Ростелеком-Солар и Kaspersky запустили сервис по выявлению сложных атак

Ростелеком-Солар и Kaspersky запустили сервис по выявлению сложных атак

«Ростелеком-Солар» совместно с «Лабораторией Касперского» запускают сервис по выявлению сложных многокомпонентных атак на рабочих станциях и серверах корпоративных заказчиков. В его основе лежит система выявления атак на конечные хосты (Endpoint Detection and Response, EDR) Kaspersky EDR.

Решение подключено к сервисам центра мониторинга и реагирования на кибератаки Solar JSOC и поможет выявлять активность (например, присутствие в инфраструктуре) высококвалифицированных злоумышленников, которую обычно не детектируют базовые инструменты защиты.

По статистике компании «Ростелеком-Солар», с каждым годом техники и методики, которые применяют хакеры для обхода классических средств защиты, становятся сложнее, а всё больше атак связаны с длительным и скрытным нахождением в инфраструктуре жертвы. Злоумышленники с высокой квалификацией (кибернаёмники и кибервойска) используют сочетание уникальных и дорогих собственных разработок с легальными утилитами и методами социальной инженерии для внедрения вредоносных модулей в атакуемую систему.

Причём эти сложные инструменты постепенно распространяются в теневом сегменте сети, и их берут на вооружение уже киберпреступники со средней квалификацией (киберкриминал). При этом их основными методами для проникновения в инфраструктуру жертвы остаются фишинговые рассылки со сложными вредоносными программами, которое обычно не распознаётся стандартным антивирусом. Расширение сервиса мониторинга на базе Kaspersky EDR поможет эффективно выявлять и локализовывать даже такие сложно детектируемые атаки на конечных узлах инфраструктуры организации.

«Система EDR является важной составляющей центра реагирования на киберинциденты (SOC): она ускоряет сбор первичных улик, предоставляет подробную телеметрию и автоматизирует процессы EDR, сокращая общее время реагирования с нескольких часов до считаных минут. Для обработки этих данных и грамотного реагирования на инциденты нужна профессиональная команда аналитиков, и благодаря тому, что в Solar JSOC выделили ресурсы на её создание, клиентам сервиса будет существенно проще обеспечить надёжную защиту своих ресурсов», – поделился мнением Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии.

Для реализации нового сервиса была проведена совместная проработка технических решений и моделей взаимодействия. В частности, в Solar JSOC была выделена специализированная команда по анализу сложных атак.

«Развитие инструментария и техник злоумышленников требует новых подходов к детектированию атак. Проблема защиты рабочих станций, которые чаще всего становятся точкой закрепления и развития атаки злоумышленника, является одной из первоочередных для объектов критической информационной инфраструктуры (КИИ). Мы рады расширить сотрудничество с нашим давним технологическим партнером – «Лабораторией Касперского» – совместным сервисом по выявлению атак на конечных узлах сети», – отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC.

Услуга EDR от Solar JSOC предоставляется как по облачной модели (полностью из ядра Solar JSOC), так и с размещением ключевых компонентов системы на площадке заказчика, а подключение к сервису займет 4-5 недель. В инфраструктуру заказчика устанавливаются необходимые компоненты, обогащённые унифицированным контентом от экспертов Solar JSOC, который будет дополнительно профилирован и адаптирован под особенности инфраструктуры и процессы конкретной организации. Сервис также доступен для заказчиков, самостоятельно приобретающих лицензии Kaspersky EDR, а не только в рамках MSSP-лицензий.

Сейчас «Ростелеком-Солар» и «Лаборатория Касперского» готовят запуск сервиса EDR для нескольких крупных государственных и коммерческих заказчиков.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В контроллерах Rockwell выявлена 10-балльная уязвимость

В двух десятках ПЛК производства Rockwell Automation выявлена возможность обхода аутентификации, позволяющая получить удаленный доступ к устройству и изменить его настройки и/или код приложения. Степень опасности уязвимости оценена в 10 баллов из 10 возможных по шкале CVSS.

Уязвимость, зарегистрированную под идентификатором CVE-2021-22681, параллельно обнаружили исследователи из Сычуаньского университета (КНР), «Лаборатории Касперского» и ИБ-компании Claroty. В появлении опасной проблемы повинен Studio 5000 Logix Designer (ранее RSLogix 5000) — популярный программный продукт, обеспечивающий единую среду разработки для ПЛК.

Корнем зла в данном случае является слабая защита секретного критоключа, который Studio 5000 Logix Designer использует для подтверждения полномочий рабочей станции на связь с контроллерами. В итоге открылась возможность получить доступ к ПЛК в обход аутентификации, чтобы загрузить на устройство сторонний код, скачать информацию или подменить прошивку.

Уязвимость актуальна для ПЛК линеек CompactLogix, ControlLogix, DriveLogix, Compact GuardLogix, GuardLogix и SoftLogix. Эксплуатация CVE-2021-22681, по свидетельству экспертов, тривиальна.

Чтобы снизить риски, Rockwell советует включить на контроллерах режим RUN,  предельно обновить их прошивки и заменить CIP на соединениях Logix Designer протоколом CIP Security, стандартизированным ODVA. Не стоит пренебрегать также обычными мерами безопасности, такими как сегментация сети, ограничение доступа к средствам управления, строгая изоляция и надежная защита АСУ ТП.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru