Цены должны меняться в зависимости от страны покупателя – развитой или развивающейся. Китайские представители отмечают, что стоит учитывать доступность продукта для пользователей.

19 октября 2008 китайские информационные агентства, ссылаясь на внутреннюю корреспонденцию Microsoft, сообщают о новых планах корпорации по борьбе с пиратством в стране.

По неофициальной информации, начиная с 20 октября софтверный гигант ужесточит свою политику в отношении китайских пользователей пиратских версий операционной системы Windows XP Professional и пакета офисных приложений MS Office. Предполагается, что китайское подразделение Microsoft выпустит два специальных патча, которые будут загружаться через систему автоматического обновления и выполнять несколько функций, в том числе агитационную.

Помимо сообщений о преимуществах использования лицензионного софта, пользователей пиратских изданий Windows XP, не отключивших функцию автообновления, ожидает появление черного экрана при запуске системы. Для возврата нормального отображения рабочего стола придется изменить его фон. Однако экран будет чернеть каждый час. Кроме того, при входе в Windows пользователи увидят сообщение "Возможно, вы стали жертвой компьютерного пиратства".

Пользователи пиратских копий Microsoft Office столкнутся с проблемами в отображении панелей инструментов.

1 апреля 2008 китайские спутники-шпионы нарушили работу американской ПРО. Сообщается. что был зафиксирован крупный сбой в работе системы противоракетной обороны США. На несколько часов прервалась связь с командным пунктом системы дислоцированном на авиабазе Клиp. В связи с этим система была приведена в состояние повышенной боевое готовности. Президенту США поступил запрос о присвоении высшего уровня террористической угрозы.

Оперативное расследование причин показало, что причиной сбоя стало несколько рабочих станций, отвечающих за управление командным пунктом. Установленная на компьютерах ОС Windows Vista неожиданно перешла в «ограниченный режим», который автоматически включается в случае, если система не была корректно активирована на сайте Microsoft.

По заявлениям военных все рабочие станции были корректно настроены и работали без сбоев уже более пяти дней, когда, после установки очередной серии обновлений Vista решила, что её лицензионное соглашение было нарушено. Тесное взаимодействие с экспертами Microsoft позволило выяснить, что ключи активации были использованы другими компьютерами, что и привело к срабатыванию системы защиты.

По журналам Windows Updates были установлены имена и IP-адреса «пиратов». Неожиданно для всех названия узлов (Шэньчжоу и Фейтичан) совпали с названием спутников – шпионов, недавно запушенных Китаем. Трассировка пакетов до этих компьютеров показывает, что они идут до сети космодрома в районе города Шуанчэнцзы, после чего достигают узла назначения. Причем на последний «скачок» (hop - передача пакета от узла к узлу, прим. переводчика) уходит почти секунда.

Согласно комментариям экспертов, такая ситуация характерна для спутниковых каналов из-за их малой пропускной способности. Официальной реакции Вашингтона и Пекина пока не обнародовано, но китайский новостной портал «Джё-ше-шэ-ма» опубликовал в комментарий к событию, в котором ссылаясь на анонимный источник в правительстве КНР заявляет, что данная ситуация является провокацией США, поскольку официальная политика Китая запрещает использование «закрытых» систем в правительственных и военных проектах.

13 декабря, 2007

В рамках программы по борьбе с незаконным копированием программного обеспечения Microsoft подала 52 судебных иска в отношении предприятий и частных лиц разных стран, использующих нелегальные копии Windows, Office и других продуктов.

Из поданных исков 15 касаются копий программного обеспечения, выпущенного китайским синдикатом, который, как утверждает Microsoft, входит в крупнейшее мировое «кольцо пиратов». smile207.gif

Эта организация была обнаружена в 2007 г. благодаря совместным усилиям китайских властей, ФБР и Microsoft.

В компании говорят, что большая часть контрафактного ПО продается через Сеть часто ничего не подозревающим пользователям. В результате, Microsoft начала сотрудничество с eBay, чтобы помочь в просвещении веб-клиентов о рисках контрафактного программного обеспечения и подделках в этой сфере.

Проблема контрафактного ПО не ограничивается группами, действующими в отдаленных странах. На прошлой неделе ряд поставщиков программного обеспечения, в том числе Adobe, подал иск против престижной адвокатской фирмы Fox Rothschild в Филадельфии за копирование коммерческого ПО.

Microsoft оценивает свои убытки от действий пиратов в $40 млрд. ежегодно, сообщает Dark Reading.

Иски, поданные Microsoft в понедельник, 10 декабря, касаются компаний США, Канады, Великобритании, Италии, Ирландии и некоторых других стран.

08 ноября, 2007

Компания «Майкрософт Рус» совместно с Intel и фондом «Вольное дело» намерена в ближайшие годы удвоить парк школьных ПК в России. Программное обеспечение, устанавливаемое на компьютеры в рамках благотворительной программы, запущенной фондом, будет стоить более чем в четыре раза меньше, чем в рамках существующих образовательных госпрограмм - пакет MS Office + Windows XP будет поставляться по цене $3. Таким образом, Microsoft намерена реализовать в России план, уже опробованный в Китае. План, позволивший компании Билла Гейтса преодолеть надвигающуюся угрозу свободного программного обеспечения.

Фонд «Вольное дело», созданный в 1998 г. российским бизнесменом Олегом Дерипаской совместно с десятью партнерами, объявил о намерении провести благотворительную программу для российских школ. Участие в ней примут компании Microsoft и Intel. В 2008 г. фонд планирует поставить в учебные заведения ноутбуки в количестве 200 тыс. штук. В дальнейшем, если первый опыт будет успешным, на протяжении еще четырех лет фонд намерен ежегодно поставлять аналогичные партии. Ноутбуки будут предназначаться школьникам с первого по шестой класс небольших населенных пунктов. Отметим, что, по оценкам экспертов, общее количество ПК в российских школах составляет на сегодняшний день около 700 тыс. единиц.

Пакет программного обеспечения Microsoft Student Innovation Suite, включающий Windows XP и MS Office, будет поставляться в рамках программы по цене $3. Напомним, что в рамках программы по легализации ПО в российских школах этот пакет стоит 353 руб (около $14). По словам Биргера Стена, генерального директора «Майкрософт Рус», это первый в мире широкомасштабный благотворительный проект с использованием пакета Microsoft Student Innovation Suite. Конкретные регионы, в которых будет реализовываться проект, а также сроки их охвата пока не называются.

Идти на столь значительное снижение цен Microsoft приходится не впервые. В апреле 2007 г. в столице Китая Пекине глава компании Билл Гейтс анонсировал программу, которая предусматривает продажу аналогичного пакета ПО по той же цене в $3 для развивающихся стран. На этот шаг Microsoft вынудил пойти Китай – крупнейший и один из самых быстрорастущих мировых рынков программного обеспечения. Уровень пиратства в Китае составляет около 90%, количество пользователей ПК на конец 2006 г. – 120 млн.

Китайский путь Microsoft во многом напоминает российский. Офис в обеих странах компания открыла в 1992 г. И в Китае, и в России представители Билла Гейтса встретили колоссальное противостояние своему бизнесу в лице пиратов. В обеих странах при активном участии Microsoft была развернута масштабная антипиратская кампания. В 1999 г. правительство Китая серьезно озаботилось проблемой зависимости от Microsoft и приняло решение разработать собственную операционную систему на базе Linux – она получила название Red Flag Linux. В России схожая программа только начинает реализовываться - до конца 2009 г. все российские школы должны быть оснащены пакетом свободного программного обеспечения, созданного российскими разработчиками.

Однако значительное усиление активности Microsoft в работе с чиновниками Китая не заставило себя долго ждать. Добившись снижения цен на образовательное ПО, правительство сделало Билла Гейтса практически национальным героем страны. Сейчас он является "официальным другом" Китая и лично председателя КНР Ху Цзиньтао, который год назад побывал с дружеским визитом дома у миллиардера. Билл Гейтс - почетный попечитель Пекинского университета и почетный доктор Университета Цинхуа. Во время своих визитов в Китай он удостаивается встреч сразу с несколькими членами Политбюро, что недостижимо для руководителей других транснациональных компаний.

По материалам Интернет

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Моя позиция в данном случае ближе к Microsoft - за программное обеспечение надо платить. Если ничего не делать, то китайцы и не только будут годами использовать нелицензионные версии.

Правильные ли методы выбраны? Не переборщили ли в Редмонте с черным экраном?

Помимо сообщений о преимуществах использования лицензионного софта, пользователей пиратских изданий Windows XP, не отключивших функцию автообновления, ожидает появление черного экрана при запуске системы. Для возврата нормального отображения рабочего стола придется изменить его фон. Однако экран будет чернеть каждый час. Кроме того, при входе в Windows пользователи увидят сообщение "Возможно, вы стали жертвой компьютерного пиратства".

ИМХО креативно сработано. Вроде как все работает, можно пользоваться, но у корп. клиентов проблемы точно будут теперь. На них то это все и рассчитано в первую очередь. Побегут ли они массово покупать лицензии? Кто-то забьет на патчинг, кто-то начнет переводить компы на альтернативные ОС, в Китае позиции Linux сильны.

Такой ход Microsoft разогреет проблему это точно. Это как повышение штрафов за нарушение ПДД. Пока не ударят по кошельку, никто суетиться не начнет. Больше года назад ЛК забанила всего лишь несколько ключей, сколько шуму было в инете ... в результате мы имеет повышение количества лиц. пользователей.

Можете спорить, но многие люди реально не знают о черном происхождении ПО у нах на компьютерах. Большой процент юзеров считает купленный в палатке у метро винду на диске "Золотой Софт 2008" лицензионной. В Microsoft не дураки, они эту ситуацию давно поняли и WGA ориентирована на этот слой людей. Они готовы купить лицензию, но им нужно показать на необходимость этого шага.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Дело даже не в том, права ли Майкрософт, или нет; она просто методы неправильные выбирает как всегда.

Единственное, чего добывается - только ЕЩЁ БОЛЬШЕ непропатченных компьютеров будет, а китайцев-то много...

Это будет, естественно 'критическое обновление безопасности'; мы такие трюки раньше уже видели. Потом в Инете какие-то умельцы напишут как избавиться, и т.д.

Так как средний пользователь Windows даже не знает что такое 'выборочно загрузить обновления', он во избежание повтора просто отключит Автоматические Обновления навсегда и всё. Наплыв китайцев в разделах по помощи при заражении на разных форумах по всему миру будет значительным, я предполагаю.

P.S.: Куда мы катимся, не знаю, но сейчас за убийство при определённых обстоятельствах меньше получишь, чем за использование пиратской программы. Лучше бы сам производитель продукта предусмотрел нормальную защиту лицензионности в своём барахле.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
ИМХО креативно сработано. Вроде как все работает, можно пользоваться, но у корп. клиентов проблемы точно будут теперь. На них то это все и рассчитано в первую очередь. Побегут ли они массово покупать лицензии? Кто-то забьет на патчинг, кто-то начнет переводить компы на альтернативные ОС, в Китае позиции Linux сильны.

Я думаю, что если черный экран действительно станет в Китае массовым, то тут же появятся патчи для ОС, устраняющие эти неудобства. Домашние пользователи накатят их сами, о корпоративных позаботятся админы, ну а новые дистрибутивы будут включать в себя все необходимое сразу. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин

Что думаю.

Ну первое, что так как это битва «Титанов», то ее и оценивают скорее эмоционально исходя из любви/не любви к MS или Китаю.

Далее, то, что касается новости от 29 октября – это какой-то не адекват. Поясню

Дун Жэнвэй (Dong Zhengwei), пекинский юрист, отмечает, что Microsoft, используя свое влияние на рынке, вынудило пользователей проверить подлинность программного обеспечения, а также предъявила свои жалобы к Китайской администрации промышленности и коммерции. Как утверждает юрист, компания Microsoft должна быть оштрафована на 1 млрд. долларов, поскольку ей стоило бы проанализировать рынок и изменить свою ценовую политику в отношении китайских пользователей. Цены должны меняться в зависимости от страны покупателя – развитой или развивающейся. Китайские представители отмечают, что стоит учитывать доступность продукта для пользователей.

За что будет наказан Microsoft ? Кто является истцом ? Чьи права были нарушены ? Как можно выкатить штраф за то что Microsoft не проанализировала рынок, при том по мнению юриста, она обязана это делать ? Предлагаю пойти дальше и штрафануть, для начала, всех производителей товаров категории luxury – так как не каждый китаец (россиянин, европеец, американец) может себе позволить Ferrari, и Ferrari не может этого не понимать. Потом пойти дальше, и начать штрафовать всех автопроизводителей, а также всех производителей товаров категории FCMG (например, не каждая семья может себе позволить покупать ребенку одно разовые подгузники).

На прошлой неделе компания Microsoft в очередной раз обновила свою программу Windows Genuine Advantage, предназначенную для проверки подлинности системы. Что, в свою очередь, вызвало бурю судебных исков в Китае, где, как полагают представители Microsoft, подавляющее большинство пользователей, преднамеренно или нет, имеет пиратское программное обеспечение. Причина негодования проста - экран компьютера, использующего пиратское программное обеспечение, после проверки становится черным.

Я несколько раз перечитал, но так и не понял, кто кому иски стал предъявлять.

В данном случае, ущемлены права именно Microsoft – она пытается их восстановить. Далее касательно методов. Они не понятны, в том смысле, что не понятно, что реально происходит. Все на уровне ОБС (Одна Бабка Сказала, внутренние источники, по не проверенной информации) etc.

Кто-нибудь может подсказать, за что можно вкатить иск или штраф ? Монопольное положение или не добросовестная конкуренция ? Последнее очевидно нет. Монопольное положение крайне сложно доказать, посмотрите хотя бы часть исков в Европе и чем закончилось. При том посмотрите, MS ведет себя очень грамотно, ну это понятно. MS самих пользователей, привлекает на свою сторону, считая что они может быть и не специально используют не легальный софт, но сами являясь пострадавшей от мошенничества стороной. И вести диалоги с пользователями находящимися вне правового поля – странно. Есть опасность, что пострадают легальные пользователи и вот они то и могут представить иск… Но вот на что иск ? На не корректную работу ПО ? Так ПО распространяется AS IS, так прописано в EULA. И только «добрая воля» производителя может заставить его выплатить какие-то отступные пользователям (это касается любого производителя ПО).

Пожалуй, вариант «разделения» MS на несколько компаний (как это было с Standard Oil и AT&T) – может, что-то изменить. Но китайцы то тут при чем ?

По теме топика – нет не могут физически – если только массой.

По опросу не стал голосовать, так как вопросы подобранны не правильно – тенденциозно и имеют эмоциональный окрас – что не допустимо при проведение опросов. Кривые вопросы, дадут кривой результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Михаил Орешин

так как вопросы подобранны не правильно – тенденциозно и имеют эмоциональный окрас – что не допустимо при проведение опросов. Кривые вопросы, дадут кривой результат.

- Продавец тыкв не говорит, что тыквы горькие; продавец вина не говорит, что вино разбавленное.

- И соль, и сахар белого цвета, но, когда готовишь сладкое, не перепутай их.

- Оптимист видит возможность в каждой опасности, пессимист видит опасность в каждой возможности.

- Разговор проходит, как ветер; бумага и кисть тверды, как горы и реки.

- Увидеть лучше, чем услышать, познать лучше, чем увидеть, сделать лучше, чем познать.

- Благородный человек, действуя по праву, увеличивает своё счастье; ничтожный человек, пользуясь силой, обманывает людей.

- Хочешь в чем-нибудь добиться успеха — посоветуйся с тремя стариками.

Из китайской мудрости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
- Продавец тыкв не говорит, что тыквы горькие; продавец вина не говорит, что вино разбавленное.

- И соль, и сахар белого цвета, но, когда готовишь сладкое, не перепутай их.

- Оптимист видит возможность в каждой опасности, пессимист видит опасность в каждой возможности.

- Разговор проходит, как ветер; бумага и кисть тверды, как горы и реки.

- Увидеть лучше, чем услышать, познать лучше, чем увидеть, сделать лучше, чем познать.

- Благородный человек, действуя по праву, увеличивает своё счастье; ничтожный человек, пользуясь силой, обманывает людей.

- Хочешь в чем-нибудь добиться успеха — посоветуйся с тремя стариками.

Из китайской мудрости.

Раздавлен интеллектом. Не понял к чему эти мудрости. Ушел нервно курить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dippach

Скорее согласен с позицией Microsoft. Если какие-либо пользователи не знали про то, что у них стоит нелицензионное ПО, им дана возможность это узнать весьма однозначно. С другой стороны, возникает вопрос. В случае, если обновления были включены, то уже должна была загрузиться на некоторые компьютеры более ранняя версия WGA, которая "сигналит" о нелегальном происхождении ПО. Таким образом, возникают некоторые сомнения о том, что все эти люди не были в курсе дел.

Так или иначе, каким бы образом пользователь не узнал о нелегальности своей ОС, это никак не отменяет самого факта нелегальности. И в любом случае ставится вопрос о покупке лицензии или переходе на опенсорс. Как говорится, любишь кататься -умей и саночки возить.

Кроме того, никакого вреда самим данным такое своеобразное уведомление не наносит. Можно даже сказать, что найден весьма эффективный способ заставить отказаться от нелегальной ОС в пользу ОС, купленной за собственные кровные или в пользу того же Линкуса. Прав же пользователи, которые "приобрели" пиратский софт, никаких не имеют. Потому поволнуются, повозмущаются и найдут другие пути решения проблемы. Кончится маханием кулаками перед носом Майкрософта.

- Продавец тыкв не говорит, что тыквы горькие; продавец вина не говорит, что вино разбавленное.

- И соль, и сахар белого цвета, но, когда готовишь сладкое, не перепутай их.

- Оптимист видит возможность в каждой опасности, пессимист видит опасность в каждой возможности.

- Разговор проходит, как ветер; бумага и кисть тверды, как горы и реки.

- Увидеть лучше, чем услышать, познать лучше, чем увидеть, сделать лучше, чем познать.

- Благородный человек, действуя по праву, увеличивает своё счастье; ничтожный человек, пользуясь силой, обманывает людей.

- Хочешь в чем-нибудь добиться успеха — посоветуйся с тремя стариками.

Прикольный копипаст. Навеяно Китаем? :lol: Правда, к теме как-то очень туго привязывается, но все равно спасибо, освежил в памяти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Проголосовал за первый вариант.

Моя позиция в данном случае ближе к Microsoft - за программное обеспечение надо платить.

Это Ваша личная позиция или позиция представителя "независимого" "народного" портала?

Если ничего не делать, то китайцы и не только будут годами использовать нелицензионные версии.

И чем лично Вас это задевает (обижает)?

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Ушел нервно курить.
Прикольный копипаст.

Эти семь пословиц из китайской мудрости конечно же были подобраны со смыслом, но без намёка на интеллект. :) Тема всё-таки про Китай.

Но в наибольшей степени их можно отнести к Microsoft, к её глобальной геомаркетинговой политике, к продавцам её т.н. легального Windows'a, к покупателям того же Windows'a, к ваятелям и продавцам другого т.н. нелегального Windows'a, а также к обычным китайцам, как покупателям и пользователям всех перечисленных выше Windows'ов, к законникам и тяжебщикам из приведённой выше информационной подборки...

А вот последняя седьмая пословица — "Хочешь в чем-нибудь добиться успеха — посоветуйся с тремя стариками." — адресована также и к участникам этого форума и смысл её, думаю, будет понятен без перевода всем, кто умеет слушать и советоваться.

Мегагигант Microsoft в отличие от нас с вами не слушает никого и не советуется ни с кем, а потому вторая часть - 6-й пословицы - в полной мере относится к нему.

Теперь, думаю, смысл первых двух пословиц ясен, и к кому он относится в большей степени, тоже понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Мегагигант Microsoft, в отличие от нас с вами, не слушает никого и не советуется ни с кем...

Поэтому, считаю, его, и таких, как он (мегагигантов), пиратить не только можно, но и нужно. По полной программе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

chab09050.gif Увы и ах.

Microsoft ... стоило бы проанализировать рынок и изменить свою ценовую политику в отношении китайских пользователей.

Цены должны меняться в зависимости от страны покупателя – развитой или развивающейся. Китайские представители отмечают, что стоит учитывать доступность продукта для пользователей.

Россия для Microsoft тоже что-то вроде стран третьего мира. Разве нет?

Почему российские пользователи должны с этим мириться и платить свои последние гроши за продукт, который глючит, сине-черноэкранчит (бсодит), трещит по швам, тяп-ляп латается, ругается на пользователя, сочится вирусами и ещё охраняется каким-то "Законом о чужих правах"?

Мысли невслух:

Право юзерам дешевле перейти снова на экранные приставки и мечатные машинки, а детям купить солдатиков с куклами и фломастеры с бумагой. А вырученные деньги потратить на конфеты и мороженое.

И что тогда будет с Корпораций М(онстров)?

Я это к тому, что и Россия и Китай могут послать мелкооконный софт ко всем чертям и на вырученные деньги создать хотя бы совместную российско-китайскую операционную систему. Это будет гораздо дешевле, чем платить всяким мелкомягким согласно "Закону об их правах" (или "Билю о Билле").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

У китайцев уже есть «Великий китайский фаерволл».

«Руссофт» (штаб-квартира в Санкт-Петербурге) предлагает оградить российский сегмент Интернета от остальной Сети и создать Великий русский фаерволл. Чем не путь к созданию Рунета на основе российской операционной (информационной) системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Дополнение в 1-й пост

Михаил Орешин: Я несколько раз перечитал, но так и не понял, кто кому иски стал предъявлять.

Донг Жэнвэй, юрист из КНР подал иск в суд с требованием к Министерству общественной безопасности КНР открыть уголовное дело против Microsoft. Дело будет называться "о взломе пользовательских компьютеров".

Как пишет сайт Сybersecurity.ru, китайского юриста возмутило поведение ПО Microsoft Windows Genuine Advantage, которое без ведома пользователя устанавливается на компьютер и по всем свои характеристикам походит на вредоносные программы, которые рассылают хакеры. Windows Genuine Advantage после установки начинает незаметно собирать данные об ОС и в состоянии заблокировать систему, если определенные условия не будут выполнены.

По словам Жэнвэй, он уважает право Microsoft защищать свои лицензионные программы от пиратства, но по мнению китайского юриста, сейчас руководство корпорации действует постыдными методами, поэтому власти КНР обязаны принять меры, для защиты собственных граждан от этого произвола.

Стоит напомнить, что Windows Genuine Advantage действует в качестве автоматического обновления. Основной ее задачей на компьютере является определение лицензионная версия ОС установлена или нет. Если программа решит, что версия пиратская - она ее заблокирует. Еще ранее Ассоциация производителей программного обеспечения Китая также подала в суд на Microsoft, руководствуясь теми же мотивами что и Донг Жэнвэй.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
и на вырученные деньги создать хотя бы совместную российско-китайскую операционную систему.

Китайцы и впрямь дружно ополчились против Microsoft

Власти Китая уже несколько месяцев проводят антимонопольное расследование в отношении корпорации Microsoft. Регулирующие органы подозревают софтверного гиганта в коммерческом сговоре с местными производителями и продавцами компьютеров и ноутбуков.

Китайский государственный департамент по надзору за соблюдением прав на интеллектуальную собственность в сотрудничестве с рядом институтов утверждает, что усматривает признаки нарушения антимонопольного законодательства в действиях Microsoft и нескольких крупных поставщиков компьютеров на рынке КНР.

По сообщению делового издания Shanghai Securities News, точный перечень компаний, подозреваемых в сговоре, будет перечислен в судебном иске. Сам же иск планируется подать в ближайшие дни, но его рассмотрение начнется 1 августа, как раз в этот день в КНР вступает новый более жесткий закон, регулирующий антимонопольные действия на рынках.

Недовольство китайцев вызывает тот факт, что в Китае есть масса компаний, производящих программное обеспечение и даже операционные системы, однако местные производители компьютеров предустанавливают более дорогие американские аналоги.

Это, по мнению заявителей, повышает стоимость продаваемых компьютеров для покупателей, а кроме того, косвенно указывает на коммерческую заинтересованность производителей в установке именно разработок Microsoft.

«С одной стороны транснациональные корпорации, пользуясь своим монопольным положением, устанавливают необоснованно высокие цены на «подлинное» программное обеспечение, с другой, они критикуют Китай за слишком высокий уровень пиратства. Это не нормально. Китайские антимонопольные органы обязаны вмешаться в ситуацию», - говорят источники Shanghai Securities News.

Заявители иска отмечают, что набор программного обеспечения Windows + Office зачастую обходится покупателям дороже $1000, при том, что сами компьютеры, на которых этот софт работает стоят дешевле. В Microsoft пока не дают каких-либо комментариев по поводу ситуации в КНР.

Источники: cybersecurity.ru, companion.ua

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Стоит напомнить, что Windows Genuine Advantage действует в качестве автоматического обновления.

Честно сообщает - я проверю подлинность ОС. Правда с таким уклоном, вроде "А то вдруг ты не знаешь, а я тебе глаза-то и открою". Для пробы просто снял галку с этого апдейта (настроен на "Предупреждать об обновах") и поставил "Больше не сообщать об этом обновлении". Все, WGA не загружается. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Все, WGA не загружается.

Да, к тому же модули WGA напичканы по всей системе. Уж столько про них писано-переписано, но всё равно простые пользователи столь беспечны. :)

И ещё желательно всегда в "Свойствах обозревателя" на вкладке "Дополнительно" снимать галочку "Включить интегрированную проверку подлинности Windows". "Применить" - "ОК". Чтобы IE6-7 не сдавал собранные данные в MS каждый раз при выходе в Интернет. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Мегагигант Microsoft в отличие от нас с вами не слушает никого и не советуется ни с кем, а потому вторая часть - 6-й пословицы - в полной мере относится к нему.

Теперь, думаю, смысл первых двух пословиц ясен, и к кому он относится в большей степени, тоже понятно.

А вы считали, сколько человек принимало участие в обсуждение данной защиты в Майкрософт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А вы считали, сколько человек принимало участие в обсуждение данной защиты в Майкрософт?

Я не считал. И сколько? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вообще, защищать свое детище - вполне законное право производителя. Пусть тогда аверы перестают банить ключи, например. Им, почему-то, претензию не предъявляют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Уважаемые защитники авторских прав Microsoft, вы немного уклонились от сути темы.

Ни я, никто в Китае не собирается отнимать у Microsoft их "наработанное непосильным трудом".

Дело в том, что китайцы, в отличие от нас с вами, поняли, как их обманывают компании-поставщики ПО, посредники Microsoft. Как на них наживаются гиганты информационно-компьютерного мира.

И не просто поняли, а уже принимают законодательные и юридические меры на государственном уровне.

И, даже, не просто принимают меры, а ценят свои ресурсы, свои знания и возможности.

Ниже я выделил самые важные цитаты.

Жэнвэй ... уважает право Microsoft защищать свои лицензионные программы от пиратства, но по мнению китайского юриста, сейчас руководство корпорации действует постыдными методами, поэтому власти КНР обязаны принять меры, для защиты собственных граждан от этого произвола.
Китайский государственный департамент по надзору за соблюдением прав на интеллектуальную собственность в сотрудничестве с рядом институтов утверждает, что усматривает признаки нарушения антимонопольного законодательства в действиях Microsoft и нескольких крупных поставщиков компьютеров на рынке КНР.

... точный перечень компаний, подозреваемых в сговоре, будет перечислен в судебном иске...

Недовольство китайцев вызывает тот факт, что в Китае есть масса компаний, производящих программное обеспечение и даже операционные системы, однако местные производители компьютеров предустанавливают более дорогие американские аналоги.

Это ... повышает стоимость продаваемых компьютеров для покупателей, а кроме того, косвенно указывает на коммерческую заинтересованность производителей в установке именно разработок Microsoft.

Из-за этого

... набор программного обеспечения Windows + Office зачастую обходится покупателям дороже $1000, при том, что сами компьютеры, на которых этот софт работает (т.е. предустановлен) стоят дешевле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Китайцы отказали Microsoft в иске против пиратов

Пекинский суд отказал корпорации Microsoft в удовлетворении иска против китайской компании Yadu Technology Group, сообщает Reuters.

Представители Microsoft были разочарованы таким решением, т.к. по их мнению предоставили убедительные доказательства для иска к Yadu Company, дочерней компании Yadu Technology Group.

Напомним, что в начале ноябре корпорация Microsoft предъявила Yadu Technology Group иск, обвиняя китайскую компанию в якобы неофициальном использовании на офисных компьютерах программного обеспечения Microsoft Office и Windows. В качестве компенсации Microsoft требовала 1,5 миллиона юаней (около 180 тысяч долларов). Это первый антипиратский иск корпорации, выставленный конечному пользователю.

Китайская компания обвиняет Microsoft в нарушении патента

Компания China E-commerce подала иск против Microsoft за незаконное использование технологии RSS в операционной системе Windows Vista.

Генеральный директор China E-commerce Ван Цзяньбо заявил, что его компания подала патентную заявку на технологию RSS в 2005 году. В декабре 2007 года Китайский государственный департамент интеллектуальной собственности выдал China E-commerce патент за номером ZL 2005 1 0022721.3.

Ван утверждает, что Microsoft использует запатентованную технологию в своей операционной системе без согласования с правообладателем.

Третейский суд города Сиань (провинция Шааньси), в котором базируется компания China E-commerce, принял на рассмотрение иск с требованием хозяев патента прекратить продажу Windows Vista с поддержкой RSS на территории Китая

Сообщение: China Tech News.

В Китае меняется система сертификации на импортные товары

Китайское правительство предлагает ввести новую систему сертификации на импортные товары. Новый законопроект, направленнный на борьбу с преступлениями в сфере информационных технологий, в их числе упоминается также кибершпионаж в пользу США и западных стран, может быть принят в мае 2009 года. В этом случае производители программного и некоторого аппаратного обеспечения, которое отвечает за обработку информации (электронные печатные платы, копировальные аппараты, цифровые устройства для дома, плоскопанельные телевизоры и т.д.), будут обязаны предоставить полное описание вмонтированного оборудования и исходные коды программ, служащих для управления электронными устройствами.

Если же импортер откажется сотрудничать по новым правилам, чиновники вправе будут запретить ввоз таких товаров и их продажу на территории Китая. То же правило коснется и зарубежных компаний, владеющих в КНР заводами по сборке того или иного продукта, таких как "Microsoft", "Oracle", "Intel", "IBM", "Acer" и других.

Толчком к этому также могло послужить наличие во многих современных портативных устройствах, производящихся в Китае на заводах, принадлежащих зарубежным компаниям, в частности ноутбуках, хорошо спрятанных незаявленных "устройств дальней связи", а проще говоря, различных жучков и минипередатчиков сигнала, которые известные корпорации монтировали без разрешения китайского правительства и спецслужб. Такие "жучки" заводской установки были найдены во многих портативных устройствах членов правительства. Под нажимом местные представители некоторых компаний робко назвали их "противоугонными" устройствами, но их сигнал при определённых обстоятельствах может быть принят даже со спутника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

наличие в ...ноутбуках, хорошо спрятанных незаявленных "устройств дальней связи", а проще говоря, различных жучков и минипередатчиков сигнала, которые известные корпорации монтировали без разрешения китайского правительства и спецслужб.

А вы проверили свой ноутбук? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Всё, что написано выше, по теме полностью перекликается со следующей новостью:

Учитель Александр Поносов одержал судебную победу над Microsoft

Россия всем миром помогла Поносову в тяжбе против Microsoft!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..

И правильно, а то нашли крайнего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       5.0.3
      ---------------------------------------------------------
       o Добавлен новый статус процесса: Критический.
         В старых версиях uVS выгрузка такого процесса приводила к BSOD с кодом: CRITICAL PROCESS DIED.
         Начиная с v5.0.3 такие процессы выгружаются без последствий (если этот процесс не является системным).
         При обнаружении неизвестного процесса с критическим статусом в лог выводится предупреждение и
         файл получается статус "подозрительный".

       o Добавлен новый режим захвата экрана DDAw, который является упрощенным режимом DDAL.
         Отличие от DDAL в том, что передается и отображается лишь содержимое активного окна и
         участки окон высшего уровня перекрывающие это окно (если они есть).
         Данный режим позволяет снизить нагрузку на процессор и канал передачи данных.
         Визуально это выглядит как интеграция окна удаленного приложения в клиентскую систему.
         Для переключения между окнами доступны все горячие клавиши.
         При нажатии Alt+Tab на время удержания клавиши Alt передается весь экран для возможности
         визуального выбора другого окна.
         (!) В этом режиме монитор и рабочий стол выбираются автоматически по расположению активного окна. 
         (!) В этом режиме недоступна эмуляция нажатия Ctrl+Alt+Del.
         (!) В этом режиме недоступно отображение запроса UAC.
         (!) Если нет активного окна то картинка не передается.
         (!) Режим доступен начиная с Windows 8.

       o В окно настройки однократного доступа к удаленному рабочему столу
         добавлен новый флаг "Только для выбранного приложения".
         Если флаг установлен то удаленному пользователю передается лишь содержимое активного  
         окна разрешенного приложения, все остальное он не видит и не может просматривать/управлять 
         окнами других приложений.
         Разрешенным может являться лишь одно приложение. Для выбора приложения необходимо
         активировать любое его окно и нажать горячую клавишу (по умолчанию Alt+Shift+W) указанную в логе uVS.
         Выбор доступен лишь тому кто предоставляет доступ к своему рабочему столу.
         Если удаленному пользователю разрешено управление и он любым способом сменит фокус ввода
         на другое приложение (например нажмет Alt+Tab или закроет приложение) то он немедленно потеряет возможность
         управлять удаленным компьютером до возврата фокуса ввода в окно разрешенного приложения или
         замены разрешенного приложения.

       o Функция запоминания размеров окон для разных мониторов удалена.
         Теперь действуют единые парметры масштабирования.
         Масштабирование стало автоматическим.

       o При подключении к удаленному рабочему столу автоматически определяется активный дисплей
         по окну на переднем плане.

       o В системное меню окна удаленного рабочего стола добавлены пункты:
         o Скрыть/показать элементы управления.
         o Эмулировать нажатие кнопок Ctrl+Alt+Del (кнопка CAD удалена из окна).
       
    • AM_Bot
      Когда-то BI.ZONE SOAR был внутренней разработкой для собственного центра мониторинга ИБ. Теперь это продукт, который доступен и внешним заказчикам. Он служит ядром управления информационной безопасностью: собирает алерты, автоматизирует, обеспечивает реагирование, позволяет работать по модели MSSP.      ВведениеСоздание решенияАрхитектура и компонентыКлючевые возможности BI.ZONE SOAR4.1. Работа с алертами4.1.1. Политики регистрации алертов4.1.2. Агрегация алертов4.1.3. Группировка алертов4.2. Jinja-шаблоны4.3. Автоматическая регистрация инцидентов (Direct Alert)4.4. Обогащения в карточке алерта4.5. Возможности реагирования на сторонних системах4.6. Учет SLA по обработке алертов4.7. Работа с инцидентами4.8. Почтовые уведомления4.9. История изменений4.10. Рекомендации по безопасности4.11. Задачи4.12. Клиентский портал BI.ZONE SOC Portal4.13. ИИ-ассистент BI.ZONE Cubi4.13.1. Объяснение командных строк4.13.2. Объяснение алерта4.13.3. Резюме для руководителей (executive summary) по инциденту4.14. Управление активами и модуль CMDBОбщие возможности BI.ZONE SOAR5.1. Кастомизация карточек инцидентов5.1.1. Типы карточек5.1.2. Рабочие процессы карточек5.1.3. Приоритет карточки5.1.4. Категории5.1.5. Решения5.1.6. Кастомные поля5.2. Поддержка сквозного входа (SSO)5.3. Мультиарендность5.4. Ролевое разграничение доступа5.5. Дашборды5.6. Отчеты5.7. Система документации5.8. Коннекторы5.9. Сторонние интеграцииМинимальные требования к аппаратным ресурсамТиповые схемы внедрения BI.ZONE SOAR7.1. Базовая инсталляция для внутреннего SOC7.2. Мультитенантная инсталляция для крупных SOC и MSSP7.3. Инсталляция с поддержкой интеграции BI.ZONE TDRВыводыВведениеВ июле 2025 года компания BI.ZONE представила платформу BI.ZONE SOAR (Security Orchestration, Automation, and Response), которая связывает процессы мониторинга, расследования и реагирования на инциденты. Главная задача платформы — предоставить решение для команд центров мониторинга (SOC), на базе которого можно построить процессы управления инцидентами, а также обеспечить прозрачный и управляемый цикл расследования от первого алерта до устранения последствий атаки.BI.ZONE SOAR выполняет функцию единого окна, в котором команды кибербезопасности могут централизованно наблюдать за уровнем защищенности инфраструктуры. Платформа закрывает первоочередные задачи любого SOC: обрабатывает поток алертов, поддерживает формирование кастомных карточек, позволяет использовать контекст из встроенной БД управления конфигурациями (CMDB) и предоставляет инструменты для взаимодействия с внешними командами. Решение также входит в реестр отечественного ПО, что подтверждает соответствие требованиям российского законодательства.В обзоре — подробное описание ключевых функций платформы, ее архитектурных особенностей и способов внедрения.Создание решенияВ 2019 году компания BI.ZONE решила создать собственный центр мониторинга, который должен не только покрывать внутренние потребности по инцидент-менеджменту, но и обеспечивать максимальную прозрачность для клиентов, удовлетворять требованиям соглашений и целей по качеству (SLA / SLO) и позволять масштабировать процессы в будущем. Существующие на тот момент решения не закрывали поставленные задачи. Большинство SOAR-платформ были громоздкими, требовали значительной доработки и не позволяли адаптировать бизнес-логику под специфические сценарии SOC. В результате было принято стратегическое решение — разработать собственную платформу, которая станет ядром процессов реагирования внутри SOC в BI.ZONE и со временем сможет эволюционировать в полноценный продукт для внешнего рынка.Одновременно с развитием платформы рос и сам SOC в BI.ZONE. Сегодня он является одним из крупнейших центров мониторинга в России и других странах СНГ, который круглосуточно обслуживает более 150 заказчиков. Ядром архитектуры SOC в BI.ZONE остается BI.ZONE SOAR — единая точка взаимодействия между аналитиками, клиентами и внешними системами.Архитектура и компонентыАрхитектура BI.ZONE SOAR построена по принципам модульности, масштабируемости и отказоустойчивости. Платформа состоит из семи основных модулей:Алерт-менеджер. Модуль для приема и первичной обработки входящих алертов — атомарных сигналов тревоги от конкретного средства защиты. Может агрегировать однотипные события, применять правила группировки, автоматически заводить инциденты для критических алертов и т. д.Модуль активов (CMDB). Модуль для хранения данных об объектах инфраструктуры и автоматической регистрации активов.Ядро SOAR. Центральный компонент, который управляет жизненным циклом карточек (инцидентов, алертов, задач и т. д.), позволяет конфигурировать параметры системы и управлять другими модулями.Центр уведомлений. Модуль для уведомлений по ключевым событиям: регистрация карточек, изменение статусов, добавление новых комментариев и т. д.Клиентский портал. Выделенный веб-интерфейс для взаимодействия команды кибербезопасности с другими командами (ИТ, подрядчики, пользователи, ответственные за активы и т. д.).Модуль реагирования. Выполняет действия по локализации угроз на других защитных решениях в организации.Модуль отчетов. Генерирует отчеты в соответствии с заданными параметрами и расписанием.Рисунок 1. Устройство архитектуры BI.ZONE SOAR Помимо вышеперечисленных, в архитектуру могут входить вспомогательные сервисы. Вместе компоненты образуют комплексное, но гибкое решение: можно дорабатывать или заменять отдельные модули без перестройки всей системы.Кроме того, BI.ZONE SOAR спроектирована с расчетом на эксплуатацию в крупных SOC, поэтому отдельное внимание уделено возможностям горизонтального масштабирования и отказоустойчивости. Модули выполнены в виде микросервисов, при этом платформа разворачивается в кластере Kubernetes. Контейнеризация микросервисов существенно упрощает развертывание решения и его переносимость между средами. Инструменты Kubernetes поддерживают отказоустойчивость, позволяют динамически добавлять новые ноды с ростом нагрузки, автоматически распределяют нагрузку по узлам, перезапускают сервисы в случае сбоя и восстанавливают состояние платформы при проблемах в кластере. Это позволяет подстраивать производительность системы в соответствии с текущей нагрузкой и добавлять новые ресурсы, если того требуют растущие объемы алертов.Ключевые возможности BI.ZONE SOAR Среди основных функций продукта — работа с алертами и инцидентами, использование шаблонов на языке Jinja, выдача рекомендаций. Распишем их детальнее.Работа с алертамиРастущее количество алертов от защитных решений — одна из ключевых проблем в любом SOC. Все центры мониторинга работают с большим количеством СЗИ, при этом у команды кибербезопасности не всегда есть ресурсы на точную настройку всех систем. Рисунок 2. Конвейер (пайплайн) обработки алертов В результате команды рано или поздно сталкиваются со следующими проблемами:«штормы» из сотен срабатываний одного правила;рост риска пропустить действительно критическую активность из-за большого количества неприоритетных алертов;очереди и задержки в обработке алертов, а также периодические срывы установленных SLA;одна активность вызывает регистрацию большого количества инцидентов и документируется несколько раз;сразу после закрытия обработанного алерта открывается новый аналогичный.Для решения этих проблем в BI.ZONE SOAR предусмотрен специализированный модуль «Алерт-менеджер». Он отвечает за работу с входящими потоками алертов и предоставляет команде SOC возможности для управления параметрами регистрации алертов в SOAR. С помощью модуля команда SOC может настроить политики фильтрации, группировки, агрегации и шаблонизации.Политики регистрации алертов Политики регистрации позволяют задать условия, при которых входящее событие будет зарегистрировано в SOAR как алерт. Инструмент направляет все алерты от систем управления событиями (SIEM) и других подключенных СЗИ в SOAR, а затем с помощью тонкой настройки можно отключить политику регистрации алертов для тех правил, которые не являются достаточно точными, чтобы обрабатываться в режиме реального времени.Такой подход позволяет регистрировать в SOAR только наиболее критические алерты и не отключать те правила и детектирующие сигнатуры, которые могут быть полезны в контексте подробного расследования. Рисунок 3. Информация об алертах в BI.ZONE SOAR Агрегация алертовЗачастую одна активность вызывает множество однотипных алертов, что снижает эффективность работы, потому что несколько аналитиков тратят время на обработку одного и того же. В таких случаях команде SOC удобнее анализировать один кумулятивный алерт, содержащий информацию по всем срабатываниям. Рисунок 4. Агрегация алертов по множественному запуску утилиты Rubeus Настройка параметров агрегации позволяет задать:длительность окна агрегации (например, 10 минут или 1 час);ключевые поля, которые необходимо использовать как признак для объединения алертов;поля, для которых нужно накапливать уникальные значения в агрегированный список (командные строки, имена файлов, имена пользователей и т. д.);действие при поступлении аналогичного алерта в течение заданного временного окна — например, если однотипный алерт придет в течение часа, можно не создавать аналогичный алерт повторно.Есть также функция бесконечной агрегации — после закрытия одного алерта аналогичные не будут дублироваться в системе.Группировка алертовВ некоторых случаях одна и та же активность вызывает срабатывания нескольких правил в SIEM или на множестве СЗИ сразу, что затрудняет настройку агрегации по ключевым полям. Однако аналитикам важно видеть, что несколько алертов связаны семантически. В этом помогает механизм группировки, который объединяет несколько алертов в одну раскрываемую группу. Рисунок 5. BI.ZONE SOAR автоматически группирует алерты по хосту Группировка формируется по трем признакам: сработавшее правило, хост, заданный набор полей группировки.Jinja-шаблоныОдно из главных достоинств BI.ZONE SOAR — поддержка Jinja-шаблонов. Язык Jinja широко применяется для генерации динамического текста. Он позволяет вставлять переменные, выполнять простую логику (условия, циклы) и таким образом получать автоматизированно заполненный текст по заданному формату. Это полезно для стандартизации описаний: каждая карточка инцидента или рекомендации будет оформлена по единому образцу. Функция существенно экономит время аналитика на документирование однотипной активности. Также с помощью Jinja-шаблонов может быть сформирована база шаблонов для обработки различных типов алертов, которой сможет пользоваться вся команда SOC. Рисунок 6. Jinja-шаблон описания карточки инцидента в BI.ZONE SOAR Встроенный шаблонизатор BI.ZONE SOAR позволяет:формировать заголовок и описание карточки;добавлять в текст поля из алерта;обращаться к данным, которые были накоплены на этапе агрегации, например к уникальным командным строкам;создавать таблицы;использовать HTML для форматирования текста.За счет возможности использования логических операторов (условия и подстановки) один и тот же шаблон корректно работает во множестве сценариев. Например, если в событии есть полное доменное имя (FQDN), может быть вызвана одна часть шаблона, если нет — используется другая. Это помогает стандартизировать вид карточек инцидентов, благодаря чему повышается качество отчетности и упрощается онбординг новых сотрудников.Автоматическая регистрация инцидентов (Direct Alert)В ситуациях, когда команда кибербезопасности не может на своем уровне оценить легитимность действий, аналитики центра мониторинга отправляют уведомление в другую команду, которая подтверждает или опровергает легитимность активности. Чтобы автоматизировать обработку кейсов, где нужна валидация со стороны, в BI.ZONE SOAR разработан механизм автоматической регистрации инцидентов Direct Alert. При появлении алертов от срабатываний правил, для которых настроен инструмент, Direct Alert автоматически регистрирует инцидент и отправляет уведомление.Например, при запуске сетевого сканера на машине системного администратора и срабатывании соответствующих правил BI.ZONE SOAR может автоматически отправлять уведомление ответственному лицу с запросом легитимности выполняемых действий.Обогащения в карточке алертаПри изучении алерта аналитику бывает недостаточно только контекста: нужно получить информацию из сторонних систем. Ручной поиск в соседних системах увеличивает время на получение информации, поэтому команде SOC удобно видеть дополнительные обогащения напрямую в карточке алерта. Рисунок 7. Обогащения в карточке алерта в BI.ZONE SOAR Обогащение — это дополнительный объект, который может создаваться внутри каждого алерта как в ручном режиме (при вызове доступных действий реагирования), так и автоматически (посредством интеграций, взаимодействующих с SOAR через REST API). В зависимости от решаемой задачи обогащение может содержать записи в виде текста или сохранять файлы с полезным контекстом (выгрузки логов, дампы памяти и т. д.).Возможности реагирования на сторонних системах BI.ZONE SOAR предоставляет возможности для реагирования на угрозы через набор коннекторов к другим системам, что позволяет принимать меры по локализации угрозы максимально оперативно и с использованием всех доступных защитных решений в организации. Например, открыв карточку алерта, аналитик SOC может одним кликом инициировать различные действия: «Изолировать хост от сети» с помощью системы защиты конечных точек (EDR) или «Заблокировать подозрительный IP-адрес» средствами файрвола нового поколения (NGFW). Рисунок 8. Реагирование из карточки алерта в BI.ZONE SOAR Из карточки также доступны возможности для обогащения алерта. Так, при обнаружении потенциального индикатора компрометации (IP-адрес, хеш файла, домен) аналитик SOC может запустить действие «Получить информацию о хеше из VirusTotal» или «Выполнить WHOIS-запрос для домена». В результате в карточку автоматически добавится информация о репутации индикатора, геолокации IP-адреса, данные о владельце домена и т. д.Учет SLA по обработке алертовЕще одна ключевая возможность BI.ZONE SOAR — гибкая настройка SLA для времени обработки алертов и инцидентов. Контроль SLA позволяет команде SOC проанализировать, как быстро они реагируют и локализуют возникающие угрозы.  Рисунок 9. Учет SLA обработки алертов в BI.ZONE SOAR Платформа позволяет добавлять параметры SLA, связывать их с карточками и настраивать управление параметрами. Гибкие настройки включают:задание имен метрик;определение условий начала и остановки отсчета времени;указание максимального времени выполнения для каждого параметра SLA.Функция полезна как для оценки эффективности всего SOC, так и для оценки показателей отдельно взятого аналитика. Работа с инцидентами Если один или группа алертов подтверждают вредоносную активность, то они консолидируются в инцидент. Один инцидент может включать множество связанных алертов, если они относятся к одной цепочке атаки, общему источнику данных или затрагивают одни и те же активы. Рисунок 10. Работа с инцидентами в BI.ZONE SOAR Главное назначение инцидента как сущности — превратить набор разрозненных алертов в единую структурированную карточку, куда команда может задокументировать расследование и сохранить необходимые артефакты. Внутри инцидента ведется хронология действий команды: собираются ключевые факты и контекст, строится целостная картина происходящего, фиксируются гипотезы и принятые решения. Состав полей карточки инцидента может настраиваться в зависимости от потребности конкретного SOC.Карточки на платформе BI.ZONE SOAR также содержат поля с временными метками для контроля выполнения SLA по обработке инцидента: время от момента его создания до взятия в работу, от взятия в работу до принятия решения и т. д. Таймеры для SLA могут быть настроены таким образом, чтобы учитывать производственные календари, паузы и «стоп-часы», а также подсвечивать нарушения в интерфейсе и отчетах. Это позволяет организовать процесс обработки инцидентов с контролируемыми метриками, что важно для анализа операционной работы SOC.Детальное описание инцидента заполняется с помощью встроенного текстового редактора. Он позволяет форматировать текст и добавлять изображения, например снимки экрана. Рисунок 11. Встроенный текстовый редактор для описания инцидента Если карточка инцидента не была заполнена в соответствии с шаблоном обработки алерта автоматически, аналитик SOC может найти необходимый шаблон вручную и получить предварительно заполненную карточку. Это позволяет автоматизировать первичное документирование инцидента и самостоятельно зафиксировать только наиболее важные детали.Для устранения последствий инцидентов в карточке инцидента предусмотрен блок с рекомендациями. В зависимости от потребности рекомендации могут заполняться автоматически на основе шаблона обработки алерта, выбираться из списка сохраненных шаблонов вручную или описываться аналитиком SOC самостоятельно (если инцидент оказался нестандартным и для него не заготовлены рекомендации).Переиспользование шаблонов существенно снижает временные затраты команды SOC, потому что один и тот же шаблон можно применять для множества схожих случаев. Например, если структура данных алертов от разных систем обнаружения вторжений (IDS) похожа, можно создать единый шаблон представления «Срабатывание IDS» и использовать его для любых источников, фиксируя в карточке инцидента требуемые поля.Еще хранилище шаблонов в SOAR способствует обмену опытом внутри команды. За счет совместной работы аналитики SOC могут увеличивать процент покрытия шаблонами все большего количества сценариев, снижая долю инцидентов, которые нужно описывать вручную.  Рисунок 12. Блок с рекомендациями в карточке инцидента в BI.ZONE SOAR К карточке инцидента также можно добавлять вложения: лог-файлы, дампы памяти, инструкции и другие файлы, полезные в контексте расследования. Рисунок 13. Раздел индикаторов компрометации в карточке инцидента в BI.ZONE SOAR Если в ходе расследования выявлены индикаторы компрометации (IoC), их следует заносить в специальный раздел карточки инцидента. Централизованное хранение IoC упрощает фиксацию выявленных индикаторов и позволяет сформировать единый список IoC внутри центра мониторинга. При интеграциях с внешними системами индикаторы могут экспортироваться ими для блокировок на защитных решениях или для мониторинга в SIEM. Рисунок 14. Отображение других карточек, связанных с инцидентом, в BI.ZONE SOAR Для удобства аналитика в карточку инцидента добавлен раздел со связанными с ним карточками алертов, инцидентов и задач. Механизм связей позволяет быстро получить доступ к дополнительному контексту, который может быть полезен для составления полной картины инцидента.Также в разделе «Активы» внутри карточки инцидента предоставлена информация о связанных с ним активах, что может быть полезно при поиске дополнительных сведений в рамках расследования. Доступ к информации по активам позволяет выдавать более точные рекомендации по устранению последствий инцидентов. Например, если установлено, что причиной инцидента стало необновленное ПО, то можно запланировать обновление в рамках связанной задачи. Рисунок 15. Раздел с похожими инцидентами в BI.ZONE SOAR Кроме того, в карточке можно найти похожие инциденты, в которых сработали те же правила, были такие же индикаторы компрометации или затронуты те же активы. Механизм позволяет быстро получить доступ к аналогичным инцидентам и узнать, чем была вызвана схожая активность и как команда SOC обработала ее ранее.  Рисунок 16. Комментарии внутри карточки инцидента в BI.ZONE SOAR Команда может взаимодействовать в карточке с помощью комментариев. В крупных организациях почта служит основным инструментом коммуникации, поэтому BI.ZONE SOAR поддерживает возможность добавлять комментарии, отправленные по почте. Так, если получатель ответит на почтовое уведомление BI.ZONE SOAR, то его ответ автоматически преобразуется в комментарий и добавится к карточке инцидента. Для удобства комментарии, добавленные через веб-интерфейс или через почту, маркируются разными иконками.Система поддерживает внутренние и внешние комментарии. Внутренние комментарии доступны только для пользователей с правами доступа к веб-интерфейсу BI.ZONE SOAR. Внешние отображаются на клиентском портале BI.ZONE SOC Portal. В зависимости от типа комментарии подсвечиваются разными цветами: зеленым — внутренние, желтым — внешние. Рисунок 17. «Нелегитимные» комментарии внутри карточки инцидента выделяются красным цветом Иногда команде кибербезопасности нужно запросить подтверждение о выполнении каких-либо действий от пользователей, которые не имеют доступа к веб-интерфейсам BI.ZONE SOAR / BI.ZONE SOC Portal. В таком случае им может быть перенаправлено письмо о регистрации инцидента. Ответ такого пользователя будет преобразован в комментарий внутри карточки. Так как пользователи не имеют доступа, их ответы маркируются как «нелегитимные» и подсвечиваются красным цветом. Это сигнализирует команде кибербезопасности, что использовать предоставленную информацию следует с осторожностью.Почтовые уведомленияДля взаимодействия с большим количеством пользователей в BI.ZONE SOAR реализованы гибкие механизмы почтовых уведомлений. Платформа позволяет настроить автоматическую отправку писем при регистрации инцидента. Для кастомизации уведомления, которое будет отправлено пользователю на почту, используется Jinja-шаблон. Он позволяет обращаться к полям инцидента, алерта, информации об активе и другому контексту из карточки. Рисунок 18. Создание почтового уведомления с помощью шаблона Также администратор может указать, в каких случаях система должна уведомлять пользователей по почте. Например, можно настроить отправку уведомлений в случае создания инцидента, изменения его статуса, добавления комментария и т. д.История измененийПри ретроспективном анализе инцидента удобно использовать историю его изменений. Здесь пользователь SOAR может увидеть, какие изменения вносились в карточку инцидента, в какое время и каким пользователем. Рисунок 19. Раздел «История изменений» на вкладке «История» в BI.ZONE SOAR Рекомендации по безопасностиПродвигаясь по инфраструктуре крупной организации, злоумышленник обычно укрепляет свои позиции за счет ошибок конфигураций на конечных точках: они распространены во многих инфраструктурах и просты в эксплуатации. Рисунок 20. Рекомендации по безопасности в BI.ZONE SOAR Основное назначение функции «Рекомендации по безопасности» — просигнализировать команде SOC о выявленных недостатках конфигурации, которые могут использоваться атакующим для компрометации систем, горизонтального перемещения или повышения привилегий. Функция позволяет оценить текущий уровень защищенности инфраструктуры, приоритизировать проблемы и запланировать исправления. Для удобства несколько рекомендаций безопасности могут быть отнесены к одному инциденту, по аналогии с обработкой алертов. Также с инцидентом с несколькими рекомендациями безопасности могут быть связаны задачи по исправлению проблем на конкретных конечных точках, привязанных к определенным активам.В настоящий момент рекомендации формируются на основе телеметрии BI.ZONE EDR: данных с агента на конечной точке достаточно, чтобы сделать вывод о наличии ошибки конфигурации на конкретном хосте.ЗадачиЗадачи в BI.ZONE SOAR — это инструмент таск-менеджмента для контроля выполнения действий по локализации инцидентов, рекомендаций от команды кибербезопасности и других процессов, в том числе внутри команды.Базовая информация по задаче представлена в шапке карточки, а более подробная — на вкладках ниже. Вкладки собираются из набора доступных виджетов. В зависимости от потребности конкретной организации администратор SOAR может менять состав вкладок и принцип их заполнения. Поля карточки также кастомизируются: самые важные можно добавить в шапку, а другие сделать доступными из специального виджета. Рисунок 21. Задачи в BI.ZONE SOAR Клиентский портал BI.ZONE SOC Portal Платформу BI.ZONE SOAR может использовать не только команда SOC, но и другие подразделения внутри организации. Сторонние участники могут получать доступ к различным карточкам (инцидентов, алертов, задач) через клиентский портал системы автоматизации процесса обработки киберинцидентов BI.ZONE SOC Portal.BI.ZONE SOC Portal — это витрина и рабочее место для тех, кто не работает напрямую в SOC, но должен участвовать в реагировании, например команд системных администраторов, специалистов подрядчика, ответственных за отдельные активы в инфраструктуре и других. Для внешних пользователей BI.ZONE SOC Portal упрощает и систематизирует взаимодействие с командой кибербезопасности. Так, вместо множества писем, звонков и устных поручений сторонние участники получают оформленные карточки инцидентов, где могут добавить полезный контекст, задать уточняющие вопросы и зафиксировать текущий статус инцидента.Для команды кибербезопасности система удобна тем, что позволяет управлять внешней видимостью данных и тонко разграничивать доступ к карточкам по конкретной инфраструктуре, а также типу и статусу карточки. Кроме того, BI.ZONE SOC Portal разрешает скрывать конфиденциальные поля карточки, которые должны быть видимыми только для команды SOC.Ключевые достоинства BI.ZONE SOC Portal:Устраняет необходимость ручного копирования информации из других систем в SOAR. Это ускоряет цикл реагирования. Повышает прозрачность работы. Привлеченный пользователь видит контекст по инциденту, а также то, какие шаги уже выполнены или запланированы для его устранения.Снижает вероятность потери важной информации. Все решения, комментарии и вложения протоколируются. К сохраненным сведениям можно вернуться позднее для их оценки или восстановления хронологии.Позволяет оценить взаимодействие с другими подразделениями за счет контроля SLA. Это дает команде кибербезопасности возможность выявлять проблемные места в ходе расследования и регулярно улучшать процессы.Кроме того, BI.ZONE SOC Portal можно брендировать под дизайн-код конкретной организации: настроить логотип, цвет интерфейса и другие элементы.ИИ-ассистент BI.ZONE CubiВ 2025 году BI.ZONE внедрила в свои продукты ИИ-ассистент BI.ZONE Cubi на базе генеративного ИИ (GenAI). Он упрощает работу аналитиков SOC: объясняет командные строки и алерты, а также может сформировать краткую сводку по инциденту. BI.ZONE использует собственные большие языковые модели, которые построены на базе моделей с открытой лицензией и дообучены на решении задач в области кибербезопасности. GenAI-приложения для различных продуктов развернуты в облаке BI.ZONE. Это значит, что для взаимодействия с ИИ-ассистентом администратору BI.ZONE SOAR не придется выделять аппаратные ресурсы в виде дорогих графических плат (GPU) или передавать данные недоверенному провайдеру больших языковых моделей (LLM). Объяснение командных строкМногие алерты построены на основе специфических командных строк, которые крайне важно корректно интерпретировать. BI.ZONE Cubi подробно и за несколько секунд объясняет нужную информацию, чем существенно ускоряет работу аналитиков. Рисунок 22. Объяснение командной строки от BI.ZONE Cubi Объяснение алертаФункция полезна для самопроверки аналитиков SOC. С помощью подсказок ИИ-ассистента аналитик может перепроверить корректность собственных выводов. Также объяснение алерта может использоваться при обучении сотрудников с небольшим опытом работы в центре мониторинга, уменьшая необходимый порог входа в команду SOC.При объяснении алерта ИИ-ассистент также выполняет поиск совпадений по данным BI.ZONE Threat Intelligence, чтобы получить дополнительный контекст и выявить актора, атакующего инфраструктуру.Резюме для руководителей (executive summary) по инцидентуЧтобы сформировать краткое описание инцидента, ИИ-ассистент использует доступный контекст по инциденту, связанным алертам, затронутым активам и другим сущностям. Функция особенно полезна руководителям команд кибербезопасности, когда необходимо изучить несколько инцидентов и получить общее понимание о текущем статусе расследования. Генерацию резюме могут также использовать аналитики SOC, чтобы перепроверить свои выводы или добавить в описание важный контекст. Рисунок 23. Обобщение по инциденту от BI.ZONE Cubi Управление активами и модуль CMDBМодуль управления активами выполняет функцию встроенной CMDB-системы, которая автоматически накапливает данные об активах в инфраструктуре и связывает их с карточками. Это дает больше контекста для расследования инцидентов и упрощает инвентаризацию информационных систем. Модуль CMDB может работать с любыми источниками информации об активах, формат данных от которых приведен к формату, поддерживаемому CMDB. Рисунок 24–25. Работа модуля CMDB в BI.ZONE SOAR  Чтобы избежать многократной регистрации одних и тех же активов, CMDB применяет систему правил их идентификации. Правила работают на основе различных устойчивых идентификаторов (связки IP-адресов / FQDN / имен хостов, MAC-адрес, идентификатор EDR-агента, GUID объекта компьютерной учетной записи в Active Directory и т. д.). В результате CMDB обеспечивает аналитиков SOC актуальным списком активов и корректной привязкой алертов, инцидентов и рекомендаций по безопасности.Для автоматизированного наполнения активами встроенной CMDB в BI.ZONE SOAR предусмотрен механизм идентификации активов, включающий три этапа:На этапе формирования схемы данных определяется, какие поля в «сыром» событии соответствуют полям актива в CMDB.Правила фильтрации активов настраивают точный отбор событий для конкретного правила идентификации актива из всего потока информации.Правила идентификации активов описывают, на основе каких устойчивых идентификаторов модуль должен выполнить поиск по базе существующих активов, чтобы обновить информацию в активе или создать новый.В совокупности модуль предоставляет команде SOC систему, которая автоматически наполняется ключевыми данными об активах внутри инфраструктуры. При этом команда кибербезопасности по-прежнему может вручную редактировать состояние актива, добавлять информацию в нужные поля, детализировать описания, а также изменять критическую значимость актива. Последнее может влиять на приоритет создаваемого алерта: чем выше значимость актива, тем более приоритетным является зарегистрированный по нему алерт.Общие возможности BI.ZONE SOAR Помимо ключевых возможностей, описанных выше, есть и общие функции: индивидуализация карточек, сквозной вход, мультиарендность и прочее. Рассмотрим и их тоже.Кастомизация карточек инцидентовВозможности кастомизации в современной SOAR-системе — важное условие для многих SOC, потому что гибкость конфигураций позволяет быстро адаптировать платформу под реальные требования и потребности организации. В BI.ZONE SOAR реализованы возможности кастомизации как самой платформы, так и отдельных объектов внутри нее.Типы карточекBI.ZONE SOAR опирается на систему справочников. Они выполняют роль каталогов заданных значений и обеспечивают возможность их переиспользования. Справочники используются для добавления в систему категорий, подкатегорий, решений, приоритетов, типов карточек и других объектов. Рисунок 26. Добавление нового типа карточки в BI.ZONE SOAR При интеграции разных компонентов и подключении внешних систем используется одна и та же система справочных значений. Отдельные записи можно настроить так, чтобы они не были видимы на клиентском портале системы автоматизации процесса обработки киберинцидентов BI.ZONE SOC Portal.В BI.ZONE SOAR можно создавать пользовательские карточки на основе трех базовых типов:Alert. Предназначен для регистрации алертов от защитных решений. В зависимости от потребностей организации события из разных СЗИ могут регистрироваться внутри одного типа алертов или быть разделены на несколько специализированных (например, «EDR-алерт», «SIEM-алерт», «Сетевой алерт»). Incident. Служит контейнером инцидентов и аккумулирует один или несколько связанных алертов. Внутри фиксируются гипотезы и артефакты, связи с активами, задачи на устранение последствий, а также история действий и коммуникаций. Этот базовый тип также позволяет использовать интерфейс и инструменты для обработки алертов (агрегация, группировка, шаблонизация и т. п.).Issue. Универсальная сущность для карточек, которые могут использоваться для контроля выполнения операционных задач. Такие карточки могут связываться с инцидентами, алертами и активами, поддерживают назначение исполнителей и т. д.Возможность добавления кастомных типов карточек позволяет подстроить структуру данных и процессы под конкретные требования организации, сохранив при этом единые принципы учета и связей между сущностями.Рабочие процессы карточекУ каждого типа карточек есть свой рабочий процесс (workflow) — последовательность состояний, отражающих этапы выполнения. Воркфлоу может быть настроен в соответствии с потребностями организации и существующими бизнес-процессами. Рисунок 27. Рабочий процесс карточки базового типа «Incident» в BI.ZONE SOAR  Приоритет карточкиПриоритет инцидента и потенциальные риски зависят от контекста организации: методологии оценки, специфики отрасли, критической значимости сервисов и связанных информационных систем. Настройка позволяет задать собственную шкалу приоритетов.  Рисунок 28. Настройка приоритета карточки в BI.ZONE SOAR Категории Категории и подкатегории используются в BI.ZONE SOAR для классификации инцидентов и алертов по типу угрозы, объектам воздействия, вектору атаки и другим признакам. Это позволяет классифицировать инциденты, обрабатываемые SOC, и собирать статистику по типам инцидентов в организации. Платформа позволяет настраивать собственный справочник категорий либо использовать предустановленные категории (например, «Malware», «Фишинг», «DDoS», «Внутренний нарушитель»).РешенияНа платформе BI.ZONE SOAR решение — это итоговое состояние, которым была завершена обработка карточки. В зависимости от типа карточки (инцидент, алерт или базовая карточка) набор возможных решений может отличаться. Система предоставляет возможность настроить отдельные списки решений для разных типов, что повышает точность учета и удобство работы аналитиков.Кастомные поляДля каждого типа карточки можно добавить кастомные поля, чтобы фиксировать именно те сведения, которые действительно используются в работе, а также формировать полные и релевантные шаблоны. Кастомные поля помогают адаптировать систему под конкретные бизнес-процессы организации и дают возможность сохранять важные атрибуты (например, ответственное подразделение, категория персональных данных, клиентский идентификатор, номер внешнего тикета, регион, поставщик и т. д.). Рисунок 29. Добавление пользовательского поля в карточку Параметры внешней видимости настраиваются для каждого поля отдельно. Это позволяет отображать в BI.ZONE SOC Portal только определенные атрибуты карточки и сделать конфиденциальные поля доступными исключительно для команды SOC.Поддержка сквозного входа (SSO) Single Sign-On (SSO) поддерживается на платформе за счет протокола аутентификации пользователей OpenID Connect. Это означает, что пользователи могут входить в систему через единый корпоративный центр идентификации: им не нужно хранить отдельный пароль для еще одной системы, а администраторам безопасности контролировать актуальность локальных учетных записей в BI.ZONE SOAR. В качестве SSO-провайдеров могут использоваться как отечественные решения, например BI.ZONE ID, так и опенсорс (Keycloak, WSO2 и т. д.). Рисунок 30. Вход в BI.ZONE SOAR  Для администратора платформы настройка SSO в BI.ZONE SOAR сводится к конфигурированию OpenID-провайдера с необходимыми параметрами. После настройки пользователю достаточно иметь активную сессию корпоративного SSO. Если активная сессия не установлена, то при входе на платформу происходит перенаправление на сервер единого входа (OpenID Provider). Затем после успешной проверки SOAR получает токен, по которому разрешается вход пользователя с соответствующими правами.МультиарендностьМультиарендность в BI.ZONE SOAR — это разделение одной инсталляции на независимые логические объекты (тенанты), каждый из которых соответствует отдельной инфраструктуре или организации. Тенант выступает изолированным контейнером: карточки одного тенанта недоступны пользователям другого. Это особенно важно, когда одна инсталляция BI.ZONE SOAR используется для работы с несколькими инфраструктурами, а в каждой инфраструктуре есть своя команда кибербезопасности, которая не должна иметь доступ к соседнему тенанту. Это актуально в случаях, когда организация включает несколько дочерних обществ, в каждом из которых своя команда. Если одному или группе пользователей нужно иметь доступ сразу к нескольким инфраструктурам, им может быть предоставлен доступ к нескольким тенантам.Ролевое разграничение доступа Безопасность платформы строится на строгом разграничении прав доступа. BI.ZONE SOAR поддерживает ролевую модель, в которой каждая роль настраивается из набора доступных разрешений. В зависимости от задачи конкретному пользователю можно назначить набор разрешений напрямую либо предоставить роли, которые их содержат.Область действия ролей может ограничиваться конкретным тенантом или типами карточек.  Рисунок 31. Ролевое разграничение доступа в BI.ZONE SOAR Все изменения фиксируются в журналах аудита, что упрощает соответствие внутренним политикам и требованиям регуляторов, а также поддерживает принцип наименьших привилегий и разделение обязанностей. В результате ускоряется онбординг новых пользователей, а также упрощается процесс актуализации учетных записей при изменении в составе команд.ДашбордыДашборды решают задачу оперативной видимости для SOC: в одном месте отображаются входящий поток инцидентов, соблюдение SLA, распределение по критической значимости и категориям, а также другие ключевые показатели. Фильтры по инфраструктуре, источнику события, типу карточки и исполнителю помогают перейти от общей картины к анализу конкретной выборки или временного периода. Рисунок 32. Интерфейс дашборда в BI.ZONE SOAR Помимо оперативного использования, дашборды дают тактическое и стратегическое представление о работе процесса. Тренды по неделям и месяцам показывают, каких типов инцидентов становится больше, где появляются повторные сценарии и какие источники дают наибольший вклад в количество регистрируемых алертов. Распределения по сработавшим правилам, активам и техникам MITRE ATT&CK помогают выявлять узкие места в центре мониторинга.ОтчетыОтчетные документы нужны руководству, аудиторам, заказчикам и регуляторам. BI.ZONE SOAR позволяет формировать отчеты за выбранный период и устанавливать механизм их формирования: вручную или по расписанию. Если для отчета задается расписание, он периодически формируется и отправляется на почту. Для кастомизации отчетов поддерживаются возможности по добавлению пользовательского шаблона с брендированием и настройкой разделов. Рисунок 33–34. Формирование отчетных документов в BI.ZONE SOAR  Система документацииВстроенная система документации позволяет команде кибербезопасности хранить и поддерживать в актуальном состоянии:инструкции по расследованию инцидентов;методики снятия и сохранения артефактов для компьютерной криминалистики;регламенты эскалаций и коммуникаций при происшествиях;чек-листы для проверки защищенности хоста;шаблоны отчетности.Рисунок 35. Интерфейс системы документации в BI.ZONE SOAR База документов доступна на BI.ZONE SOC Portal, а потому позволяет внешним командам быстро находить нужные материалы и документы без обращений к команде кибербезопасности. Такой подход ускоряет координацию между подразделениями и уменьшает число ошибок при передаче знаний.КоннекторыВ современных SOC решения класса SOAR выступают операционным ядром: в них попадают данные из различных средств защиты и систем, а затем отсюда инициируются действия по расследованию и реагированию. Для BI.ZONE SOAR критически важно иметь возможности для подключения к внешним источникам данных. Для этого на платформе предусмотрено несколько способов, которые позволяют встроить BI.ZONE SOAR в уже работающий ИТ-ландшафт и развивать интеграции по мере роста потребностей центра мониторинга.На текущий момент система поддерживает следующие виды коннекторов:Коннекторы сбора алертов. Предназначены для приема алертов из внешних источников различных типов и их приведения к единой схеме. Такие коннекторы выполняют нормализацию и отправляют алерты на дальнейшую обработку в «Алерт-менеджер».Коннекторы для сбора данных об активах. Предназначены для сбора инвентаризационной информации об ИТ-активах внутри инфраструктуры. Коннекторы могут использовать в качестве источников данных Active Directory, решения класса EDR, антивирусное программное обеспечение и другие системы. Как и в случае алертов, собранные данные приводятся к единой схеме, после чего отправляются в CMDB.Коннекторы для активного реагирования. Предназначены для выполнения действий по реагированию во внешних системах из SOAR. Например, так могут вызываться изоляция хоста через EDR, блокировка IP-адреса / URL на сетевых средствах, отключение учетной записи в AD, блокировка ящика отправителя на почтовом шлюзе и т. д.Предусмотрено также взаимодействие в рамках сторонних интеграций.Сторонние интеграцииКаждая организация и ее внутренняя инфраструктура уникальны, поэтому бизнес-требования и рабочие сценарии часто выходят за рамки типового использования. Это вызывает кейсы взаимодействия с SOAR, которые изначально не предусмотрены вендорами, поэтому критически важна гибкая интегрируемость с ранее развернутыми системами. В таких случаях BI.ZONE SOAR может выступать не только системой управления инцидентами, но и быть источником данных. Это актуально в случаях, когда организация использует платформу бизнес-аналитики (BI) с настроенной витриной данных либо кастомные механизмы запуска автоматизаций. Рисунок 36–37. Пример витрины на основе данных, получаемых из BI.ZONE SOAR в SOC  Для таких интеграций предусмотрено три варианта взаимодействия:REST API. Набор конечных точек для выполнения различных действий, которые могут вызываться как через пользовательский интерфейс, так и внешние системы автоматизации.Чтение из базы данных продукта. Позволяет получать сведения напрямую из базы данных продукта посредством выполнения необходимых SQL-запросов и экспортировать их в другие решения — например, BI-платформу или корпоративное хранилище (DWH).Событийная шина. Дает возможность другим системам подписываться на происходящие системные события внутри событийной шины и выполнять действия при наступлении необходимых событий.Таковы основные возможности. Рассмотрим далее минимальные системные требования.Минимальные требования к аппаратным ресурсамВендор советует разворачивать отказоустойчивую инсталляцию на базе Kubernetes и придерживаться рекомендуемых аппаратных характеристик, поскольку для BI.ZONE SOAR критически важны стабильность и производительность всего контура. Система не должна работать медленно или нестабильно и тем более допускать простои: даже при выводе из строя одной ноды платформа должна сохранить доступность, так как выполняет критически важную роль для мониторинга защищенности организации. Также рекомендуется оставлять запас по объему аппаратных ресурсов для пиковых потоков алертов и работы фоновых задач, чтобы поддерживать целевые SLA и время отклика.  Таблица 1. Аппаратные требования BI.ZONE SOARТип узлаКоличествоЦП, vCoreОЗУ, ГБSSD, ГБk8s-master38850k8s-storage588550k8s-worker581650k8s-load-balancer22220 Типовые схемы внедрения BI.ZONE SOARПлатформа может использоваться в широком кругу организаций — от компаний, которые только строят свой внутренний (in-house) SOC, до холдингов с несколькими инфраструктурами и MSS-провайдеров. Гибкая архитектура BI.ZONE SOAR позволяет внедрять платформу в разных моделях в зависимости от текущих команд кибербезопасности. Ниже рассмотрены три основных схемы развертывания BI.ZONE SOAR.Базовая инсталляция для внутреннего SOCВ модели «in-house SOC» платформа BI.ZONE SOAR разворачивается внутри инфраструктуры заказчика и становится ядром центра мониторинга. В этой конфигурации, как правило, используется один тенант, поскольку нет потребности в мультитенантности: работает одна команда кибербезопасности, которая напрямую взаимодействует с ИТ- и бизнес-подразделениями. SOAR интегрируется с внутренними системами компании и объединяет их в единое окно для команды безопасности. Это позволяет внутреннему SOC оперативно получать информацию обо всех инцидентах из разных источников и управлять их жизненным циклом — от поступления алерта до закрытия инцидента. Рисунок 38. Схема базовой инсталляции по модели «in-house»  Мультитенантная инсталляция для крупных SOC и MSSPПлатформа поддерживает мультитенантную архитектуру, за счет чего одна инсталляция может сопровождать несколько защищаемых инфраструктур. Данные инцидентов, алертов, активов и отчетов одной инфраструктуры недоступны пользователям из другой, так как доступ разграничен на уровне тенанта. Подход применим в случаях, когда один центр мониторинга защищает несколько организаций одновременно и выстраивает централизованный процесс обработки инцидентов на базе единого решения, без развертывания множества локальных инсталляций.Этот сценарий внедрения полезен для крупных компаний со сложной организационно-штатной структурой, когда существует центральная служба кибербезопасности, отвечающая за организацию в целом, и при этом сформированы локальные команды кибербезопасности, отвечающие только за периметр отдельного филиала или дочерней организации. В BI.ZONE SOAR сценарий реализуется через гибкое разграничение прав: пользователи локальных команд видят и обрабатывают только свои тикеты и объекты, а центральная команда управляет кросс-тенантными настройками. Рисунок 39. Схема мультитенантной инсталляции BI.ZONE SOAR В сочетании с BI.ZONE SOC Portal поддержка мультитенантности делает платформу особенно актуальной для решения задач MSSP. BI.ZONE SOC Portal позволяет MSSP-провайдерам предоставить своим клиентам доступ к личному кабинету с видимостью статусов инцидентов, возможностями для обмена комментариями и другими функциями.Инсталляция с поддержкой интеграции BI.ZONE TDRЭта схема внедрения позволяет развернуть полноценную инсталляцию внутри инфраструктуры заказчика и в ней же получать информацию об инцидентах от SOC-команды BI.ZONE.  Рисунок 40. Схема инсталляции с поддержкой интеграции BI.ZONE TDR Инсталляция с поддержкой интеграции BI.ZONE TDR актуальна для клиентов сервиса, которым недостаточно личного кабинета клиента SOC и необходимо решение для самостоятельного управления жизненным циклом инцидентов. Предполагается, что в таком сценарии внедрения клиент сможет конфигурировать инсталляцию BI.ZONE SOAR под свои задачи, а также настроить интеграцию с облачным клиентским порталом сервиса BI.ZONE TDR.ВыводыНесмотря на то что BI.ZONE SOAR официально была выпущена на рынок в 2025 году, платформа зарекомендовала себя как зрелое решение со всеми необходимыми инструментами для выстраивания процессов и систематизации работы центров мониторинга. BI.ZONE SOAR — это комплексное решение для управления инцидентами, способное удовлетворить потребности современных SOC как с технической, так и с управленческой стороны. Внедрение платформы способствует повышению киберустойчивости организации, снижению рисков и обеспечению непрерывности бизнеса даже перед лицом постоянно усложняющихся кибератак.Решение активно развивается и пополняется новыми возможностями. Ключевое преимущество BI.ZONE SOAR в том, что платформа разработана на основе многолетнего опыта команды SOC в BI.ZONE и учитывает потребности аналитиков центра мониторинга. Поэтому BI.ZONE SOAR существенно сокращает нагрузку на команду SOC, повышает прозрачность процессов обработки алертов и инцидентов, а также помогает выстроить эффективное взаимодействие между командами. Все это повышает эффективность работы SOC.Экспертный опыт команды и опыт эксплуатации в SOC стали фундаментом BI.ZONE SOAR, которая прошла путь от внутреннего инструмента до масштабируемой, высоконагруженной платформы, соответствующей требованиям крупнейших организаций и MSSP. BI.ZONE SOAR также входит в реестр отечественного ПО, что подтверждает соответствие решения требованиям российского законодательства.Достоинства:Гибкая настройка под клиента — поддержка кастомных полей и типов карточек для адаптации процессов под конкретные задачи.Удобный интерфейс — динамическое отображение карточек с помощью системы виджетов.Единый коммуникационный портал — встроенная площадка для взаимодействия с защищаемыми организациями и внешними командами.Высокая надёжность — доступен отказоустойчивый вариант поставки.Собственный ИИ-ассистент — помогает аналитикам быстрее понимать инциденты и работать эффективнее.Передовая работа с алертами — регистрация, агрегация, группировка и приоритизация событий для снижения нагрузки на аналитиков.Недостатки:Ограниченные сценарии автоматизации — в текущей версии отсутствует поддержка сложных многоступенчатых процессов, доступна автоматизация только базовых действий.Недостаток готовой экспертизы в комплекте — продукт пока поставляется без обширного набора готовых плейбуков и методик, но развитие контента заявлено в дорожной карте.Ограниченный набор интеграций — сейчас реализованы коннекторы к наиболее популярным системам, при этом их количество последовательно расширяется.Реклама, 18+. ООО «БИЗон» ИНН 9701036178.ERID: 2Vfnxxb8BttЧитать далее
    • Ego Dekker
      ESET Cyber Security был обновлён до версии 9.0.5300.
    • AM_Bot
      BI.ZONE PAM 2.3 — система управления привилегированным доступом по модели «нулевого доверия» (Zero Trust). Защищает критические цифровые системы, при этом не создаёт помех для управления ИТ-инфраструктурой. Продукт BI.ZONE PAM включён в реестр отечественного ПО, сертифицирован ФСТЭК России.      ВведениеФункциональные возможности BI.ZONE PAM 2.32.1. Вход в веб-интерфейс2.2. Защищённое подключение2.3. Добавление объектов контроля2.3.1. Настройка политик доступа2.3.2. Подключение через RemoteApp2.4. Динамическое управление секретами2.5. Мониторинг сеансов2.6. Просмотр SSH- и RDP-сессий2.6.1. Работа с SCP- и SFTP-сессиями2.6.2. Фиксация дополнительных данных для SOC2.7. РеагированиеФункциональные особенности для удобства пользователей3.1. Самостоятельные изменения по согласованию3.2. Массовые действия на ресурсах3.3. Application-to-Application Password Manager3.4. Поддержка сценариев автоматизации через Ansible PlaybookАрхитектура BI.ZONE PAM 2.3 и интеграция в ИТ-среду4.1. Компоненты системы4.2. Непрерывность работы, отказоустойчивость и аварийный доступ4.3. Масштабирование4.4. Установка4.5. ИнтеграцииСистемные требования и лицензирование BI.ZONE PAM 2.3Кейсы применения BI.ZONE PAM6.1. Замещение иностранного решения в масштабной ИТ-инфраструктуре6.2. Защита от ошибок ИТ-специалистов и контроль подрядчиков6.3. Безопасность в производственной компании с соблюдением требований законодательстваВыводыВведениеПривилегированные пользователи (ПП) — это не только администраторы, но и все, кто имеет расширенные полномочия в операционных системах (ОС) и ключевых компонентах инфраструктуры: от специалистов по кибербезопасности и разработчиков до бизнес-пользователей и подрядчиков. Такие права позволяют обходить стандартные меры защиты, и при компрометации привилегированных пользователей последствия для компании могут быть критическими — вплоть до потери данных, разрушения инфраструктуры и доступа к финансам.Практика показывает, что компрометация учётных записей ПП продолжает оставаться одним из ключевых факторов успешных атак на российские организации. В процессе эксплуатации информационных систем организации сталкиваются с рядом типичных, но критически важных проблем.Многие компании продолжают использовать административные учётные записи, информация о которых давно забыта или потеряна. Их пароли часто оказываются слабыми, не меняются годами. Деятельность администраторов на целевых ресурсах остается непрозрачной, а объём предоставляемых прав существенно превышает реальные потребности и зачастую не отзывается, даже когда сотрудники уже не выполняют соответствующие функции.Перечисленные риски подтверждаются данными BI.ZONE Threat Intelligence: 42 % атакующих групп используют техники, связанные с учётными записями ПП, для проникновения в инфраструктуру, а 63 % — на этапе продвижения по сети компании. Показательно, что во всех случаях разрушения ИТ-инфраструктуры, которые расследовала команда BI.ZONE DFIR в 2025 году, для нанесения масштабного ущерба использовались возможности привилегированных учётных записей.  Рисунок 1. Популярность техник MITRE ATT&CK, связанных с учётными записями ПП Отдельное внимание организациям приходится уделять выполнению требований регуляторов: указа Президента России № 250, федеральных законов № 152-ФЗ и 187-ФЗ, стандартов PCI DSS, ГОСТ Р 57580 и других.С учётом выявленных проблем и роста числа атак мы в компании BI.ZONE приняли решение о создании собственной системы управления привилегированным доступом — BI.ZONE Privileged Access Management (BI.ZONE PAM).В продукте отсутствуют OEM-компоненты сторонних производителей, что исключает критическую зависимость от внешних поставщиков. Это позволяет контролировать жизненный цикл всех ключевых компонентов, оперативно устранять уязвимости и развивать функциональность без ограничений, связанных с обновлениями или поддержкой со стороны третьих лиц.Решение включено в реестр отечественного ПО (№ 16915 от 21.03.2023), сертифицировано ФСТЭК России (4-й уровень доверия, сертификат № 4844 от 19.09.2024).Функциональные возможности BI.ZONE PAM 2.3В рамках серии видео «Эволюция российских PAM» уже была распаковка платформы BI.ZONE PAM. Тогда были обозначены ключевые задачи, которые решает продукт:Управление привилегированным доступом. Доступ к ключевым системам получают исключительно нужные люди на конкретный срок.Управление секретами привилегированных учётных записей. Сотрудники и подрядчики не знают пароли от учётных записей с расширенными правами. Секреты регулярно меняются — по расписанию или после каждого подключения.Контроль активности привилегированных пользователей. Действия при работе с критическими системами фиксируются в формате видео и текстовых команд, а данные о событиях уходят в SIEM.Реагирование на атаки. Нелегитимную активность можно прекратить в ручном режиме или заблокировать автоматически по чёрному списку запрещенных команд.Рассмотрим BI.ZONE PAM 2.3 более детально.Продукт представляет собой централизованную платформу для управления привилегированным доступом, реализующую принципы «нулевого доверия». Ключевой механизм — разрыв цепочки аутентификации: сотрудники подключаются к компонентам PAM, а не напрямую к целевым системам. Таким образом, создаются два независимых плеча подключения:от пользователя к PAM — с использованием непривилегированной учётной записи;от PAM к целевому ресурсу — с применением выделенных данных для привилегированного доступа.Рисунок 2. Схема работы BI.ZONE PAM 2.3 BI.ZONE PAM 2.3 реализует принципы «нулевого доверия» на архитектурном и прикладном уровне. Пользователь не получает прямого доступа к целевым системам и не владеет учётными данными — все подключения происходят через управляемые каналы по строго заданным правилам. Доступ предоставляется только через заранее определённые аккаунты с ограниченными по контексту правами. Каждое обращение проходит проверку политик, а попытки обхода системы исключены технически. Таким образом, платформа не доверяет ни пользователю, ни его устройству, ни локальной сети и требует явной авторизации и контроля на каждом этапе.Платформа контролирует весь процесс: проверяет права, проводит аутентификацию, автоматически предоставляет доступ с необходимыми полномочиями только в рамках заранее заданных сценариев. Подключение к целевым системам осуществляется через контролируемую среду, что позволяет записывать действия пользователей, ограничивать команды, исключать несанкционированные операции.Модель «нулевого доверия» также подразумевает, что строгость контроля компенсируется удобством работы. Это требуется для того, чтобы меры безопасности не снижали эффективность и скорость выполнения бизнес-задач. Платформа BI.ZONE PAM учитывает этот аспект Zero Trust, поэтому предлагает упрощённый пользовательский путь, понятный интерфейс, поддержку сценариев автоматизации, быстрое развёртывание и интеграцию с инфраструктурой, а также механизмы для ускорения взаимодействия между командами ИТ и безопасности.Вход в веб-интерфейсНа странице аутентификации в веб-интерфейсе BI.ZONE PAM демонстрируются информационные сообщения и уведомления. Рисунок 3. Вход в интерфейс BI.ZONE PAM 2.3 Эта функциональность предназначена для оперативного информирования пользователей, как внутренних, так и внешних (например, подрядчиков), о событиях, влияющих на доступ к целевым системам. Администратор может разместить уведомление, поясняющее причины возможных сбоев в подключении. Например, проведение технических работ на стороне целевого ресурса, запуск обновлений или наложение ограничений другим оператором. Это снижает количество обращений, ошибочно направляемых в адрес PAM-системы, и позволяет пользователю самостоятельно интерпретировать причины отказа в подключении.Настройка уведомлений доступна во вкладке «Настройка» при выборе раздела «Уведомления». Рисунок 4. Настройка уведомлений в BI.ZONE PAM 2.3 После аутентификации через доменную учётную запись пользователь попадает в интерфейс решения. В зависимости от присвоенных ролей (преднастроенных или кастомных) отображаются соответствующие элементы управления. Рисунок 5. Интерфейс администратора Рисунок 6. Интерфейс пользователя Защищённое подключениеBI.ZONE PAM 2.3 поддерживает подключение к разным типам ресурсов, включая Secure Shell (SSH), Secure Copy Protocol (SCP), SSH File Transfer Protocol (SFTP), Remote Desktop Protocol (RDP), базы данных PostgreSQL, Oracle и другие. Кроме проксирования сессий SSH и RDP, есть возможность настройки подключений через публикацию приложений RemoteApp.Добавление объектов контроляСоздание нового ресурса возможно в разделе «Ресурсы». Рисунок 7. Заведение целевого ресурса в BI.ZONE PAM 2.3 Ресурс идентифицируется по типу подключения и по уникальному набору атрибутов: IP-адресу, порту, FQDN. Это исключает коллизии при доступе, особенно в случаях, когда на одном IP-адресе работают разные сервисы на различных портах.Посмотреть целевые системы, к которым пользователю настроен доступ, можно во вкладке «Мои подключения». Группировка подключений и возможность поиска по всему списку ускоряют работу с большим количеством систем. Рисунок 8. «Мои подключения» в BI.ZONE PAM 2.3 Подключение к ресурсу возможно только при наличии соответствующей учётной записи. Добавить учётные записи в PAM-систему администратор может вручную или за счет синхронизации пользователей и групп из LDAP-каталогов.Сущности «ресурс» и «учётная запись» объединяются в структуру под названием «аккаунт». Это базовая единица, с которой в дальнейшем производится управление доступом. Один аккаунт представляет собой связку между конкретной учётной записью и целевым ресурсом. Например, привилегированная учётная запись Administrator может быть связана с IP-адресом 10.8.198.216, который соответствует контроллеру домена. Рисунок 9. Учётная запись в аккаунте Рисунок 10. Ресурс, связанный с учётной записью Administrator Простой случай — это один аккаунт на один ресурс с одной учётной записью. Однако предусмотрен и другой подход: один аккаунт может включать одну учётную запись и несколько ресурсов. Рисунок 11. Добавление ресурсов для одной учётной записи Это позволяет централизованно управлять доступом, например, для административных задач в рамках проекта или службы.Настройка политик доступаПрава выдаются и отзываются через политики, настраиваемые во вкладке «Права и доступ». Рисунок 12. Вкладка «Права и доступ» в BI.ZONE PAM 2.3 В политике указывается, какие аккаунты доступны и кому — отдельным пользователям или группам. В случае использования групп права автоматически наследуются всеми участниками группы. Политики можно редактировать: отозвать доступ, удалив группу или конкретного пользователя из политики. Такой подход снижает вероятность ошибок со стороны администратора, поскольку отпадает необходимость вручную повторно связывать учётные записи с ресурсами при каждом изменении прав.Для каждой политики доступа можно задать используемый протокол подключения. Это выполняется во вкладке «Приложения». Здесь указывается, каким способом должен подключаться пользователь при доступе к определённому ресурсу. Например, RDP — для подключения к контроллерам домена Microsoft, SSH — для серверов под управлением Linux. Это позволяет системе однозначно интерпретировать, какой протокол и тип подключения применять к каждому аккаунту. Рисунок 13. Указание типа доступа в политике доступа Для снижения риска несанкционированного доступа мы рекомендуем настраивать политики доступа с многофакторной аутентификацией. Это может быть реализовано за счет встроенного механизма отправки временных кодов (TOTP) или интеграции с провайдерами многофакторной аутентификации. В качестве альтернативной или дополнительной меры система поддерживает подключение по номеру заявки (тикета). При интеграции с внешней ITSM-системой пользователь сначала создает тикет с запросом доступа к критическому ресурсу, получает согласование администратора и далее подключается к ресурсу с указанием номера тикета. Подключение через RemoteAppВ системе предусмотрена возможность использования различных типов приложений, реализованных в виде шаблонов (вкладка «Приложения»). Допустим, заказчик использует самописную систему, доступ к которой возможен только через специфичную версию браузера. В этом случае создается шаблон приложения, в котором явно указывается нужная версия Chrome и необходимые параметры запуска.Тип приложения указывается при создании шаблона — например, опубликованный браузер. В рамках шаблона могут быть описаны параметры запуска, включая конкретную версию приложения и файл конфигурации. В результате пользователь, подключаясь, открывает экземпляр браузера, настроенный по шаблону, и получает доступ к интерфейсу системы. Такой подход позволяет учитывать специфические требования заказчика. Рисунок 14. Создание приложения (типа доступа) До конца года мы планируем добавить поддержку публикации приложений через Linux‑терминальные фермы. Пользователи смогут обращаться к целевым ресурсам через эти опубликованные приложения, сохраняя централизованный контроль привилегий, аудит сеансов и безопасное управление доступом без необходимости подключаться к хостам напрямую.Динамическое управление секретамиПоддерживаются два метода аутентификации: по паролю или с использованием сертификата SSH. Все секреты, включая пароли и ключи, хранятся в хранилище секретов.Управление секретами организовано через специализированные движки, каждый из которых отвечает за хранение и выдачу определённого типа учётных данных. Например, движок по типу «ключ-значение» (key-value) — для локальных учётных записей, специализированный SSH-движок — для SSH-ключей, LDAP-движок для записей из соответствующего каталога и пр.Ротация и жизненный цикл секретов реализуются в рамках соответствующих движков: одни автоматически создают и отзывают временные учётные записи, другие позволяют версионировать и обновлять статичные значения. Логи и аудит записывают операции с секретами без раскрытия их содержимого, а API и инструменты автоматизации обеспечивают интеграцию с CI / CD и оркестраторами для централизованного управления и обновления секретов. Рисунок 15. Заведение привилегированной учётной записи в BI.ZONE PAM 2.3 Мониторинг сеансовВ интерфейсе BI.ZONE PAM 2.3 для всех сессий доступна информация о точке входа, маршруте, IP-адресе пользователя, времени начала, продолжительности сессии и другое. Рисунок 16. Вкладка «Сессии» в BI.ZONE PAM 2.3 Отображение сессий настраивается при помощи функции «Настройка отображения колонок» (в верхнем правом углу). Рисунок 17. Настройка отображения колонок в BI.ZONE PAM 2.3 Имеется возможность фильтрации информации — по дате, началу, окончании сессии, периоду активности пользователя. Рисунок 18. Фильтрация сессий по дате в BI.ZONE PAM 2.3 Также сохраняется видео- и текстовый журнал действий пользователей, который можно использовать для аудита и расследования.Просмотр SSH- и RDP-сессийПосле открытия интересующей сессии автоматически запускается модуль воспроизведения, где отображаются временная шкала и сгруппированные команды, вводимые пользователем. Команды группируются по факту выполнения.Например, при вводе команды touch она сохраняется в списке, и по клику система перемещает на соответствующий момент на таймлайне. При этом интерфейс не использует видеофиксацию — вся информация отображается в виде текста, который доступен для копирования и может использоваться для поиска, фильтрации и локализации инцидентов. Рисунок 19. Просмотр SSH-сессий в BI.ZONE PAM 2.3 Рисунок 20. Просмотр RDP-сессий в BI.ZONE PAM 2.3 Засечки на таймлайне указывают на активные действия пользователя. При наличии пауз в действиях предусмотрен режим пропуска неактивных участков — Skip idle, при включенной опции плеер автоматически перемещается между периодами активности, позволяя ускорить просмотр.В правой части экрана доступна панель метаданных, где отображаются:время начала и завершения сессии; логины пользователей;тип подключения (например, ssh-native);IP-адреса и внутренние идентификаторы;компонент подключения, использованный в конкретной сессии;привязанный тикет (если был указан при подключении).Эти данные предоставляют контекст, необходимый для анализа действий пользователя и взаимодействия с целевыми ресурсами.Работа с SCP- и SFTP-сессиямиПользователь может работать с файлами через SCP / SFTP в рамках отдельной сессии, параллельно SSH. В интерфейсе отображаются действия: загрузка, редактирование, удаление, переименование. Каждый файл фиксируется с указанием времени операции, направления передачи и изменения размера. Действия отображаются в специализированной вкладке интерфейса, где для каждого события формируется отдельная запись с подробными метаданными. Рисунок 21. Работа с файлами через SCP / SFTP в BI.ZONE PAM 2.3 Фиксация дополнительных данных для SOCЗафиксированные действия пользователей и администраторов могут быть направлены во внешние системы.По умолчанию поддерживается отправка данных через Kafka и другие каналы, включая форматы, согласуемые на этапе внедрения. Фиксируются не только успешные подключения, но и попытки доступа, включая ввод неверных учётных данных или обращения к портам подключения. Такая информация может быть использована для формирования инцидентов в SIEM-системах.РеагированиеЕсли возникает необходимость экстренного отключения пользователя (например, при выявлении компрометации), администратор может вручную отключить его через интерфейс PAM или заблокировать пользователя в стороннем каталоге. При этом политика доступа не изменяется, а пользователь просто утрачивает текущие сессии. Это позволяет оперативно реагировать на инциденты без риска нарушить общую конфигурацию доступа. Рисунок 22. Разрыв соединения через интерфейс BI.ZONE PAM 2.3 Во втором случае необходимо во вкладке «Пользователи» найти соответствующую учётную запись и воспользоваться функцией отключения. После этого пользователь теряет возможность устанавливать новые подключения к ресурсам, даже если права доступа по-прежнему присутствуют. Статус пользователя может быть синхронизирован со статусом его учётной записи из внешнего каталога пользователей. Рисунок 23. Отключение пользователя в BI.ZONE PAM 2.3 Помимо реагирования в ручном режиме, BI.ZONE PAM 2.3 предлагает также автоматическую блокировку нежелательной активности. Это реализовано через фильтрацию SSH-команд по чёрному списку. Рисунок 24. Фильтрация команд в BI.ZONE PAM 2.3 Список поддерживает регулярные выражения, доступен преднастроенный перечень. Когда пользователь вводит команду из списка, платформа может запретить действие, показать предупреждение или передать данные в SIEM. Мера повышает защиту от злоумышленников, в том числе внутренних. Ещё она позволяет ИТ‑отделам организовать плавное погружение для новых сотрудников. К примеру, можно запретить им ввод команд для перезагрузки критических систем.Функциональные особенности для удобства пользователейСреди возможностей BI.ZONE PAM 2.3 выделяются механизмы, которые способствуют балансу между безопасностью и удобством при контроле привилегированного доступа.Самостоятельные изменения по согласованию В версии 2.3 платформа BI.ZONE PAM стала поддерживать сценарий, при котором пользователи могут самостоятельно предлагать изменения, связанные с настройками системы. Администратор платформы одобряет или отклоняет такие изменения в разделе «Заявки». Механизм «второй руки» ускоряет работу, а двойной контроль исключает ошибки. Рисунок 25. Согласование заявок в BI.ZONE PAM 2.3 Массовые действия на ресурсах Во время операций над десятками серверов или баз данных ИТ-специалист может использовать варианты кеширования многофакторной аутентификации, чтобы подключаться к целевым ресурсам без повторного ввода пароля. Пользователь один раз проходит полную проверку, а затем получает возможность многократного доступа по SSH-сертификату или специальному ярлыку для RDP-подключений. Срок действия таких файлов определяет администратор платформы.Для получения SSH-сертификата необходимо во вкладке «Сертификаты» выбрать «Мои сертификаты» и нажать «Создать». Рисунок 26. Создание сертификата в BI.ZONE PAM 2.3 При этом понадобится указать название, используемый криптографический алгоритм, битовую длину ключа. Система задаст пароль для сертификата и отобразит его срок действия. Рисунок 27. Генерация сертификата Кнопка закрытия окна генерации станет доступной только после загрузки файла сертификата. Такой подход обеспечивает дополнительную гарантию, что секрет не будет утерян до его сохранения.Для RDP-сессий реализован дополнительный механизм в виде постоянных и одноразовых ярлыков подключения. Рисунок 28. Скачивание ярлыка подключения к ресурсам по протоколу RDP Постоянный ярлык можно сохранить на рабочем столе и использовать многократно, каждый раз вводя только пароль. Рисунок 29. Подключение по RDP к целевому ресурсу в BI.ZONE PAM 2.3 через ярлык Одноразовые ярлыки создаются в рамках активной сессии в веб-интерфейсе.Повторное использование одноразового ярлыка невозможно: при втором запуске система сообщает, что токен недействителен. Рисунок 30. Сообщение о том, что токен невалидный Передача ярлыка третьим лицам также исключена — токен привязан к конкретному пользователю и рассчитан на однократное использование. Это позволяет безопасно подключаться к ресурсам без повторного прохождения процедуры аутентификации, сохраняя при этом требования по контролю доступа.Application-to-Application Password ManagerСторонние приложения могут запрашивать секреты из модуля управления секретами BI.ZONE PAM по защищённому API и использовать их в работе. Это обеспечивает централизованное хранение секретов, ротацию паролей, контроль доступа по ролям и аудит вызовов API. При этом приложения получают только необходимые секреты на короткий срок, а в коде или конфигурации не хранятся данные, которые могут дать постороннему доступ к корпоративным сервисам.Поддержка сценариев автоматизации через Ansible PlaybookBI.ZONE PAM 2.3 поддерживает скрипты Ansible — популярный инструмент для выполнения типовых DevOps-операций (настройка, обновление, проверка конфигурации целевых систем и пр.).Это позволяет ускорять выполнение рутинных задач без выхода из PAM-сессии. Платформа сама обеспечивает аутентификацию скрипта в целевой системе, запуск скрипта осуществляется только в рамках прав доступа пользователя PAM, все действия контролируются политиками безопасности PAM, логируются и могут быть воспроизведены для аудита.Для запуска Ansible Playbook в рамках PAM-сессии пользователю достаточно указать в конфигурационном файле Ansible Inventory параметры подключения, предоставленные PAM (например, proxy, user, host, порт). Рисунок 31. Схема работы с Ansible Playbook Архитектура BI.ZONE PAM 2.3 и интеграция в ИТ-средуАрхитектура BI.ZONE PAM построена по микросервисному принципу с возможностью масштабирования и кластеризации компонентов, основанных на подходе container-native. Это обеспечивает отказоустойчивость и гибкость при развёртывании в инфраструктуре заказчика.Компоненты системыКомпоненты реализованы в виде контейнеров, поддерживается развёртывание в кластере OpenShift (или совместимом контейнерном окружении). Рисунок 32. Архитектура BI.ZONE PAM 2.3 Ключевые элементы архитектуры:Оркестратор предоставляет доступ к интерфейсу платформы, перечню целевых систем. Управляет конфигурацией решения, отслеживает состояние активных и завершённых сессий. Поддерживает REST-интерфейс (API) для интеграции со сторонними системами. Интерфейс един для пользователей и администраторов — доступная функциональность определяется ролевой моделью. Также в оркестратор встроен модуль аутентификации с поддержкой внешних каталогов (например, Microsoft Active Directory, FreeIPA) и внутренней реализацией многофакторной аутентификации по протоколу TOTP.Компонент управления отвечает за контроль и координацию активных сессий, получает секреты из модуля управления секретами, контролирует взаимодействие с компонентом подключений, обеспечивает запись и чтение данных сессий.Компонент подключений реализует проксирование пользовательских сессий по различным протоколам. В версии 2.3 это RDP (включая RemoteApp через терминальные приложения Microsoft) и SSH, SCP и SFTP. Все действия пользователей фиксируются как в текстовом виде, так и в формате видеозаписей, что позволяет обеспечить полный аудит активности.Кластер баз данных хранит конфигурационные данные платформы и настройки прав доступа и разрешений на подключение к целевым ресурсам.Модуль управления секретами отвечает за хранение и ротацию учётных данных привилегированных пользователей.Непрерывность работы, отказоустойчивость и аварийный доступЗа счёт микросервисной архитектуры BI.ZONE PAM сохраняет работоспособность при обслуживании и изменении настроек: отдельные компоненты можно обновлять, настраивать или перезапускать без остановки всей системы. Это же помогает сохранять работоспособность системы даже при сбое её отдельных компонентов.Для дополнительных гарантий непрерывности бизнес-процессов платформа поддерживает различные схемы высокой доступности, включая резервирование Active-Active, Active-Passive и N+1, в зависимости от требований конкретной организации. При выходе из строя одного из компонентов резервный узел активируется мгновенно.Для распределённых инсталляций с несколькими компонентами подключения в интерфейсе предусмотрена настройка балансировки. В таких сценариях балансировщик принимает входящие подключения от пользователей и распределяет их между доступными нодами, обеспечивая отказоустойчивость и равномерную загрузку системы. Добавление балансировщиков производится через «Права и доступ» при выборе одноименного раздела. Рисунок 33. Раздел «Балансировщик» во вкладке «Права и доступ» Аварийные сценарии включают механизм резервного доступа. Он реализован по аналогии с концепцией «золотого тикета» (Golden Ticket). В рамках политики доступа можно предусмотреть учётную запись, к которой предоставляется доступ даже в случае недоступности основной инфраструктуры PAM. Такая запись создаётся заранее, она может быть использована, например, в случае отказа контроллера домена или самого PAM-сервера. Рисунок 34. Вкладка «Резервный доступ» в BI.ZONE PAM 2.3 При попытке подключения система сначала проверяет наличие тикета в собственном списке резервного доступа. Если тикет найден, доступ предоставляется. Если нет — инициируется обращение во внешнюю тикетницу. Такой подход позволяет обеспечить непрерывность доступа даже при сбоях во внешних системах или в рамках плановых работ.МасштабированиеМикросервисная архитектура BI.ZONE PAM позволяет создать инсталляцию, охватывающую всю информационную инфраструктуру организации и готовую к высокой нагрузке. Например, одна из подтверждённых инсталляций BI.ZONE PAM охватывает сотни тысяч серверов и десятки тысяч одновременных сессий.Как следствие:Возможности горизонтального масштабирования зависят от доступных вычислительных ресурсов заказчика, а не от ограничений самого программного обеспечения.Горизонтальное масштабирование не требует приобретения дополнительных лицензий.Чтобы расширить вычислительные ресурсы для поддержки большего количества подключений и распределения нагрузки, достаточно добавить в систему дополнительный компонент подключений. Управление всеми компонентами, в том числе геораспределёнными, доступно в едином веб-интерфейсе.Установка Система BI.ZONE PAM может быть установлена в инфраструктуре заказчика на виртуальной машине, выделенном физическом сервере или в контейнерной среде. Готовые скрипты развёртывания позволяют подготовить платформу к добавлению систем и учётных записей за десятки минут. За счёт микросервисной архитектуры возможна доработка скриптов инсталляции под конкретную инфраструктуру, от схем all-in-one (инсталляция на одной виртуальной машине) до отказоустойчивых инсталляций с георезервированием.Интеграции«Из коробки» поддерживаются интеграции: с источниками учётных записей AD, FreeIPA, Avanpost DS, ALD Pro, РЕД АДМ, «Атом.ДОМЕН», «Альт Домен», Dynamic Directory, «Эллес» (также система располагает внутренним каталогом пользователей); провайдерами двухфакторной аутентификации в дополнение к встроенной 2FA — по протоколам OpenID Connect, OAuth 2.0, SAML; SIEM-системами; ITSM-системами (тикетницами).Дополнительные интеграции можно реализовать через REST API: в разработке команда BI.ZONE PAM придерживается подхода API-first.Системные требования и лицензирование BI.ZONE PAM 2.3Решение совместимо с корпоративной ИТ-инфраструктурой на базе операционных систем семейств Windows NT и Linux / Unix, в том числе основных российских Linux‑дистрибутивов.Для определения необходимого количества компонентов Worker рекомендуется учитывать, что один Worker SSH рассчитан на обслуживание до 250 одновременных сессий. Worker RDP чувствителен к количеству ЦП, стабильно держит 6 сессий на 1 ЦП. Таблица 1. Минимальные требования к аппаратному обеспечениюКомпонентBI.ZONE PAM docker composeRAM (ГБ)16CPU (ядер)8SYS SSD600ОСUbuntu 22.04ПримечаниеВиртуальная машина Лицензирование производится по количеству одновременных активных сессий привилегированных пользователей, подключающихся к целевым системам, и числу привилегированных пользователей.Кейсы применения BI.ZONE PAMВнедрение BI.ZONE PAM выполняется поэтапно и начинается с определения целей проекта. На этом этапе устанавливаются объём и границы предстоящих работ, а также фиксируются критерии, по которым будет оцениваться успешность внедрения. После согласования целевых параметров и ожиданий заказчика осуществляется развёртывание и настройка системы: устанавливаются необходимые компоненты, добавляются и конфигурируются привилегированные учётные записи, настраиваются политики и параметры доступа в соответствии с архитектурой инфраструктуры.Следующий этап — функциональное тестирование. Команда BI.ZONE проверяет соответствие реализованной конфигурации поставленным задачам, корректность работы механизмов аутентификации, мониторинга и управления доступом.После подтверждения работоспособности и завершения основных настроек осуществляется закрытие проекта. На этом этапе готовится отчётная документация, итоговый протокол.Рассмотрим кейсы внедрения BI.ZONE PAM в организациях различного масштаба и отраслевой принадлежности.Замещение иностранного решения в масштабной ИТ-инфраструктуреВ «Сбере» внедрение BI.ZONE PAM преследовало цель заменить зарубежное решение для управления привилегированным доступом на отечественное, сохранив привычные возможности продукта и высокий уровень безопасности. Проект потребовал учесть три ключевых фактора:масштаб инфраструктуры; невозможность остановки работы даже на непродолжительное время;сроки, т. к. миграция инфраструктуры такого масштаба занимает несколько лет, а на проект отводилось только 1,5 года.Переход осуществлялся поэтапно. Каждая новая функция проходила предварительную валидацию в тестовом контуре, после чего внедрялась в промышленную среду для ограниченной фокус-группы из 3–5 человек. На следующем этапе происходило масштабирование на группу около 100 пользователей, а затем — на всю целевую аудиторию, охваченную BI.ZONE PAM. Такой подход позволил избежать простоев и исключить сценарии, при которых привилегированный доступ временно оставался бы вне контроля PAM-системы.Внедрение BI.ZONE PAM не только сохранило привычную функциональность, но и улучшило пользовательский опыт сотрудников «Сбера». Один из примеров — оптимизация массовых подключений: DevOps-, SRE-инженерам и администраторам стало требоваться меньше действий для одновременного подключения к большому числу систем. С деталями кейса можно ознакомиться по ссылке.Защита от ошибок ИТ-специалистов и контроль подрядчиковДля организации среднего бизнеса из сферы ИТ и телекоммуникаций основной задачей внедрения PAM-системы было обезопасить инфраструктуру от нежелательных изменений в критически важных сервисах. Подразумевался не только умышленный вред, но и случайные действия: в силу специфики компании почти половина её сотрудников работает с ключевыми для бизнеса системами, и это повышает вероятность ошибки. Из-за этой же специфики требовалось, чтобы меры контроля не ломали привычный пользовательский опыт для разработчиков и DevOps-инженеров, обеспечив им бесшовный доступ к серверам и другим защищаемым системам.Команда BI.ZONE PAM помогла скорректировать процессы управления доступом в соответствии с моделью Zero Trust, оптимизируя контроль внешних подключений со стороны подрядчиков. Благодаря поддержке беспарольной аутентификации, изменений по согласованию (механизм «второй руки») и Ansible-скриптов удалось минимизировать воздействие защитных мер на удобство выполнения рутинных задач ИТ-команды.Безопасность в производственной компании с соблюдением требований законодательстваПромышленная организация искала PAM-решение для защиты геораспределённых площадок. Требования по контролю привилегированного доступа учитывали внимание регуляторов (152-ФЗ, приказы ФСТЭК России № 21, № 31, № 239 и т. д.).BI.ZONE PAM отвечает этим запросам. За счёт микросервисной архитектуры можно развернуть систему в нескольких филиалах по финансово выгодной схеме — в рамках единой лицензии. Решение сертифицировано ФСТЭК России по 4-му уровню доверия и помогает выполнять требования законодательства, усиливая необходимые меры защиты.ВыводыBI.ZONE PAM решает ключевые задачи в области управления привилегированным доступом и защиты критических ресурсов. Для повышения безопасности реализовано динамическое управление секретами: пароли и сертификаты автоматически обновляются при каждом подключении. Действия администраторов и подрядчиков фиксируются в процессе работы с критической информацией, что позволяет контролировать выполнение операций и повышать прозрачность.События кибербезопасности передаются в системы централизованного мониторинга, обеспечивая оперативное реагирование со стороны центра мониторинга и реагирования на инциденты.Достоинства:Поддержка разных протоколов подключения — SSH, SCP / SFTP, RDP, PostgreSQL, Oracle и другие.Предоставление доступа к критическим данным только определённым сотрудникам на нужный срок.Совместимость с корпоративной ИТ-инфраструктурой на базе операционных систем семейств Windows NT и Linux / Unix, в т. ч. основных российских Linux‑дистрибутивов.Встроенная поддержка двухфакторной аутентификации по протоколу TOTP.Внутренний каталог для внесения в PAM-систему локальных учётных записей пользователей.Удобный просмотр записанных текстовых и графических сессий и быстрое перемещение по событиям внутри записанной сессии.Сервисы самостоятельных изменений по согласованию.Поддержка сценариев автоматизации и DevOps (container-native, скрипты Ansible, подход API-first и пр.).Горизонтальное масштабирование без необходимости приобретения дополнительных лицензий.Отказоустойчивость и готовность к высокой нагрузке за счёт микросервисной архитектуры.Простая установка с готовыми скриптами развёртывания и помощью опытной команды техподдержки.Поддержка непрерывной работы системы при проведении технического обслуживания и изменении конфигурации.Отсутствие зависимости от OEM-компонентов сторонних производителей при развитии продукта.Присутствие в реестре отечественного ПО, наличие сертификата ФСТЭК России.Недостатки:Для использования режима RemoteApp требуется наличие терминальной инфраструктуры Microsoft.Не реализована функция формирования отчётов по действиям пользователей и сессиям.Отсутствие функциональности управления привилегированным доступом к Kubernetes через PAM.Реклама, 18+. ООО «БИЗон» ИНН 9701036178ERID: 2VfnxwHjuzxЧитать далее
    • demkd
      ---------------------------------------------------------
       5.0.2
      ---------------------------------------------------------
       o Обновлен формат образа автозапуска до v5.
       
       o Утилита cmpimg обновлена до версии 1.05 для поддержки нового формата образов автозапуска.
         
       o Утилита uvs_snd обновлена до версии 1.06 для поддержки нового формата образов автозапуска.

       o В окне монитора активности процессов теперь отображается:
          o Точная информация о занятой процессом памяти и загрузке GPU для актуальных версий Win10/11. 
            (старые версии uVS и стандартный диспетчер задач Windows в некоторых случаях отображают очень далекие от реальности цифры).
          o Занятая процессом видеопамять (VRAM).
            (!) Для получения данных uVS не использует счетчик производительности, поэтому значение может немного отличаться от того что показывает Диспетчер задач.
            (!) Доступно только для дискретных видеокарт.
          o Суммарная загрузка процессами RAM/VRAM(сумма НЕ равна всей занятой физической памяти, учитывается только то что занято процессами)/cpu/gpu
            при выбранной сортировке по соответствующему столбцу с данными.

       o Исправлена критическая ошибка в работе серверной части uVS при установленном флаге bReUseRemote.
         При отключении клиента могло произойти аварийное завершение серверной части uVS из-за сбоя синхронизации потоков, что в свою очередь могло
         привести к подвисанию процесса клиентской части uVS на несколько минут.

       o Предупреждение о внедренном потоке в процесс с измененным кодом перенесено из информации базового файла в информацию
         о фейковом процессе с соответствующим pid.

       o В функцию очистки диска от временных файлов добавлен каталог C:\Windows\SystemTemp

       
×