Научно-производственное объединение «Эшелон» объявило об успешном прохождении сертификационных испытаний на соответствие стандартам Министерства обороны Российской Федерации программного комплекса KOMRAD Enterprise SIEM версии 4.3.

Созданный отечественным разработчиком продукт относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

Выданный Минобороны России сертификат подтверждает выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 2 уровню контроля, а также по соответствию реальных и декларируемых в документации функциональных возможностей. KOMRAD Enterprise SIEM 4.3 может использоваться в автоматизированных системах военного назначения для обработки информации, содержащей сведения, составляющие государственную тайну и имеющие степень секретности не выше «совершенно секретно».

Система управления ИБ-событиями KOMRAD Enterprise SIEM включена в единый реестр российских программ для электронных вычислительных машин и баз данных. Также в активе программного решения имеется сертификат ФСТЭК России.

В Татарстане начал работать первый в России «Межвузовский центр противодействия киберугрозам» (SOC). Его главные задачи — повышение уровня информационной безопасности (ИБ) в российских ВУЗах и подготовка практикующих ИБ-специалистов. Об этом сообщает «Икс Медиа».

Межвузовский SOC создан на базе Казанского национального исследовательского технического университета имени А.Н. Туполева (КНИТУ-КАИ), Казанского федерального университета (КФУ), Казанского государственного энергетического университета (КГЭУ) и Университета Иннополис. В дальнейшем к Центру будут подключены ВУЗы из Набережных Челнов, Нижнекамска, Елабуги, Менделеевска.

Источник изображения: Gerd Altmann / pixabay.com

Основой Межвузовского SOC выступает технологическая платформа компании Innostage. В нее входят: система сбора и корреляции событий ИБ на базе решения Positive Technologies, а также система автоматизации реагирования на инциденты Innostage IRP. Как сообщала ранее пресс-служба Министерства цифрового развития государственного управления, информационных технологий и связи Республики Татарстан, оборудование и программное обеспечение были предоставлены на безвозмездной основе.

Мониторингом инцидентов занимаются более 30 аналитиков — студентов вузов. Преподаватели контролируют работу аналитиков Центра и отвечают за реагирование на инциденты. За лето 2023 года студенты зафиксировали и отработали порядка тысячи инцидентов ИБ. Наиболее популярными их причинами стали обнаружение и заражение вирусным ПО, неудачные попытки авторизации, сканирование сети и компрометация пользователя.

В России резко увеличилась востребованность услуг предотвращения киберинцидентов (Threat Intelligence, TI). Причём спектр заказчиков существенно расширился, тогда как ранее основными потребителями таких услуг были крупные корпорации и финансовые организации. Об этом сообщает газета «Коммерсантъ», ссылаясь на исследование F.A.C.C.T. (ранее Group-IB). Речь идёт о мониторинге теневых форумов для выявления готовящихся хакерских атак и анализе уже происшедших хакерских вторжений.

В условиях сложившейся геополитической обстановки интенсивность атак на российские компании и государственные организации растёт. Из-за этого увеличивается спрос на продукты и сервисы для обеспечения информационной безопасности.

Источник изображения: pixabay.com

По оценкам F.A.C.C.T., рост продаж TI в России в первом полугодии 2023-го составил приблизительно 30 %. В Positive Technologies говорят об увеличении спроса в годовом исчислении на 40 %, в «Информзащите» — на 25 %. Компания «РТК Солар» сообщает, что востребованность услуг по мониторингу внешних угроз по сравнению с первой половиной 2022-го поднялась на 20–25 %.

Говорится, что интерес к TI-сервисам проявляют российские государственные структуры. Так, ДИТ Москвы в конце июля опубликовал тендер на «оказание комплексной услуги по киберразведке и расследованию инцидентов информационной безопасности». Начальная сумма контракта составляет 250 млн руб. В ведомстве отмечают, что киберразведка — «важнейший элемент обеспечения информбезопасности в любой крупной организации, занимающейся созданием цифровых продуктов».

Компания Positive Technologies обнародовала результаты исследования отрасли кибербезопасности во II квартале 2023 года. Ситуация в данной сфере продолжает ухудшаться: количество инцидентов увеличилось на 4 % по сравнению с предыдущим кварталом и на 17 % относительно II четверти 2022 года.

Говорится, что доля целенаправленных атак составила 78 %, что на 10 % больше, чем в начале текущего года. Распространёнными последствиями успешных кибератак на бизнес стали утечки конфиденциальной информации (67 %) и нарушение основной деятельности (44 %).

Источник изображения: Positive Technologies

Специалисты Positive Technologies зафиксировали рост числа инцидентов с использованием программ-вымогателей: количество таких атак во II квартале 2023-го увеличилось на 13 % по сравнению с I четвертью года и на 22 % по сравнению с прошлогодним результатом. Наиболее часто такие зловреды атакуют медицинские учреждения (20 %), а также научные и образовательные организации (17 %). На технологические компании пришлось 11 % от общего количества жертв вымогателей, что на 5 % выше показателя предыдущего квартала.

Аналитики Positive Technologies фиксируют новый тренд: киберпреступники всё чаще пропускают этап шифрования и шантажируют жертв публикацией украденных данных, вместо того чтобы требовать выкуп за их расшифровку.

Привлекательной целью для злоумышленников остаются блокчейн-проекты. Во II квартале 2023 года они становились жертвами атак в два раза чаще, чем в предыдущем. Участились случаи применения шпионского ПО в атаках на частных лиц: киберпреступники использовали его в 62 % атак, что на 23 % больше по сравнению с I кварталом 2023 года.

Растёт количество новых уязвимостей: во II квартале их было выявлено на 7 % больше, чем в начале года. Согласно данным Национального института стандартов и технологий США (NIST), число обнаруженных дыр составило более 7,5 тыс. Злоумышленники также активно используют старые уязвимости, поскольку некоторые системы остаются необновлёнными.

Компания Rackspace Technology, провайдер облачных услуг, по сообщению ресурса Dark Reading, столкнулась со значительными затратами в связи со сбоем, который произошёл в конце 2022 года в результате атаки программы-вымогателя. Напомним, из-за хакерского вторжения компании Rackspace пришлось навсегда отключить свою службу Microsoft Exchange. Причиной масштабного сбоя послужил эксплойт для уязвимости «нулевого дня».

С последствиями атаки Rackspace не могла справиться в течение нескольких недель. Впоследствии калифорнийская Cole & Van Note подала коллективный иск против Rackspace в связи с недоступностью облачных сервисов. Для расследования инцидента компании пришлось привлечь сторонних специалистов.

Источник изображения: Rackspace

Как теперь стало известно, расходы Rackspace на устранение последствий кибератаки составят приблизительно $10,8 млн. Говорится, что деньги пойдут в основном на оплату работы экспертов в области информационной безопасности, занимающихся расследованием инцидента, юридические и другие профессиональные услуги, а также на «дополнительные кадровые ресурсы», которые были задействованы для оказания поддержки клиентам.

Кроме того, компенсацию от Rackspace требуют недовольные пользователи, которые не могли получить доступ к сервисам провайдера облачных услуг. Rackspace ожидает, что значительная часть затрат будет возмещена компаниями по киберстрахованию.

Компании Mandiant (принадлежит Google Cloud) и Barracuda Networks, по сообщению ресурса ComputerWeekly, подтвердили, что взлом шлюзов Barracuda Email Security Gateway (ESG) осуществили китайские хакеры, действующие в интересах правительственных структур КНР. В июне Barracuda Networks проинформировала клиентов о том, что устранить дыру невозможно, а поэтому затронутые шлюзы необходимо попросту выкинуть.

В мае нынешнего года Barracuda Networks сообщила о том, что злоумышленники использовали уязвимость «нулевого дня» для взлома устройств ESG. Брешь CVE-2023-2868 позволяет удалённо выполнять произвольный код. В число жертв вошли Samsung, Delta Airlines, Mitsubishi и Kraft Heinz. Позднее компания установила связь атаковавшей шлюзы хакерской группы с Китаем. Этой киберкоманде присвоено название UNC4841. Говорится, что целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. По данным ФБР, к Сети всё еще подключены уязвимые шлюзы ряда организаций, но повторные атаки не наблюдаются.

Источник изображения: pixabay.com

Mandiant сообщает, что группировка UNC4841 пытается сохранить доступ к наиболее важным скомпрометированным средам с помощью нескольких вредоносных программ — Skipjack, Depthcharge, Foxtrot и Foxglove. Первые три являются бэкдорами, тогда как Foxglove выступает в качестве средства запуска Foxtrot. По оценкам, немногим более 15 % жертв являются правительственными структурами, а чуть более 10 % — местными органами власти. Атака также затронула IT-компании и организации, работающие в таких сферах, как телекоммуникации, производство, образование, аэрокосмическая и оборонная отрасли. Mandiant заявляет, что UNC4841 проводит шпионские операции именно в пользу китайского государства.

Облачный провайдер CloudMTS запустил сервис для защиты от DDoS-атак на базе партнерской платформы Qrator Labs. Система ограждает приложения и веб-ресурсы от действий злоумышленников вне зависимости от их географического расположения или сложности организованной киберкампании.

По оценкам Qrator Labs, количество DDoS-атак на российские предприятия и организации продолжает устойчиво расти, что отчасти объясняется сложившейся геополитической обстановкой. За первые шесть месяцев 2023 года общее число таких нападений выросло на 40 %. Во II квартале больше всего от DDoS-атак пострадал финансовый сегмент, на долю которого пришлось 44,34 % атак. Далее идут сферы электронной коммерции и онлайн-образования с результатом 13,68 % и 11,32 % соответственно.

Развёрнутый CloudMTS сервис обеспечивает защиту в несколько этапов. Сначала весь трафик, поступающий на защищённый ресурс, перенаправляется в партнёрскую сеть Qrator Labs, где анализируется на всех уровнях вплоть до L7. Затем после углубленной фильтрации с использованием различных алгоритмов обработанные данные направляются к защищенному приложению — либо через публичную сеть, либо через специально организованный канал L2 VPN. Таким образом, трафик DDoS-атак блокируется на периметре сети Qrator Labs, не достигая ресурсов клиента.

Источник изображения: CloudMTS

Защита приложений и техническая поддержка осуществляются в круглосуточном режиме. Пользователи получают доступ к ресурсам без каких-либо задержек и проверок CAPTCHA. Компаниям предоставляется подробная статистика о работе системы защиты. Предполагается, что решение будет востребовано среди ретейлеров, банков, инвестиционных и телекоммуникационных компаний, а также предприятий, работающих в сфере электронной коммерции и других организаций, ведущих бизнес в интернете. 

Компания Positive Technologies сообщила о выявлении опасной уязвимости в прошивке сетевых хранилищ Western Digital. Дыра позволяет злоумышленникам выполнять произвольный вредоносный код на устройствах, а также красть конфиденциальную информацию.

Брешь, описанная в бюллетене безопасности CVE-2023-22815, получила оценку 8,8 балла по шкале CVSS 3.0. Проблема затрагивает прошивку My Cloud OS 5 v5.23.114. Она используется на таких NAS компании Western Digital, как My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 и других (полный список можно посмотреть на сайте производителя).

Источник изображения: Western Digital

«Наиболее опасный сценарий — полный захват управления NAS. Все дальнейшие шаги зависят от задач атакующего: кража данных, их модификация, полное удаление или развёртывание на базе NAS какого-либо ПО атакующего. Причина уязвимости может быть связана с добавлением в NAS новой функциональности и отсутствием проверки её безопасности», — отмечает специалист Positive Technologies Никита Абрамов, обнаруживший брешь.

Western Digital уже отреагировала и выпустила прошивку My Cloud OS 5 v5.26.300, в которой проблема устранена. Загрузить обновление настоятельно рекомендуется всем пользователям перечисленных устройств. Между тем по состоянию на конец августа 2023 года в глобальной сети оставались доступными IP-адреса более 2400 сетевых хранилищ Western Digital. Наибольшее их число находится в Германии (460), США (310), Италии (257), Великобритании (131) и Южной Корее (125).

Россия по итогам II квартала 2023 года оказалась на девятом месте в мире по общему количеству зарегистрированных DDoS-атак. Как сообщает компания «Гарда», ситуация в данной сфере значительно ухудшилась. В период с апреля по июнь включительно на российскую IT-инфраструктуру пришлось 2,3 % от общего числа DDoS-атак в мире. Это в два раза больше по сравнению с I четвертью текущего года.

По оценкам, в I квартале 2023 года количество DDoS-атак в России составило приблизительно 385 тыс. Абсолютные значения за II четверть года не приводятся, но говорится, что по сравнению с тем же периодом 2022-го показатель увеличился на 28 %. При этом число атак на правительственные организации подскочило за год на 118 %, на энергетический сектор — на 74 %, на нефтяную отрасль — на 53 %.

Наиболее атакуемые страны (Источник: «Гарда»)

В исследовании «Гарда» говорится, что по сравнению с I кварталом 2023 года, во II четверти года несколько изменилось распределение активности по дням недели. Число атак в пятницу и воскресенье снизилось по отношению к предыдущему периоду, а заметный рост наблюдается по вторникам и средам.

Зафиксирован рост TCP-флуда: доля таких атак достигла — 18 %. Суммарная доля TCP ACK и TCP SYN составила 42 %, UDP-флуд по-прежнему занимает второе место. При этом число таких атак сократилось с 47 % до 24 %, стабилен уровень атак типа DNS Amplification  —в районе 9-10 %. Доля NTP Amplification значительно выросла  —с 1 % до 10 %.

Источник: «Гарда»

Отмечается, что основная часть DDoS-атак реализуется с использованием ботнетов, в состав которых входят компьютеры не только компаний, но и обычных пользователей по всему миру. В техническом плане сложность таких киберпреступных кампаний постоянно растёт. DDoS-атаки организуются на канальный уровень, сетевую инфраструктуру, TCP/IP-стек и уровень приложения.

Наибольшее количество атак во II квартале 2023 года пришлось на США — около 33,5 % от общего числа. На втором месте находится Китай с результатом в 10 %. Количество атак с территории России снизилось: их доля сократилась с 3,09 % до 2,11 %. Лидерами по данному показателю являются Китай (38 %), Индия (24 %) и Южная Корея (10 %).

Облачная площадка Amazon Web Services (AWS) объявила о запуске новой услуги — так называемых выделенных локальных зон (Dedicated Local Zones). Платформа ориентирована на клиентов, которым необходимо хранить конфиденциальные данные и развёртывать приложения в физически отдельной инфраструктуре, предназначенной исключительно для их использования.

Выделенные локальные зоны AWS создаются на указанной заказчиком площадке или в определённом дата-центре в соответствии с предъявляемыми нормативными требованиями. Они полностью управляются специалистами AWS, предлагая те же преимущества, что и обычные локальные зоны, такие как масштабируемость, оплата по факту использования и дополнительные функции безопасности.

Клиенты могут развернуть несколько выделенных локальных зон для обеспечения устойчивости. Стоимость сервиса, как сообщается, зависит от местоположения ЦОД, необходимых услуг и функций. Служба Dedicated Local Zones ориентирована прежде всего на государственные организации и компании, которые работают с закрытой информацией.

Источник изображения: Amazon

Выделенные локальные зоны используют систему AWS Nitro. Доступны такие сервисы, как Amazon EC2, Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Block Store (Amazon EBS), Elastic Load Balancing (ELB), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) и AWS Direct Connect. Используется ли для этого инфраструктура AWS Outposts, не уточняется.