Вышла новая версия InfoWatch Traffic Monitor 3.2 для защиты от утечек

Вышла новая версия InfoWatch Traffic Monitor 3.2

Компания InfoWatch объявила о выпуске новой версии продукта InfoWatch Traffic Monitor 3.2. В ней реализован функционал, предоставляющий дополнительные возможности защиты конфиденциальной информации компаний 

Одним из основных нововведений версии 3.2 является технология перехвата копии трафика с активного сетевого оборудования. Эта технология позволяет свести к минимуму влияние процесса мониторинга на сетевую инфраструктуру, и соответственно, на основные бизнес-процессы компании. Её применение позволяет снимать копию всего трафика и передавать эту копию для дальнейшего анализа на наличие конфиденциальных данных.

Важной инновацией InfoWatch Traffic Monitor 3.2 является возможность обеспечить централизованное хранение и обработку данных в организациях с территориально распределенной структурой. Размещение центрального хранилища данных в головном офисе позволяет офицеру безопасности офиса осуществлять контроль и анализ всех действий с конфиденциальными данными во всех филиалах компании. При этом передача информации от перехватчика Traffic Monitor с удаленного сервера филиала в базу данных центра может производиться по каналу связи с низкой пропускной способностью (от 128Кбит/с). Передача данных может осуществляться в любое время, например, при минимальной нагрузке на сеть.

Также в Traffic Monitor 3.2 доработан процесс архивирования устаревших данных. Целью архивирования данных является сокращение до минимально необходимого объёма хранимой на сервере обработки и анализа информации.. Это, в свою очередь позволяет значительно экономить время на обработку данных, за счёт увеличения скорости реакции сервера Traffic Monitor на поисковые запросы пользователя. После архивации данные переносятся во внешнее архивное хранилище. При необходимости восстановления такие данные могут быть восстановлены из архивного хранилища и использованы для ретроспективного анализа (например, при расследовании инцидентов).

InfoWatch Тraffic Monitor представляет собой специализированную систему мониторинга и аудита для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (интернет-пейджеры типа IСQ) и через Web (web-почта, форумы, чаты и др.), а также копирования данных на сменные носители и отправки печать.

InfoWatch Тraffic Monitor включает в себя универсальный архив, предназначенный для хранения всей пересылаемой пользователем по e-mail и через Интернет информации, а также данных о действиях с конфиденциальной информацией, производимых непосредственно на рабочих станциях. Этот архив может быть использован для ретроспективного анализа при расследовании инцидентов, связанных с утечкой данных, а также для проверки соответствия ИБ системы компании российским и международным нормативным актам и стандартам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru