Новые коннекторы от Fortinet автоматизируют операции безопасности

Новые коннекторы от Fortinet автоматизируют операции безопасности

Сегодня компания Fortinet объявила о выпуске новых коннекторов системы безопасности, предназначенных для автоматизации операций в мультивендорных средах за счет интеграции с технологиями ассоциированных партнеров при помощи открытых API (интерфейсов программирования приложений).

В сетевых средах многих современных организаций задействованы продукты, инструменты и приложения от разных поставщиков, управление безопасностью которых осуществляется изолированно. Согласно недавнему отчету Gartner, «бедой многих служб безопасности является чрезмерное количество инструментов.

В результате сотрудники часто отвлекаются на просмотр оповещений и сталкиваются со сложностями, обусловленными необходимостью работать с большим количеством консолей. Эффективное управление всеми этими инструментами требует высокой квалификации, что затрудняет привлечение и удержание аналитиков служб безопасности с соответствующим опытом. Помимо перечисленных факторов, ситуацию усложняет появление новых направлений атак, не связанных с локальными ИТ-средами».

Сложные клиентские среды, от многооблачных инфраструктур до IoT, особенно требовательны к интеграции технологий, так как в противном случае управление и автоматическое внесение изменений в порядок выполнения операций становятся затруднительными. Кроме того, процедуры и инструменты DevOps, как правило, не интегрированы с процессами обеспечения безопасности, что замедляет разработку и вывод приложений на рынок.

Компания Fortinet сделала архитектуру адаптивной системы сетевой безопасности более открытой при помощи коннекторов системы безопасности в целях более эффективной интеграции со сложными инфраструктурами современных цифровых организаций и устранения уязвимостей. Также коннекторы обеспечивают более тесную интеграцию функций отслеживания и администрирования средств безопасности с инфраструктурами и приложениями партнеров.

Благодаря коннекторам системы безопасности клиенты могут обеспечить согласованную защиту своих инфраструктур. Коннекторы поддерживают централизованную оркестрацию пользователей, приложений и данных в гибридных, общедоступных и частных облачных средах. Они обеспечивают автоматизацию рабочих процессов, сред SOC, сбора данных об угрозах и реализации политик безопасности в облачных средах по мере развертывания новых служб и приложений. Это устраняет необходимость во вмешательстве оператора.

Коннекторы системы безопасности подключаются к решениям партнеров при помощи точек интеграции API или запрограммированных сценариев. Сразу после этого клиенты могут получить доступ к коннекторам с помощью простых в использовании загружаемых наборов DevOps, поддерживающих активацию одним щелчком. Благодаря открытой архитектуре коннекторы системы безопасности тесно интегрируются с новыми компонентами экосистемы и расширяют охват адаптивной системы сетевой безопасности, функции которой теперь реализуются в проверенных сторонних инфраструктурах.

Первый набор коннекторов системы безопасности Fortinet поддерживает интеграцию со следующими ведущими технологиями.

  • Динамическая политика — облако: AWS, Microsoft Azure, Oracle
  • Динамическая политика — SDN: Cisco Application Centric Infrastructure (ACI)™, Nuage Networks VSP, VMware NSX
  • Реагирование на инциденты безопасности/ITSM (IT Service Management): ServiceNow, Webhook
  • Источники данных об угрозах: AWS Guard Duty
  • Автоматизированное принятие мер: AWS Lambda, FortiClient EMS Quarantine
  • SSO (единый вход)/удостоверение: Microsoft Active Directory, Radius
  • Распространенные риски и уязвимости конечных точек: FortiClient EMS
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фреймворк автоматизации работы с Chrome все чаще светится в атаках

Эксперты Team Cymru фиксируют рост популярности инструмента BrowserAutomationStudio (BAS) у авторов вредоносных атак. Этот фреймворк автоматизации выполнения задач в браузере позволяет создавать проекты с такими пригодными для зловредов возможностями, как эмуляция браузера, имитация нажатий клавиш и кликов мыши, поддержка прокси, поиск по почтовому ящику, загрузка данных из файла, строки символов или с веб-страницы.

Первая реклама BAS, по данным Team Cymru, появилась на открытых форумах в конце 2016 года. Новый инструмент позиционировался как решение, позволяющее без навыков программиста создавать приложения, использующие браузер, — боты для публикации постов (включая спам), парсинга, загрузки контента, а также программы для социальных сетей.

Некто Twaego из Киева, объявивший себя главным разработчиком, предлагал совместимый с Windows софт в свободное пользование (позднее появилась и коммерческая версия с расширенными возможностями). Желающих зазывали на сайт bablosoft[.]com.

Предложение было встречено с большим энтузиазмом, и со временем на Bablosoft сформировалось свое комьюнити. Всем нравилось, что доступ к инструменту предоставляется бесплатно, замечания и пожелания учитываются, а приложения и скрипты, создаваемые с помощью BAS, можно расшарить на сайте.

Рост популярности Bablosoft заметили и на хакерских форумах: там стали предлагать услуги по созданию скриптов для BAS и специфических ботов (для брутфорса, поиска кандидатов в дропы и т. п.). В Telegram появилась новая группа — «BABLOSOFT – ЧАТ ПО БАСУ», которая насчитывает немногим более 1000 участников, в основном русскоязычных.

 В 2021 году BAS впервые привлек внимание ИБ-сообщества — в связи с участившимися атаками по методу credential stuffing. Результаты анализа инструмента, позволяющего автоматизировать перебор учетных данных – результатов краж и утечек, опубликовали F5 Labs и NTT (PDF), наблюдавшая активизацию Grim Spider.

Специалисты при этом отметили сходство BAS с легитимными инструментами разработчика Puppeteer и Selenium: они почти одинаково автоматизируют выполнение задач в Google Chrome.

В этом году, согласно телеметрии Team Cymru, к ресурсам Bablosoft обращались C2-серверы Bumblebee, BlackGuard и RedLine. Два из этих зловредов (инфостилеры) пытались воспользоваться валидатором учетных данных Gmail.

Поддомен для загрузок Bablosoft (46.101.13[.]144) чаще прочих запрашивают из России и Украины — судя по данным Whois.

 

Несколько хостов, ассоциируемых с криптоджекингом (майнером XMRig и трояном Tofsee), пытались воспользоваться Bablosoft-услугами по созданию цифровых отпечатков — видимо, для сокрытия вредоносной активности.

Управление некоторыми элементами инфраструктуры Bablosoft осуществляется, как выяснилось, с украинского IP-адреса. С него же обращаются к ряду хостов на порту TCP/27017, который обычно ассоциируется с MongoDB.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru