🗣Узнайте обо всех гранях сетевой безопасности с Efros DefOps на онлайн-вебинаре

9 апреля в 11:00 компании «Газинформсервис» и «ДиалогНаука» проведут совместный вебинар, посвящённый многофункциональному комплексу защиты ИТ-инфраструктуры Efros Defence Operations. Участники узнают о способах построения комплексной системы аудита состояния безопасности инфраструктуры с продуктом Efros DefOps.

В программе: обзор возможностей программного комплекса Efros Defence Operations, демонстрация интерфейса и сценариев использования и карта развития продукта.

Спикерами выступят:
⏺Мария Кудрявцева, менеджер по продукту Efros DefOps компании «Газинформсервис»,
⏺Александр Максимов, ведущий инженер компании «Газинформсервис»,
⏺Алексей Голиков, руководитель направления внедрения средств защиты информации АО «ДиалогНаука»,
⏺Артём Туренок, руководитель отдела технических решений «АО ДиалогНаука».

Для участия необходима регистрация.
#gis_новости #efros_defops

🗣Расскажем обо всех гранях сетевой безопасности с Efros DefOps на онлайн-вебинаре

9 апреля в 11:00 компании «Газинформсервис» и «ДиалогНаука» проведут совместный вебинар, посвящённый многофункциональному комплексу защиты ИТ-инфраструктуры Efros Defence Operations. В программе: обзор возможностей программного комплекса Efros DefOps, демонстрация интерфейса и сценариев использования и карта развития продукта.

Спикерами выступят:
⏺Мария Кудрявцева, менеджер по продукту Efros DefOps компании «Газинформсервис»,
⏺Александр Максимов, ведущий инженер компании «Газинформсервис»,
⏺Алексей Голиков, руководитель направления внедрения средств защиты информации АО «ДиалогНаука»,
⏺Артём Туренок, руководитель отдела технических решений «АО ДиалогНаука».

Для участия необходима регистрация.
#gis_новости #efros_defops

⏺В Erlang/OTP обнаружена критическая уязвимость (CVE-2025-32433) с рейтингом CVSS 10.0, позволяющая удаленно выполнить код без аутентификации. Подобные уязвимости требуют немедленной установки патчей, которые обычно доступны к моменту объявления об угрозе.

Erlang/OTP — язык программирования и платформа, предназначенная для разработки высоконадежных, масштабируемых и отказоустойчивых приложений, работающих в режиме реального времени. Эта технология лежит в основе многих систем, требующих высокой доступности. Уязвимость затрагивает SSH-сервер Erlang/OTP и может быть использована злоумышленниками для полного контроля над системой. Разработчики выпустили патч, и пользователям настоятельно рекомендуется обновить свои системы.

🗣Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений "Газинформсервис":

Уязвимости такой критичности, да еще и в популярном продукте — это редкость, и предмет самого пристального внимания. Как правило, к моменту объявления, у вендора уже доступно обновление, которое нужно протестировать и установить. Поэтому так важно использовать автоматизированные сканеры вроде Efros DefOps для выявления подобных проблем. Сложности возникают, когда уязвимость обнаруживается в каком-то продукте с открытым исходным кодом, у которого нет одного автора, который бы оперативно устранил проблему. В этом случае как правило в сообществе появляются рекомендации по компенсирующим мерам, но увы об этом никогда не узнает даже самый лучший сканер безопасности.

#gis_новости #efros_defops

⏺Как общаться с заказчиками на тему безопасной СУБД?
⏺Что на самом деле CIO или CISO ожидают от современной СУБД?
⏺Чем можно закрыть потребности заказчика по управлению сетевой инфраструктурой или оптимизацией правил NGWF?
⏺Что предложить заказчику, чтобы выполнить требования регуляторов?
⏺Чем заменить решение от западного вендора?

На эти и другие вопросы вы найдёте ответы в наших курсах для продавцов по продуктам СУБД Jatoba и Efros DO!
Прохождение курса подтверждается сертификатом.

Станьте сертифицированным продавцом продуктов «Газинформсервис» и предлагайте заказчикам лучшие решения на рынке 😉
#gis_новости #jatoba #efros_defops

⏺История о том, как пентестер упустил вознаграждение в $3750 из-за простой ошибки в настройках HTTP, стала вирусной в сообществе специалистов по кибербезопасности. Этот случай доказывает, что даже опытные хакеры могут ошибаться, и внимательность — ключевой фактор успеха в этой области по обе стороны баррикад.

🗣Эксперт компании «Газинформсервис» Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности, отмечает — этот случай наглядно демонстрирует, как легко упустить критическую уязвимость, сосредоточившись на сложных сценариях атаки.

«Подобные случаи показывают, что даже самые мелкие элементы безопасности могут стать той самой уязвимой точкой, о которой никто бы не подумал. Как сказал автор, это и отличает профессионального пентестера от любителя. То же самое работает и со стороны защитников: именно внимательные педанты обеспечивают наибольшую защищенность своей инфраструктуры. Ошибки, связанные с неправильными настройками, могут привести к потере не только времени, но и денег. Важность тщательной настройки и проверки каждого шага в процессе тестирования безопасности невозможно переоценить. Даже если кажется, что система надежно защищена, всегда стоит проверять альтернативные сценарии и конфигурации. Именно такие, казалось бы, незначительные нюансы, как неправильный выбор протокола HTTP, могут скрыть уязвимость, стоящую целое вознаграждение», — объясняет Катасонов.

Пентестер, обнаружив уязвимость, позволяющую захватить чужой аккаунт, упустил вознаграждение из-за того, что тестировал функционал на поддомене staging с использованием HTTP вместо HTTPS. Токен для сброса пароля был перехвачен, и хотя пентестер смог сбросить пароль, вознаграждение он не получил, так как программа bug bounty действовала только для основного домена с HTTPS.

«Для обеспечения безопасности от подобных атак разработан Efros Defence Operations — многофункциональный комплекс по защите ИТ-инфраструктуры (сетевых и оконечных устройств, компонентов сред виртуализации), а также прикладного ПО: SCADA, RPA, СУБД. В нем реализован интерфейс для создания гостевых порталов, в котором шанс эксплуатации подобных уязвимостей стремится к нулю, а мощная система логирования и контроля конфигурации оборудования обеспечивает высокий уровень конфиденциальности, целостности и доступности», — подчеркнул эксперт.

#gis_новости #efros_defops

⏺В плагине TI WooCommerce Wishlist, одном из самых популярных плагинов для создания списков желаний в WordPress, обнаружена серьёзная уязвимость. Этот плагин, имеющий более 500 000 активных установок, позволял злоумышленникам получить доступ к конфиденциальным данным пользователей. Уязвимость возникла из-за недостаточной проверки входных данных, что открывало возможности для XSS-атак.

🗣Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин предупреждает: ускорение разработки за счёт использования сторонних фреймворков, шаблонов и плагинов несёт серьёзные киберриски. Хотя готовые решения позволяют быстро запускать продукты, они зачастую приводят к потере контроля над кодом и повышают уязвимость. Новая уязвимость в Wordpress как раз из числа самых популярных фреймворков для создания веб-сайтов:

«Причём это фреймворк с богатой историей и огромным спектром дополнений, шаблонов и плагинов. Плагин для создания вишлистов был номером один среди подобных в маркетплейсе Wordpress и имел более полумиллиона скачиваний. Соответственно, все полмиллиона инсталляций получили эту уязвимость автоматом. Как этого можно было избежать? Это очень непростой вопрос. И ответ на него зависит от того, насколько пристально вы следите за безопасностью своего программного продукта. Если безопасность — ваш приоритет, то вы можете выстроить собственную процедуру разработки, которая будет включать контроль программного кода на каждом этапе — когда он хранится в репозитории, когда загружается на сервер, когда запускается, и так далее. Вы можете выстроить саму среду разработки таким образом, чтобы контролировать наличие уязвимостей на элементах ИТ-инфраструктуры с помощью Efros Defence Operations, и ситуация изменится в лучшую сторону. Но тут нужно понимать, что в этом случае скорость выхода новых версий вашего веб-приложения будет заметно ниже и бизнесу нужно найти баланс — между безопасностью и прибылью».

#gis_новости #efros_defops

⚠️ Исследователи обнаружили новую ботнет-сеть TP-Link Router Hijacker, которая заразила около 9000 роутеров Asus. Злоумышленники эксплуатируют уязвимости в прошивке, позволяющие перехватывать и модифицировать сетевой трафик, перенаправлять пользователей на вредоносные сайты и проводить DDoS-атаки.

🗣Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», предупреждает об опасности использования таких устройств, особенно в офисах, и даёт рекомендации по защите от подобных кибератак.

«Типовой домашний роутер — это, фактически, троянский конь. Это устройство включено 24/7 и доступно из сети интернет круглые сутки. Производители, стремясь к низкой цене, используют унифицированные, часто устаревшие прошивки, редко проводя аудиты безопасности. Роутеры с минимальной защитой перестают получать обновления уже через 1-2 года, становясь лёгкой мишенью. Добавим к этому, что 99% пользователей даже примерно не представляют, как он работает.

Неудивительно, что домашние роутеры становятся лёгкой мишенью для злоумышленников. Что делать? Во-первых, придётся потратить немного больше денег и приобрести роутер классом повыше с полноценной поддержкой вендора на годы вперёд. Во-вторых, нужно будет разобраться, как именно он работает, и настроить так, как рекомендуют эксперты. Ну и в-третьих, если такие роутеры вы используете в офисе или филиалах, что, кстати, не редкость, то позаботьтесь о наличии сканера уязвимостей вроде модуля Vulnerability Control в решении Efros DefOps, который сможет оперативно предупредить о наличии проблем именно у вашего роутера в вашем сценарии использования», — отмечает киберэксперт.

#gis_новости #efros_defops

⚠️ Обнаружена критическая уязвимость (DSA-2025-2082) в коммутаторах Dell PowerConnect. Злоумышленник может удалённо и без аутентификации выполнить произвольный код на уязвимом устройстве, получив полный контроль над ним.

Уязвимость связана с некорректной обработкой HTTP-запросов в веб-интерфейсе управления и получила оценку 9.8 по шкале CVSSv3. Dell уже выпустила обновление прошивки. Владельцам коммутаторов Dell PowerConnect настоятельно рекомендуется установить его как можно скорее. До установки патча необходимо ограничить доступ к веб-интерфейсу извне.

🗣Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», заметил:

«Обнаружение критического бага в коммутационном оборудовании — довольно редкое явление и, как правило, является плодом труда исследователей ИБ самой компании-производителя или приглашённых специалистов. Злоумышленники чаще фокусируются на чём-то более доступном, вроде операционных систем или популярного прикладного программного обеспечения. И тут как раз повод вспомнить, что вообще даже коммутаторы, роутеры или умные колонки тоже имеют на борту свои операционные системы, которые тоже могут содержать ошибки.

Однако доверия к таким устройствам априори больше, потому что "ну как вред может быть от подключения в сеть умной микроволновки?". А вред может быть, потому что такое умное устройство станет точкой входа в инфраструктуру, а затем, немного везения, — и ваши данные будут продаваться в даркнете. Поэтому все процедуры безопасной разработки и контроль кода в полной мере применимы и к активному сетевому оборудованию. Практики использования сканеров вроде Efros DefOps можно распространить не только на разработку прикладных программ, но и на крайне широкий спектр решений», — комментирует киберэксперт.

#gis_новости #efros_defops

⚠️ Веб-интерфейс Kibana, предназначенный для поиска и визуализации данных из состава Elastic Stack, оказался подвержен критической уязвимости. Учитывая повсеместное использование Kibana для задач мониторинга и аналитики, обширную поверхность атаки и критический уровень опасности уязвимости, требуется безотлагательное реагирование и устранение угрозы.

🗣Киберэсперт и инженер-аналитик компании «Газинформсервис» Ирина Дмитриева:

«Уязвимость CVE-2025-2135 "Путаница типов" (Type Confusion) сокрыта в компоненте Chromium, который задействован механизмом формирования отчётов Kibana. Злоумышленник может скомпрометировать систему, побуждая пользователя к взаимодействию со специально созданной вредоносной HTML-страницей. В наиболее тяжёлом сценарии эксплуатация бреши приводит к реализации RCE (удалённого выполнения произвольного кода) в базовой системе, представляя риск для целостности данных и общей безопасности инфраструктуры».

Компания Elastic рекомендует пользователям обновить Kibana до одной из исправленных версий: 7.17.29, 8.17.8, 8.18.3 или 9.0.3. Эти версии содержат патч, устраняющий уязвимость в Chromium и снижающий риск эксплуатации.

Эксперт рассказала, что для организаций, не имеющих возможности применить обновление, важно реализовать компенсирующие меры:
🔵отключить функционал отчётности (добавить параметр xpack.reporting.enabled: false в конфигурационный файл kibana.yml),
🔵минимизировать привилегии, разрешив создание отчётов исключительно доверенным учётным записям,
🔵внедрить строгие сетевые правила, блокирующие несанкционированные сетевые соединения между процессом Chromium и сервисом Kibana на этапе генерации отчета.

«Проблема обнаружения угроз в актуальной конфигурации программного обеспечения может решаться автоматизированными решениями. Например, на помощь может прийти "Газинформсервис" с помощью в проведении проверок соответствия актуальности версий ПО посредством решения Efros Defence Operations. Efros обладает модулем Vulnerability Control с чекингом инфраструктуры на уязвимости в режиме аудита. Функционал системы проводит проверку уязвимостей для каждого объекта с использованием информации из баз данных, включая БДУ ФСТЭК России», — подчеркнула Дмитриева.

#gis_новости #efros_defops

⚠️ С 1 марта 2026 года вступает в силу приказ ФСТЭК России № 117, устанавливающий новые, жесткие правила информационной безопасности для государственных информационных систем (ГИС) и подведомственных организаций, в том числе для использования систем искусственного интеллекта (ИИ). Ключевые изменения: обязательный контроль достоверности ИИ и полный запрет на использование облачных решений для обработки критически важной информации.

Приказ № 117, заменяющий приказ № 17 от 11.02.2013, — первый нормативный акт ФСТЭК, детально регламентирующий использование ИИ в сфере ИБ. Он призван создать более зрелую и защищённую архитектуру безопасности, учитывающую стремительное развитие ИИ-технологий. Важную роль в адаптации к новым требованиям играет компания «Газинформсервис».

«Входя в консорциум по исследованию безопасности ИИ и возглавляя рабочую группу по созданию реестра доверенных ИИ-решений, "Газинформсервис" обеспечивает создание основного ориентира для выбора и внедрения ИИ в госсекторе. Решения компании уже сейчас соответствуют обновлённым требованиям ФСТЭК», — подчеркнул заместитель генерального директора – коммерческий директор компании «Газинформсервис» Роман Пустарнаков.

Приказ № 117 устанавливает следующие ключевые требования. Среди них — контроль достоверности ответов ИИ (п. 61), защита ИИ-систем и данных (п. 60), запрет на облачные ИИ-сервисы (п. 61), использование ИИ в мониторинге ИБ (п. 49).

«Даже доверенные ИИ-системы уязвимы: возможны утечки данных, внедрение вредоносного кода и эксплуатация уязвимостей. Мы уже анонсировали платформу BAS SimuStrike для проверки ИИ и его окружения на угрозы. Решения для безопасной разработки ИИ, такие как SafeERP и GIS-Киберполигон, позволяют тестировать модели на этапе создания, оценивая их устойчивость к атакам. А функция выявления недостоверных ответов и настройки сценариев реагирования, включая автоматическую блокировку, реализована с помощью BAS SimuStrike, который имитирует вредоносные запросы», — подчеркнул Роман Пустарнаков.

Для комплексной защиты можно использовать несколько решений нашей компании:
⏺криптографическую платформу Litoria, которая предотвращает несанкционированные изменения данных;
⏺систему управления доступом Ankey IDM, исключающую передачу конфиденциальной информации разработчикам;
⏺многофункциональный комплекс Efros DefOps, обеспечивающий контроль целостности и конфигураций;
⏺и СУБД Jatoba с механизмом обезличивания данных, усиливающую безопасность и защищающую от утечек чувствительной информации.

Новые нормы от ФСТЭК — это не просто очередной виток усиления ИБ, а важный шаг к формированию безопасной и контролируемой среды для ИИ в госсекторе и на объектах КИИ. С одной стороны, это позволит использовать потенциал ИИ для защиты информации. С другой — создает четкие барьеры для рисков, связанных с галлюцинациями, утечками и злоупотреблениями. Государственные организации уже сегодня должны начинать адаптацию, чтобы быть готовыми к марту 2026 года.
#gis_новости #efros_defops #jatoba #ankey_idm #litoria_crypto #safeerp

⚠️Специалисты обнаружили серьёзную уязвимость в загрузочном процессе Linux, которая позволяет обойти механизм Secure Boot. Для использования этой уязвимости необходим либо физический доступ к устройству, либо возможность получить root-права через другие «лазейки».

Проблема связана с особенностями инициализации систем на базе Linux: уязвимость заключается в initramfs — начальной файловой системе, работающей в оперативной памяти и помогающей расшифровать корневой раздел. В отличие от ядра и его модулей, initramfs не проходит цифровую подпись, что открывает путь для атак. При многократном вводе неверного пароля для доступа к зашифрованным разделам большинство дистрибутивов автоматически запускает отладочную оболочку.

Через отладочную оболочку атакующие подсоединяют USB-накопители с вредоносными инструментами. Процесс атаки включает разборку initramfs с помощью команды unmkinitramfs, добавление вредоносных хуков в каталог scripts/local-bottom/, а затем повторную упаковку изменённого образа.

🗣Киберэксперт компании «Газинформсервис» Ирина Дмитриева отметила, что это подчёркивает важность постоянного мониторинга безопасности и своевременного обновления программного обеспечения:

«Обнаруженная уязвимость в загрузчике Linux связана с небезопасным поведением initramfs и отладочной оболочкой, что ярко демонстрирует, насколько важно отслеживать небезопасные конфигурации в ПО и ОС. Эксплуатация мисконфигов, аналогичных переходу в отладочную оболочку при ошибках ввода пароля, позволяет внедрять стойкое ВПО, переживающее перезагрузки и сохраняющее доступ после легитимной аутентификации пользователя. Ручное исправление параметров ядра (вроде panic=0 или rd.shell=0 rd.emergency=halt в Ubuntu и RedHat) или настройка паролей загрузчика для каждой системы в парке — трудоёмкий процесс, особенно в разветвлённой инфраструктуре. Для оперативного снижения рисков необходим централизованный подход к обнаружению ошибочных настроек. Продукт от компании "Газинформсервис" Efros Defence Operations предоставляет собой платформу, которая позволяет оперативно выявлять изменения в конфигурациях и контролировать соответствие конфигураций заданным стандартам безопасности».

#gis_новости #efros_defops

⏺Цель ухода от иностранного оборудования в критически важных инфраструктурах остается приоритетной для многих российских компаний. Однако несмотря на динамичное развитие отечественных технологий, миграция на них все еще остается сложным процессом, который включает в себя планирование, оценку существующих конфигураций, бюджетирование, обучение персонала, тестирование и поэтапное развертывание.

Сейчас многие компании находятся на этапе одновременной реализации двух процессов:
1️⃣ Перенос части инфраструктуры на отечественные устройства, главной трудностью которого является осуществление перехода с минимальными потерями.
2️⃣ Поддержка иностранных устройств, не имеющих сопоставимой замены, – как правило, это самое высоконагруженное оборудование на ответственных участках.

Путь переноса правил и замены межсетевых экранов (МЭ) может быть весьма тернистым. Каждый МЭ имеет свою логику, синтаксис и алгоритмы настройки.

Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.

Для автоматизации процесса миграции стоит использовать специализированное ПО, например разработанный компанией "Газинформсервис" комплекс Efros Defence Operations.

🗣Полную статью нашего эксперта Марии Кудрявцевой, менеджера продукта Efros DefOps, можно найти здесь.

#gis_полезности #efros_defops

⏺Компания Siemens выпустила экстренные обновления безопасности для платформы управления сетями Siemens SINEC NMS после обнаружения критических уязвимостей. Они позволяют злоумышленникам повышать привилегии в системе и удалённо выполнять произвольный код, что представляет серьёзную угрозу для промышленных предприятий.

🗣Эксперт в области кибербезопасности Ирина Дмитриева отметила:

«Спектр выявленных уязвимостей формирует стойкую цепочку действий, в которой не требуется участие конечного пользователя: сброс пароля суперадмина без аутентификации, успешное внедрение SQL-инъекции, а также обход защиты путём извлечения вредоносного ZIP-файла. Компании, которые не отказались от применения оборудования Siemens в пользу допустимых отечественных аналогов, могут оказаться скомпрометированы через опубликованные бреши».

Уязвимости затрагивают все версии SINEC NMS до версии 4.0. При эксплуатации подобных угроз злоумышленник может полностью видоизменять конфигурации оборудования, выполнять произвольные файлы в системах и получать данные из базы данных сервера через SQL-запросы.

Эти уязвимости считаются критическими (с баллом CVSS 9,8), особенно в средах операционных технологий (OT), где SINEC NMS обычно развёртывается для мониторинга и управления промышленными сетями.

«В условиях активного обновления парка устройств класса NMS предварительно рекомендуется провести полный compromise assessment собственной инфраструктуры и получить сведения о потенциальных следах атак. Всё это позволит минимизировать ущерб и подтвердить или опровергнуть корректность конфигурации оборудования на всей поверхности сети. Компания "Газинформсервис" может оказать поддержку как в проведении анализа признаков компрометации инфраструктуры, так и предложить продукт Efros Defence Operations, который имеет потенциал проверки оборудования на корректность лицензий, версии установленного ПО, а также анализировать уязвимое ПО и проводить построение векторов атак, угрожающих инфраструктуре», — подытожила эксперт.

#gis_новости #efros_defops

⏺В популярной спецификации Java Content Repository (JCR) с открытым исходным кодом Apache Jackrabbit, которая применяется в корпоративных CRM и системах управления контента, обнаружена, а теперь и устранена разработчиками критическая уязвимость, позволявшая злоумышленникам фактически «проехать зайцем» в самые важные корпоративные данные.

🗣Ирина Дмитриева, эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис», отметила, что популярность Jackrabbit оправдана широким функционалом, включая хранение структурированного и неструктурированного контента, полнотекстовый поиск, управление версиями и транзакциями. Тем опаснее оказалась критическая брешь CVE-2025-53689, затрагивающая компоненты jackrabbit-spi-commons и jackrabbit-core, подвергая организации риску слепых XXE-атак.

«Оправдана угроза XML External Entity некорректным парсингом XML: при загрузке привилегий используется незащищённая сборка документа. Риск зашкаливает там, где принимают XML-данные от пользователей – это не теоретическая, а прямая угроза, приводящая к инциденту. Именно так злоумышленник, способный подсунуть свой XML через REST API, импорт в CMS или автоматизированный воркфлоу, может незаметно скомпрометировать файлы в системе, провести SSRF-атаку, задействуя сервер как прокси для атаки на внутренние системы, а также провести успешную DoS-атаку»,— подчеркнула эксперт.

Компания Apache оперативно отреагировала и призывает всех пользователей немедленно обновиться до последних исправленных версий в зависимости от используемой среды Java: до версии 2.20.17 (для Java 8), до версии 2.22.1 (для Java 11), до версии 2.23.2-beta (для Java 11 бета).

Для борьбы с XXE-уязвимостями в Jackrabbit, да и в целом с подобными угрозами, Ирина Дмитриева рекомендует централизованный и проактивный подход:

«Первостепенно уязвимые версии нужно идентифицировать в лицо и понимать их общее число в инфраструктуре. Автоматизированные сканеры инфраструктуры – первый обязательный инструмент. Дополнительно рекомендуется интегрировать сканирование на уязвимости непрерывно в CI/CD и в работающую инфраструктуру и искать не только по CVE, но и по названию компонента и версиям. Всё это формирует потребность в постоянном мониторинге инфраструктуры на появление запрещённых или уязвимых версий ПО. Efros DefOps от компании "Газинформсервис" бьёт точно в цель, агрегируя данные из разных источников в единую картину, включая версии ПО и зависимости. DefOps — движущая сила для построения практики управления уязвимостями и версиями ПО на уровне всего стека разработки и эксплуатации систем».

#gis_новости #efros_defops

⚠️ Миниатюрные устройства вроде Raspberry Pi, спрятанные в инфраструктуре банкоматов и управляемые через 4G, становятся новым, крайне опасным вектором атак. Исследователи обнаружили, что хакерская группировка UNC2891 (она же LightBasin), использовала Raspberry Pi с поддержкой 4G для проникновения в сеть банка и обхода защитных систем.

Хотя атака LightBasin не удалась, инцидент стал редким примером продвинутой гибридной атаки (сочетающей физический и удалённый доступ), где также использовалось сразу несколько методов антифорензики.

🗣Михаил Спицын, эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис», подробно описал суть угрозы и отметил, что цель подобных атак — не просто доступ, а манипуляция транзакциями, что даёт прямую монетизацию и что сложнее заметить.

«Вектор начинается с физического доступа и продолжается удалённо по 4G. Недорогие устройства вроде Raspberry Pi, Bash Bunny или Pwn Plug легко спрятать в банкоматной стойке или шкафу со свичом.

Рекомендую обеспечивать комплексную безопасность. Например, решение Efros Defence Operations NAC способно закрыть именно тот "физико-сетевой" вектор, по которому LightBasin занесли Raspberry Pi в банкоматный свич. В модуле NAC реализован централизованный RADIUS-контроль с профилированием устройств и поддержкой TACACS+, что позволяет жёстко описать, какие MAC- и сертифицированные 802.1X-участники имеют право "проснуться" на конкретных порт-VLAN’ах банкоматной стойки. Кроме того, сама платформа интегрируется с SIEM, например с Ankey SIEM NG. Такая синергия обеспечивает полный контекст при расследовании: какой порт был активирован, кем, какие конфигурации на свиче изменились».

#gis_новости #ankey_siem #efros_defops

⏺Как анализировать безопасность контейнерных сред и приложений?

Современные контейнерные технологии стали неотъемлемой частью IT-инфраструктуры компаний разного масштаба — от стартапов до крупных корпораций. Контейнеры обеспечивают высокую гибкость, масштабируемость и удобство управления приложениями, однако вместе с этими преимуществами возникают новые угрозы информационной безопасности.

Например, риски, связанные с уязвимостями в образах контейнеров, неправильной конфигурацией сетевых настроек и доступом к чувствительной информации внутри контейнеров. Это требует от компаний внедрения новых стратегий защиты и мониторинга, чтобы минимизировать потенциальную опасность и обеспечить безопасность своих систем.

Одной из систем анализа защищенности контейнеров является программный комплекс Efros Defence Operations. Он является модульным продуктом, который состоит из шести функциональных подсистем; в их числе модуль Integrity Check Compliance, включающий в себя функциональность по анализу защищенности контейнеров и оркестраторов.

🗣Юлия Парфенова, помощник менеджера продукта Efros DefOps, и Иван Мартынов, главный специалист отдела разработки программных продуктов, в материале для Cyber Media поделились, на какие ключевые проблемы в эксплуатации контейнеров обратить внимание и как Efros помогает справляться с ними в крупной инфраструктуре.

#gis_полезности #efros_defops

❗️❗️❗️❗️ Крупная кибератака, предположительно совершённая хакерской группой UNC3886, связанной с Китаем, ставит под угрозу критически важные объекты Сингапура. Целями злоумышленников стали энергетические сети, системы водоснабжения и платёжные системы страны.

Атаки на критическую инфраструктуру Сингапура демонстрируют глобальный характер угроз и актуальность проблемы защиты промышленных систем управления (АСУ ТП). Методы, используемые UNC3886, могут быть применены и против российских объектов.

«UNC3886 уже ломает критическую инфраструктуру Сингапура, эксплуатируя zero-day в Fortinet, VMware ESXi и Juniper, чтобы закрепиться в энергосетях, водоканалах и платёжных системах, о чём прямо предупреждает OT-ISAC и сингапурские власти», — отметил Михаил Спицын, инженер-аналитик компании «Газинформсервис».

APT-группа UNC3886 использует тактику zero-day-уязвимостей в распространённых продуктах, таких как Fortinet, VMware ESXi и Juniper. Эксплуатируя эти уязвимости, хакеры получают доступ к системам управления критической инфраструктурой, что представляет собой прямую угрозу национальной безопасности.

«Чтобы закрыть такой вектор ещё на уровне физического порта, достаточно посмотреть, что умеет Efros Defence Operations, а именно модуль NAC. Он централизует RADIUS-аутентификацию и профилирование устройств, отсекая всё, что не прошло 802.1X или не соответствует политике безопасности. Движок Efros умеет блокировать MAC-spoofing, сопоставляя OUI вендора и "отпечаток" стека. Если злоумышленник перегрузит свич с подменённым адресом, порт сразу уйдёт в карантинную VLAN. Вот так, при попытке использовать свежий 0-day атакующий ещё до установки бэкдора не получит доступа ни к гипервизорам ESXi, ни к управляющим PLC-сетям».

#gis_новости #efros_defops

⏺️Представляем обновление модульной платформы по защите ИТ-инфраструктуры Efros DefOps — релиз 2.13. Платформа получила ряд доработок, повышающих удобство работы и общую производительность комплекса:

Модуль Network Access Control (NAC) теперь включает: поддержку многофакторной аутентификации для пользователей. Эта опция повышает уровень безопасности при доступе в сеть через интеграцию с другими системами по протоколу RADIUS.

В модуле Network Assurance (NA) теперь расширена поддержка VMware NSX-T, VMware NSX-V. Кроме контроля конфигураций пользователю теперь доступна функциональность отображения гипервизоров ESXi на карте сети и моделирование трафика.

Модуль Firewall Assurance (FA) теперь расширена поддержка устройств:

- МЭ АПКШ Континент 4. С версии Efros DefOps 2.13 при моделировании маршрутов учитываются правила NAT и туннели.
- Check Point R80 Management Server и Check Point Domain. Теперь в отчётах по изменениях правил МЭ отображаются тип изменения, дата и пользователь, внёсший изменения

С релиза 2.13 добавлено отображение активных сессий в пользовательском интерфейсе, а также реализована возможность ограничить их количество. Повышение информированности операторов комплекса о том, какие сессии доступа активны в текущее время, помогает снизить время реакции на нештатные ситуации. Администратору комплекса доступно введение ограничения на максимальное количество активных сессий для пользователя, например контроль одновременного подключения в сеть не более чем с двух устройств. 👍🏻

Узнать больше о продукте можно здесь.
#gis_новости #efros_defops

⚠️ Обнаружен усовершенствованный прототип бэкдора FireWood, предназначенный для поражения систем под управлением Linux, с возможностями RAT (Remote Access Trojan).

Ключевыми особенностями данного зловреда являются скрытность действия через руткиты уровня ядра и блочное шифрование TEA (Tiny Encryption Algorithm), возможность обеспечения долгосрочного несанкционированного доступа с последующим выполнением произвольных команд в системе и сбором конфиденциальных данных и их эксфильтрации на сервера злоумышленников.

🗣Ирина Дмитриева, инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», объясняет, как работает вредонос:

«Злоумышленники, эксплуатирующие FireWood, отталкиваются от первоначальных веб-шеллов на конечные устройства. Соответственно, вредоносное ПО позволяет расширить возможности на скомпрометированных устройствах и проводить разведку, сбор данных и наносить ущерб целостности информации системы».

Из технических особенностей архитектура ВПО претерпела ряд изменений. Теперь FireWood поддерживает проверку на наличие прав root или ядра после демонизации и сохранения PID. Для обеспечения стабильности выделяется улучшенная проверка привилегий (root/kernel) после запуска. Проверка стабильности подключения к серверу злоумышленников проводится через настойчивые попытки соединения с сервером с задержками при неудаче на базе протокола связи через ConnectToSvr().

«FireWood представляет собой значимую угрозу для Linux-инфраструктур из-за своей скрытности и функциональности. Для построения проактивной защиты требуется слаженная работа ряда компонентов системы защиты информации, включая EDR-системы с поведенческим анализом, HIDS, NGFW/IPS с SSL-инспекцией, WAF и строгий контроль привилегий IDM-систем. Эффективным решением с точки зрения мониторинга несанкционированного влияния на сетевую инфраструктуру может стать NAC (Network Access Control), который заметит нелегитимные действия и отразит соответствующую информацию. Именное такое решение может предложить компания "Газинформсервис" в составе комплекса Efros DefOps.

Кроме того, стоит отметить важность роли SOC-аналитиков в настройке детектирования потенциальных угроз и выстраивания процессов реагирования на инциденты, а также интеграции разведки киберугроз для постоянного развития защитных мер. Здесь "Газинформсервис" может оказать поддержку — специалисты GSOC готовы прийти на помощь с оперативным реагированием 24/7 в согласованные SLA», — заключает Дмитриева.

#gis_новости #gsoc #efros_defops