Компания Barracuda Networks устранила очередную уязвимость в своих шлюзах безопасности Email Security Gateway (ESG). Как сообщает ресурс SiliconANGLE, эта брешь (CVE-2023-7102) эксплуатировалась злоумышленниками для получения несанкционированного доступа к устройствам и внедрения вредоносного ПО.

Выявленная уязвимость затрагивает стороннюю библиотеку Spreadsheet::ParseExcel. Дыра позволяет киберпреступнику выполнить произвольный программный код в атакуемой системе. Для этого необходимо отправить жертве электронное письмо, содержащее сформированную особым образом таблицу в формате Excel (в виде вложения).

Выяснилось, что хакеры через уязвимость CVE-2023-7102 внедряли на устройства Barracuda ESG версии зловредов Seaspy и Saltware. Barracuda выпустила патч для дыры 21 декабря 2023 года: это обновление распространяется автоматически — какие-либо действия со стороны пользователей для загрузки и установки апдейта не требуются.

Источник изображения: pixabay.com

Расследование, проведённое фирмой Barracuda совместно со специалистами по кибербезопасности из компании Mandiant (принадлежит Google Cloud), показало, что за новыми атаками стоят китайские хакеры из группировки UNC4841. Эти же киберпреступники ранее организовали «смертельный» взлом шлюзов Barracuda ESG. Оказалось, что устранить дыру, использованную злоумышленниками, невозможно, а поэтому Barracuda порекомендовала клиентам выкинуть затронутые устройства.

Целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. Группировка сосредоточена прежде всего на шпионаже. Предыдущими мишенями хакеров становились компании и организации в военном, оборонном, аэрокосмическом, IT- и телекоммуникационном секторах.

К концу 2023 года, как сообщает «Роскомнадзор», к системе «Антифрод» подключились 502 компании, что составляет менее половины от действующих в России операторов связи. Ведомство уже начало штрафовать тех участников рынка, которые нарушают сроки подключения к указанной платформе.

Система «Антифрод» разработана предприятием «Главный радиочастотный центр» (ГРЧЦ), которое является подведомственной структурой «Роскомнадзора». Платформа предназначена для сбора данных обо всех звонках и SMS с целью борьбы с мошенниками. Российским операторам необходимо подключиться к «Антифроду» до 28 февраля 2024 года.

В РФ на сегодняшний день насчитывается около 1300 операторов связи. Таким образом, доля подключившихся к системе «Антифрод» компаний составляет 38,6 %. Суммарная номерная ёмкость операторов, использующих платформу, достигает 79,4 %. В течение года система проверила примерно 90 млрд звонков, а количество предотвращённых соединений с подменой номера оценивается в 622 млн.

Источник изображения: «Роскомнадзор»

«Роскомнадзор» напоминает, что тем операторам, которые не соблюдают сроки подключения, грозит административная ответственность по статье 13.2.1 КоАП РФ — штраф до 1 млн руб. В конце 2023 года фиксируется нарушение сроков у более чем 180 компаний. Суд уже рассмотрел протоколы в отношении четырёх операторов — им назначены штрафы на общую сумму 2,1 млн руб.

«По закону оператор связи несёт ответственность за установку соединения с непроверенного номера. Система "Антифрод" помогает операторам соблюдать требования действующего российского законодательства, предоставляя им для этого техническую возможность», — говорится в сообщении ведомства.

Российский разработчик систем информационной безопасности NGR Softlab сообщил о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса Infrascope по четвёртому уровню доверия.

Infrascope относится к классу решений Privileged Access Management (PAM) и помогает организациям снижать риск угроз, которые связаны с действиями привилегированных пользователей, имеющих доступ к важным данным и IT-активам. Продукт собирает сведения обо всех действиях администраторов, происходящих в сети, и сохраняет их для последующего просмотра с целью аудита и расследования инцидентов.

Программный комплекс обладает широким диапазоном функций «из коробки» для гибкого управления доступами и контроля привилегированных пользователей в режиме реального времени с возможностью записи всех действий. Уже в базовой конфигурации Infrascope включает более 60 коннекторов и благодаря модульной архитектуре может масштабироваться под запросы организации любого размера.

Сертифицированная версия платформы Infrascope может использоваться для защиты информационных ресурсов предприятий, не работающих с государственной тайной. PAM-система помогает выполнять нормативные требования по защите информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ), финансовых систем (ГОСТ Р 57580.1-2017) и других стандартов ИБ, в том числе международных (GDPR, PCI DSS, ISO 27002 и пр.).

Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана сообщило о том, что компания «Яндекс» окончательно перенесла серверы регионального портала yandex.kz на территорию этой республики. Проект реализован в рамках программы по защите персональных данных жителей Казахстана.

В августе 2023 года работа yandex.kz была приостановлена после того, как выяснилось, что ресурс работал на серверах, находящихся за пределами Казахстана. После этого «Яндекс» заявил о готовности решить проблему и начал развёртывание серверов в казахстанском дата-центре. «Работы велись с августа этого года по плану, согласованному с Минцифры Казахстана. Теперь yandex.kz будет работать на серверах, которые находятся внутри страны», — говорится в сообщении ведомства.

Источник изображения: Минцифры Казахстана

В ходе работ команда «Яндекс Казахстана» привезла в страну необходимое оборудование и ввела его в эксплуатацию. После проведения всестороннего тестирования портал yandex.kz полностью переехал на местные серверы. Таким образом, на реализацию проекта потребовалось примерно четыре месяца.

В Минцифры Казахстана также добавили, что ведомство уделяет большое внимание безопасности персональных данных граждан страны. Перенос серверов yandex.kz на территорию республики означает, что информация местных пользователей будет храниться и обрабатываться в Казахстане, что, как ожидается, поможет улучшить её защиту.

Компания «К2 Кибербезопасность» обнародовала результаты исследования, в ходе которого оценивался уровень защищённости субъектов критической информационной инфраструктуры (КИИ) в России. Речь идёт об организациях и предприятиях, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы, а также государственных, медицинских и прочих служб.

Данные получены на основе опроса 108 представителей российских компаний из ключевых сегментов экономики с выручкой более 5 млрд руб. В исследовании участвовали субъекты нефтегазовой промышленности, металлургии, электроэнергетики, сферы здравоохранения и пр. Опрос проведён в июне–августе 2023 года.

Источник изображения: pixabay.com

Установлено, что практически каждый третий (32 %) субъект КИИ в России сталкивался с киберинцидентами разной степени серьёзности. Как минимум 35 % из них сопряжены с ущербом, который можно оценить в деньгах. Чаще всего атаки на КИИ оборачиваются простоем сервисов: основными причинами таких инцидентов называются DDoS-атаки и взломы сайтов. Другие негативные последствия — репутационный ущерб, потеря данных без возможности восстановления и непосредственные финансовые убытки.

Авторы исследования выяснили, насколько респонденты готовы к исполнению требований закона «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ), принятого ещё в 2018 году. Значительное число компаний ещё не знают, какие решения им понадобятся для реализации требований — с планами не определились 24 % опрошенных. Чёткое представление о предстоящих закупках имеют 68 % субъектов.

Изображение: «К2 Кибербезопасность»

Оказалось, что большинство компаний скептически относятся к возможности реализации проектов защиты КИИ на базе отечественных решений. Так, 31 % категорически не удовлетворены тем, что предлагает рынок. С другой стороны, 48 % респондентов уверены в том, что российские продукты справятся с требованиями закона.

Среди компаний, которые уже приступили к работам, только 7 % полностью завершили проекты по созданию системы обеспечения информационной безопасности, удовлетворяющей требованиям 187-ФЗ. Около 14 % находятся на завершающих этапах, ещё 34 % занимаются организационной работой и 35 % только начинают или планируют начать эту деятельность. При этом только 29 % опрошенных заявляют, что ещё не столкнулись с серьёзными сложностями на различных этапах реализации проекта.

«Лаборатория Касперского» обнародовала результаты исследования, в ходе которого изучалась ситуация с безопасностью в киберпространстве в мировом масштабе. Анализ показал, что только за последние два года более ¾ (77 %) всех компаний столкнулись как минимум с одним инцидентом, причём для многих предприятий количество вторжений за указанный период достигает шести.

Выводы «Лаборатории Касперского» базируются на результатах опроса, проведённого компанией Arlington Research среди 1260 специалистов в области IT. Исследование охватило 19 стран, включая Бразилию, Чили, Китай, Колумбию, Францию, Германию, Индию, Индонезию, Японию, Казахстан, Мексику, Россию, Саудовскую Аравию, ЮАР, Испанию, Турцию, ОАЭ, Великобританию и США. Все респонденты работали в компаниях малого и среднего бизнеса с численностью сотрудников более 100 человек или в крупных организациях с количеством работников более 1000 человек.

Источник изображения: pixabay.com

Выяснилось, что 75 % киберинцидентов, с которыми столкнулась компании за двухлетний период, носили серьёзный характер. Примерно четверть (26 %) всех случаев были связаны с умышленными нарушениями сотрудниками политики информационной безопасности.

Около 11 % инцидентов, то есть примерно каждый десятый случай, произошли из-за теневых IT: это приложения, устройства, публичные облачные сервисы и другие цифровые инструменты, которые официально не разрешены для работы в конкретной компании. Больше всего от использования теневых средств страдает IT-отрасль — на неё пришлось 16 % связанных с этим киберинцидентов в 2022-м и 2023 годах. С проблемой также сталкиваются объекты критической инфраструктуры, транспортные и логистические компании (по 13 %). Ситуация с теневыми IT осложняется тем, что во многих организациях не прописана ответственность для сотрудников за соответствующие нарушения.

«Теневыми IT могут быть несанкционированные приложения, установленные на рабочие компьютеры сотрудников, флешки, мобильные телефоны, ноутбуки и другие устройства. Но бывают и менее очевидные варианты. Например, кто-то из сотрудников может использовать старое оборудование, оставшееся после модернизации или реорганизации IT-инфраструктуры. Со временем в нём накапливаются уязвимости, с помощью которых злоумышленники смогут проникнуть во внутреннюю систему компании», — отмечает «Лаборатория Касперского».

Исследование показало, что 14 % киберинцидентов происходят из-за ошибок старшего IT-специалиста, около 15 % — по причине некорректных действий прочих IT-сотрудников. Примерно 18 % респондентов рассказали, что причиной инцидентов в их компаниях является нехватка навыков в области кибербезопасности. Ещё 41 % компаний считают, что у них есть пробелы в инфраструктуре ИБ, тогда как 21 % опрошенных заявили, что их компаниям не хватает средств для принятия адекватных защитных мер.

По оценкам EdgeЦентра, провайдера облачных и edge-решений, в 2023 году количество кибератак на российские компании и организации увеличилось на 300 % по сравнению с 2022-м. Согласно прогнозу экспертов, который приводит газета «Коммерсантъ», в 2024-м ситуация продолжит ухудшаться, что связано со сформировавшейся геополитической обстановкой.

Специалисты EdgeЦентра подсчитали, что в уходящем году кибернападениям подверглись более 50 крупных предприятий РФ из различных отраслей — транспортной сферы, государственного и финансового секторов. В общей сложности проведены свыше 130 тыс. DDoS-атак на российские компании средней продолжительностью 15 минут. Самая продолжительная вредоносная кампания длилась примерно восемь суток. Более 500 DDoS-атак имели мощность, превышающую 100 Гбит/с.

Источник изображения: pixabay.com

Эксперты EdgeЦентра полагают, что в 2024 году число DDoS-атак на российский бизнес подскочит как минимум на 400 % в годовом исчислении. Наблюдающаяся тенденция объясняется прежде всего сложной геополитической ситуацией. «Лаборатории Касперского» добавляет, что в 2024-м на фоне потрясений может вырасти количество атак, спонсируемых государствами. Их целью обычно является кража или шифрование данных, разрушение IT-инфраструктуры, кибершпионаж и киберсаботаж.

В целом, по данным «Лаборатории Касперского», за последние два года подавляющее большинство организаций в России (69 %) пострадали как минимум от одного инцидента кибербезопасности. Причём больше половины из них (58 %) оцениваются как критические. «Лаборатория Касперского» полагает, что в условиях стремительного развития ИИ и больших языковых моделей в 2024 году будут возникать новые сложные уязвимости.

Корпорация Cisco объявила о заключении соглашения по покупке стартапа Isovalent, специализирующегося на разработке сетевых решений open source для обеспечения безопасности, в том числе в облачных средах. Финансовые условия сделки не раскрываются. Isovalent является участником проекта eBPF (extended Berkeley Packet Filter), нацеленного на использование возможностей ядра Linux для мониторинга активности, обнаружения проблем с производительностью и выявления рисков безопасности различных рабочих нагрузок.

Кроме того, Isovalent принимает участие в двух других проектах open source: Cilium и Tetragon. Первый помогает управлять потоками сетевого трафика между контейнерами, а второй дополняет Cilium, предоставляя дополнительные возможности кибербезопасности. Стартап недавно представил решение Cilium Mesh, которое позволяет подключать кластеры Kubernetes к существующей инфраструктуре в гибридных облаках.

Источник изображения: Cisco

Cisco намерена использовать технологии Isovalent для расширения своего набора сервисов в области кибербезопасности. Речь идёт о развитии концепции Cisco Security Cloud — интегрированной облачной платформы безопасности на базе ИИ для организаций любого размера. Данная система позволяет клиентам отделить средства управления безопасностью от мультиоблачной инфраструктуры, обеспечив защиту от возникающих угроз в любом облаке, приложении или рабочей нагрузке. Cisco планирует объединить Cilium Mesh со своими программно-определяемыми сетевыми продуктами.

Корпорация Cisco намерена завершить сделку по поглощению Isovalent в III четверти 2024 финансового года, который закончится 27 июля. После этого сотрудники стартапа присоединятся к подразделению Cisco Security Business Group.

Группа компаний «Гарда» представила результаты исследования рынка сетевой безопасности в России в 2023 году. Был сделан вывод, что рынок остаётся импортозависимым, хотя отечественные решения считаются сопоставимыми по степени зрелости с зарубежными аналогами.

В опросе исследователей приняло участие более 500 специалистов и экспертов по информационным технологиям и кибербезопасности из крупных городов России. Почти половина (42 %) постоянно сталкивается с угрозами сетевой безопасности, 31 % сообщил, что сталкивается периодически, а 12 % ответили, что испытывают подобные проблемы 2–3 раза в год. Исследователи отметили, что чем крупнее компания, тем более она подвержена этим угрозам.

Источник изображений: ГК «Гарда»

В борьбе с угрозами 38 % респондентов прибегают к организационно-технологическим мерам, а также настройке имеющейся ИТ-инфраструктуры. 3 % респондентов сообщили, что применяют специализированные технологии и решения, 18 % прибегают к услугам внешних сервисов и лишь 11 % всё ещё используют только организационные меры.

Почти половина (49 %) опрошенных продолжают использовать иностранные разработки. Причём 17% респондентов считают наши продукты лучше зарубежных, а 53 % — сравнимыми с иностранными. Речь идёт о системах анализа трафика (NTA), которые назвали 58 % опрошенных, на втором месте по отзывам (56 %) находятся сразу 3 системы: защита от DDoS-атак, сетевая криминалистика (Network Forensics), средства анализа сетевых атак и реагирования (NDR). Третье место у сетевых «песочниц» и систем управления ложными целями (Network Sandbox/Deception) — по отзывам 55 % респондентов.

Хуже иностранных решений респонденты назвали межсетевые экраны (FW, NGFW) — 44 %, многофункциональные решения (UTM) — 37 % и шлюзы информационной безопасности (SWG, SMG) — 33 %. По мнению респондентов превосходя иностранные решения такие продукты, как Web Application Firewall (WAF) — 21 %, сетевая криминалистика (Network Forensics), данные о киберугрозах (Threat Intelligence) и защита от DDoS-атак — по 19 %.

Исследователи отметили, что в части сетевой безопасности исторически доминировали иностранные продукты. Параллельный импорт и пиратство несут риски, поэтому у российских разработчиков есть возможности для совершенствования собственных продуктов. Кроме того, фактор скорости и продолжающееся значительное присутствие решений зарубежных производителей в сетях клиентов подтверждают, что в 2025 году процесс импортозамещения может полностью не завершиться.

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучалась ситуация с кибербезопасностью в России в уходящем году. Отмечается, что в сложившейся геополитической обстановке выросла угроза атак со стороны хактивистов, которые чаще всего применяют тактику DDoS и выполняют дефейс сайтов.

По оценкам, в течение первых трёх кварталов 2023 года почти три четверти (73 %) кибератак в России носили целевой характер (учитываются организации и частные лица). Это на 5 % больше по сравнению с показателем за 2022 год.

Источник изображения: pixabay.com

Наиболее частыми последствиями кибератак в 2023 году стали получение злоумышленниками конфиденциальной информации (58 %) и нарушение основной деятельности организаций (41 %). Если рассматривать только кражу данных, то 43 % пришлось на персональную информацию, 16 % — на учётные сведения и 13 % — на коммерческую тайну. Основным типом похищенных у организаций сведений стали именно персональные данные (43 %), тогда как в сегменте частных лиц лидирует кража учётных данных (38 %).

В 2023 году злоумышленники активно применяли шпионское ПО: его использование в качестве метода атаки выросло до 27 % против 18 % в 2022-м. Причём доля шпионов среди всего вредоносного ПО, используемого в атаках на российские организации, составила 45 %. Шифровальщики применялись в 27 % случаев: при этом наблюдается развитие схемы двойного вымогательства — когда злоумышленники требуют выкуп не только у скомпрометированной компании, но и у частных лиц, данные которых утекли.

За первые три квартала 2023 года интенсивность атак на веб-ресурсы организаций РФ подскочила на 44 %. Прирост зафиксирован в финансовой и транспортной отраслях, в СМИ, в сфере науки и образования, но наиболее сильно пострадал телеком-сегмент, где число инцидентов поднялось в 1,8 раза. На долю уязвимостей в веб-приложениях пришлось 35 %.

Среди других тенденций уходящего года эксперты Positive Technologies называют использование ИИ для усложнения техник социальной инженерии и фишинга, атаки на системы защищённой передачи данных и применение дипфейков.