MaxPatrol SIEM выявляет признаки компрометации сетевых устройств

Екатерина Быстрова 31 Августа 2021 - 14:48

Системы мониторинга событий безопасности

...

MaxPatrol SIEM выявляет признаки компрометации сетевых устройств

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы. Он включает в себя правила обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов. Скомпрометировав такие сетевые устройства, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.

Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS. Новые правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты.

Добавленный пакет экспертизы MaxPatrol SIEM включил десять индикаторов компрометации, в том числе:

попытки подключения или успешное подключение к серверу управления Check Point GAiA с помощью утилиты SmartConsole с недоверенного сетевого узла (не входит в список тех, с которых разрешено администрирование устройства);
изменение параметров логирования на устройстве Cisco ASA, при которых в случае неудачной аутентификации логины пользователей сохраняются в журнале в открытом виде — это позволит злоумышленникам перехватить учетные данные, включая пароли, если пользователь по ошибке введет пароль в поле логина;
попытка подключения к устройству MikroTik c недоверенного узла с помощью утилиты для администрирования Winbox.

Для выявления некоторых признаков компрометации в сетевых устройствах пользователям пригодится система анализа трафика PT Network Attack Discovery (PT NAD). PT NAD разбирает содержание сетевых пакетов, передающихся в трафике. Вместе продукты дают более полную картину IT-инфраструктуры и позволяют точнее выявлять инциденты:

изменение конфигурационного файла на устройствах Cisco IOS с недоверенного сетевого узла;
передачу ICMP-пакета большого размера, что может использоваться злоумышленниками для передачи данных, в том числе полезной нагрузки;
попытки эксплуатации критически опасной уязвимости CVE-2018-0171 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, вызвать временный отказ в обслуживании или выполнить произвольный код.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 09:54

macOS iOS Корпорации Средства криптографической защиты информации Постквантовая криптография Apple

Apple выложила код постквантовой криптографии на GitHub

Apple продолжает строить цифровой бункер на случай, если квантовые компьютеры однажды начнут вскрывать современное шифрование. Компания выложила на GitHub исходники corecrypto (своей низкоуровневой криптографической библиотеки) и подробно рассказала, как проверяет защиту iPhone, macOS от будущих квантовых атак.

Вообще вся эта история началась ещё в 2024 году с появления PQ3 в iMessage.

Тогда Apple впервые публично включила постквантовую защиту: мессенджер начал использовать новые алгоритмы не только при старте переписки, но и при регулярном обновлении ключей шифрования.

Корпорация заранее готовится к моменту, когда квантовые машины смогут ломать классическую криптографию быстрее, чем пользователи успеют придумать пароль «12345678».

Теперь Apple пошла дальше и открыла код corecrypto — библиотеки, которая отвечает за шифрование, цифровые подписи, хеширование и генерацию случайных чисел в экосистеме компании. Именно через неё работают Security framework, CryptoKit и CommonCrypto.

В репозитории появились реализации ML-KEM и ML-DSA — двух постквантовых алгоритмов, которые Apple выбрала для своей криптографии. Первый нужен для безопасного обмена ключами шифрования, второй — для цифровых подписей. Оба стандарта утверждены NIST как защита от угроз будущих квантовых компьютеров.

Но самое интересное — не сами алгоритмы, а то, как Apple всё это проверяет.

Компания выдала огромный технический разбор о том, как тестировала код перед публикацией. И судя по описанию, внутри Apple криптографию гоняют так, будто готовят запуск ядерного реактора. Обычных тестов им оказалось мало: пришлось строить собственную систему формальной верификации, потому что существующие инструменты не покрывали все сценарии.

Проблема в том, что corecrypto работает сразу на куче устройств с разными версиями Apple Silicon, а часть кода написана не только на C, но и вручную оптимизирована под ARM64.

В итоге Apple утверждает, что формальная верификация уже помогла найти критические ошибки, которые обычное тестирование не заметило бы. Например, компания обнаружила пропущенный шаг в ранней реализации ML-DSA. В редких случаях это могло приводить к некорректным криптографическим вычислениям без каких-либо предупреждений. Заодно инженеры нашли ошибку даже в стороннем математическом доказательстве и самостоятельно её исправили для своих параметров.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!