🥊 Как найти «пробив» с помощью анализа трафика

Один из популярных векторов проникновения в сеть компании — успешная эксплуатация уязвимостей в сервисах на периметре. В нашей терминологии это называется «пробивом».

Чтобы проникнуть в сеть, злоумышленнику необходимо скомпрометировать ресурсы, расположенные в демилитаризованной зоне (ДМЗ). При этом он может прийти откуда не ждали: из интернета сети удаленных пользователей, филиалов компании, сети подрядчика и т. п.

Таким образом, мониторинг расположенных в ДМЗ сервисов является критически важной задачей.

🤨 Как сделать это эффективно

• Самый быстрый и достаточно эффективный способ — анализ трафика. Например, с помощью PT Network Attack Discovery (PT NAD). Однако если просто завести в продукт трафик, то можно потонуть в false positive: сети всех компаний исследуются в режиме нон-стоп, а злоумышленники предпринимают попытки проникнуть внутрь.

• Для того чтобы разобраться со срабатываниями, необходимо их верифицировать вручную. Если алертов немного, проверка не вызывает проблем. Но если их сотни, вероятность пропустить «пробив» значительно увеличивается.

• Команде PT NAD пришла идея — научить систему тем действиям, которые аналитик выполняет для верификации эксплуатации уязвимости. Продукт умеет не только анализировать трафик на потоке, но и записывать метаданные сессий в хранилище (они доступны для анализа), что позволяет выявить действия злоумышленника.

• В итоге был создан алгоритм проверки успешности «пробива». За счет этого удалось автоматизировать рутинные действия аналитика, снизить число false positive и повысить вероятность обнаружения атаки.

👉 Подробнее о работе алгоритма, который помогает вовремя выявить злоумышленника, в новом материале на Хабре рассказал Виктор Еременко, лидер продуктовой практики PT NAD.

#PositiveЭксперты
@Positive_Technologies

💵 Компании вкладывают значительные деньги в покупку средств защиты, но достаточно ли этого для обеспечения кибербезопасности?

Спросим у Ярослава Бабина, директора по продуктам для симуляции атак Positive Technologies. В своей колонке для Forbes он отвечает: нет, этого мало. Ведь еще нужно правильно внедрять технические средства защиты, проводить регулярный аудит, вовремя их обновлять и подстраивать под изменения в ИТ-инфраструктуре.

Поэтому нужно не только вооружаться техническими новинками, но и проверять, как они держат удар, с помощью имитации реальных атак. Читайте в статье о том, какие способы «сыграть за хакера» существуют и почему можно доверить эту работу средствам контролируемого автоматического пентеста, таким как PT Dephaze.

#PositiveЭксперты
@Positive_Technologies

🔮 Чего ждать от хакеров в 2025 году?

Можно посмотреть в стеклянном шаре, разложить Таро или послушать, что об этом говорят эксперты по кибербезопасности.

Например, Алексей Новиков, управляющий директор Positive Technologies, считает, что:

⬆️ размеры выкупов за расшифровку и непубликацию похищенной информации существенно возрастут;

👥 при этом злоумышленники могут работать в коллаборации и сливать скомпилированные данные, из-за чего расследовать утечки станет сложнее.

Как индустрия может ответить на эти вызовы и что Алексей Новиков хотел бы получить на Новый год от Деда Кибермороза, смотрите в подкасте «ОБИБЭ» (спасибо коллегам, что позвали ❤️).

#PositiveЭксперты
@Positive_Technologies

Как безопасность стала ключевым критерием качества приложений 👌

Сегодня красивый интерфейс, удачно расположенные кнопки, полезные функции и быстрая работа еще не означают, что приложение — качественное. По данным нашего исследования, каждая пятая утечка на рынке связана с уязвимостями приложений, а взломанное ПО вместе с деньгами и репутацией быстро теряет клиентов.

Поэтому для заказчиков, разработчиков и пользователей на фоне роста кибератак стало очевидно, что если приложение не киберустойчивое, то оно не может быть качественным. Об этом в интервью изданию PRODELO рассказала Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.

🧐 Чтобы избежать критических последствий, сегодня о защите приложения нужно задумываться задолго до его запуска.

А для этого важно:

1️⃣ Внедрять инструменты, которые проверяют код на уязвимости и слабые места на стадии разработки. Без них сейчас едва ли можно создать безопасное приложение.

2️⃣ Когда инструменты указывают на недостатки, их нужно оперативно устранять — от самых критичных до менее важных. Для этого важно, чтобы разработчики и специалисты по кибербезопасности знали, как работать с этими инструментами.

3️⃣ Быть готовым проверить безопасность приложения с помощью багбаунти.

📲 Подробнее о том, как подготовить приложение к неизбежным кибератакам, читайте в интервью Светланы на сайте PRODELO.

#PositiveЭксперты
@Positive_Technologies

👽 Привет! Мы Positive Technologies — и на вебинаре расскажем, как рынок киберпреступности устроен на самом деле

Наши эксперты проанализировали более 40 источников из дарквеба на русском и английском языках. Среди них — крупнейшие теневые форумы и маркетплейсы, а также Telegram-каналы различной тематики.

Из этого путешествия аналитики вернулись с большим исследованием рынка киберпреступности, о котором расскажут на вебинаре 21 января в 14:00.

🤵 Спойлер: дарквеб стал площадкой для высокоорганизованного рынка хакеров, переняв многое у легального мира.

На вебинаре вы узнаете:

🌚 Как проводятся сделки в дарквебе.

🤑 О ценах и трендах на вредоносное ПО, эксплойты, доступы и услуги.

🤜 О конкуренции, отзывах, рекламных кампаниях и о том, зачем продавцы создают кастомизированные лендинги.

🔮 О будущем дарквеба.

Ждем вас! Обязательно зарегистрируйтесь на вебинар на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

🪙 Смарт-контракты лежат в основе многих блокчейн-платформ. Можно ли проверить, насколько они безопасны?

В своей статье Сергей Соболев, специалист по безопасности распределенных систем Positive Technologies, рассказывает, как проводить аудит смарт-контрактов на языках FunC и Tact платформы TON.

Читайте, чтобы узнать больше:

🔵об особенностях платформы и затруднениях, которые могут из-за них возникнуть;

🔵общих ошибках, которые встречаются при использовании TON;

🔵причинах проблем с отправкой сообщений и обновлением кода.

В конце — инструкция по безопасной разработке и аудиту, которая поможет выявлять уязвимости в TON и оценивать надежность смарт-контрактов.

✌️ Читайте статью на Хабре.

#PositiveЭксперты
@Positive_Technologies

🎮 Что вы будете делать, если у вас появится свободное время и Xbox 360?

Уверены, что 99,9% ответов будут в духе «поиграю в GTA V». Наши коллеги из Positive Labs от поездок по Лос-Сантосу тоже не откажутся, но сначала разберут исследуют консоль и посмотрят, что в ней можно перепаять и перепрошить.

Казалось бы, все, можно садиться и играть, но сначала нужно написать статью на Хабр о том, как появился RGH3 — самый популярный метод модификации Xbox 360 в наши дни.

В тексте — понятное объяснение того, что такое Reset Glitch Hack (RGH), подробное пошаговое описание принципа работы и результаты тестирования.

Мы восхитились масштабами, но поняли не все. Пойдем зададим пару вопросам коллегам. Вы тоже можете — в комментариях к статье, где уже завязалось оживленное обсуждение.

#PositiveЭксперты
@Positive_Technologies

🧿 Мечтаете сделать часть проекта опенсорсной, но не хочется нарушать NDA?

Тогда, прежде чем выкладывать код на открытую платформу, нужно полностью исключить из него всю корпоративную информацию: названия репозиториев и проектов, имена и почту сотрудников, внутренние идентификаторы тикетов и любые формулировки, отражающие задачи продукта. При этом важно сохранить авторство и историю создания проекта.

Задачка выглядит непростой, особенно для новичков. Но все решаемо, если есть план, чтобы его придерживаться инструкция, которую написал для блога на Хабре наш коллега — бэкенд-разработчик и любитель языка Go Константин Соколов.

В ней он пошагово рассказывает, как переупаковать нужный вам пакет, отредактировав сообщения коммитов и другие корпоративные данные в коде, используя:

git grep, git filter-branch и git rebase --interactive

Следите за руками и повторяйте. Все подробности ищите в статье.

#PositiveЭксперты
@Positive_Technologies

Крупнейшие криптовзломы 2024 года ⛏️

Прошлый год продемонстрировал впечатляющее разнообразие атак на блокчейн-проекты. Хакеры находили способы извлечь выгоду как из уязвимостей смарт-контрактов, так и из ошибок пользователей.

Векторы атак варьировались от относительно простых методов, таких как фишинг и использование вредоносов для компрометации устройств владельцев кошельков, до сложных, требующих глубокого понимания работы блокчейн-протоколов, например эксплуатации ошибок reentrancy, и знания особенностей некоторых версий контрактов.

Три крупнейшие атаки по количеству убытков:

💸 DMM Bitcoin: украдено 308 млн долларов, атака реализована с помощью компрометации закрытого ключа.

💸 WazirX: украдено 235 млн долларов, атака реализована с помощью компрометации мультиподписи.

💸 Munchables: украдено 62,5 млн долларов, атака реализована с помощью социальной инженерии.

В своем обзоре Елизавета Матвийшина, специалист по безопасности распределенных систем в Positive Technologies, рассказывает о ключевых трендах из мира безопасности Web3 за 2024 год и делится подробностями о наиболее популярных методах и векторах атак.

👀 Читайте обзор в нашем блоге на Хабре.

#PositiveЭксперты
@Positive_Technologies