Компания «РТ-Информационная безопасность» (дочерняя структура госкорпорации «Ростех») представила решение «Антишифр» для противодействия атакам программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Новая разработка включена в состав созданной компанией «РТ-Информационная безопасность» защитной платформы RT Protect EDR. Благодаря интеграции с ядром операционной системы Windows на уровне драйвера «Антишифр» позволяет осуществлять анализ всех выполняемых процессов в режиме реального времени и выполнять блокирование вредоносных операций на этапе попытки их исполнения программами-шифровальщиками.

Источник изображения: «РТ-Информационная безопасность» / rt-ib.ru

Новый модуль обеспечивает автоматическое принудительное завершение как отдельных вредоносных программ, функционирующих самостоятельно, так и групп приложений, работающих совместно. Кроме того, «Антишифр» проводит автоматическое сохранение важных файлов при попытке их модификации/удаления в локальное защищённое хранилище. Резервирование действует параллельно с другими защитными механизмами, благодаря чему можно восстановить важные файлы после отражения кибератаки.

«Организации «Ростеха» задействованы в важнейших технологических проектах России. Практически все наши предприятия — объекты критической информационной инфраструктуры. Программы-шифровальщики представляют огромную опасность для таких компаний. Удачная кибератака может нанести удар не просто по бизнесу, принеся многомиллионные убытки, но даже по национальной безопасности. Статистика говорит, что большинство кибератак в РФ в настоящее время политически мотивированы. Их цель — не получение финансовой выгоды, например выкупа за похищенные данные, а шпионаж и диверсии. «Антишифр» усилит защиту отечественных предприятий от подобных действий», — прокомментировали выпуск нового решения в «Ростехе».

Компания «Солар» объявила о выпуске нового продукта Solar Space On‑Premise, предназначенного для защиты онлайн-ресурсов и веб-приложений крупных организаций от различных кибеугроз — DDoS-, брутфорс-атак, спам-заявок и других.

Ключевыми составляющими Solar Space On‑Premise являются модули Web AntiDDoS, Web AntiBot и WAF Lite. Программный комплекс разворачивается в IT-инфраструктуре предприятия и обеспечивает фильтрацию сетевого трафика на уровне L7 с производительностью до 500 тысяч запросов в секунду на один сервер. Предусмотрены возможности настройки индивидуальных политик безопасности для каждого защищаемого веб-ресурса, балансировки трафика и интеграции с ситуационными ИБ-центрами SOC для создания единого контура информационной безопасности.

Состав решения Solar Space On‑Premise

В числе прочих особенностей комплекса — микросервисная архитектура и поддержка технологий искусственного интеллекта, помогающих фильтровать вредоносный и паразитный трафик.

Платформа Solar Space On‑Premise зарегистрирована в реестре отечественного софта и может использоваться в целях замещения зарубежных программных решений.

На данный момент продукт проходит сертификацию по требованиям ФСТЭК России.

Компания Positive Technologies сообщила о выпуске новой версии программного комплекса PT Industrial Security Incident Manager (PT ISIM), предназначенного для контроля безопасности и мониторинга технологических сетей, IIoT-систем промышленных предприятий и объектов инженерной инфраструктуры.

PT ISIM обеспечивает инвентаризацию технологической инфраструктуры и контроль изменений, выявляет аномалии и события безопасности в сетевом трафике, обнаруживает эксплуатацию уязвимостей, вредоносного ПО и другие техники злоумышленников. Также решение в автоматическом режиме распознаёт опасные технологические команды и помогает ИБ-персоналу соблюдать требования регулирующих организаций.

Схема работы PT ISIM (источник изображения: Positive Technologies)

Обновлённый PT ISIM получил компонент PT ISIM Endpoint, выявляющий аномалии, нелегитимные операции и подозрительную активность на рабочих станциях и серверах SCADA. Компонент учитывает особенности работы систем промышленной автоматизации и содержит правила выявления киберугроз, специфичных для таких сетей.

Ещё одно важное изменение в PT ISIM — новая карта сетевых взаимодействий, которая позволяет специалистам по ИБ ориентироваться в крупных распределённых промышленных инфраструктурах с десятками тысяч узлов. Дополнительно были расширены функции модуля, который контролирует технологические процессы. Появился также обновлённый стартовый дашборд: на нём теперь отображаются последние инциденты, уведомления о появлении новых узлов, неавторизованных соединений и сведения об инвентаризации компонентов технологической сети.

Российская группа компаний SafeTech объявила о создании нового юридического лица в составе группы — ST Crypt, которое будет специализироваться на разработке и внедрении безопасных решений с использованием сертифицированных средств криптографической защиты информации.

Команда ST Crypt сфокусируется на создании и внедрении корпоративных сервисов для функционирования и защиты цифровых услуг на базе электронной подписи, реализации мобильного документооборота и построении инфраструктуры открытых ключей (Public Key Infrastructure, PKI).

Источник изображения: rawpixel.com / freepik.com

Отечественный рынок информационной безопасности продолжает стабильно расти и по-прежнему остаётся одним из самых динамично развивающихся сегментов IT-отрасли. По предварительным оценкам TAdviser, в 2024 году объём российского рынка ИБ увеличился на 20-25 % и составил примерно 318-331 млрд рублей. Росту рынка во многом способствовали увеличение количества кибератак и бюджетов компаний на ИБ, ужесточение ответственности за утечки чувствительной информации, импортозамещение защитного ПО, регуляторные инициативы и реализуемые государством программы поддержки IT-отрасли.

Ожидается, что в наступившем 2025 году динамика роста отечественной ИБ-отрасли будет на уровне 10 %. Серьёзное влияние на рынок окажут высокая ключевая ставка Центробанка и дополнительная налоговая нагрузка, которые вынудят организации сократить бюджеты на кибербезопасность.

Компания «Интеллектуальная безопасность» сообщила о выпуске новой версии программного комплекса Security Vision Vulnerability Management (VM), предназначенного для анализа защищённости корпоративных IT-систем и оперативного устранения обнаруженных уязвимостей.

Security Vision VM позволяет выстраивать процессы обнаружения и устранения уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений. Продукт обеспечивает сбор полной картины уязвимостей, их взаимосвязей и рекомендаций из различных источников, формируя постоянный циклический процесс с автоматизацией оповещений, отчётов и других необходимых действий.

Схема работы и взаимодействия Security Vision Vulnerability Management с IT-инфраструктурой предприятия (источник изображения: securityvision.ru/products/vm)

В обновлённом Security Vision VM доработаны механизмы поиска уязвимостей в контейнерных средах, отдельно реализованные для запущенных, остановленных контейнеров и образов, в том числе в окружениях под управлением Kubernetes. Также в программный комплекс добавлены новые режимы сканирования: Pentest (обнаружение и проверка возможности эксплуатации сетевых уязвимостей, применения наиболее серьёзных эксплойтов, подбор слабых паролей, проверка устаревших/уязвимых алгоритмов шифрования и др.), «Сканирование веб-приложений» (проводится проверка на XSS-, CSRF-уязвимости, SQL-инъекции, RFI, Сode injection, раскрытие внутренней информации и настроек сайтов, подбор слабых паролей, перебор учётных записей, проверка эксплуатации специфичных веб-уязвимостей и др.) и «Ретро-скан» (поиск уязвимостей по полученным ранее данным из активов, без подключения к ним и ожидания окон сканирования).

Немало в новой версии Security Vision VM реализовано прочих доработок. В частности, сообщается о расширении списка скриптов для взаимодействия с IT-активами, которые позволяют выполнять типовые действия по получению информации, администрированию и изменению конфигураций на Windows- и Linux-хостах, различных видах сетевого оборудования и базах данных. В дополнение к этому доработан механизм белых/черных списков, контроля разрешённого и запрещённого ПО, а также выполнения сложных скриптов при автоматическом патчинге, включая возможность отмены внесённых изменений. В рамках регулярных обновлений баз уязвимостей со стороны компании «Интеллектуальная безопасность» предоставляются сведения об актуальных уязвимостях и выполнение дополнительных проверок по обнаружению наиболее критичных уязвимостей.

«Лаборатория Касперского» сообщила о выпуске обновлённой платформы Kaspersky Industrial CyberSecurity (KICS), объединяющей как мониторинг и обнаружение вторжений в промышленной сети (KICS for Networks), так и защиту рабочих мест с встроенной технологией EDR (KICS for Nodes). Решение обеспечивает комплексную защиту систем автоматизации и управления производством на всех уровнях.

Обновлённая платформа KICS позволяет проводить аудит настроек безопасности, а также отслеживать изменения с помощью агентного и безагентного опроса хостов Windows и Linux, сетевых устройств и программируемых логических контроллеров для сбора конфигураций. Также продукт может определять новые типы активов — установленное ПО, исправления, списки локальных пользователей и обнаруженные исполняемые файлы. Компонент KICS for Nodes, установленный на хосте (Windows и Linux), передаёт информацию о них KICS for Networks с периодическими обновлениями. Это позволяет автоматически фиксировать изменения в сети и получать оповещения в случае отклонений.

Компоненты Kaspersky Industrial CyberSecurity (источник изображения: «Лаборатория Касперского»)

В дополнение к вышеперечисленному в новую версию KICS включены инструменты активной опроса устройств по расписанию и построения топологии сети. Также сообщается о расширении возможностей для поиска аномалий в сетях и системах объектов энергетики, интеграции с Kaspersky SD-WAN и коммутаторами на базе Cisco IOS.

Благодаря тесной интеграции с SIEM-системой Kaspersky Unified Monitoring and Analysis Platform (KUMA) платформа Kaspersky Industrial CyberSecurity позволяет реализовывать больше сценариев взаимодействия с решениями сторонних поставщиков и расширить действия по расследованию и реагированию. Это также позволяет защищать бизнес не только в промышленной среде, но и в той части, где промышленная среда пересекается с корпоративной, тесно взаимодействуя с корпоративной XDR-платформой Kaspersky Symphony XDR.

Российский разработчик систем кибербезопасности R-Vision объявил о выпуске новой версии программного комплекса R‑Vision Vulnerability Management (VM) 5.4.

R-Vision VM относится к классу решений для автоматизации процессов управления уязвимостями корпоративной IT-инфраструктуры. Продукт помогает выявлять уязвимости информационной безопасности и агрегировать их в единой базе, а также приоритизировать обнаруженные уязвимости и осуществлять контроль за процессом их устранения.

R‑Vision Vulnerability Management

В R‑Vision VM 5.4 появились средства оценки эффективности парольной защиты различных компонентов IT-инфраструктуры с помощью метода Bruteforce, функции сканирования стороннего ПО и мониторинга уязвимостей, которые активно эксплуатируются киберпреступниками в настоящий момент, а также режим «Пентест», имитирующий действия внешнего злоумышленника и используемый для проверки надёжности открытых сервисов и сетевых служб.

Дополнительно разработчики R‑Vision VM внедрили новые источники для собственной базы уязвимостей, которую постоянно актуализирует команда центра экспертизы. Одно из главных нововведений — интеграция с банком данных угроз ФСТЭК России. Благодаря ей можно получить более подробную информацию о каждой уязвимости, включая рекомендации по устранению и источники обновлений. Кроме того, в новом релизе продукта предоставлена дополнительная информация от регулятора о проверке обновлений безопасности на наличие недекларированных возможностей.

Российский разработчик решений по информационной безопасности NGR Softlab сообщил о выпуске новой версии программного комплекса Alertix 3.6.3.

Alertix относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий информационной безопасности, выявлять возникающие инциденты, оперативно реагировать на угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем и объектов КИИ. Благодаря встроенному модулю ГосСОПКА доступен обмен данными об инцидентах с НКЦКИ.

Пользовательский интерфейс SIEM-платформы Alertix

Обновления затронули интерфейс, средства обзора событий и детектирующие компоненты платформы. В Alertix 3.6.3 внедрена концепция SAYT (Search-as-you-type) и усовершенствована логика выполнения запросов к событиям для ускорения поиска. Добавлена возможность редактирования фильтров, внесённых из событий вручную или быстрым способом, а в таблице ресурсов — настройка по ответственному лицу, наличию уязвимостей и другим критериям. Доработкам подвергся доступ к ключевой информации: поля-агрегаторы вынесены в отдельную вкладку каждого события. Также появилась возможность быстрого полнотекстового поиска по клику, что ускоряет расследование подозрений и свободный поиск признаков инцидентов.

С релизом 3.6.3 в составе SIEM-системы появилась страница оценки покрытия инфраструктуры агентами Alertix, позволяющая выявить хосты, на которые необходимо установить агента, а также внести исключения. Улучшены детектирующие компоненты: в сервисе Signal для правил всех типов теперь действуют единые механизмы проверки, а в Anomaly Detection (UEBA) добавлена возможность отключать правила обнаружения и изменять критичность генерируемых событий. Оптимизирован кеш сервиса для повышения производительности. Также в Alertix 3.6.3 были внесены изменения в дизайн страниц и элементы меню, добавлены всплывающие подсказки с целью повышения интуитивности использования платформы.

Компания Positive Technologies выпустила большое обновление облачного динамического анализатора веб-приложений PT BlackBox Scanner.

Новая версия инструмента выполняет более 110 видов проверок на наличие уязвимостей в коде веб-ресурсов. По итогам проверки анализатор формирует отчёт с результатами, который можно скачать. Все обнаруженные уязвимости фильтруются по уровню критичности, что позволяет разработчикам и службам ИБ составить оптимальный план работы по устранению слабых мест веб-приложений.

PT BlackBox Scanner

В обновлённую версию PT BlackBox Scanner вошли десятки улучшений, в числе наиболее значимых отмечаются следующие:

• в два раза ускорен процесс сканирования веб-приложений за счёт оптимизации проверок и исправления ошибок;
• добавлен профиль сканирования периметра приложений — поиск поддоменов и открытых портов. Это позволяет найти ресурсы приложений, которые также могут содержать уязвимости или не предназначены для доступа извне;
• включены новые проверки «1C-Битрикс»: добавлена информация о недавно опубликованных критически опасных уязвимостях, а также дополнительные проверки безопасности конфигурации;
• масштабно обновлены базы знаний отпечатков веб-приложений, известных версионных уязвимостей и сценариев их верификации.

«За последние три года в 63 % случаев именно веб-приложения оказывались начальной точкой проникновения хакеров в инфраструктуру. Неудивительно, что на этом фоне растёт интерес IT-сообщества к инструментам безопасной разработки. Так, в 2023 году число пользователей PT BlackBox Scanner с зарегистрированным аккаунтом удвоилось по сравнению с 2022 годом, а количество уникальных целей сканирования превысило 3800 доменов. В наших планах нарастить темпы обновления продукта и выпускать релизы раз в месяц», — говорится в заявлении Positive Technologies.

PT BlackBox Scanner предоставляется в свободном доступе: чтобы просканировать приложение, его владельцу потребуется только ввести доменное имя ресурса на официальном сайте сервиса. Для доступа ко всем возможностям продукта пользователю необходимо зарегистрироваться и подтвердить, что он владелец сканируемого веб-ресурса.

«Лаборатория Касперского» представила новое комплексное решение для построения и защиты распределённых промышленных сетей. Презентация продукта состоялась на выставке «Иннопром-2024».

В основу новинки положены два продуктовых решения: предназначенная для построения отказоустойчивой территориально распределённой сети с централизованным управлением система Kaspersky SD-WAN и сертифицированная платформа промышленной безопасности Kaspersky Industrial CyberSecurity. Интеграция двух решений позволяет выстроить распределённую систему мониторинга индустриальных объектов и систем через любые типы сетей (MPLS, LTE и т. д.), а также обеспечить кибербезопасность промышленных предприятий с географически распределёнными филиалами.

Архитектура Kaspersky Industrial CyberSecurity

Новое комплексное решение «Лаборатории Касперского» может использоваться для защиты рабочих станций и серверов автоматизированных систем управления (АСУ), работающих на базе современных или устаревших ОС Windows и Linux, программируемых контроллеров, терминалов релейной защиты АСУ, промышленных маршрутизаторов и управляемых коммутаторов. Кроме того, продукт позволяет обнаруживать опасные изменения ключевых параметров технологического процесса и их аномалии с помощью глубокой инспекции пакетов промышленных протоколов.

Согласно результатам исследования «Лаборатории Касперского», только у 20 % организаций с распределёнными сетями и филиалами в разных регионах страны защищены все подразделения. При этом кибератаки, в том числе на промышленные системы, становятся всё более сложными и таргетированными — в 2023 году в России вредоносные объекты были заблокированы на 34,3 % компьютеров автоматизированных систем управления.