«Лаборатория Касперского» сообщила о получении экспертного заключения Национального координационного центра по компьютерным инцидентам, подтверждающего соответствие программного комплекса Kaspersky Unified Monitoring and Analysis Platform (KUMA) требованиям к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), утверждённым приказом ФСБ России N196 от 6 мая 2019 года.

KUMA относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

Архитектура решения Kaspersky Unified Monitoring and Analysis Platform

По словам «Лаборатории Касперского», SIEM-решение KUMA стало первым среди отечественных технологий этого класса, подтвердившим соответствие требованиям к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

«Соответствие системы 196 приказу означает не только наличие интеграции с ГосСОПКА, но и выполнение других требований регулятора к функциям SIEM. Полученное экспертное заключение — независимое подтверждение всех заявленных возможностей продукта, на которое смогут опираться компании, которым ещё предстоит выбрать SIEM», — говорится в заявлении компании.

Промышленные системы автоматизации по-прежнему являются объектами повышенного интереса со стороны киберпреступников по всему миру. Об этом свидетельствует исследование, проведённое специалистами центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT).

Результаты исследований ландшафта угроз для систем промышленной автоматизации в первом полугодии 2023 года показали, что наибольшее количество официально подтверждённых киберинцидентов пришлось на производственные организации и транспортную отрасль — в частности пострадали компании, связанные с кораблестроением и логистикой. Также мишенями становились энергетические предприятия и производители микроэлектроники.

Доля зафиксированных инцидентов в разных отраслях промышленной сферы (источник: Kaspersky Lab ICS CERT)

Подавляющее большинство инцидентов было вызвано атаками программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации. Как минимум три корпорации были скомпрометированы через незакрытую уязвимость в двух различных MFT-продуктах (Managed File Transfer). Используемые крупными организациями решения этого типа в очередной раз становятся источником проблем безопасности, и промышленные предприятия часто оказываются не в состоянии быстро закрыть опасную уязвимость не только в технологических сетях, но и внутри периметра своей сети.

«Криминально мотивированные атаки становятся настоящим бичом промышленных организаций по всему миру, затрагивают большинство реальных секторов экономики и оказывают негативное влияние на повседневную жизнь людей, — говорит Евгений Гончаров, руководитель Kaspersky ICS CERT. — В частности, в прошедшем полугодии в список наиболее атакованных секторов экономики попала электроэнергетика, в том числе производители комплексов специализированного оборудования, программного обеспечения и поставщики соответствующих сервисов. Мы напоминаем о том, что руководителям предприятий любого сектора и любого типа стоит держать риски кибербезопасности в фокусе внимания и принимать необходимые меры».

Подробнее с результатами аналитического исследования Kaspersky Lab ICS CERT можно ознакомиться на сайте ics-cert.kaspersky.ru.

«Лаборатория Касперского» выявила серию сложных целевых кибератак на промышленные предприятия в Восточной Европе. Злоумышленники крадут данные у компаний производственного сектора, а также у организаций, занимающихся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые, предположительно, связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Источник изображения: pixabay.com

Для получения удалённого доступа к системам жертв, сбора и кражи данных применяются более 15 различных имплантов. Это модули для обеспечения бесперебойного удалённого доступа и первоначального сбора информации, инструменты для сбора файлов (в том числе с физически изолированных систем), а также средства выгрузки данных на командные серверы. Имплаты позволяют создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем.

Отмечается, что злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности. Они, в частности, активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена предполагает применение легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации информации и доставки вредоносного ПО использовались облачные сервисы и платформы обмена файлами. Хакеры развёртывали инфраструктуру управления и контроля скомпрометированных систем в облачной среде и на частных виртуальных серверах. В атаках использовались новые версии вредоносного ПО FourteenHi и новый имплант MeatBall, предоставляющий обширные возможности для удалённого доступа.

Отличительная особенность киберпреступной кампании — кража данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. При этом были задействованы как минимум четыре различных модуля: инструмент для работы со съёмными носителями и сбора информации о них; средства заражения съёмного носителя; компонент сбора и сохранения данных на заражённом носителе; модуль заражения и сбора информации с удалённого компьютера.

«Лаборатория Касперского» выпустила защитное решение Kaspersky Container Security, позволяющее снизить риски, характерные для контейнерных сред, высвободить ресурсы ИБ-специалистов и соответствовать требованиям регуляторов.

Kaspersky Container Security обеспечивает безопасность приложений в Kubernetes, OpenShift и на других контейнерных платформах на всех этапах жизненного цикла ПО — от разработки до эксплуатации. Продукт спроектирован с учётом особенностей контейнерных сред и закрывает свойственные им риски информационной безопасности — от уязвимостей в образе контейнера до анализа настроек узлов кластера.

Архитектура Kaspersky Container Security

Программный комплекс обеспечивает высокий уровень защиты и обладает важными для российского рынка особенностями, такими как анализ по банку данных угроз безопасности информации (БДУ ФСТЭК) и поддержка отечественных операционных систем Astra Linux и «Ред ОС».

Решение будет полезно компаниям, как разрабатывающим, так и эксплуатирующим приложения с использованием контейнеров. Среди них — операторы связи, государственные структуры, розничная торговля, банки и другие финансовые организации, сферы производства, энергетика, добывающий сектор. Продукт будет востребован при разработке и использовании приложений на микросервисной архитектуре, таких как сервисы для размещения заказа или мониторинга состояния оборудования. Кроме того, Kaspersky Container Security помогает реализовать принцип безопасной разработки ПО (DevSecOps).

«Лаборатория Касперского» («ЛК») и «Систэм электрик» (Systeme Electric) создадут кибериммунные устройства на основе операционной системы KasperskyOS для промышленных и энергетических предприятий. Systeme Electric является правопреемником Schneider Electric, которая в 2022 году продала бизнес в РФ и Беларуси локальному руководству.

«ЛК» оптимизирует KasperskyOS под функции таких устройств, как терминалы релейной защиты и автоматики (РЗА), программируемые логические контроллеры (ПЛК), которые планируются к выпуску. Также партнеры будут разрабатывать прикладные приложения, к примеру, для защиты от внештатных режимов работы, контроля и управления технологическими процессами на электроэнергетических объектах, нефтеперерабатывающих предприятиях и металлургических заводах.

На ПМЭФ-2023 партнеры объявили о создании мини-компьютеров на базе KasperskyOS для обеспечения безопасности электросетей на промышленных и энергетических объектах. Помимо этого было объявлено о разработке киберимунного смартфона с этой защищённой ОС, который выйдут в России и за рубежом. Кибериммунитет — это относительно молодая отраслевая дисциплина, базирующаяся на принципе Secure-by-Design, который заключается в проектировании устройства и его ПО с учетом всевозможных киберрисков.

Производитель ИТ-оборудования F+ tech (входит в группу компаний «F+ tech | Марвел») представил защищенное мобильное рабочее место, реализованное совместно с разработчиками программных продуктов «Открытая мобильная платформа» (ОМП, «дочка» «Ростелекома»), «Лаборатория Касперского» и «Мойофис». Программно-аппаратный комплекс (ПАК) работает под управлением ОС «Аврора».

Мобильное рабочее место выпускается в двух форм-факторах: на базе защищенного смартфона R570e и планшета LifeTabPlus. За безопасность и защиту данных от киберугроз отвечает решение «Лаборатории Касперского». Мобильное приложение «Мойофис документы» — нативное для ОС «Аврора» — позволяет локально работать с текстовыми, табличными файлами и презентациями на устройстве пользователя и не требует подключения к интернету.

По данным F+ tech, текущие производственные мощности компании позволяют поставлять ежегодно более 500 тыс. ПАК. До конца года планируется выйти на объемы более 1 млн устройств. А пока компания совершает покупки в смежных областях.

Изображение: F+ tech | Марвел

Так, в феврале 2023 года F+ tech сообщила о приобретении 49-% доли в Getmobit, российском производителе защищенной цифровой платформы для построения и системного управления инфраструктурой рабочих мест в корпоративном и госсекторе. К 2024 году F+ tech и Getmobit намерены организовать выпуск семейства отечественных устройств нового поколения. Речь идет о тонких клиентах, моноблоках, IP-телефонах. При изготовлении оборудования планируется применять отечественную электронную компонентную базу. Объем выпуска компании намерены довести до 100 тыс. устройств в год.

С апреля 2023 года начали действовать новые национальные стандарты для систем с разделением доменов. Это первые в России стандарты для применения при проектировании и эксплуатации систем интернета вещей (IoT), использующих подход с разделением доменов, сообщает «Лаборатория Касперского».

Речь идет о стандартах ПНСТ 818 — 2023 «Информационные технологии. Интернет вещей. Системы с разделением доменов. Базовые компоненты» и ПНСТ 819 — 2023 «Информационные технологии. Интернет вещей. Системы с разделением доменов. Термины и определения».

Федеральное агентство по техническому регулированию и метрологии (Росстандарт) в качестве предварительных национальных стандартов утвердило их в марте. Они будут действовать в течение следующих трех лет. Разработка велась на базе Технического комитета по стандартизации 194 «Кибер-физические системы» (ТК 194). Инициатором выступила «Лаборатория Касперского».

Источник: ТК 194

Новые стандарты определяют перечень основных базовых компонентов систем интернета вещей, использующих подход с разделением доменов, термины и определения в данной области. Как сообщала пресс-служба ТК 194, основной идеей систем с разделением доменов является создание решения, устойчивого к угрозам информационной безопасности и к другим видам опасностей для IoT.

В «Лаборатории Касперского» о необходимости стандартов задумались при разработке KasperskyOS. Специалисты компании обнаружили, что в отечественных документах отсутствовали термины, определения и понятия, на которые можно было бы ссылаться при описании проектных архитектурных решений. Нужно было адаптировать термины и опыт из зарубежных документов, что приводило к расхождениям в переводе и интерпретации понятий.

«Лаборатория Касперского» представила обновлённое решение для построения филиальных сетей Kaspersky SD-WAN 2.0. В качестве аппаратной платформы используются устройства модельного ряда Kaspersky SD-WAN Edge Service Router (KESR) с различным набором интерфейсов и скоростью передачи данных от 30 Мбит/с до 10 Гбит/с.

Как поясняют в компании, Kaspersky SD-WAN позволяет использовать инновационные интеллектуальные технологии маршрутизации при разворачивании территориально распределенных сетей и строить комплексную экосистему сетевой безопасности SASE (Secure Access Service Edge, сетевая модель, объединяющая средства защиты и сетевые технологии).

Источник: «Лаборатория Касперского»

В обновленном решении многофакторный Zero-Touch Provisioning можно активировать с помощью URL-ссылки, что повышает безопасность подключения новых офисов к сети. Централизованное обновление маршрутизаторов (в том числе по расписанию) и наличие механизма восстановления конфигурации защищают от ошибок настройки. Еще одно новшество ― распознавание L7-трафика, что позволяет настраивать гранулярные политики качества обслуживания и фильтрации, предоставляя приоритетный сервис для приложений, критичных для бизнеса.

Kaspersky SD-WAN Edge Service Router (KESR)

Поддержка полносвязных и частичносвязных топологий позволяет настраивать топологию сети и строить оптимальные пути передачи трафика, а поддержка VRRP повышает отказоустойчивость филиальных сетей. При этом встроенный менеджер виртуальных сетевых функций (VNF) позволяет задействовать для обработки и анализа трафика не только инструменты «Лаборатории Касперского», но и решения сторонних производителей.

Согласно опросу «Лаборатории Касперского» «Информационная безопасность бизнеса» в 2022 году, каждая четвертая компания в России использует технологию SD-WAN, еще 15 % планируют внедрить такое решение в течение ближайшего года. Преимущественно компании использовали иностранные решения класса SD-WAN. Однако после ухода зарубежных вендоров из России придется искать отечественную замену.

«Лаборатория Касперского» выпустила новый продукт Kaspersky Secure Mobility Management, предназначенный для удалённого управления жизненным циклом и безопасностью мобильного парка предприятий.

Kaspersky Secure Mobility Management ориентирован на крупные организации, активно использующие в бизнесе более ста мобильных устройств одновременно. Решение поддерживает различные сценарии использования гаджетов (в том числе — удалённую поддержку, аудит потерянных или украденных устройств) и обладает широкой функциональностью с точки зрения киберзащиты. Среди возможностей — обнаружение вредоносных программ, антифишинг, антиспам, веб-контроль, контроль программ и устройств, отслеживание событий безопасности, реагирование на инциденты, отслеживание и реагирование на события регуляторных политик (compliance), загрузка сертификатов безопасности и пр.

Изображение: «Лаборатория Касперского»

С помощью Kaspersky Secure Mobility Management компания может также создать внутренний каталог приложений, откуда сотрудники смогут устанавливать только нужные для бизнеса программы. Благодаря функции «белый список» службы информационной безопасности могут определять допустимые для посещения веб-ресурсы и их категории, что позволяет значительно снизить риски заражения, фишинга и утечки данных.

По данным аналитического агентства J’son & Partners Consulting, в 2019 году в России корпоративные системы управления мобильными устройствами (MDM, EMM, UEM) применяли лишь 5 % компаний, к 2025 году, по прогнозам, их будут использовать 90 % организаций.

Более трети компаний в России (42 %) обращаются к поставщикам управляемых ИТ- и ИБ-услуг (MSP/MSSP) из-за нехватки собственных специалистов по информационной безопасности. Такие данные озвучены в исследовании «Лаборатории Касперского».

Такое же количество респондентов (по 42 %) выбирают ИБ на аутсорсинге из-за необходимости следовать требованиям регуляторов. Около трети опрошенных отметили недостаток опыта в сфере кибербезопасности внутри своей организации (36 %) и финансовую выгоду, связанную с оптимизацией затрат на поддержку штата, покупку лицензий, разворачивание и масштабирование ИТ-инфраструктуры (32 %). При этом компании выбирают по несколько ИБ-партнеров. 45 % компаний имеют дело с более чем четырьмя поставщиками услуг кибербезопасности в год, а 38 % ― с двумя или тремя.

Источник: Лаборатория Касперского

Чаще всего на аутсорсинг отдаются такие угрозы как ненадлежащее использование ИТ-ресурсов сотрудниками (58 %), DDoS-атаки (46 %) и инциденты с поставщиками услуг (21 %). Каждый пятый (19 %) участник опроса сообщил об уязвимостях в программном обеспечении и эксплойтах нулевого дня, а также об атаках криптомайнеров, 18 % — об инцидентах в ИТ-инфраструктуре, установленной поставщиками, например, серверах. 16 % опрошенных заявили об инцидентах с используемыми компаниями IoT-сервисами или со сторонними облачными сервисами (15 %).

Опрос «Информационная безопасность бизнеса» проведен «Лабораторией Касперского» в 2022 году. В нем приняли участие более 3,2 тыс. специалистов из компаний с более чем 50 сотрудниками из 26 стран, включая Россию.