Компания Cloudflare Inc. анонсировала разработку продукта Firewall for AI для обеспечения клиентов дополнительным «слоем»-брандмауэром, защищающим большие языковые модели (LLM). По данным Silicon Angle, новые инструменты позволят выявлять потенциальные атаки до того, как те нанесут критический ущерб функциональности информационных систем или обеспечат злоумышленникам доступ к важным закрытым сведениям.

Дополнительно компания анонсировала пакет новых инструментов, использующих ИИ-алгоритмы для защиты ИИ-проектов, в том числе выявление аномалий в пользовательском поведении, подозрительной корреспонденции и т.д. Это важно, поскольку по мере того, как внедрять LLM и прочие ИИ-системы начинают всё больше компаний, растут и риски атак на них — началась «гонка вооружений ИИ».

Источник изображения: CloudFlare

Firewall for AI обеспечит защиту LLM, работающих на платформе Workers AI для периферийных вычислений. WAF, защищающий языковую модель, может сканировать обращения к LLM на наличие угроз без вмешательства людей. Защищён может быть любой клиент платформы Workers, в том числе будет обеспечена защита от современных угроз вроде хитро составленных промптов, заставляющих ИИ раскрывать конфиденциальную информацию.

Новые инструменты Defensive AI используют ИИ для защиты корпоративных сетей от атак современного типа, в том числе с помощью других ИИ-систем. Боты анализируют почту, распознают вредоносный код и аномальный трафик. При этом ИИ можно даже обучить моделям поведения реальных пользователей, чтобы выявлять отклонения в паттернах раюоты и разработать стратегию защиты.

С развитием проектов вроде ChatGPT, злоумышленники получили и действенные инструменты для фишинга. Если раньше письма были часто безграмотно составлены и не особенно убедительными, то теперь написать красивый текст помогает ИИ, заставляя жертв делиться паролями и другими конфиденциальными сведениями. В Cloudflare обещают, что Defensive AI позволит быстро распознавать такие угрозы — до того, как сотрудники попадутся на удочку.

Российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты R-Vision сообщил о выпуске новой версии программного комплекса Threat Deception Platform (TDP) 3.1, предназначенного для выявления скрытой активности злоумышленников в корпоративной IT-среде и предотвращения атак на ранних этапах.

R-Vision TDP представляет собой комплекс технологий цифровой имитации элементов IT-инфраструктуры для раннего обнаружения и предотвращения кибератак. С помощью набора ловушек и приманок система детектирует присутствие злоумышленника, замедляет его продвижение внутри сети и даёт возможность ИБ-специалистам остановить развитие атаки.

Схема работы R-Vision TDP

Используя новую версию R-Vision TDP 3.1, ИБ-службы могут детально конфигурировать политики размещения приманок при помощи сбора базовой информации о машинах: версии операционной системы, её языке и установленных программах. Новый метод размещения приманок позволяет сделать их ещё более надёжными и реалистичными даже в крупных сетях. В обновлении для IT-специалистов стал доступен весь спектр уже развёрнутых в сети инструментов для размещения приманок на клиентских хостах, включая KSC, Microsoft SCCM, Ansible, Puppet.

Пользовательский интерфейс R-Vision TDP

Также обновлённый комплекс R-Vision TDP 3.1 получил открытый API, упрощающий интеграцию со сторонними системами в корпоративной сети, улучшенную совместимость с отечественными операционными системами, такими как Astra Linux и «Ред ОС», поддержку удалённой СУБД Postgres Pro, средства эмуляции SSH-сервера для российских ОС, возможность входа в систему с использованием востребованных служб каталогов, включая Active Directory, ALD Pro, FreeIPA и Open LDAP.

«Обеспечение безопасности в условиях импортозамещения — задача, которую сегодня активно решают заказчики. Поэтому, совершенствуя наш продукт, мы работаем над бесшовной интеграцией с российскими ОС и развитием реалистичных эмуляций, которые размещаются в крупных сетях с тысячами защищаемых узлов», — прокомментировал Евгений Грязнов, продукт-менеджер R-Vision.

Принятый в Евросоюзе Общий регламент по защите данных (General Data Protection Regulation, GDPR) привёл к тому, что местные компании стали хранить и обрабатывать меньше информации. Согласно выводам американского Национального бюро экономических исследований (National Bureau of Economic Research, NBER), из-за новых правил, регулирующих обработку конфиденциальных данных, управление такими сведениями стало значительно дороже, передаёт The Register.

Регламент GDPR, принятый в 2016 году и вступивший в силу в 2018 году, затрагивает деятельность более 20 млн компаний в десятках стран. Его вынуждены соблюдать и многие бизнесы, обрабатывающие данные граждан стран Евросоюза за его пределами, что имеет определённые экономические последствия.

Источник изображения: Headway/unsplash.com

В докладе Data, Privacy Laws and Firm Production: Evidence from the GDPR бюро NBER проанализировало затраты на облачные вычисления, ссылаясь на предыдущие исследования. Например, соответствие GDPR обходится от $1,7 млн для малого и среднего бизнеса до $70 млн для крупных организаций. Больше всего новые правила затронули компании в Евросоюзе. По данным NBER, они сократили объём хранения информации на 26 % и обработку данных на 15 % в сравнении со аналогичными бизнесами в США.

Для того, чтобы соответствовать требованиям GDPR, компаниям Евросоюза пришлось принять меры, в среднем ведущие к 20 % удорожанию обработки данных. Для бизнесов, где работа с информацией ведётся особенно интенсивно, рост оказался ещё больше: в секторе ПО рост составил 24 %, тогда как в секторе производства и услуг он не превышает 18 %. Увеличилась и стоимость получения информации, хотя и не в таком масштабе, как стоимость хранения и обработки — на 4 %. Это объясняется тем, что вычисления теперь обходятся дороже.

Авторы исследования воздерживаются от выводов о том, стоит ли обеспеченная GDPR конфиденциальность затраченных средств. Они подчеркнули, что в работе не указываются преимущества в области защиты пользователей от введения в действие регламента. Ранее исследователи других ведомств и организаций пришли к выводам, что для них введение новых мер защиты как правило в итоге выгодно, но может оказать негативное влияние в некоторых случаях.

Компания IBM объявила о том, что новейшие серверные флеш-накопители FlashCore Modules четвёртого поколения (FCM4) получили встроенную систему защиты от вредоносного ПО, работающую на уровне прошивки. Новая технология тесно интегрирована с Storage Defender. Теперь в FCM в режиме реального времени анализируется весь поток данных, а затем с помощью ИИ-модели вычленяются подозрительные операции.

Ранее защита в хранилищах IBM FlashSystem функционировала на блочном уровне и использовала локальное ПО с данными о возможных атаках, дополненное облачной ИИ-службой для идентификации аномалий в поведении накопителей, которые могут свидетельствовать о начале атаки. К таковым, к примеру, относятся попытки массового шифрования данных кибер-вымогателями (ransomware). При таком подходе у злоумышленников могло оставаться достаточно времени для нанесения урона.

FCM4 же собирает статистику на уровне I/O-операций, производимых самим накопителем, которая тут же анализируется при помощи ИИ-алгоритмов. Это сокращает время реакции на подозрительные действия до менее чем одной минуты. Комбинация FCM4 со Storage Defender, по словам IBM, обеспечивает лучшую защиту данных в современных мультиоблачных гибридных средах.

Компания «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности) объявила о запуске сервиса постоянного контроля защищённости внешнего IT-периметра Solar CPT (Continuous Penetration Testing).

Solar CPT представляет собой решение класса наступательной безопасности, ориентированное на клиентов сегмента Enterprise с высоким уровнем зрелости ИБ. Сервис выявляет критические уязвимости и недостатки меняющегося внешнего IT-периметра организации, которыми могут воспользоваться злоумышленники. Найденные в ходе сканирования недостатки верифицируются экспертами анализа защищённости, после чего заказчик получает практические рекомендации по устранению брешей и обеспечению безопасности корпоративной инфраструктуры.

Источник изображения: пресс-служба компании «Солар» / rt-solar.ru

При оценке защищённости периметра заказчик сам может выбрать частоту и глубину сканирования, а эксперты «Солара» выделят критические уязвимости и недостатки, которыми с наиболее высокой вероятностью могут воспользоваться киберпреступники. Сервис выявляет в том числе и «забытые» или некорректно выведенные из эксплуатации IT-активы компании, таящие риски успешных атак.

«Решения класса Continuous Penetration Testing широко представлены и востребованы в США и Европе. Для России рынок CPT относительно новый, но он ежегодно растёт на 20 %, как показало наше исследование. В условиях плотности кибератак российские предприятия нуждаются в защите меняющегося внешнего периметра, а для этого нужен постоянный мониторинг защищённости, ориентированный на практическую составляющую», — поясняют в компании «Солар».

Компания Orion soft сообщила о сертификации Федеральной службой по техническому и экспортному контролю защищённой среды виртуализации zVirt по четвёртому уровню доверия.

Программный комплекс zVirt построен на базе свободной кроссплатформенной платформы управления виртуализацией oVirt и включает ряд доработок, обеспечивающих стабильность и безопасность, необходимых для размещения бизнес-критичных IT-систем. В продукте реализованы: поддержка SDN (виртуализация сети L2–L4), сбор логов (syslog), интеграция с SIEM-системами, ручное и автоматическое (по расписанию) резервное копирование БД менеджера управления, диаграмма виртуальной инфраструктуры, а также средства репликации виртуальных машин и диагностики. По заверениям компании Orion soft, zVirt покрывает 95 % функциональности VMware vSphere Enterprise Plus и vCenter.

Выданный ФСТЭК России сертификат допускает использование zVirt для защиты информации в государственных информационных системах до 1 класса защищённости включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищённости включительно, в информационных системах персональных данных до 1 уровня защищённости включительно, в значимых объектах критической информационной инфраструктуры до 1 категории включительно. Продукт может применяться в государственных организациях и ведомствах, финансовом секторе, топливно-энергетическом комплексе, атомной и горнодобывающей промышленности и других стратегических отраслях.

В соответствии с новыми требованиями ФСТЭК № 187, в сертифицированной редакции zVirt реализованы модуль доверенной загрузки виртуальных машин, контроль целостности, регистрация событий безопасности и управление доступом. Также были усилены функции резервного копирования, управления потоками информации и защиты памяти, введена идентификация пользователей и установлены ограничения программной среды. Отдельное внимание было уделено мерам защиты централизованного управления образами виртуальных машин.

За январь и неполный февраль 2024 года доля атак высокой критичности на отечественные организации увеличилась более чем в три раза — с 2 % до 6,3 % — по сравнению с IV кварталом 2023 года. Также с 73 % до 80 % выросла доля таких инцидентов с применением вредоносного софта и почти в четыре раза увеличилась доля веб-атак — до 15 %. Об этом свидетельствует исследование, проведённое компанией «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности).

В целом за прошедший год число событий ИБ в сравнении с 2022 годом выросло на 64 % до 1,5 млн. При этом доля подтверждённых инцидентов оставалась стабильной. Среди всех типов инцидентов выделяется эксплуатация уязвимостей, показавшая рост в два раза год к году до 11,5 %. Это значит, что в организациях по-прежнему вовремя не обновляют ПО и не проводят постоянный анализ публичных сервисов и ресурсов на уязвимости, чем и пользуются злоумышленники.

Источник изображения: rawpixel.com / freepik.com

По мнению экспертов, рост инцидентов высокой критичности означает, что тренд на усложнение инцидентов и максимальный деструктив в отношении организаций, который наметился в 2023 году, получил своё развитие. Массовые атаки сменились более продвинутыми ударами — злоумышленники теперь чаще применяют нелегитимный софт (программы для удалённого администрирования, хакерские утилиты, исследовательское ПО пентестеров и т. д.) и средства проникновения в IT-инфраструктуру, которые сложно выявить базовыми системами обнаружения.

Для обеспечения комплексной защиты специалисты «Солар» рекомендуют ИБ-персоналу российских компаний повышать уровень патч-менеджмента, выстраивать грамотную систему приоритезации инцидентов с учётом их критичности и учиться находить корреляции между событиями ИБ для выявления фактов проникновения киберпреступников в сеть организации. Также следует постоянно заниматься повышением уровня киберграмотности сотрудников, вести постоянный мониторинг внешних угроз, а в рамках SOC внедрить специальные сенсоры (EDR, NTA и AntiAPT) для обнаружения более продвинутых атак.

Компания Nokia объявила о выходе телекоммуникационного ассистента на базе генеративного ИИ Telco GenAI, который будет интегрирован с облачным SaaS-решением для сетевой безопасности NetGuard Cybersecurity Dome, чтобы предоставить поставщикам услуг связи (CSP) и предприятиям возможность более быстрого и качественного обнаружения и разрешения проблем в условиях, когда киберпреступники всё чаще используют генеративный ИИ для более сложных атак на критическую инфраструктуру.

NetGuard Cybersecurity Dome — это XDR-платформа Nokia, которая обеспечивает защиту сетей с помощью ИИ и машинного обучения. Nokia Telco GenAI будет интегрирован в платформу уже во II квартале. Он позволит ещё больше расширить возможности Cybersecurity Dome, быстро объединяя и интерпретируя огромные объёмы информации, связанной с киберугрозами, тем самым повышая эффективность функционирования Cybersecurity Dome при их выявлении и устранении.

Источник изображения: Nokia

Nokia Telco GenAI использует сервис Microsoft Azure OpenAI для работы с большими языковыми моделями (LLM), которые были обучены на данных об архитектуре сетей 5G, методах обеспечения их безопасности и на опыте Nokia в сфере телекоммуникаций. Комплексное обучение предусматривало использование различных категорий информации, включая спецификации 3GPP и NIST, топологию 5G, охватывающую RAN, транспорт и ядро, а также MITRE ATT&CK и FiGHT (иерархия угроз).

По оценкам Nokia, Telco GenAI позволит почти вдвое ускорить выявление и устранение угроз. Также предполагается существенное сокращение ложноположительных результатов и более эффективное и действенное выявление и обработку инцидентов кибербезопасности. По словам старшего вице-президента Nokia, интеграция NetGuard Cybersecurity Dome с новым ассистентом на базе генеративного ИИ обеспечит поставщикам услуг связи и предприятиям значительно большую гибкость в уменьшении последствий разрушительных атак.

ГК «Солар» представила при участии отраслевых экспертов первую в России комплексную программу поддержки предпринимателей в области информационной безопасности и смежных направлений CYBER STAGE, призванную оказать поддержку ИБ-стартапам, а также содействие российским разработкам, сформировать конкурентную среду на рынке кибербезопасности России и насытить рынок решениями и возможностями для выстраивания комплексных решений кибербезопасности для защиты российских организаций.

Создатели СYBER STAGE планируют привлечь до конца 2025 года не менее 1,5 млрд руб. финансирования для ИБ-проектов и вывести на рынок до 10 новых продуктов. Программой предусмотрено создание Advisory Board — сообщества ИТ-лидеров, нацеленного на развитие бизнеса, технологий и помощь в привлечении финансирования ИБ-стартапов, в которое вошли Дмитрий Гадарь (CISO «Тинькофф»), Антон Карпов (CISO VK), Вячеслав Касимов (CISO МКБ), Сергей Демидов (CISO Московской Биржи), Давид Мартиросов (CEO Basis).

Изображение: ГК «Солар»

Предполагается, что присутствие в Advisory Board экспертов по ИТ и ИБ из числа крупнейших компаний страны даст молодым проектам возможность начать работу с B2E/B2B/B2G-сегментами. ГК «Солар» отметила, что крупные компании неохотно работают со стартапами. Согласно данным опроса 84 компаний сегментов B2E/B2B/B2G, сейчас со стартапами работает только 13 % из числа респондентов. Отмечается, что бизнес готов работать со стартапами на продвинутой или финальной стадии разработки, однако добраться до них без внешней помощи стартапы не могут.

CYBER STAGE нацелена на решение широкого круга задач: от создания удобной платформы взаимодействия участников рынка ИБ и смежных направлений до стимулирования запуска принципиально новых проектов в пустующих или недостаточно обеспеченных продуктами и сервисами нишах ИБ и повышения уровня привлекательности ИБ для ИТ-предпринимателей. В этому году в рамках программы будут проходить ежемесячные питч-сессии, также запланирована подготовка не менее пяти проектов к привлечению финансирования. Уже в ближайшие два года проект намерен показать видимые результаты.

Изображение: Sajad Nori / Unsplash

В CYBER STAGE предусмотрены и традиционные форматы акселерации: менторство, работа с технологиями и ресурсное сопровождение (обучение, помощь в упаковке продукта, содействие в привлечении венчурных инвестиций). По словам авторов программы, к участникам будут предъявляться минимальные требования. Стартап должен иметь основную команду, продукт, направленный на решение задач или на улучшение комплексных сервисов и продуктов в сфере ИБ, и находиться на стадии прототипа и выше. По итогам оценки он получает рекомендации и предложения по направлениям сотрудничества.

По данным ГК «Солар», в России на начало 2024 года было зарегистрировано 230 ИБ-бизнесов, что составляет менее 2,3 % от всего количества ИБ-проектов в мире, равного 9874. Доля российского рынка ИБ в мировом составляет 1 %, хотя он растёт с опережением мировых темпов. В 2023 году российский рынок ИБ увеличился на 15 % год к году, достигнув около 145 млрд руб. По данным ГК «Солар», в России ежегодно появляется 20–30 новых проектов в сфере информационной безопасности как в форме стартапов, так и продуктовых команд внутри крупных корпораций, вендоров, ИТ-групп.

В среднем у каждого 19‑го сотрудника российских компаний данные корпоративной почты утекают в открытый доступ, сообщили аналитики платформы BI.ZONE Brand Protection. Главная причина заключается в использовании адресов корпоративной почты для регистрации на сторонних сайтах. В 2023 году BI.ZONE выявила утечки 75 тыс. email‑адресов российских компаний.

Всего в 2023 году, по данным BI.ZONE, в открытый доступ попали 420 баз данных с более 981 млн строк, содержащих паспортные данные граждан, адреса, телефонные номера, платёжную информацию, а также личные и корпоративные email‑адреса. В январе 2024‑го года в открытый доступ утекло 62 базы общим объёмом свыше 525 млн записей, а с начала февраля зафиксировано 29 утечек общим объёмом более 11 млн строк, 85 % которых содержали пароль или его хеш. В 2023 году пароли в открытом или хешированном виде встречались в 13 % случаев, в январе 2024 года — в 6 %.

Источник изображения: TheDigitalArtist/Pixabay

В BI.ZONE назвали опасным заблуждением считать, что если в утечке не присутствует пароль, то она не представляет угрозы. И без этого в базе могут быть паспортные данные, номера телефонов, адреса, коды домофонов и другая чувствительная информация. Опасны и утечки хешированных паролей, поскольку из них иногда можно восстановить исходные пароли.

Эксперты рекомендуют не использовать для регистрации на сторонних сайтах адрес корпоративной почты, так как их могут взломать. BI.ZONE рекомендует для минимизации рисков, связанных с утечками данных корпоративной почты использовать для разных ресурсов разные пароли, периодически менять их и применять менеджеры паролей, а также регулярно проверять наличие электронных адресов компании в базах утечек. BI.ZONE также предупредила об опасности стилеров, добывающих логины и пароли от корпоративных ресурсов. Стилеры в основном доставляются с помощью фишинговых писем.