Kaspersky поможет внутренним SOC-центрам бороться с киберугрозами

Kaspersky поможет внутренним SOC-центрам бороться с киберугрозами

Kaspersky поможет внутренним SOC-центрам бороться с киберугрозами

«Лаборатория Касперского» разработала комплексное предложение для центров мониторинга и реагирования на инциденты (Security Operations Centers – SOC), которые организации создают внутри своей инфраструктуры для лучшего противодействия киберугрозам. В основе этого предложения лежат передовые решения и сервисы «Лаборатории Касперского», с помощью которых SOC-центры смогут получить важные аналитические данные и оценить, насколько хорошо они готовы к разного рода киберинцидентам, в том числе скрытым и сложным атакам.

Как показали результаты недавнего исследования «Лаборатории Касперского», в течение ближайшего года 14% компаний в России планируют создать собственные SOC-центры. Однако нередко организации сталкиваются с тем, что эффективность подобных центров оставляет желать лучшего: работающие в них специалисты обладают недостаточными профессиональными знаниями и навыками, многие рутинные процессы не автоматизированы, различные инструменты не полностью интегрированы, уровень количества оповещений высок, а общего понимания и наглядности ситуации недостаточно.

Именно поэтому «Лаборатория Касперского» разработала отдельное предложение для SOC-центров, которое поможет им понять свои слабые места и воспользоваться соответствующими решениями и сервисами для повышения собственной эффективности. Среди них:

  • специализированные продукты для обнаружения и реагирования на инциденты на рабочих местах и выявления целевых атак – Kaspersky EDR и Kaspersky Anti Targeted Attack, с помощью которых SOC-центры смогут автоматизировать и ускорить процесс реагирования на любые аномалии в сети, а также лучше понимать, что происходит внутри IT-инфраструктуры и какие угрозы наиболее актуальны для организации;
  • сервис информирования об угрозах Kaspersky Threat Intelligence, который предоставляет SOC-центрам актуальные данные о тактиках и техниках, используемых злоумышленниками в настоящее время;
  • тренинги по цифровой криминалистике, анализу вредоносного ПО и реагированию на киберинциденты Kaspersky Cybersecurity Training;
  • аналитический инструмент Kaspersky CyberTrace, с помощью которого специалисты SOC-центра смогут оперативно оценить приоритетность того или иного оповещения системы безопасности.

Кроме того, в особо сложных случаях SOC-центры могут воспользоваться сервисом Kaspersky Managed Protection – круглосуточной службой анализа событий безопасности. Эксперты «Лаборатории Касперского» окажут поддержку SOC-команде или самостоятельно проведут расследование инцидента и предложат наиболее эффективные меры по устранению последствий и минимизации рисков.

В качестве ещё одной услуги «Лаборатория Касперского» предлагает SOC-центрам определить свои слабые места и проверить готовность к разного рода инцидентам. С этой целью специальная команда – так называемая red team – создаст симуляцию хорошо спланированной атаки на организацию. При этом эксперты учтут особенности компании: сферу её деятельности, рынок и страну, в которой она работает – и исходя из этого воспроизведут наиболее вероятный сценарий атаки. По итогам такого эксперимента специалисты SOC-центра не только увидят самые критичные уязвимости, но также получат детальные рекомендации по повышению собственной эффективности.

«Создание SOC-центра – это гораздо больше, чем просто использование потоков данных. Чтобы центр был эффективным, в нём должны быть отлажены процессы, грамотно распределены роли и задачи, продуманы вероятные сценарии реагирования на инциденты. В распоряжении SOC-команды должны быть актуальные аналитические данные об угрозах, а также инструменты корреляции различных событий и системных оповещений. Кроме того, развитие и повышение эффективности SOC-центра невозможно без понимания основных проблемных точек и барьеров. Вот почему мы предлагаем организациям внимательно проанализировать свои потребности, оценить степень зрелости системы безопасности и определить слабые места – только так мы сможем предложить им оптимальные рекомендации и технологии, которые повысят уровень их защищённости от киберугроз», – отметил Вениамин Левцов, директор департамента корпоративного бизнеса «Лаборатории Касперского».

Более подробную информацию о предложении для SOC-центров можно получить здесь: https://www.kaspersky.ru/enterprise-security/security-operations-center-soc.

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru