❗️❗️❗️❗️ Крупная кибератака, предположительно совершённая хакерской группой UNC3886, связанной с Китаем, ставит под угрозу критически важные объекты Сингапура. Целями злоумышленников стали энергетические сети, системы водоснабжения и платёжные системы страны.

Атаки на критическую инфраструктуру Сингапура демонстрируют глобальный характер угроз и актуальность проблемы защиты промышленных систем управления (АСУ ТП). Методы, используемые UNC3886, могут быть применены и против российских объектов.

«UNC3886 уже ломает критическую инфраструктуру Сингапура, эксплуатируя zero-day в Fortinet, VMware ESXi и Juniper, чтобы закрепиться в энергосетях, водоканалах и платёжных системах, о чём прямо предупреждает OT-ISAC и сингапурские власти», — отметил Михаил Спицын, инженер-аналитик компании «Газинформсервис».

APT-группа UNC3886 использует тактику zero-day-уязвимостей в распространённых продуктах, таких как Fortinet, VMware ESXi и Juniper. Эксплуатируя эти уязвимости, хакеры получают доступ к системам управления критической инфраструктурой, что представляет собой прямую угрозу национальной безопасности.

«Чтобы закрыть такой вектор ещё на уровне физического порта, достаточно посмотреть, что умеет Efros Defence Operations, а именно модуль NAC. Он централизует RADIUS-аутентификацию и профилирование устройств, отсекая всё, что не прошло 802.1X или не соответствует политике безопасности. Движок Efros умеет блокировать MAC-spoofing, сопоставляя OUI вендора и "отпечаток" стека. Если злоумышленник перегрузит свич с подменённым адресом, порт сразу уйдёт в карантинную VLAN. Вот так, при попытке использовать свежий 0-day атакующий ещё до установки бэкдора не получит доступа ни к гипервизорам ESXi, ни к управляющим PLC-сетям».

#gis_новости #efros_defops

Эксклюзивное интервью: как готовить кибергероев будущего❓

Сегодня у нас особенный гость — Александр Менщиков, к.т.н., доцент, декан факультета безопасности информационных технологий ИТМО и директор учебно-практического центра «Киберполигон». 🎓🔐

В этом интервью вы узнаете:
⏺почему традиционное обучение уже не достаточно эффективно и как важны практические занятия в реальных условиях,
⏺как геймофикация помогает сделать обучение интересным и эффективным,
⏺и почему информационная безопасность так похожа на медицину (да-да, это правда!).

🗓 Смотрите интервью и присоединяйтесь к GIS DAYS 2025!
Это уникальная возможность увидеть, как передовые технологии и инновационные методы формируют будущее кибербезопасности.
#gis_days

⚠️ Исследователи обнаружили сложный метод обхода защиты брандмауэра веб-приложения (WAF) с помощью методов загрязнения параметров HTTP в сочетании с внедрением JavaScript. Это вновь поднимает актуальный вопрос о надежности и грамотной настройке средств кибербезопасности. Эта уязвимость подчеркивает, что даже передовые защитные механизмы требуют постоянного внимания и профессионального подхода.

Выявлено, что определенные типы атак могут успешно обходить стандартные фильтры WAF, предназначенные для защиты веб-приложений от распространенных угроз, таких как SQL-инъекции или межсайтовый скриптинг (XSS). Это стало возможным благодаря вариативности и изощрённости современных методов атак, которые научились маскировать вредоносные запросы таким образом, чтобы они не попадали под известные сигнатуры WAF.

«Обход WAF — это всегда тревожная ситуация, — отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», — Многие, даже опытные специалисты по ИБ рассчитывают, что если в инфраструктуре установлено средство, закрывающее какую-то угрозу, то оно работает, как задумано, и хотя бы одной головной болью у вас меньше. Но в реальности это совсем не так. Большинство современных атак имеют довольно серьёзную вариативность, и простое развёртывание того же WAF, EDR или IPS ничего не даёт, если не настроить их грамотно и не поддерживать в актуальном состоянии правила обнаружения атак.

Поэтому многие компании и начинают обращаться к системным интеграторам и подключают свои ИТ-системы к SOC. Держать у себя специалистов, готовых всем этим заниматься на должном уровне, довольно сложно — это дорого, и их сложно мотивировать, а вот отдать эту задачу на аутсорс в тот же GSOC, где эксперты занимаются подобным каждый день, — рациональное решение».

#gis_новости #gsoc

✅Удобное мобильное приложение — плюс для бизнеса.
❌Уязвимое мобильное приложение — риск для бизнеса: технический и репутационный.

Что нужно понимать про мобильные уязвимости?
- часто ошибки закладываются ещё на этапе проектирования (архитектура, права доступа, работа с API);
- утечки могут происходить даже через push-уведомления, логи, кэш или библиотеки;
- многие компании до сих пор не тестируют приложения на безопасность перед релизом.

Что делать, если у вас своё приложение или вы за него отвечаете:
- проверьте, как приложение хранит и передаёт данные;
- убедитесь, что сторонние SDK, библиотеки обновлены — часто атака начинается именно с них;
- закажите мобильный аудит у специалистов;
- настройте процесс безопасной разработки.

Надёжность — конкурентное преимущество и маркер доверия в глазах пользователя: следите за безопасностью с начала проекта.
#gis_полезности

⏺🔐 Научный прорыв, который ещё вчера казался фантастикой, сегодня становится реальностью. Исследователи представили технологию «сборки» тараканов-киборгов, оснащённых миниатюрными электронными имплантами и управляемых с помощью искусственного интеллекта.

🗣Руководитель GSOC компании «Газинформсервис» Александр Михайлов рассказал, что эта разработка, превращающая обычных насекомых в кибернетических разведчиков, выводит концепцию Интернета вещей (IoT) на новый уровень:

«Новость звучит как прямой репортаж из будущего, которое наступило незаметно. Превращение живых существ в управляемые гибриды выводит концепцию Интернета вещей на совершенно новый, биокибернетический уровень, и это обязательно повлечёт последствия для сферы информационной безопасности».

Управление этими «киборгами» осуществляется с помощью миниатюрных электродов, вживлённых в зону стимуляции насекомого роботом UR3e, оснащённым системой компьютерного зрения. Четыре таких гибрида обследуют сложную территорию в разы быстрее одиночек. Беспроводная связь Sub-1 ГГц позволяет рою таких тараканов действовать слаженно, выполняя задачи гораздо быстрее и эффективнее, чем любое одиночное устройство.

Грузовой резерв тараканов позволяет оснащать их дополнительным оборудованием, таким как камеры, микрофоны и навигационные датчики, превращая их в дешёвых и мобильных разведчиков, способных проникать в самые труднодоступные места.

«Мы вступаем в эпоху, где периметр безопасности расширяется и включает в себя живые организмы, потому что, помимо разведывательных функций, сам по себе такой гибрид является устройством, которое может быть взломано. Если раньше угрозы были нацелены на серверы и смартфоны, то теперь потенциальным вектором атаки становится беспроводной канал управления роем насекомых.

Представьте себе последствия несанкционированного перехвата контроля над таким роем. Оснащённые микрокамерами или микрофонами, эти киборги превращаются в практически незаметных шпионов, способных проникнуть в охраняемые зоны, недоступные для обычных дронов», — заключил эксперт.

#gis_новости

⏺Сертифицированные межсетевые экраны — обязательный элемент защиты КИИ и ГИС, но не гарантия безопасности. Даже решения, формально соответствующие требованиям ФСТЭК, могут содержать уязвимости на уровне ОС или «доверенного» железа. Необходимо грамотно выстроить архитектуру, предусмотреть риски компрометации и исключить типовые ошибки.

Межсетевые экраны — это базовые средства защиты периметра. Они фильтруют трафик между сегментами сети и предотвращают несанкционированный доступ. В контуре КИИ и государственных информационных систем межсетевой экран становится не просто технической мерой, а регламентированной обязанностью.

При этом использовать можно только сертифицированные МЭ, то есть прошедшие аттестацию в ФСТЭК. Но сертифицированный МЭ — не магический щит. Он отлично справляется с фильтрацией трафика, но если под капотом все плохо — не спасет.

🗣Марат Хакимьянов, ведущий инженер компании «Газинформсервис»:

Сегментация сети сильно поможет в защите от НСД, поскольку злоумышленник не сможет пройти в другие сегменты и развить успех. Если же мы говорим не просто о МЭ, а об NGFW, модуль IPS вполне сможет выявить часть подозрительных действий. Сканирование сети, множественный брутфорс УЗ — и МЭ распознает эти действия как атаку. Конечно, NGFW сильно ограничен своим расположением, и для более эффективного анализа лучше также применять решения класса NTA/NDR.

Если говорить об унифицированных практиках защиты, то, конечно, в первую очередь в голову приходит концепция Zero Trust. Она включает в себя совместное использование множества средств защиты, а главный ее принцип «Запрещено все, что не разрешено».

Межсетевой экран — один из ключевых компонентов Zero Trust, который включает следующие функции:
⏺Микросегментация сети. У администраторов должна быть возможность гранулярно управлять доступом в сети.
⏺Непрерывный сетевой мониторинг. Все подозрительные действия пользователей, если они выходят за пределы своей подсети, должны проверяться по базе сигнатур IPS на соответствие атакам. Также у многих NGFW есть собственные модули для поведенческого анализа трафика.
⏺Принцип минимальных привилегий. У пользователя должны быть доступы только к тем сегментам, которые нужны ему сейчас для работы. Во всех остальных случаях идем по алгоритму: заведение заявки на доступ -> рассмотрение админами МЭ -> написание временного (!) правила МЭ.

Подробнее о том, как выстроить устойчивую защиту на базе сертифицированных МЭ, но с учетом реальных рисков, архитектурных нюансов и уязвимостей в доверенной среде, — в этой статье.
#gis_полезности

Вышел новый выпуск information Security, в котором можно найти сразу две статьи с нашими экспертами:

🗣Корреспонденты журнала “Информационная безопасность" побеседовали с Лидией Витковой, к.т.н., начальником Аналитического центра кибербезопасности (АЦКБ) компании “Газинформсервис”, и Яной Заковряжиной, менеджером продукта Ankey ASAP, о том, как UEBA усиливает DLP там, где правила молчат. Страница 26 (28).

🗣А также, Ирина Дмитриева, аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», и Михаил Спицын, инженер-аналитик компании «Газинформсервис», среди экспертов в статье "DLP в 2025 году: новые вызовы зрелости" на странице 36 (38).

Подробнее здесь.
#gis_полезности

⚠️ Примерно треть из всех инцидентов утечки данных сегодня связана с подрядчиками или внешними сервисами. Вы можете выстроить крепкую внутреннюю систему, но она будет бессмысленной, если есть угроза снаружи.

Подготовили минимальный чек-лист для работы с подрядчиками:

1️⃣Доступ только по необходимости
Выдавайте доступ к системам и данным строго в рамках задач. Чем меньше доступ, тем меньше риск.
2️⃣Контроль удалённых подключений
Обязательно ограничивайте удалённый доступ. Не допускайте постоянных, бессрочных подключений.
3️⃣Проверка контрагентов
Соберите минимум информации: используют ли они антивирус, как хранят данные, есть ли у них политика безопасности, по каким стандартам работают.
4️⃣NDA и условия в договоре
Включите в договор обязательства по защите информации, уведомлению об инцидентах и ответственности за утечку.
5️⃣Контроль завершения сотрудничества
Не забывайте отзывать доступы после завершения работ.

Если вы уже работаете с подрядчиками, обязательно проведите ревизию. Если только планируете, зафиксируйте правила безопасности и все сопутствующие процессы в договоре с самого начала.
#gis_полезности

Киберугрозы в гейминге: что важно для бизнеса❓

Игровая индустрия растёт очень быстро, а вместе с ней повышаются и риски. Для атакующих гейминг — миллионы аккаунтов, облачные сервисы, чувствительная внутренняя инфраструктура и сторонние SDK. Разбираемся, как это работает и на что обратить внимание.

Основные векторы атак на игровые компании
⏺Кража пользовательских данных и аккаунтов
⏺DDoS на серверы и онлайн‑платформы
⏺Утечки исходного кода и конфиденциальных материалов
⏺Вредоносные модули в SDK или рекламных библиотеках
⏺Компрометация корпоративной инфраструктуры

Как бизнесу снизить риски?
1️⃣ Сегментация и минимизация прав доступа
2️⃣ Контроль удалённого доступа и двухфакторная аутентификация для сотрудников
3️⃣ Проверка сторонних SDK и рекламных модулей перед интеграцией
4️⃣ Регулярные аудиты и внедрение DevSecOps
5️⃣ Готовый план реагирования на инциденты

Киберугрозы существуют в каждой индустрии, поэтому важно знать, какие именно инструменты обычно используют злоумышленники в вашей индустрии. #gis_полезности

⚠️ Raspberry Robin, сложный загрузчик вредоносного ПО, также известный как Roshtyak, продолжает свою кампанию против систем Windows с расширенными возможностями и методами обхода.

Raspberry Robin, обнаруженный в конце 2022 года, не является конечной угрозой сам по себе, а скорее выступает в роли «курьера», доставляющего в корпоративные сети разнообразные вредоносные инструменты — от вымогателей до шпионского ПО — по заказу злоумышленников. Эта особенность делает его особенно опасным, поскольку его «полезная нагрузка» может меняться, адаптируясь к целям атакующих.

🗣Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис», выделяет ключевые аспекты этой угрозы:

1️⃣ во-первых, USB до сих пор остаётся удобным и почти неконтролируемым каналом передачи данных между офисами и подрядчиками; даже одно заражённое устройство даёт злоумышленнику точку входа.
2️⃣ во-вторых, гибкая архитектура Raspberry Robin делает его не конечной вредоносной целью, а «курьером»: он привозит в сеть то, что закажет оператор, — от шифровальщиков до шпионских программ.
3️⃣ в-третьих, постоянная эволюция шифрования и обфускации позволяет ему опережать классические антивирусы и подпись-ориентированные IDS. Защита строится на сочетании технических и организационных мер, и вот тут в игру вступает центр мониторинга GSOC, который усиливает эту оборону сразу на нескольких уровнях.

«GSOC круглосуточно собирает телеметрию со всех конечных точек и сетевых сегментов, сравнивает её с актуальной TI и тут же реагирует, если на рабочей станции запускается подозрительный процесс с USB. Инструменты реагирования на конечных точках, которыми пользуется SOC, выстраивают дерево процессов и позволяют мгновенно увидеть источник заражения, модули поведенческой аналитики отмечают нетипичную активность в сети, а аналитики корректируют правила, чтобы подобный вектор больше не сработал. Таким образом время обнаружения таких угроз и реагирования на них сокращается с часов до минут», — пояснил эксперт.

#gis_новости #gsoc

⏺️Представляем обновление модульной платформы по защите ИТ-инфраструктуры Efros DefOps — релиз 2.13. Платформа получила ряд доработок, повышающих удобство работы и общую производительность комплекса:

Модуль Network Access Control (NAC) теперь включает: поддержку многофакторной аутентификации для пользователей. Эта опция повышает уровень безопасности при доступе в сеть через интеграцию с другими системами по протоколу RADIUS.

В модуле Network Assurance (NA) теперь расширена поддержка VMware NSX-T, VMware NSX-V. Кроме контроля конфигураций пользователю теперь доступна функциональность отображения гипервизоров ESXi на карте сети и моделирование трафика.

Модуль Firewall Assurance (FA) теперь расширена поддержка устройств:

- МЭ АПКШ Континент 4. С версии Efros DefOps 2.13 при моделировании маршрутов учитываются правила NAT и туннели.
- Check Point R80 Management Server и Check Point Domain. Теперь в отчётах по изменениях правил МЭ отображаются тип изменения, дата и пользователь, внёсший изменения

С релиза 2.13 добавлено отображение активных сессий в пользовательском интерфейсе, а также реализована возможность ограничить их количество. Повышение информированности операторов комплекса о том, какие сессии доступа активны в текущее время, помогает снизить время реакции на нештатные ситуации. Администратору комплекса доступно введение ограничения на максимальное количество активных сессий для пользователя, например контроль одновременного подключения в сеть не более чем с двух устройств. 👍🏻

Узнать больше о продукте можно здесь.
#gis_новости #efros_defops