Вышел R-Vision CERS для обмена данными об инцидентах, угрозах и уязвимостях

Вышел R-Vision CERS для обмена данными об инцидентах, угрозах и уязвимостях

Вышел R-Vision CERS для обмена данными об инцидентах, угрозах и уязвимостях

Компания R-Vision анонсировала выпуск программного комплекса R-Vision Computer Emergency Response System (CERS) для создания единого центра обмена данными об инцидентах, угрозах и уязвимостях. С его помощью госрегуляторы, в том числе национальные банки, могут построить CERT государственного уровня, чтобы обеспечить информационный обмен с контролируемыми организациями для повышения уровня их защищенности.

Программный комплекс позволяет создавать аналогичные ведомственные и отраслевые центры, а также расширять портфель MSSP-услуг сервисами по управлению данными киберразведки и выпуску бюллетеней об угрозах.

С помощью R-Vision CERS команды центров CERT могут собирать данные об инцидентах ИБ со всех подключенных организаций и обогащать их дополнительным контекстом, включая индикаторы компрометации. Программный комплекс CERS способен собирать индикаторы компрометации из различных источников: подписки на потоки данных об угрозах, внешние сервисы, полученные от компаний инциденты, собственная аналитика специалистов и других сервисов. Вся собранная информация анализируется в программном комплексе, и в случае обнаружения угрозы с помощью решения CERS специалисты могут сообщить о ней всем заинтересованным участникам информационного обмена, выработать рекомендации по мерам защиты и распространить их в том числе путем выпуска бюллетеней.

Обмен данными может быть реализован через личный кабинет или по электронной почте. Способ взаимодействия не требуется выбирать каждый раз вручную: достаточно указать его при первом подключении организации, и система сама будет определять нужный канал передачи данных. При работе через личный кабинет организации смогут не только отправлять сведения о произошедших инцидентах в CERT, с которым осуществляется обмен, и получать из него данные о потенциальных угрозах и уязвимостях, но и просматривать сводную статистику, а также вести базу информационных активов с указанием атрибутов для их идентификации.

R-Vision CERS можно использовать и как инструмент для взаимодействия с командами других MSSP-провайдеров и центров обмена данными об угрозах. Команды центров CERT могут настроить с помощью программного комплекса CERS двусторонний обмен данными о существующих и потенциальных угрозах с аналогичными зарубежными центрами и выступать равноправными членами международного сообщества таких организаций.

«Программный комплекс R-Vision CERS сочетает наши передовые технологии по мониторингу инцидентов и управлению данными киберразведки и экспертизу по их использованию для построения коллективного обмена сведениями об угрозах. Так, решение служит единой точкой работы для аналитиков, позволяет автоматизировать рутинные задачи и содержит готовый набор сценариев организационного реагирования, необходимых для создания центра CERT, — отметил Игорь Сметанев, коммерческий директор R-Vision. — R-Vision CERS призван помочь государству и бизнесу обеспечить информационный обмен об угрозах и уязвимостях для более эффективного противостояния злоумышленникам. Например, с его помощью сервисные компании в составе холдингов смогут повышать уровень осведомленности об угрозах и уязвимостях во всех дочерних структурах группы и, как следствие, увеличивать общий уровень защищенности».

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru