Российский разработчик защищённого ПО «РТ-Иридиум» (входит в «Ростех») представил программный комплекс (ПК) виртуализации «Иридиум», внесённый в Единый реестр российского ПО. Как сообщается, платформа является единственным технологически независимым решением в России и может использоваться для создания высоконагруженной виртуальной инфраструктуры с возможностью управления миллионами виртуальных объектов в подконтрольной зоне.

Источник: «Иридиум»

Платформа создана без использования открытого кода, что исключает риски любых санкций, а также зависимость от иностранных программистов, позволяя обеспечить её техническую поддержку силами российских разработчиков, говорится в пресс-релизе «Ростеха». Однако на сайте самой платформы пока говорится, что в основе комплекса лежит доработанное ядро Linux, поддерживается аппаратная виртуализация гипервизором первого типа на базе KVM/Qemu, используются контейнеры Docker.

Впрочем, отмечается, что компания последовательно стремится к сокращению использования компонентов с открытым исходным кодом (open source). Так, в платформе был полностью переписан виртуальный сетевой коммутатор. По словам создателей, производительность доступа к подсистеме хранения у ПК «Иридиум» в сравнении с VMware vSphere выше минимум на 18 %. При этом «Иридиум» обеспечивает быструю холодную и бесшовную миграцию как с российских, так и с западных систем виртуализации, включая VMware vSphere и Microsoft Hyper-V с сохранением действующей ИТ-инфраструктуры.

Кроме того, в описании платформы указано, что она обеспечивает защищённою среду функционирования ИТ-систем с возможностью аттестации в соответствии с требованиями ФСТЭК, а также обладает функцией сертифицированного средства защиты информации (СЗИ). А возможность построения аттестованного контура без дополнительных наложенных средств защиты информации позволяет значительно сократить затраты на внедрение, говорит компания.

Как сообщается на сайте «Ростеха», платформа найдёт применение в сегменте B2G/B2B для ГИС до первого класса защищенности включительно и информационных систем персональных данных до первого уровня включительно, а также может использоваться для АСУ ТП до первого класса защищённости включительно и в объектах КИИ до первой категории включительно.

Бывший генеральный директор Google Эрик Шмидт (Eric Schmidt) прогнозирует, что в обозримом будущем в США и Китае большие суперкомпьютеры будут заниматься ИИ-вычислениями под защитой военных баз. В интервью Noema он подробно рассказал о том, каким видит новые ИИ-проекты, и это будущее вышло довольно мрачным.

Шмидт поведал о том, как правительства будут регулировать ИИ и искать возможности контроля ЦОД, работающих над ИИ. Покинув Google, бизнесмен начал очень тесно сотрудничать с военно-промышленным комплексом США. По его словам, рано или поздно в США и Китае появится небольшое число чрезвычайно производительных суперкомпьютеров с возможностью «автономных изобретений» — их производительность будет гораздо выше, чем государства готовы свободно предоставить как своим гражданам, так и соперникам.

Каждый такой суперкомпьютер будет соседствовать с военной базой, питаться от атомного источника энергии, а вокруг будет колючая проволока и пулемёты. Разумеется, таких машин будет немного — гораздо больше суперкомпьютеров будут менее производительны и доступ к ним останется более широким. Строго говоря, самые производительные суперкомпьютеры США принадлежат Национальным лабораториям Министерства энергетики США, которые усиленно охраняются и сейчас.

Источник изображения: Joel Rivera-Camacho/unsplash.com

Как заявил Шмидт, необходимы и договорённости об уровнях безопасности вычислительных систем по примеру биологических лабораторий. В биологии широко распространена оценка по уровням биологической угрозы для сдерживания её распространения и оценки уровня риска заражения. С суперкомпьютерами имеет смысл применить похожую классификацию.

Шмидт был председателем Комиссии национальной безопасности США по ИИ и работал в Совете по оборонным инновациям. Также он активно инвестировал в оборонные стартапы. В то же время Шмидт сохранил влияние и в Alphabet и до сих пор владеет акциями компании стоимостью в миллиарды долларов.

Военные и разведывательные службы США пока с осторожностью относятся к большим языковым моделям (LLM) и генеративному ИИ вообще из-за распространённости «галлюцинаций» в таких системах, ведущих к весьма правдоподобным на первый взгляд неверным выводам. Кроме того, остро стоит вопрос сохранения секретной информации в таких системах.

Ранее в этом году Microsoft подтвердила внедрение изолированной от интернета генеративной ИИ-модели для спецслужб США после модернизации одного из своих ИИ-ЦОД в Айове. При этом представитель Microsoft два года назад предрекал, что нынешнее поколение экзафлопсных суперкомпьютеров будет последним и со временем все переберутся в облака.

Каждая третья успешная кибератака на предприятия промышленной отрасли имеет признаки шпионажа. Об этом свидетельствуют результаты исследования компании «Солар», в основу которого легли данные анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведённой центром Solar AURA; аналитики центра расследований Solar 4RAYS и работ, проведённых отделом анализа защищённости.

Согласно представленным в исследовании сведениям, за последние три года на сектор промышленности было совершено около 600 тысяч попыток кибератак. Основную часть инцидентов составили операции с пользовательскими учётными записями и контролем над ними. Это попытки подбора пароля (в том числе от критичных систем), административный доступ за пределы сети (указывает на использование средств ОС для удалённого доступа), многочисленные блокировки учётных записей (говорит о множественных попытках брутфорса).

Источник изображения: пресс-служба компании «Солар»

Распределение инцидентов показывает, что основной проблемой в рамках мониторинга и реагирования на киберугрозы является различного рода вредоносное программное обеспечение на конечных устройствах разной критичности, а также нелегитимное ПО, например, майнеры. Это связано с масштабами распределённых инфраструктур и сложностью контроля соблюдения политик ИБ в них. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурсов для добычи криптовалюты.

По словам экспертов, вывести из строя промышленное предприятие крайне сложно — индустриальные сегменты и системы хорошо защищены, к тому же они часто работают в закрытом режиме и не имеют связи с внешним IT-периметром. Однако корпоративные сети, где может храниться информация о строении АСУ ТП, учётные данные и прочая информация, все ещё имеют достаточно уязвимостей. В связи с этим в промышленной сфере более актуальными становятся проблемы шпионажа и несанкционированного доступа к данным.

Российская компания Angara Security объявила о запуске специализированной платформы предиктивной аналитики для автоматического определения статистически наиболее вероятных тактик, техник и процедур хакерских группировок при совершении атак на компании с учётом их отраслевой принадлежности и имеющихся цифровых активов.

Тактики и цели киберпрестпников динамически меняются в силу ряда факторов, говорит компания. Это могут быть геополитическая обстановка, какие-либо резонансные события, обнаружение уязвимостей нулевого дня и пр. Например, по итогам 2023 года, на 120 % увеличилось количество политически мотивированных кибератак. Кроме того, растёт число кибергруппировок, нацеленных на объекты критической инфраструктуры (КИИ).

Источник изображения: pixabay.com

Новая платформа Angara Security позволяет выполнять автоматическую атрибуцию киберугроз по отраслевой принадлежности компаний. Это даёт возможность формировать превентивные тактики и меры защиты IT-инфраструктуры. Кроме того, упрощается планирование инвестиций в развитие ИБ. Платформа разработана экспертами Angara SOC на основе данных международной классификации MITRE ATT&CK, базы данных угроз безопасности ФСТЭК и собственной практики расследования и реагирования на инциденты ИБ.

Система определяет наиболее вероятные тактики хакерских группировок на основе профиля организации (кодов ОКВЭД). При формировании результатов учитывают имеющиеся данные о злоумышленниках и их деятельности. Отмечается, что платформа способствует снижению ущерба благодаря принятию обоснованных решений в области ИБ. Система помогает при адаптации и приоритизации правил выявления кибератак, а также при разработке стандартов аудита.

Аналитики Angara SOC также отмечают, что в 2024 году в фокусе внимания киберпреступников остаются государственные организации, финансовый сектор, e-commerce, СМИ, страховые компании, IT-сектор и промышленность.

Российская компания Positive Technologies, специализирующаяся на разработке решений в сфере информационной безопасности, сообщила о выпуске на рынок программного комплекса MaxPatrol Carbon, помогающего организациям подготовить IT-инфраструктуру к отражению атак и обеспечивающего непрерывный контроль её киберустойчивости.

MaxPatrol Carbon анализирует уровень защищённости компании и прогнозирует на базе экспертных данных о действиях злоумышленников возможную активность хакера. Исходя из полученной информации, продукт формирует практические рекомендации для ИБ-служб, своевременное выполнение которых повысит защиту IT-инфраструктуры, не позволит злоумышленнику добраться до критически важных активов или существенно усложнят его путь.

Архитектура решения

«Для обеспечения результативной кибербезопасности компаниям необходимо поддерживать IT-инфраструктуру в постоянной готовности к отражению атак. Это обязательное условие, чтобы злоумышленник не смог скомпрометировать критически важные системы за считанные минуты. Мы видим потребность рынка в принципиально новых решениях, которые обеспечат непрерывность бизнес-процессов в условиях растущего числа кибератак», — прокомментировал коммерческий релиз продукта Михаил Стюгин, руководитель направления автоматизации информационной безопасности Positive Technologies.

Комплекс MaxPatrol Carbon зарегистрирован в реестре отечественного ПО и может использоваться для импортозамещения продуктов зарубежных разработчиков.

Подводным ЦОД ещё предстоит отвоевать свою нишу на рынке дата-центров, но они уже, похоже, оказались уязвимыми для акустических атак. По данным The Register, учёные Университета Флориды и японского Университета электрокоммуникаций выяснили, каким способом можно нанести чувствительные удары таким ЦОД, даже не прибегая к глубинным бомбам или торпедам.

Участниками рынка заявляется, что подводные и, в частности, глубоководные ЦОД используют окружающую воду для охлаждения и защиты от внешних воздействий — Microsoft экспериментирует с ними в рамках инициативы Project Natick, компания Subsea Cloud уже предлагает коммерческие решения, а китайская Highlander и вовсе намерена сделать такие объекты массовыми.

Источник изображения: Biorock Indonesia/unsplash.com

Однако, как выяснилось, что с расстояния до 6 м по таким ЦОД можно наносить акустические удары, влияющие на жёсткие диски в составе RAID-массивов. Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы, сочетающие SSD и HDD. Добившись резонанса, можно нарушить работу головок чтения-записи и пластин дисков, вызывая вибрации, разрушительный эффект которых повышается с ростом интенсивности звуков.

Источник изображения: arxiv.org

Для эксперимента сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510, помещали в металлические контейнеры в лаборатории и открытых водоёмах, в частности — в озере при кампусе Университета Флориды. Звук генерировали с помощью подводного динамика. Выяснилось, что пропускная способность RAID-массива падала при воздействии звуком с некоторыми частотами, например, речь шла о 2, 3,7, 5,1–5,3 и 8,9 кГц. Нарушения в работе ФС наблюдались уже после 2,4 мин. устойчивого акустического воздействия, это приводило к росту задержек доступа к базе данных на 92,7 %. В экстремальном случае некоторые жёсткие диски полностью выходили из строя.

Атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий. По словам одного из экспертов, океан полон звуков. Для нейтрализации подобных угроз есть несколько методов, включая, например, использование звукопоглощающих материалов, которые, правда, негативно влияют на температуру системы. Кроме того, такую защиту можно одолеть, просто увеличив «громкость». Впрочем, некоторые результаты даёт использование машинного обучения для распознавания нетипичного поведения накопителей и оперативного переноса нагрузок на другие узлы.

Госкорпорация «Ростех» и компания «Ростелеком» заключили соглашение о сотрудничестве в сфере информационной безопасности.

Подписанный документ предусматривает совместную работу профильных центров компетенций в области защиты данных: со стороны «Ростелекома» — это группа компаний «Солар», со стороны государственной корпорации «Ростех» — компания «РТ-Информационная безопасность». В рамках сотрудничества планируется реализация совместных проектов в сфере ИБ, а также обмен данными об актуальных киберугрозах. Стороны договорились о совместном продвижении своих решений, продуктов и технологий на российском и зарубежных рынках, в том числе в целях импортозамещения и обеспечения технологического суверенитета.

Источник фото: пресс-служба «Солар» / rt-solar.ru

Также компании намерены обмениваться опытом в области построения систем кибербезопасности, актуальными сведениями об инцидентах и индикаторах компрометации. Отдельное внимание будет уделено проведению совместных киберучений с использованием баз знаний о реальных атаках на защищаемые объекты, особенно относящихся к критической информационной инфраструктуре.

«Злоумышленники действуют всё более изощренными методами, угрозы в киберпространстве растут в геометрической прогрессии, что требует от нас адекватно наращивать возможности для противодействия. Консолидация компетенций «Ростеха» и «Ростелекома» поможет не только повысить готовность цифровой инфраструктуры к отражению кибератак, но и даст импульс дальнейшему развитию отрасли информационной безопасности в России», — заявил генеральный директор госкорпорации «Ростех» Сергей Чемезов.

Компания «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности) выпустила на рынок программно-аппаратный комплекс Solar NGFW, виртуальное исполнение которого было представлено в прошлом году.

Созданное российским разработчиком решение относится к классу межсетевых экранов нового поколения (NGFW). Комплекс обеспечивает защиту корпоративной сети от сетевых атак и вредоносного ПО, а также управление доступом к веб‑ресурсам. Продукт устанавливается в разрыв трафика и проверяет все проходящие через него пакеты данных. При этом механизмы защиты Solar NGFW работают параллельно, но каждый по своим базам сигнатур и правил. Это обеспечивает комплексную проверку трафика на соответствие политике безопасности. Решение также может быть использовано для изоляции сегментов сети с целью снижения площади атаки и отделения общедоступных корпоративных сервисов от внутренних.

Место Solar NGFW в корпоративной IT-инфраструктуре (здесь и далее источник изображений: rt-solar.ru)

Аппаратное исполнение Solar NGFW реализовано в сотрудничестве со специалистами российской компании Kraftway и представлено в одноюнитовом форм-факторе, что позволяет заместить импортное решение в стойке без изменения в ней компоновки оборудования.

Линейка устройств Solar NGFW насчитывает три модели — L2000, XL4000 и XXL10000 (будет выпущена на рынок в 2025 году), разнящиеся аппаратной начинкой и производительностью в режиме межсетевого экрана.

Самый младший вариант — L2000 — обеспечивает производительность до 20 Гбит/с и предназначен для небольших организаций или филиалов.

Средняя модель — XL4000 — позволяет обрабатывать трафик со скоростью до 40 Гбит/с и подходит для обеспечения безопасности организаций enterprise-уровня.

Самая старшая модель — XXL10000 — обеспечивает обработку трафика со скоростью до 100 Гбит/c и предназначена для обеспечения защиты передачи данных между дата-центрами.

По словам разработчиков, отличительной особенностью межсетевого экрана является экспертиза Центра исследования киберугроз Solar 4RAYS, который аккумулирует информацию о наиболее значимых атаках на инфраструктуру отечественных организаций. Эти знания передаются в NGFW в виде новых сигнатур IPS. SLA их доставки составляет 24 часа с момента обнаружения атаки.

В настоящий момент запущен процесс сертификации программно-аппаратного комплекса Solar NGFW по требованиям ФСТЭК России. Получение сертификата соответствия ожидается в октябре 2024 года.

Российский рынок сетевой безопасности активно развивается. По данным аналитиков, в 2025 году его объём достигнет 100 млрд рублей, при этом около 60 % защитных продуктов придётся на решения класса NGFW. Такие прогнозы игроки рынка связывают с требованиями правительства РФ по переводу к упомянутому сроку критической информационной инфраструктуры на преимущественное использование отечественных разработок в сфере ИБ.

Компания Positive Technologies сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю на программный комплекс MaxPatrol EDR.

Разработанный российской компанией продукт относится к системам класса Endpoint Detection & Response и предназначен для предотвращения, обнаружения и реагирования на киберинциденты в корпоративной сети. MaxPatrol EDR обеспечивает многоуровневую защиту рабочих станций и серверов, а также включает технологии статического и поведенческого анализа аномалий в IT-инфраструктуре организации. Решение поддерживает Windows, macOS, Linux (в том числе отечественные сертифицированные ОС) и предоставляет ИБ-службам широкий выбор действий для автоматического и своевременного реагирования на угрозы: остановка процесса, удаление файлов, изоляция устройства, отправка на анализ, синкхолинг (sinkholing).

Как работает MaxPatrol EDR (источник изображения: ptsecurity.com)

Выданный ФСТЭК России сертификат подтверждает соответствие программного комплекса требованиям техническим условиям и требованиям регулятора к защитным решениям по четвёртому уровню доверия. Документ официально свидетельствует о том, что MaxPatrol EDR можно использовать для защиты конечных точек государственных информационных систем и значимых объектов критической информационной инфраструктуры самого высокого класса защищённости.

MaxPatrol EDR поставляется с набором экспертных правил PT Expert Security Center, благодаря чему программный комплекс способен выявлять угрозы и популярные тактики и техники злоумышленников из матрицы MITRE ATT&CK (топ-50 для Windows и топ-20 для Linux). Кроме того, положенные в основу решения технологии позволяют обнаруживать атаки с использованием легитимных инструментов (PowerShell, WMI, CMD, BASH), которые могут пропустить традиционные средства защиты, основанные на сигнатурном анализе.

Быстрорастущий стартап Wiz, специализирующийся на средствах облачной безопасности, объявил о проведении крупного раунда финансирования, в ходе которого на дальнейшее развитие привлечён $1 млрд. При этом компания получила рыночную оценку на уровне $12 млрд.

В качестве ключевых инвесторов выступили фонд Andreessen Horowitz, Lightspeed Venture Partners и Thrive Capital. Таким образом, в общей сложности стартап Wiz, основанный около четырёх лет назад, на сегодняшний день получил приблизительно $1,9 млрд внешний инвестиций.

Источник изображения: Wiz

Wiz создаёт платформу, предоставляющую клиентам комплексную облачную защиту. Отмечается, что корпоративная облачная среда может включать более сотни программных компонентов с тысячами настроек. Wiz предлагает систему обеспечения безопасности всех этих элементов по типу единого окна. Компания заявляет, что её решение может устранять риски, связанные с облачными инстансами, всевозможными функциями, базами данных и пр.

Средства кибербезопасности выявляют угрозы, собирая телеметрию из систем компании и сканируя её на наличие аномалий. Зачастую для получения таких данных применяются специальные программные агенты, которые клиентам приходится интегрировать во все защищаемые инстансы. На это требуются время и дополнительные усилия. Wiz утверждает, что её платформа ничуть не хуже собирает нужные данные без использования агентов. Такой подход не только устраняет ручную работу, но и позволяет избежать необходимости поддерживать эти агенты с течением времени. Причём на развертывание платформы Wiz требуется всего несколько минут.

Система Wiz способна обнаруживать уязвимости в Kubernetes, сценариях «инфраструктура как код» и других низкоуровневых компонентах. Кроме того, платформа выявляет другие проблемы: например, она может предупреждать, когда облачная директория, содержащая конфиденциальные данные, доступна аномально большому количеству пользователей. Система также отслеживает попытки хакеров эксплуатировать уязвимости. Для каждого выявленного нарушения платформа генерирует графики и диаграммы, демонстрирующие, какие системы были скомпрометированы и в каком порядке. Далее администраторы могут использовать набор встроенных инструментов реагирования на инциденты.