Материалы по тегу: безопасность

25.02.2021 [01:47], Андрей Галадей

Google профинансирует Linux-разработчиков, занятых повышением безопасности ядра

Компания Google и Linux Foundation объявили, что выделяют средства на оплату двух штатных специалистов по обеспечению безопасности ядра Linux, Густаво Сильвы (Gustavo Silva) и Натана Ченселора (Nathan Chancellor). Эти специалисты уделяют особое внимание поддержанию и улучшению безопасности ядра и связанных проектов. Потому было принято решение профинансировать их работу, чтобы гарантировать эту поддержку.

«В Google безопасность всегда находится на первом месте, и мы понимаем критическую роль, которую она играет для устойчивости программного обеспечения с открытым исходным кодом», — заявил Дэн Лоренц (Dan Lorenc), штатный инженер по программному обеспечению Google. «Для нас большая честь поддерживать усилия Густаво Сильвы и Натана Ченселора, которые работают над повышением безопасности ядра Linux».

scmagazine.com

scmagazine.com

Как отмечается, Натан Ченселлор будет заниматься исправлением ошибок в компиляторе LLVM Clang и в дальнейшем будет занят поддержкой проекта ClangBuiltLinux по использованию LLVM для сборки ядра. Это позволит использовать различные механизмы защиты ещё на этапе сборки ядра. Задачей же Сильвы на данный момент является устранение различных возможностей переполнения буфера. Кроме того, он продолжит работу в рамках проекта Kernel Self Protection Project (KSPP), которыей отсекает целые классы уязвимостей.

Постоянный URL: http://servernews.ru/1033460
24.02.2021 [22:23], Андрей Галадей

Microsoft предложила расширить контроль целостности в Linux 5.12

Инженеры Microsoft продолжают добавлять в ядро Linux свои нововведения. Само собой, если это выгодно компании. И вот теперь одним из нововведений должна стать новая функция подсистемы контроля целостности Integrity Measurement Architecture (IMA), которую компания предложила для ядра Linux 5.12.

В нынешней версии ядра подсистема проверки целостности работает на основе вычисления контрольных хеш-сумм при загрузке программ и файлов. В Linux 5.12 появился дополнение на основе политик. Первоначально это будет использоваться для контроля версии ядра и для SELinux.

onyxes.com

onyxes.com

Разумеется, на данный момент уже существуют механизмы проверки ядра. При «холодной» загрузке они инспектируются загрузчиком, а при использовании kexec — текущим запущенным ядром. Однако сейчас проверка работает, только если загружаемое ядро более новое, чем текущее. А вот если оно более старое, и имеет уязвимости, то ситуация меняется. Microsoft предлагает расширить IMA, добавив возможность составить списки разрешённых к загрузке версий ядер. Это позволит не допустить загрузку и установку ядра с уязвимостями, отсекая таким образом один из возможных путей атаки.

Постоянный URL: http://servernews.ru/1033356
24.02.2021 [17:36], Юрий Поздеев

Nutanix усиливает защиту своей гибридной платформы от вредоносного ПО

Nutanix усиливает защиту своей платформы Nutanix HCI от вредоносного ПО, добавляя в нее функции мониторинга и обнаружения угроз, а также более детальный контроль доступа при репликации данных. Все эти нововведения направлены на защиту от программ-вымогателей, число которых растет с каждым годом.

В 2020 году многие организации перевели своих сотрудников на удаленную работу, переместив рабочие места за рамки привычного периметра безопасности, чем воспользовались злоумышленники, увеличив количество целевых атак с использованием вредоносного ПО. Классическая схема с использованием сторонних решений по защите информации не всегда давало необходимую степень защищенности, требуя усилить безопасность на уровне ИТ-инфраструктуры. В особенно уязвимом положении оказались компании, применяющие гибридную ИТ-инфраструктуру, которая не всегда имеет встроенные эффективные средства защиты.

Nutanix предлагает своим клиентам использовать сервисы Flow Security Central, которые обнаруживают аномалии сетевого взаимодействия, используя алгоритмы машинного обучения и базу IP-адресов, ранжированную по степени репутации. Использование подобных сервисов позволяет выявлять потенциальные атаки еще до того, как они смогут затронуть защищаемые данные — на уровне сети, что помогает не только заблаговременно заблокировать нежелательную сетевую активность, но и снизить нагрузку на антивирусное ПО.

Сервис Flow Security Central анализирует уязвимости локальной сети предприятия, а также отслеживает состояние рабочих станций, выявляя трафик от IP-адресов с сомнительной репутацией. Подобная защита работает не только для рабочих станций, но и для виртуальных рабочих столов (VDI), которые применяются во многих организациях и являются целью атак программ-вымогателей.

На уровне файлового хранилища Nutanix Files организована аналитика с использованием сигнатур уже известного вредоносного ПО, что позволяет блокировать доступ подобных программ в режиме реального времени, до того, как они успеют нанести значительный ущерб. Дополнительно за счет снимков повышается скорость восстановления информации в случае сбоев, причем Nutanix анализирует файловые ресурсы, для которых не настроена политика защиты данных и предупреждает об этом администраторов системы. Для особо ценной информации есть возможность создания неизменяемых снапшотов.

На уровне объектного хранилища Nutanix Objects реализованы детализированные политики доступа для основного и резервного хранилища, включая WORM. Кроме использования политик, Nutanix Objects позволяет защитить многопользовательские среды путем разделения доступа к памяти. Поддерживается Windows Credental Guard для виртуальных рабочих мест, использующих гипервизор AHV.

Дополнительно Nutanix предлагает решение HYCU Mine, которое помогает организовать подсистему резервного копирования. Кроме HYCU поддерживаются и другие решения для резервного копирования, например, Veeam. Ни одно из этих средств по отдельности не может обеспечить надежную защиту данных — только построение комплексной многоуровневой системы защиты, с использованием всех возможностей Nutanix и партнерских решений поможет свести к минимуму риски потери данных. Более подробную информацию о новых возможностях по защите данных можно найти в официальном документе Nutanix.

Постоянный URL: http://servernews.ru/1033431
21.02.2021 [15:30], Владимир Мироненко

В результате атаки Solorigate у Microsoft украли часть исходников Azure, Intune и Exchange, но к большим проблемам атака не привела

Microsoft сообщила об официальном завершении расследования утечки данных, связанной с масштабной хакерской атакой Solorigate. Как утверждает компания, нет никаких доказательств того, что злоумышленники использовали её системы или продукты, чтобы атаковать её конечных пользователей и бизнес-клиентов.

Microsoft начала расследование утечки данных в середине декабря, после того как обнаружила, что хакеры, проникли в систему SolarWinds и внедрили вредоносное ПО в систему мониторинга Orion, которую компания развернула для собственных нужд. 31 декабря Microsoft сообщила в своём блоге, что хакеры использовали доступ, полученный через Orion, для подключения к внутренней сети Microsoft, где они получили доступ к исходному коду нескольких внутренних проектов.

Анализ показывает, что первая попытка проникновения в репозитории состоялась в конце ноября. Она была пресечена, когда компания обезопасили учётные записи. Microsoft заявила, что после пресечения доступа злоумышленники продолжали пытаться добраться до учётных записей в течение декабря и начала января 2021 года, то есть спустя несколько недель после того, как стало известно об инциденте с SolarWinds, и даже после того, как компания публично объявила о расследовании инцидента.

Microsoft отметила, что злоумышленникам удалось ознакомиться лишь с «несколькими отдельными файлами» в каждом репозитории. Им не удалось ознакомиться со всеми репозитариями, и у них не было доступа к большей части исходного кода. По словам компании, злоумышленники, похоже, были заинтересованы в обнаружении токенов, которые они могли бы использовать для расширения своего доступа к другим системам Microsoft, однако эти попытки провалились из-за запрета хранить любые токены (или иные учётные данные) в исходном коде.

Тем не менее, хакерам также удалось загрузить часть кода. Microsoft уточнила, что похищенные данные были неполными, и злоумышленники загрузили только исходный код нескольких компонентов, связанных с некоторыми из её продуктов. Согласно Microsoft, затронутые репозитории содержали код небольших наборов компонентов Azure, Intune и Exchange. В целом инцидент, похоже, не привёл к вмешательству в продукты Microsoft или к получению хакерами доступа к пользовательским данным.

Постоянный URL: http://servernews.ru/1033150
19.02.2021 [18:50], Андрей Галадей

MaxPatrol SIEM 6.1 научился защищать виртуальные среды VMware vSphere

Система MaxPatrol SIEM от Positive Technologies предназначена для отслеживания вторжений и других инцидентов безопасности в информационных сетях. В версии 6.1, как сообщается, появилась поддержка системы виртуализации VMware vSphere. Новая версия будет предотвращать действия злоумышленников и поможет справиться с воровством данных и нарушением систем защиты в виртуализированных средах.

Учитывая, что почти 80% крупного бизнеса в мире использует VMware vSphere и другие продукты от этой компании, логично, что это весьма привлекательная цель для атак. Чтобы противостоять им, добавлен новый пакет экспертизы с правилами детектирования угроз. Система, в частности, среагирует на попытки клонирования критически важных ВМ, копирования файлов с них, отключения ВМ с системами защиты или смены их параметров и так далее.

MaxPatrol SIEM способен автоматически определить, каким виртуальным машинам (ВМ) требуется особое внимание, но можно и вручную дополнить список критически важных ВМ. Пакеты экспертизы для MaxPatrol SIEM будут обновляться каждые два месяца — сначала будет выходит апдейт, а затем и улучшения к нему.

Постоянный URL: http://servernews.ru/1033032
16.02.2021 [15:46], Андрей Галадей

В FortiOS 7.0 расширены функции безопасности

Компания Fortinet анонсировала выход седьмой версии FortiOS, которая получит более 300 новых функций, касающихся безопасности сетей, пользовательских систем и облаков.

В новой системе появилась функция Zero Trust Access — сетевого доступа с нулевым доверием. Эта система заменяет традиционные VPN, при этом она улучшает пользовательский опыт и уменьшает поверхность атаки. Помимо этого, используется единая политика доступа независимо от того, где находятся пользователи — в сети или вне её.

youtube.com

youtube.com

Облачные технологии SASE (Security-as-a-Service) обеспечат одинаковый уровень безопасности независимо от местонахождения пользователей, а новые возможности самовосстановления SD-WAN позволяет сделать сеть более устойчивой. Fortinet также расширила свой пассивный мониторинг приложений для SaaS и мультиоблачных приложений для повышения удобства работы пользователей и поддержки пользователей, работающих из любого места.

Отдельно отмечается возможность работы сетевого подключения через LTE и 5G и наличие веб-защиты, которая оптимизирована для работы из дома. Сама операционная система FortiOS 7.0 будет доступна в конце первого квартала 2021 года.

Постоянный URL: http://servernews.ru/1032685
12.02.2021 [11:28], Андрей Крупин

Представлена новая система управления корпоративными мобильными устройствами «Оптимум защита»

Компания «Институт развития цифровой экономики» объявила о выпуске на российский рынок системы управления мобильными устройствами «Оптимум защита».

Представленный отечественным разработчиком продукт относится к решениям класса MDM/MAM (Mobile Device Management/Mobile Application Management) и предназначен для дистанционного управления парком мобильных устройств в корпоративной среде. Система обеспечивает защиту портативных гаджетов от угроз как в сети организации, так и вне периметра безопасности предприятия.

MDM/MAM-платформа «Оптимум защита» позволяет осуществлять мониторинг мобильных устройств Android, используемых сотрудниками для подключения к информационным ресурсам предприятия. С её помощью службы IT-безопасности могут ограничивать действия пользователей, управлять конфигурацией корпоративных гаджетов, при необходимости дистанционно блокировать их работу и удалять корпоративные данные, а также централизованно устанавливать политики безопасности, контролировать состояние защищённости мобильных устройств и решать прочие задачи.

Программный комплекс «Оптимум защита» включён в реестр отечественного ПО и рекомендован для использования в государственных и муниципальных организациях. Дополнительные сведения о продукте можно найти на сайте компании-разработчика.

Постоянный URL: http://servernews.ru/1032513
11.02.2021 [14:50], Владимир Мироненко

VMware настоятельно рекомендует использовать TPM во всех серверах

VMware опубликовала новое, более жёсткое руководство по настройке безопасности для своего флагманского пакета платформы виртуализации vSphere. Компания пару лет до этого не производила крупных обновлений руководства, и опубликовала лишь одно сразу после выхода vSphere 7.0 Update 1 в октябре 2020 года.

Как отметил ресурс The Register, самым примечательным в новом руководстве является очень настоятельное предложение использовать модули Trusted Platform Module (TPM), которые по-прежнему является опцией у некоторых серверов или не включены по умолчанию. «TPM 2.0 — это недорогой способ получить очень продвинутую безопасность на VMware vSphere и ESXi, и мы твердо уверены, что вам не следует приобретать новое оборудование без них», — заявил Боб Планкерс (Bob Plankers), технический маркетинговый архитектор VMware.

Отдельное внимание уделено усилению контроля и изоляции: «Xclarity, iLO и iDRAC отлично работают, но иногда их можно настроить способом, предоставляющим возможности для злоумышленников». Также добавлены рекомендации относительно проброса шины PCIe в ВМ, чтобы злоумышленники не попытались использовать его для прямого доступа к оборудованию. В новом руководстве также добавлен список устаревших элементов управления, которые не рекомендуется использовать. Например, при неправильной настройке у ВМ не будет вывода на виртуальный экран, и можно будет пропустить важные сообщения.

Напомним, что хотя VMware продлила срок службы vSphere 6.7, поддержка версии 6.5 истекает в ноябре 2021 года.

Постоянный URL: http://servernews.ru/1032425
09.02.2021 [23:41], Андрей Галадей

ESET: в 2020 году число атак на RDP выросло на 768%

Компания ESET выпустила отчет об угрозах за 4 квартал 2020 года, в котором обобщила основные статистические данные, полученные от своих систем обнаружения. Также там говорится о тенденциях и прогнозах относительно кибербезопасности в целом.

Как отмечается, пандемия коронавируса продолжала влиять на сферу киберпреступности. Из-за перехода многих сотрудников на удалённую работу популярным методом атаки стал захват RDP или иные способы перехвата управления и получения доступа. Так, за период с 1 по 4 квартал телеметрия ESET зафиксировала увеличение попыток атак на RDP на 768%. Хотя к концу прошлого года эта динамика замедлилась.

Ещё одна тенденция — это рост числа почтового спама на тему COVID-19 и активизация различных ботнетов. При этом компания уточнила, что принимала участие в скоординированной атаке на ботнеты, в частности, на TrickBot. Это позволило отключить 94 % серверов TrickBot за одну неделю, после чего их активность резко упала.

В отчете об угрозах также рассматриваются наиболее важные выводы и достижения исследователей ESET. В их числе есть данные о нескольких хакерских группах. Подробности можно узнать в этом документе.

Постоянный URL: http://servernews.ru/1032275
04.02.2021 [14:11], Андрей Галадей

Криптомайнер Hildegaard нацелен на кластеры Kubernetes

Специалисты по безопасности из команды Unit 42 компании Palo Alto Networks сообщают, что на кластеры Kubernetes готовится атака с использованием ПО Hildegaard. Его разработала группа TeamTNT.

Впервые этот зловред был обнаружен в январе 2021 года, при этом он явно очень новый, поскольку связанный с ним домен зарегистрировали в конце декабря 2020 года. Программа призвана атаковать контейнеры Kubernetes, причём закрепившись в одном из них, она пытается проникнуть и в другие.

mccontainers.com

mccontainers.com

После этого система запускает майнинг криптовалют, что истощает системные ресурсы, вызывая отказ в обслуживании и нарушая работу приложений в заражённом кластере. Помимо этого, потенциально ПО может воровать конфиденциальные данные из приложений в атакованном кластере.

Примерная схема действия Hildegaard

Примерная схема действия Hildegaard

Специалисты Unit 42 заявили, что пока Hildegaard находится в неактивном состоянии, то есть, не используется для атак. Это указывает на ранний этап подготовки. Между тем, эксперты полагают, что скоро ПО будет задействовано. При этом заявлено, что зловред умеет маскировать свою активность, что затрудняет автоматический статический анализ, а сама кампания TeamTNT — одна из самых сложных атак, направленных на Kubernetes. Для неё разработана сложная тактика и методы маскировки.

Отмечается, что ранее похожие методики применялись против контейнеров Docker, однако захват кластера Kubernetes может быть более прибыльным, чем захват хоста Docker. Palo Alto Networks говорит, что её система Prisma Cloud защиает кластеры от этой угрозы с помощью функций Runtime Protection, Cryptominer Detection и Prisma Cloud Compute Kubernetes Compliance Protection.

Постоянный URL: http://servernews.ru/1031857
Система Orphus