«Собрать» действительно хороший NGFW — задача со звездочкой 🌟

Но у нас есть свой рецепт, которым Алексей Леднев, руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies, поделился в статье на сайте Positive Research.

Записываете?

1️⃣ Создаем собственный DPI-движок — систему, которая определяет протоколы и содержимое в них.

2️⃣ Учимся писать сигнатуры, находим свой концепт и в течение 10 лет развиваемся в этом направлении. Все время ресерчим мировой опыт. Дополняем многолетней экспертизой в части активности вредоносного ПО в сетевом трафике и атак. Тестируем экспертизу, шлифуем ее под реалии NGFW. Соединяем эти компоненты в коробочном решении, которое работает на потоке трафика в режиме реального времени.

3️⃣ Приправляем получившееся несколькими видами тестирования. Добавляем кибербитву Standoff по вкусу.

4️⃣ Даем попробовать пилотную версию дружественным компаниям, совершенствуем рецепт и строим большие планы.

Хотите узнать, что получилось? Ищите подробности в электронной версии нашего медиа.

#PositiveResearch
#PTNGFW
@Positive_Technologies

🤫 Хотите секрет? Фаззинг можно использовать не только для поиска ошибок в коде, но и для обнаружения уязвимостей.

Обычно разработчики применяют этот метод тестирования ПО, чтобы найти скрытые дефекты: для этого используются случайные входные данные. Гугл выдает десятки статей на эту тему.

А вот о том, как таким же образом вычислить баги, которыми потенциально могут воспользоваться хакеры, почти никто не рассказывает. «Надо это исправить», — решил наш коллега Александр Попов, главный исследователь безопасности операционных систем Positive Technologies. И написал статью в Positive Research.

🔍 В ней — о том, как при помощи фаззера syzkaller искать уязвимости в ядре Linux: и стабильно проявляющиеся, и уникальные, которые вряд ли отыщут другие исследователи. И все это — легко, понятно, с примерами и лайфхаками.

Хотите получить новый инструмент для поиска багов или узнать, как еще можно использовать старый добрый фаззинг? Читайте материал на сайте нашего медиа.

#PositiveЭксперты
#PositiveResearch

💻 «Хочешь сделать хорошо — сделай сам», — решили мы и создали PT NGFW.

Это было стремительно: работать над продуктом мы начали в сентябре 2022 года и уже через восемь месяцев на киберфестивале PHDays представили прототип с общей производительностью в районе 40 Гбит/с.

🔥 Вжух, прошел еще год, и мы не только улучшили в PT NGFW все, что можно было (особенно отказоустойчивость!), но и разработали под него собственную линейку «железа» из семи моделей (и новый крутой логотип).

О том, как это было с начала времен и до наших дней, рассказывает в материале Positive Research Денис Кораблев, управляющий директор, директор по продуктам, Positive Technologies.

Читайте в статье:

🔥 как мы проверяем наш продукт с помощью кибербитвы Standoff;

🔥 на что ориентироваться, если вы выбираете между PT NGFW 1010, PT NGFW 1050 и PT NGFW 3040;

🔥рассказ о 16 важных (и трех самых-самых важных) фичах PT NGFW.

👀 А уже 20 ноября в 12:00 подключайтесь к запуску PT NGFW в прямом эфире.

#PositiveResearch #PTNGFW
@Positive_Technologies

🤫 Обычно реверс-инженеры находят способы вынуть прошивку из устройств, но иногда случается наоборот…

Вернее, не совсем так. Чаще всего они ищут в «начинке» девайсов баги, которыми могут воспользоваться злоумышленники, рассказывают о них производителям, и те устраняют слабые места.

🍊 Наш коллега, Никита Фирсов, эксперт Positive Labs, пошел дальше. Он разобрался, как работает прошивка «апельсинки» — одноплатника Orange Pi 5 — и придумал, как защитить ее от таких же дотошных исследователей любопытных глаз.

При помощи технологий Secure Boot и Encrypted Boot Никита пропатчил стандартную прошивку «апельсинки» и написал об этом подробную статью в Positive Research.

Читайте и учитесь, как надо пробуйте разобраться самостоятельно!

#PositiveResearch #PositiveЭксперты
@Positive_Technologies

♟ В шахматной партии «Хакеры против SOC» выигрывает тот, кто понимает, как думает противник, и видит его ошибки.

В новом материале Positive Research рассказали, как сыграть красивый гамбит и завершить игру эффектным эндшпилем с помощью MaxPatrol SIEM.

Итак, короткий пересказ стратегии от наших коллег Кирилла Кирьянова, руководителя группы обнаружения атак на конечных устройствах, и Екатерины Никулиной, старшего специалиста отдела мониторинга информационной безопасности PT ESC.

1️⃣ Первый шаг: пешка на е2 научиться управлять своими активами так, чтобы хакер не мог «ослепить» SIEM-систему.

2️⃣ Второй: научиться правильно комбинировать сигнатурные и поведенческие правила, чтобы система обнаружения работала как часы.

3️⃣ Третий: предусмотреть разные способы обхода детектов и маскировки инструментов хакеров.

4️⃣ Четвертый: подключить к поиску аномалий ИИ.

5️⃣ Пятый: собрать команду сильных игроков аналитиков SOC, которые даже в «серой» зоне сумеют разобраться, ложный алерт или нет.

Готово: партия завершена блестяще. Подробный разбор ищите в статье.

#PositiveResearch #MaxPatrolSIEM
@Positive_Technologies

😮 «Каждый класс продуктов ИБ можно обойти, способы давно известны»

Может, это и правда. Но что, если использовать не классические решения, а метапродукты? Это как минимум упростит работу и поможет собрать пазл киберугроз в цельную картинку 🧩

В своей статье для Positive Research Юлия Фомина, руководитель группы экспертизы метапродуктов Positive Technologies, описала, как они помогают автоматизировать процессы SOC, собирая в одной консоли срабатывания со всей инфраструктуры, достраивая контекст и предлагая комплексные схемы реагирования.

❕ Юлия делится сценариями, которые метапродукты могут сформировать для разных типов атак или их цепочек, рассказывает, как такие решения фиксят баги, характерные для детекта и реагирования, помогают разгрузить аналитиков SOC, справляясь с рутинными задачами.

👉 Больше о том, как это работает, читайте в статье.

#PositiveResearch #PositiveЭксперты
@Positive_Technologies

🤔 Чтобы обнаружить хакера, нужно думать как хакер

Ну или хотя бы хорошо знать техники, которыми тот может воспользоваться. Например, чтобы как можно дольше скрывать свое присутствие в сетевой инфраструктуре компании, не попадаясь средствам анализа трафика.

В статье для Positive Research Ксения Наумова, специалист отдела сетевой экспертизы антивирусной лаборатории ESC Positive Technologies, и Мустангер Шапиев, руководитель группы социально-технического тестирования компании «Бастион», рассказывают о разных способах обхода таких анализаторов.

😠 Не для того чтобы дать подсказку злоумышленникам, а затем, чтобы их можно было быстрее обнаружить и обезвредить.

Ищите подробную инструкцию в нашей статье.

#PositiveResearch
@Positive_Technologies

🏃‍♂️ Часто противостояние хакеров и команды SOC напоминает фильм «Поймай меня, если сможешь», только без Ди Каприо.

Злоумышленники изобретают способы обхода средств защиты, а специалисты по кибербезопасности вычисляют эти маневры и ставят новые преграды.

Например, для того чтобы обмануть EDR-системы (endpoint detection and response), защищающие конечные устройства, киберпреступник может попробовать нарушить поставку событий (стереть в журнале компрометирующие его записи) или замаскировать свои вредоносные действия под легитимные.

В своей статье для Positive Research Валерий Слезкинцев, руководитель направления реагирования на конечных устройствах отдела обнаружения вредоносного ПО PT Expert Security Center, и Теймур Хеирхабаров, директор департамента по мониторингу, реагированию и исследованию киберугроз BI.ZОNE, подробно рассказывают, как злоумышленники противостоят EDR-системам и что с этим делать экспертам SOC.

Читайте и будьте готовы не упустить хакера на клиентской машине!

#PositiveResearch
@Positive_Technologies