Компания Orion soft сообщила о сертификации Федеральной службой по техническому и экспортному контролю защищённой среды виртуализации zVirt по четвёртому уровню доверия.

Программный комплекс zVirt построен на базе свободной кроссплатформенной платформы управления виртуализацией oVirt и включает ряд доработок, обеспечивающих стабильность и безопасность, необходимых для размещения бизнес-критичных IT-систем. В продукте реализованы: поддержка SDN (виртуализация сети L2–L4), сбор логов (syslog), интеграция с SIEM-системами, ручное и автоматическое (по расписанию) резервное копирование БД менеджера управления, диаграмма виртуальной инфраструктуры, а также средства репликации виртуальных машин и диагностики. По заверениям компании Orion soft, zVirt покрывает 95 % функциональности VMware vSphere Enterprise Plus и vCenter.

Выданный ФСТЭК России сертификат допускает использование zVirt для защиты информации в государственных информационных системах до 1 класса защищённости включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищённости включительно, в информационных системах персональных данных до 1 уровня защищённости включительно, в значимых объектах критической информационной инфраструктуры до 1 категории включительно. Продукт может применяться в государственных организациях и ведомствах, финансовом секторе, топливно-энергетическом комплексе, атомной и горнодобывающей промышленности и других стратегических отраслях.

В соответствии с новыми требованиями ФСТЭК № 187, в сертифицированной редакции zVirt реализованы модуль доверенной загрузки виртуальных машин, контроль целостности, регистрация событий безопасности и управление доступом. Также были усилены функции резервного копирования, управления потоками информации и защиты памяти, введена идентификация пользователей и установлены ограничения программной среды. Отдельное внимание было уделено мерам защиты централизованного управления образами виртуальных машин.

За январь и неполный февраль 2024 года доля атак высокой критичности на отечественные организации увеличилась более чем в три раза — с 2 % до 6,3 % — по сравнению с IV кварталом 2023 года. Также с 73 % до 80 % выросла доля таких инцидентов с применением вредоносного софта и почти в четыре раза увеличилась доля веб-атак — до 15 %. Об этом свидетельствует исследование, проведённое компанией «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности).

В целом за прошедший год число событий ИБ в сравнении с 2022 годом выросло на 64 % до 1,5 млн. При этом доля подтверждённых инцидентов оставалась стабильной. Среди всех типов инцидентов выделяется эксплуатация уязвимостей, показавшая рост в два раза год к году до 11,5 %. Это значит, что в организациях по-прежнему вовремя не обновляют ПО и не проводят постоянный анализ публичных сервисов и ресурсов на уязвимости, чем и пользуются злоумышленники.

Источник изображения: rawpixel.com / freepik.com

По мнению экспертов, рост инцидентов высокой критичности означает, что тренд на усложнение инцидентов и максимальный деструктив в отношении организаций, который наметился в 2023 году, получил своё развитие. Массовые атаки сменились более продвинутыми ударами — злоумышленники теперь чаще применяют нелегитимный софт (программы для удалённого администрирования, хакерские утилиты, исследовательское ПО пентестеров и т. д.) и средства проникновения в IT-инфраструктуру, которые сложно выявить базовыми системами обнаружения.

Для обеспечения комплексной защиты специалисты «Солар» рекомендуют ИБ-персоналу российских компаний повышать уровень патч-менеджмента, выстраивать грамотную систему приоритезации инцидентов с учётом их критичности и учиться находить корреляции между событиями ИБ для выявления фактов проникновения киберпреступников в сеть организации. Также следует постоянно заниматься повышением уровня киберграмотности сотрудников, вести постоянный мониторинг внешних угроз, а в рамках SOC внедрить специальные сенсоры (EDR, NTA и AntiAPT) для обнаружения более продвинутых атак.

Компания Nokia объявила о выходе телекоммуникационного ассистента на базе генеративного ИИ Telco GenAI, который будет интегрирован с облачным SaaS-решением для сетевой безопасности NetGuard Cybersecurity Dome, чтобы предоставить поставщикам услуг связи (CSP) и предприятиям возможность более быстрого и качественного обнаружения и разрешения проблем в условиях, когда киберпреступники всё чаще используют генеративный ИИ для более сложных атак на критическую инфраструктуру.

NetGuard Cybersecurity Dome — это XDR-платформа Nokia, которая обеспечивает защиту сетей с помощью ИИ и машинного обучения. Nokia Telco GenAI будет интегрирован в платформу уже во II квартале. Он позволит ещё больше расширить возможности Cybersecurity Dome, быстро объединяя и интерпретируя огромные объёмы информации, связанной с киберугрозами, тем самым повышая эффективность функционирования Cybersecurity Dome при их выявлении и устранении.

Источник изображения: Nokia

Nokia Telco GenAI использует сервис Microsoft Azure OpenAI для работы с большими языковыми моделями (LLM), которые были обучены на данных об архитектуре сетей 5G, методах обеспечения их безопасности и на опыте Nokia в сфере телекоммуникаций. Комплексное обучение предусматривало использование различных категорий информации, включая спецификации 3GPP и NIST, топологию 5G, охватывающую RAN, транспорт и ядро, а также MITRE ATT&CK и FiGHT (иерархия угроз).

По оценкам Nokia, Telco GenAI позволит почти вдвое ускорить выявление и устранение угроз. Также предполагается существенное сокращение ложноположительных результатов и более эффективное и действенное выявление и обработку инцидентов кибербезопасности. По словам старшего вице-президента Nokia, интеграция NetGuard Cybersecurity Dome с новым ассистентом на базе генеративного ИИ обеспечит поставщикам услуг связи и предприятиям значительно большую гибкость в уменьшении последствий разрушительных атак.

ГК «Солар» представила при участии отраслевых экспертов первую в России комплексную программу поддержки предпринимателей в области информационной безопасности и смежных направлений CYBER STAGE, призванную оказать поддержку ИБ-стартапам, а также содействие российским разработкам, сформировать конкурентную среду на рынке кибербезопасности России и насытить рынок решениями и возможностями для выстраивания комплексных решений кибербезопасности для защиты российских организаций.

Создатели СYBER STAGE планируют привлечь до конца 2025 года не менее 1,5 млрд руб. финансирования для ИБ-проектов и вывести на рынок до 10 новых продуктов. Программой предусмотрено создание Advisory Board — сообщества ИТ-лидеров, нацеленного на развитие бизнеса, технологий и помощь в привлечении финансирования ИБ-стартапов, в которое вошли Дмитрий Гадарь (CISO «Тинькофф»), Антон Карпов (CISO VK), Вячеслав Касимов (CISO МКБ), Сергей Демидов (CISO Московской Биржи), Давид Мартиросов (CEO Basis).

Изображение: ГК «Солар»

Предполагается, что присутствие в Advisory Board экспертов по ИТ и ИБ из числа крупнейших компаний страны даст молодым проектам возможность начать работу с B2E/B2B/B2G-сегментами. ГК «Солар» отметила, что крупные компании неохотно работают со стартапами. Согласно данным опроса 84 компаний сегментов B2E/B2B/B2G, сейчас со стартапами работает только 13 % из числа респондентов. Отмечается, что бизнес готов работать со стартапами на продвинутой или финальной стадии разработки, однако добраться до них без внешней помощи стартапы не могут.

CYBER STAGE нацелена на решение широкого круга задач: от создания удобной платформы взаимодействия участников рынка ИБ и смежных направлений до стимулирования запуска принципиально новых проектов в пустующих или недостаточно обеспеченных продуктами и сервисами нишах ИБ и повышения уровня привлекательности ИБ для ИТ-предпринимателей. В этому году в рамках программы будут проходить ежемесячные питч-сессии, также запланирована подготовка не менее пяти проектов к привлечению финансирования. Уже в ближайшие два года проект намерен показать видимые результаты.

Изображение: Sajad Nori / Unsplash

В CYBER STAGE предусмотрены и традиционные форматы акселерации: менторство, работа с технологиями и ресурсное сопровождение (обучение, помощь в упаковке продукта, содействие в привлечении венчурных инвестиций). По словам авторов программы, к участникам будут предъявляться минимальные требования. Стартап должен иметь основную команду, продукт, направленный на решение задач или на улучшение комплексных сервисов и продуктов в сфере ИБ, и находиться на стадии прототипа и выше. По итогам оценки он получает рекомендации и предложения по направлениям сотрудничества.

По данным ГК «Солар», в России на начало 2024 года было зарегистрировано 230 ИБ-бизнесов, что составляет менее 2,3 % от всего количества ИБ-проектов в мире, равного 9874. Доля российского рынка ИБ в мировом составляет 1 %, хотя он растёт с опережением мировых темпов. В 2023 году российский рынок ИБ увеличился на 15 % год к году, достигнув около 145 млрд руб. По данным ГК «Солар», в России ежегодно появляется 20–30 новых проектов в сфере информационной безопасности как в форме стартапов, так и продуктовых команд внутри крупных корпораций, вендоров, ИТ-групп.

В среднем у каждого 19‑го сотрудника российских компаний данные корпоративной почты утекают в открытый доступ, сообщили аналитики платформы BI.ZONE Brand Protection. Главная причина заключается в использовании адресов корпоративной почты для регистрации на сторонних сайтах. В 2023 году BI.ZONE выявила утечки 75 тыс. email‑адресов российских компаний.

Всего в 2023 году, по данным BI.ZONE, в открытый доступ попали 420 баз данных с более 981 млн строк, содержащих паспортные данные граждан, адреса, телефонные номера, платёжную информацию, а также личные и корпоративные email‑адреса. В январе 2024‑го года в открытый доступ утекло 62 базы общим объёмом свыше 525 млн записей, а с начала февраля зафиксировано 29 утечек общим объёмом более 11 млн строк, 85 % которых содержали пароль или его хеш. В 2023 году пароли в открытом или хешированном виде встречались в 13 % случаев, в январе 2024 года — в 6 %.

Источник изображения: TheDigitalArtist/Pixabay

В BI.ZONE назвали опасным заблуждением считать, что если в утечке не присутствует пароль, то она не представляет угрозы. И без этого в базе могут быть паспортные данные, номера телефонов, адреса, коды домофонов и другая чувствительная информация. Опасны и утечки хешированных паролей, поскольку из них иногда можно восстановить исходные пароли.

Эксперты рекомендуют не использовать для регистрации на сторонних сайтах адрес корпоративной почты, так как их могут взломать. BI.ZONE рекомендует для минимизации рисков, связанных с утечками данных корпоративной почты использовать для разных ресурсов разные пароли, периодически менять их и применять менеджеры паролей, а также регулярно проверять наличие электронных адресов компании в базах утечек. BI.ZONE также предупредила об опасности стилеров, добывающих логины и пароли от корпоративных ресурсов. Стилеры в основном доставляются с помощью фишинговых писем.

Компания «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности) сообщила о прохождении сертификационных испытаний на соответствие стандартам информационной безопасности Республики Беларусь программного комплекса Solar Dozor.

Solar Dozor относится к категории систем, предназначенных для предотвращения утечек данных (Data Loss Prevention, DLP) в корпоративной среде. Решение блокирует передачу сотрудниками конфиденциальных документов, помогает выявлять признаки корпоративного мошенничества, позволяет заниматься профилактикой инцидентов безопасности. Продукт представлен для всех основных ОС — Windows, macOS, Linux. Поддерживается работа в VDI-среде.

Принцип работы Solar Dozor

На территории Республики Беларусь действуют законодательные нормы, в рамках которых предусмотрено национальное подтверждение соответствия. Все технологии и решения, попадающие на белорусский рынок, помимо оформления документации на соответствие техническим регламентам таможенного союза, в обязательном порядке должны пройти процедуру оценки соответствия в национальной системе.

Сертификат, выданный Оперативно-аналитическим центром при президенте Республики Беларусь, подтверждает соответствие Solar Dozor требованиям технических нормативно-правовых актов. Продукт может использоваться для защиты государственных информационных систем Республики.

Специалисты Немецкого национального исследовательского центра прикладной кибербезопасности ATHENE сообщили об обнаружении опасной уязвимости в механизме DNSSEC (Domain Name System Security Extensions) — наборе расширений протокола DNS. Брешь теоретически позволяет вывести из строя DNS-сервер путём проведения DoS-атаки.

В исследовании приняли участие сотрудники Франкфуртского университета имени Иоганна Вольфганга Гёте (Goethe University Frankfurt), Фраунгоферовского института технологий информационной безопасности (Fraunhofer SIT) и Дармштадтского технического университета (Technical University of Darmstadt).

Источник изображения: pixabay.com

Расширения DNSSEC призваны минимизировать атаки, связанные с подменой IP-адреса при обработке доменных имён. Технология нацелена на обеспечение достоверности и целостности данных. Принцип работы DNSSEC основан на использовании цифровых подписей, при этом сам механизм не шифрует данные и не изменяет управление ими.

Обнаруженная уязвимость получила название KeyTrap, или CVE-2023-50387: ей присвоен рейтинг опасности CVSS 7,5 балла из 10. Атака нацелена на DNS-резолвер. Отправка сформированного специальным образом пакета данных приводит к тому, что DNS-резолвер, использующий DNSSEC, начинает выполнять огромный объём ресурсоёмких криптографических вычислений. Кроме того, существует схожая уязвимость NSEC3 (CVE-2023-50868) при вычислении хешей.

Источник: ATHENE

Из-за такой алгоритмической атаки количество выполняемых CPU инструкций в DNS-резолвере возрастает в 2 млн раз, и система оказывается не в состоянии обрабатывать другие запросы. Исследователи заявляют, что один запрос может привести к недоступности сервера: в зависимости от реализации резолвера это состояние длится от 56 секунд до 16 часов.

По оценкам, на сегодняшний день DNS-резолверы с расширениями DNSSEC используют 31 % веб-клиентов в интернете. Таким образом, проблема носит масштабный характер. Она затрагивает, например, Google Public DNS, Quad9, OpenDNS и Cloudflare. Об уязвимости также сообщила компания Akamai, которая уже выпустила необходимые исправления для рекурсивных резолверов Akamai DNSi (CacheServe, AnswerX).

Уязвимость устранена в версиях Unbound 1.19.1, PowerDNS Recursor 4.8.6, 4.9.3 и 5.0.2, Knot Resolver 5.7.1, dnsmasq 2.90, BIND 9.16.48, 9.18.24 и 9.19.21. Примечательно, что уязвимость в BIND9 появилась ещё в 2000 году, а в Unbound — в 2007 году. И все эти годы проблемы никто не замечал, несмотря на открытость исходного кода обоих проектов.

«Ростелеком» сообщил о получении положительного заключения Федеральной службы безопасности Российской Федерации на криптографический модуль «КриптоSDK» со встроенными отечественными средствами криптографической защиты информации (СКЗИ класса КС1).

Модуль «КриптоSDK» разработан компаниями «Ростелеком» и «КриптоПро» и предназначен для защиты каналов связи при дистанционном обслуживании клиентов и сервисов удалённой идентификации граждан с использованием Единой биометрической системы. Решение позволяет проводить идентификацию в мобильном приложении банковской или иной организации, выполняя все требования по защите информации.

Источник изображения: wirestock / freepik.com

«КриптоSDK» также позволяет установить защищённое соединение по протоколу ГОСТ TLS и связать мобильные приложения как внешних, так и внутренних пользователей организации с её корпоративными информационными системами по защищённому отечественными СКЗИ каналу связи.

«Получение заключения ФСБ России на криптографический модуль, основанный на средствах «КриптоПро», — это важнейшая веха в развитии массовой криптографии в России. Теперь организации, обрабатывающие биометрические данные пользователей, смогут обеспечивать защиту этих данных с применением отечественной криптографии без необходимости исследований по оценке влияния, что существенно повысит темпы внедрения безопасных решений в нашей стране», — говорится в заявлении заместителя генерального директора «КриптоПро», доктора физико-математических наук Станислава Смышляева.

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучались тенденции в области фишинговых атак в мировом масштабе в 2023 году. Говорится, что модель «фишинг как услуга» стала обычной практикой, а злоумышленники начинают внедрять технологии генеративного ИИ для повышения эффективности своей деятельности.

В отчёте сказано, что основными целями фишеров являются получение данных (85 %) и финансовой выгоды (26 %). Похищенная конфиденциальная информация зачастую затем сбывается в даркнете. Кража сведений может также осуществляться с целью шпионажа за организацией или страной.

Источник изображений: Positive Technologies

Самым распространённым каналом для коммуникации с жертвами для фишеров остаётся электронная почта — на неё приходится около 92 % всех атак. В 8 % случаев также применяются мессенджеры и социальные сети, а в 3 % нападений злоумышленники рассылают SMS. Чаще всего в фишинговых сообщениях киберпреступники выдают себя за контрагентов (26 %), специалистов техподдержки или IT (15 %) и представителей госорганов (13 %).

Для доставки вредоносной нагрузки с помощью вложений наиболее часто (в 37 % случаев) используют архивы (ZIP, 7z, RAR и т. п.), а на втором месте по популярности (30 %) находятся текстовые документы (DOC, ODT, ONE и т. п.). В 43 % фишинговых сообщений используются ссылки, которые приводят либо к загрузке вредоносного файла (46 %), либо к переходу на поддельную страницу для ввода учётных данных (50 %). Кроме того, мошенники внедряют в свои сообщения QR-коды, которые помогают скрывать вредоносные адреса от получателей и систем защиты.

Более половины (56 %) всех фишинговых атак носят целевой характер: мишенями становятся как конкретные организации, так и определённые отрасли и даже целые страны. Чаще всего в таких случаях жертвами являются госучреждения (44 % целевых инцидентов) и оборонные предприятия (19 %). Далее следуют организации в сфере науки и образования (14 %), финансовые структуры (13 %) и медицинские учреждения (11 %). Говорится, что из-за сложной геополитической ситуации по всему миру фишинговые атаки на государственные организации проводятся чаще, чем на другие отрасли.

Аналитики Positive Technologies прогнозируют, что киберпреступники продолжат активно внедрять средства ИИ. Такие инструменты позволяют генерировать убедительные фишинговые сообщения, создавать дипфейки голосов, изображений и видео, а также поддерживать осмысленный диалог с жертвой в автоматизированном режиме.

Что касается модели «фишинг как услуга», то стоимость готовых фишинговых проектов начинается с $15 и может достигать $5000. Бюджет до $100 позволяет приобрести услуги SMS-фишинга или заказать изготовление шаблонов фишинговых писем. А за $100–$1000 можно купить готовые фишинговые страницы, фишинговые проекты, имитирующие деятельность банков, и пр.

В 2023 году российский кредитно-финансовый сектор, согласно исследованию ГК «Солар», столкнулся с резким ростом интенсивности кибератак. В общей сложности зафиксированы приблизительно 6,8 тыс. инцидентов, что более чем на четверть превосходит результат предыдущего года. Это составляет пятую часть (20 %) от суммарного количества выявленных событий в области информационной безопасности (ИБ).

Больше трети атак в банковской сфере (36 %) сопряжено с эксплуатацией уязвимостей. В 28 % случаев зафиксирован несанкционированный доступ к системам и сервисам (включая компоненты автоматизированной банковской системы и дистанционного банковского обслуживания, внутренний документооборот и ключевые базы данных). На третьем месте по распространённости с показателем 14 % находятся сетевые атаки. Около 8 % инцидентов связано с внедрением вредоносного ПО.

В 2023 году в полтора раза подскочило количество фишинговых атак в банковской сфере. Чаще всего злоумышленники имитировали в таких рассылках акции или опросы от имени банка. Причём главной целью являлись не данные банковских карт, а доступ в личный кабинет клиента. Аналитики отмечают, что фишинговые атаки по-прежнему остаются достаточно эффективными, несмотря на высокую степень защищенности организаций.

Источник изображения: ГК «Солар»

С банковской сферой связано около 40 % объявлений в даркнете. Основная масса запросов касается открытия счетов, продажи и покупки доступов в личный кабинет, банковских карт, обналичивания средств, получения данных и вербовки сотрудников. Количество киберударов по банковским веб-ресурсам (DDoS- и веб-атаки) постепенно сокращается, что объясняется улучшением систем защиты. Сама финансовая отрасль занимает первое место по размеру бюджетов на ИБ: в 2023 году на эти цели организации потратили приблизительно 18 млрд руб.

В отчёте сказано, что в России сохраняется внешняя цифровая угроза для банков в части эквайринга. В 2023 году эксперты обнаружили 5,4 тыс. вредоносных интернет-ресурсов, которые принимают электронную оплату от пользователей. Причём 96 % таких сайтов приходится на незаконный игорный бизнес. Выявлены также инциденты, свойственные именно банковской сфере. К ним относятся попытки взлома баз данных основных банковских приложений, а также попытки использования учётных записей сотрудников третьими лицами.

Злоумышленники повышают свою квалификацию и проводят более тщательную подготовку к атаке, включая киберразведку и первичное проникновение в инфраструктуру целевой организации. В 2023 году зафиксированы 38 инцидентов, связанных с публикацией в общем доступе данных клиентов кредитных организаций. Общий объём раскрытых сведений превысил 161 млн строк, включая 130 млн телефонных номеров и 28 млн адресов электронной почты.