⚠️ Исследователи из Socket выявили атаку на цепочку поставок, связанную с мимикрией (клонированием) популярных библиотек Node.js. Эти библиотеки широко используются во множестве приложений, что делает их привлекательными для злоумышленников.

🗣Эксперт «Газинформсервис» Вадим Матвиенко:

Атаки на цепочку поставок остаются одним из самых распространённых методов, используемых злоумышленниками. Популярные библиотеки Node.js, например chokidar и chalk, были использованы для создания различных ресурсов и приложений, таких как Microsoft Visual Studio Code, Gulp, Karma, Webpack. Они упрощают разработку, улучшая пользовательский опыт и обеспечивая удобство в процессе. Однако недавний случай с мимикрией (клонированием) этих популярных библиотек с вредоносным кодом представляет серьёзную угрозу для компаний по всему миру.

Чтобы минимизировать риски при разработке программного обеспечения, необходимо выстроить процесс безопасной разработки — DevSecOps. Одним из мощных инструментов для его реализации является программный комплекс SafeERP от компании «Газинформсервис».

#gis_новости #safeerp

⚠️Компания SAP недавно устранила две критические уязвимости в сервере веб-приложений NetWeaver. Они могли быть использованы для повышения привилегий и получения доступа к закрытой информации. Обнаруженные уязвимости оцениваются от 5,6 до 9,8 баллов по шкале CVSS.

Уход SAP с российского рынка создал значительные риски для предприятий, использующих эту платформу. Отсутствие официальных обновлений и патчей делает российские компании уязвимыми перед возможными атаками. На защиту бизнеса приходит SafeERP от компании «Газинформсервис»😉

«В современных условиях импортозамещение становится жизненно важным инструментом для обеспечения устойчивости бизнеса. Решение SafeERP позволяет выявлять и предотвращать уязвимости в системе SAP. Его возможности охватывают широкий спектр задач, включая анализ уязвимостей кода, проверку полномочий и авторизаций, а также аудит настроек безопасности. SafeERP помогает закрыть пробелы в поддержке, обеспечивая надёжную защиту корпоративных данных и бизнес-процессов. Такие решения позволяют российским предприятиям минимизировать риски и адаптироваться к новым условиям, сохраняя высокий уровень кибербезопасности и независимости от иностранных поставщиков», — отметила Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис».

#gis_новости #safeerp

Комплексная защита «1С»👍

Представляем квартальное обновление SafeERP, релиз 4.9.5 (Q4 2024). Обновлённый Extension Module релиза существенно повысит эффективность и безопасность разработки «1C» и защиту платформы «1С» (1С:ERP, «1С:Предприятие» и др.).

Ключевое нововведение — добавление возможности комплексного анализа настроек платформы «1С». Теперь администраторы могут анализировать и контролировать изменения системных настроек, ролей пользователей, конфигураций, а также анализ профилей безопасности «1С»-платформы. Это позволит выявлять небезопасные настройки в режиме реального времени для оперативного слежения за состоянием и безопасностью системы.

Обновление включает новый плагин для «1C:EDT», позволяющий разработчикам выявлять и исправлять уязвимости в процессе кодирования — до того, как код попадет в систему «1С». Это решает проблему позднего обнаружения уязвимостей, которая традиционно приводит к задержкам, дополнительным затратам и риску компрометации системы.

«"1С" активно развивает среду разработки "1C:EDT" ("1С:Enterprise Development Tools") как основной инструмент программиста "1С". Разработчики пишут в ней код, проверяют его на ошибки и отправляют на последующую обработку в системы "1С". Наш плагин позволяет разработчикам проверять свой код в процессе разработки. Поэтому обнаруженные недостатки возможно исправить на ранних этапах, что значительно сэкономит время на доработку, если сравнивать с проверками уже переданного кода в систему "1С" или систему хранения кода», — сказала Римма Кулешова, менеджер продукта Safe ERP компании «Газинформсервис».

Узнать больше о продукте SafeERP можно здесь.
#gis_новости #safeerp

Киберэксперт Жданухин предостерёг от хакеров-ждунов⏳

Специалисты Solis Security и Intezer обнаружили новую тактику киберпреступной группы XE Group, которая с 2024 года проводит целенаправленные кражи данных, используя уязвимости нулевого дня и скрытно компрометируя системы управления заказами.

Деятельность группировки поражает своей скрытностью. Злоумышленники использовали критические уязвимости в программном обеспечении VeraCore, что позволило им загружать вредоносные файлы на сервер, извлекать данные из базы и получать доступ к учётным записям. В одном из случаев они даже повторно активировали веб-оболочку, установленную ещё в 2020 году, что говорит нам о том, что атакующие могут выжидать долгие годы прежде, чем напасть снова.

«Уже сейчас существуют методы защиты от подобных угроз. В частности, программный модуль SafeERP Platform Security предназначен для выявления небезопасных настроек ПО и средств защиты, контроля целостности программных объектов и доступа к критически важным элементам информационных систем. Кроме того, здесь может помочь инструмент Efros DefOps, который обеспечивает контроль конфигураций и состояний рабочей среды сетевого оборудования, платформ виртуализации и операционных систем. Использование этих решений может существенно повысить уровень защиты корпоративных систем от подобных атак», — отмечает аналитик L2 GSOC компании «Газинформсервис» Андрей Жданухин, —«Надёжная кибербезопасность достигается за счёт развития культуры безопасности в целом, обучения персонала и использования профессиональных сервисов мониторинга (например, GSOC)».

#gis_новости #safeerp #efros_defops #gsoc

Будущее анализатора кода🔮

В начале 2025 года зарубежные аналитики обратили внимание на быстрые и безопасные методы разработки. На сцену выходит статическое тестирование безопасности приложений (SAST), которое играет важную роль в выявлении уязвимости в исходном коде приложения до его запуска. Однако традиционные SAST-системы страдают от ложнопозитивных срабатываний.

Именно поэтому «Газинформсервис» уже сейчас работает над внедрением машинного обучения для SafeERP, многофункционального комплекса защиты бизнес-приложений (1С и SAP).

Внедрение ИИ в статический анализатор кода SafeERP позволит снизить ложнопозитивные срабатывания в SAST-анализаторах за счёт следующих возможностей:

⏺Учёт контекста кода: ИИ анализирует, как конкретный участок кода взаимодействует с другими элементами проекта, и исключает ситуации, где предполагаемая угроза не представляет реальной опасности.

⏺Адаптация к проекту: на основе данных конкретного проекта, ИИ обучается понимать особенности его структуры, используемых библиотек и стиля кодирования, снижая количество ошибочных предупреждений.

⏺Исторический анализ: ИИ обрабатывает данные о предыдущих ложнопозитивных срабатываниях и использует эту информацию для повышения точности дальнейших проверок.

⏺Семантический анализ: технология позволяет ИИ глубже понимать смысл кода и контекст его использования, что помогает отличать реальные угрозы от ложных.

⏺Кластеризация предупреждений: ИИ объединяет схожие уведомления в группы, выделяя ключевые проблемы и упрощая анализ для разработчиков.

Узнать больше о продукте SafeERP можно здесь.
#gis_новости #safeerp

🗣Новая статья от нашего эксперта Екатерины Герлинг, ведущего инженер-аналитика Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности компании “Газинформсервис”:

После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.

При работе с любым программным обеспечением пользователь ожидает не только его функциональности, но и надежности. Важно, чтобы программа выполняла все заявленные функции, не содержала вредоносных фрагментов кода, была защищена от скрытых уязвимостей и SQL-инъекций, а также не перегружала устройство, корректно обрабатывая входные данные.

Особенно остро эти вопросы встают в отношении специализированного программного обеспечения, предназначенного для объектов критической информационной инфраструктуры. А если речь идет о продуктах, обеспечивающих информационную безопасность, возможные уязвимости в них могут привести к еще более серьезным последствиям в рамках "атаки на цепочку поставок".

И это вовсе не теоретические рассуждения. Статистика говорит сама за себя: уже второй год подряд значительная часть кибератак связана с эксплуатацией уязвимостей веб-приложений.

Продолжение читайте здесь.
#gis_полезности #safeerp

⏺Исследователи обнаружили уязвимость в инструменте статического анализа кода CodeQL, используемом на GitHub — крупнейшем веб-сервисе для хостинга IT-проектов и их совместной разработки. Ситуация усугубляется наличием готового скрипта для эксплуатации уязвимости, что делает её доступной даже для злоумышленников с невысокой квалификацией.

🗣Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис», отмечает, что это подрывает все три основополагающих принципа информационной безопасности.

«В сфере информационной безопасности выделяют три ключевых принципа: конфиденциальность, целостность и доступность. Обнаруженная уязвимость ставит под угрозу все эти аспекты. Учитывая популярность GitHub, эксплуатация подобной уязвимости может стать одной из самых серьёзных угроз для множества IT-компаний и пользователей. Наличие готового скрипта для использования этой уязвимости значительно увеличивает её опасность».

Многие компании разворачивают подобные сервисы в своей внутренней инфраструктуре для анализа кода на этапе разработки. Однако при интеграции таких решений в случае уязвимости появляется брешь в системе безопасности. Для защиты интеллектуальной собственности компаниям важно внедрять цикл безопасной разработки.

«Эксплуатация данной уязвимости позволяет злоумышленникам получить доступ к конфиденциальным данным о разрабатываемом коде. Чтобы предотвратить такие инциденты, необходимо использовать комплексные средства защиты информации. Тем не менее современные злоумышленники находят всё более изощрённые способы обхода этих мер. В таких случаях необходимо использовать защищённые средства безопасной разработки, реализованные в SafeERP. В данном продукте имеются различные модули, которые предоставляют автоматизированную функциональность для анализа и обеспечения безопасности кода. Реализуются синтаксические и семантические разборы кода, что обеспечивает высокий уровень защищённости, полный контроль и безопасность при разработке», — отмечает киберэксперт.

#gis_новости #safeerp

🗣Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис», рассказала порталу Cyber Media, почему защита данных стала критически важной задачей для бизнеса, как меняются требования к кибербезопасности в условиях цифровизации и какие меры помогут компаниям укрепить защиту своих бизнес-приложений.

Современные компании ежедневно работают с огромными объемами данных: коммерческой информацией, конфиденциальными сведениями о клиентах, финансовыми операциями и интеллектуальной собственностью. Утечка или компрометация таких данных может привести к значительным финансовым потерям, репутационным рискам и серьезным юридическим последствиям.

Основные бизнес-приложения — ERP, CRM, HRM и SCM-системы — обрабатывают, хранят и передают эти данные. Бизнес-приложения — это «сердце» компании. Любое нарушение их работы может привести к остановке операций, финансовым убыткам и штрафам за несоблюдение требований законодательства. Поэтому защита данных — это не просто ИТ-вопрос, а стратегическая задача, которая должна быть интегрирована в бизнес-процессы на самом высоком уровне.

Полное интервью можно найти здесь.
#gis_полезности #safeerp

⏺Обнаружена критическая уязвимость (CVE-2025-32434) в популярном фреймворке для машинного обучения PyTorch, позволяющая злоумышленникам удаленно выполнять произвольный код. Уязвимость затрагивает пользователей, загружающих модели из непроверенных источников, даже при использовании опции weights_only=True, которая предназначена для загрузки только весов модели.

Проблема связана с обработкой сериализованных объектов TorchScript. Злоумышленник может создать вредоносную модель, содержащую произвольный код Python, который будет выполнен при загрузке модели на уязвимой системе. Это открывает возможности для полного контроля над системой жертвы. Разработчики PyTorch выпустили обновление 2.6.0, исправляющее уязвимость. Всем пользователям настоятельно рекомендуется обновить свои установки до последней версии.

«Критическая уязвимость PyTorch CVE-2025-32434 стала тревожным звоночком для всей индустрии машинного обучения. Даже стандартная мера предосторожности, такая как опция weights_only=True, оказалась бессильной. Этот инцидент ярко демонстрирует важность внедрения концепций MLSecOps для обеспечения комплексного подхода к безопасности на протяжении всего жизненного цикла моделей. Пользователям настоятельно рекомендуется перейти на новую версию PyTorch 2.6.0+, а специалистам — задуматься о полномасштабном внедрении практики безопасной разработки и систематическом мониторинге рисков. Важность таких мер возрастает, учитывая распространение сложных архитектур и рост числа пользователей PyTorch», — отмечает Римма Кулешова, киберэксперт «Газинформсервис» и менеджер продукта SafeERP.

#gis_новости #safeerp

⏺Хакеры атаковали израильскую компанию TeleMessage, поставляющую модифицированные мессенджеры для правительства США

TeleMessage занимается доработками программного обеспечения под нужды заказчиков, обеспечивая требуемый функционал, перехватывая данные вразрез с оригинальным приложением. В перечень такого ПО входят WeChat, Telegram, Signal и WhatsApp. Взломанный форк Signal (TM SGNL) использовался экс-советником Трампа по нацбезопасности Майком Уолтцом для использования дополнительных функций, включая архивацию сообщений, чего не было в базовой конфигурации приложения.

Злоумышленник скомпрометировал сервера TeleMessage и похитил данные чиновников, включая контакты и фрагменты незашифрованных чатов. Утечка оказалась возможной через метаданные и незашифрованные данные, которые TeleMessage не защитила должным образом. Хакер подтвердил, что архивы мессенджеров компании не имели полноценного шифрования, облегчая компрометацию всей инфраструктуры.

В настоящий момент сервисы TeleMessage временно отключены, пока компания расследует «потенциальный инцидент». Сообщения Майка Уолтца не оказались обнародованы, но атака выявила критическую слабость системы архивации. Детали уязвимости не раскрываются, чтобы предотвратить новые атаки на финансовые и правительственные структуры США.

«В качестве мер предотвращения аналогичных инцидентов важно выстроить процесс безопасной разработки и проводить регулярный аудит кода с использованием SAST (Static Application Security Testing) для выявления уязвимостей на этапе разработки, затем DAST (Dynamic Application Security Testing) для тестирования работающих приложений на предмет эксплуатируемых брешей. В то же время важнейший критерий — обеспечить шифрование данных не только в транзите, но и в хранилищах, включая архивы и отладочные логи. Программное решение для анализа кода в процессе всего цикла разработки обеспечивает продукт компании "Газинформсервис" SafeERP — цифровой щит, который имеет встроенные инструменты SAST/DAST для анализа кода и защиты от уязвимостей. Не стоит повторять ошибок TeleMessage — можно выбрать SafeERP для безопасного управления бизнес-процессами», — отметила киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.

#gis_новости #safeerp

🗣Представляем SafeERP 4.9.6, обновленную версию модульного комплекса для усиления кибербезопасности информационных систем и бизнес-приложений, которая предлагает расширенные возможности автоматизации, включая автоматическую загрузку и применение обновлений SAP Notes, что упрощает процесс устранения уязвимостей и повышает эффективность работы специалистов по безопасности.

«Мы развиваем продукт: SafeERP 4.9.6 становится не только полезным, но и удобным инструментом, а также соответствует всем требованиям в сфере информационной безопасности. Автоматизация рутинных задач, таких как обновление SAP Notes, позволяет нашим заказчикам сосредоточиться на стратегических задачах безопасности», — сказала менеджер продукта SafeERP компании «Газинформсервис» Римма Кулешова.

SafeERP 4.9.6 предлагает ряд улучшений в модулях безопасности, отчетности и анализа кода:

⏺Модернизированный Security Suite получил систему пользовательских отчетов для контроля настроек безопасности и создания индивидуальных отчетов по уязвимостям. Интерфейс модуля «Ландшафт» стал удобнее благодаря расширенным функциям поиска и управления RFC-соединениями.

⏺Система контроля уязвимостей ABAP-кода теперь поддерживает множественный выбор обнаруженных уязвимостей для их групповой обработки, а также получила усовершенствованную систему индикации и теги для более эффективной классификации и анализа.

⏺В Code Security Extension Module добавлены новые сценарии проверки Dockerfile для выявления потенциальных угроз, связанных с выполнением shell-скриптов, использованием нестандартных инструкций и доступом к переменным. Для наглядного представления результатов анализа безопасности внедрены интерактивные дашборды.

⏺Система теперь поддерживает ГОСТ-сертификаты для прокси-серверов и расширяет возможности контроля безопасности кластера «1C» благодаря 11 новым проверкам профилей безопасности. Также улучшена система логирования и добавлен функционал просмотра логов анализа в веб-интерфейсе.

Подробнее о релизе - здесь.
#gis_новости #safeerp

⏺Недавно выявленные критические уязвимости в продуктах SAP (CVE-2024-37190 и CVE-2024-37191) могут затронуть миллионы пользователей по всему миру. Они позволяют злоумышленникам даже без высокой квалификации получить доступ к конфиденциальным данным и бизнес-процессам. Ситуация усугубляется тем, что эксплуатация данных брешей не требует особых навыков.

🗣Как отмечает наш киберэксперт Римма Кулешова, опубликованные уязвимости в продуктах SAP вновь подтверждают, насколько важно не просто своевременно реагировать на инциденты, но и заранее выстраивать системный подход к управлению уязвимостями.

«Критически важно выстраивать проактивную систему управления уязвимостями, реагировать на инциденты постфактум недостаточно. Компании должны сосредоточиться на предотвращении инцидентов. Продукты, такие как SafeERP Security Suite, обеспечивают активный мониторинг уязвимостей (включая CVE), затрагивающих SAP-системы, и предоставляют пользователям удобные инструменты для их выявления и анализа. Такой функционал позволяет оперативно обнаруживать уязвимости на основе сигнатур и сценариев, сопоставляя их с текущей конфигурацией, объектами, кодом и архитектурой SAP-ландшафта».

По словам Кулешовой, особенно важен механизм работы с официальными уведомления от SAP, содержащими описания уязвимостей, инструкции по настройке защиты и исправления (SAP Note):

«Чтобы оперативно реагировать на новые угрозы и сократить время на устранение рисков, необходимо централизованное обновление SAP Note. Это особенно важно, когда вендор, как SAP в данном случае, устраняет уязвимость и выпускает соответствующую рекомендацию или патч. К примеру, SafeERP Security Suite автоматически актуализирует политики безопасности и обеспечивает передачу этих обновлений администраторам системы даже в условиях отсутствия официальной поддержки вендора на территории России и сокращает время на закрытие рисков. Таким образом, даже в случае появления новых уязвимостей организации, использующие SafeERP, имеют возможность находить, оценивать и устранять риски до того, как они будут использованы злоумышленниками».

#gis_новости #safeerp

⏺Компании «Газинформсервис» и РАУ ИТ заключили стратегическое партнерство, чтобы предложить российскому бизнесу безопасное внедрение решений «1С». Фокус сделан на предприятиях с объектами критической информационной инфраструктуры (КИИ), таких как нефтегазовая, топливно-энергетическая и другие отрасли, где требования к информационной безопасности особенно высоки.

В рамках сотрудничества «Газинформсервис» обеспечивает комплексную защиту информации, контроль безопасности ERP-систем, размещенных на платформах «1С». Это позволяет заказчикам обеспечить соответствие информационной безопасности критической информационной инфраструктуры всем требованиям регуляторов, таких как ФСТЭК России.

«Многим предприятиям требуется не только внедрить систему управления предприятием, но и обеспечить безопасность платформы и кода, а также тщательно подойти к вопросу использования и хранения персональных данных, — сказал коммерческий директор РАУ ИТ Эдуард Пржибыш, — Именно поэтому РАУ ИТ больше года привлекает экспертов компании «Газинформсервис» для реализации проектов на объектах с особыми требованиями к информационной безопасности, например, с критической информационной инфраструктурой».

«Защита данных — неотъемлемая часть любого современного проекта, — отметила Римма Кулешова, менеджер продукта SafeERP компании «Газинформсервис». — Наше партнерство с РАУ ИТ позволяет клиентам получить комплексное решение, объединяющее эффективность «1С» с надежной защитой от киберугроз».

#gis_новости #safeerp

⚠️ Злоумышленники развернули криптоджекинг-кампанию, используя уязвимости в популярных DevOps-инструментах, таких как Gitea, HashiCorp Consul и Nomad, а также Docker. Атака направлена на незащищённые конфигурации, позволяющие выполнять произвольный код и получать несанкционированный доступ к ресурсам.

🗣Инженер и киберэксперт компании «Газинформсервис» Роман Шарапов отмечает, что эта кампания демонстрирует, как уязвимости в DevOps-инструментах могут быть использованы для скрытого майнинга:

«Злоумышленники используют несколько векторов атаки. Например, в Gitea они используют уязвимости уровня кода, такие как CVE-2020-14144 (RCE через хуки) и логические ошибки в сессиях администратора. Открытый install endpoint также позволяет сбросить админ-доступ. В HashiCorp Consul атакующие регистрируют сервисы с вредоносными health check, которые выполняют shell-команды. Nomad уязвим из-за открытого API, позволяющего отправлять задания без аутентификации. Наконец, открытый API Docker Engine (порт 2375) даёт злоумышленникам root-доступ к системе. Решения типа SAST/DAST могли бы предотвратить эти атаки.

SAST-решения анализируют код на наличие уязвимостей, а DAST-решения тестируют работающие приложения на наличие уязвимостей в конфигурации. Решение, такое как SafeERP, например, может обнаружить небезопасные хуки в Gitea, открытые/install маршруты, доступ к API Nomad без ACL, выполнение health check через shell в Consul и открытый порт 2375 Docker. Таким образом, использование SAST/DAST-решений позволяет выявить и устранить уязвимости до того, как ими воспользуются злоумышленники».

#gis_новости #safeerp

⚠️ Июньский набор обновлений для продуктов SAP SE выявил тревожную картину: среди 14 закрытых уязвимостей пять проблем разработчик оценил как критические. Особенно критичной названа «дыра», идентифицированная как CVE-2025-42989 (9,6 балла CVSS).

🗣Тимур Цыбденов, ведущий инженер SafeERP компании «Газинформсервис», предупредил, что уязвимость представляет собой не просто баг, а системный провал в архитектуре контроля доступа SAP, позволяющий злоумышленникам получить полный административный контроль над критически важными корпоративными системами.

«Обработка входящих RFC (Remote Function Call) не выполняет необходимые проверки авторизации для аутентифицированного пользователя, что приводит к эскалации привилегий. При успешной эксплуатации злоумышленник может критически повлиять как на целостность, так и на доступность приложения. Уязвимость представляет собой системную угрозу высочайшего уровня в инфраструктуре SAP. Недостаточная проверка авторизации при обработке входящих RFC для аутентифицированных пользователей — это не просто баг, это провал в модели контроля доступа, позволяющий злоумышленнику превратить ограниченные права в полный контроль над системой».

Этот «чёрный ход» работает крайне просто. Злоумышленник с базовым доступом может создать RFC-подключение к целевой системе. Игнорируя истинные полномочия, система выполнит вызов привилегированных RFC-функций, которые должны требовать административных прав, тем самым эскалируя привилегии пользователя без реального их наличия в его профиле.

Атакующий вызывает привилегированные RFC-функции, которые должны требовать административных или специальных прав (S_RFC_ADM, S_RFC с конкретными значениями). Система выполняет вызов, эскалируя привилегии пользователя до уровня, необходимого для функции, без реального наличия у него этих прав в профиле.

Киберэксперт предупреждает, что последствия успешной эксплуатации CVE-2025-42989 могут быть катастрофическими для бизнеса. Мошенники могут полностью захватить контроль, удалять данные, изменять банковские реквизиты, и компрометировать весь ландшафт через распространение атаки на связанные системы.

Полный материал можно найти здесь.
#gis_новости #safeerp

🗣Уже завтра, 27 июня в 11:00 (МСК), в прямом эфире AM Live примет участие наш эксперт Роман Андреенко, руководитель разработки продукта SafeERP компании «Газинформсервис».

Эксперты разберут, как внедрить безопасность в каждую фазу жизненного цикла разработки ПО: от создания модели угроз, разработки концепции продукта и его архитектуры, до контроля секретов, композиционного анализа (SCA), использования сканеров исходного кода (SAST, DAST) и управления уязвимостями. Обсудят рабочие практики, частые ошибки, реальные кейсы и новый российский ГОСТ Р 56939-2024 как каркас зрелости процессов РБПО.

Вопросы для обсуждения:
⏺Как правильно учитывать безопасность в low-code/no-code проектах и при работе с LLM?
⏺Как управлять найденными уязвимостями: процессы, триаж (triage), баг-репорты?
⏺Какие этапы жизненного цикла самые уязвимые — и почему?
⏺Как разработать и учесть модель угроз (Threat Modeling) при разработке ПО?
⏺Как обеспечить контроль доступа к репозиторию исходного кода и среде разработки?
⏺Зачем нужен композиционный анализ программного продукта (SCA, Software Composition Analysis)?
⏺Какие инструменты анализа кода используются: SAST, DAST, IAST — что реально работает?

Требуется регистрация: https://live.anti-malware.ru/am-live/bezopasnaya-razrabotka/#reg
#gis_участвует #safeerp

🗣27 июня наш эксперт Роман Андреенко, руководитель разработки продукта SafeERP компании «Газинформсервис», принял участие в прямом эфире AM Live.

Запись можно посмотреть ниже👇🏻
#gis_участвует #safeerp

⚠️ С 1 марта 2026 года вступает в силу приказ ФСТЭК России № 117, устанавливающий новые, жесткие правила информационной безопасности для государственных информационных систем (ГИС) и подведомственных организаций, в том числе для использования систем искусственного интеллекта (ИИ). Ключевые изменения: обязательный контроль достоверности ИИ и полный запрет на использование облачных решений для обработки критически важной информации.

Приказ № 117, заменяющий приказ № 17 от 11.02.2013, — первый нормативный акт ФСТЭК, детально регламентирующий использование ИИ в сфере ИБ. Он призван создать более зрелую и защищённую архитектуру безопасности, учитывающую стремительное развитие ИИ-технологий. Важную роль в адаптации к новым требованиям играет компания «Газинформсервис».

«Входя в консорциум по исследованию безопасности ИИ и возглавляя рабочую группу по созданию реестра доверенных ИИ-решений, "Газинформсервис" обеспечивает создание основного ориентира для выбора и внедрения ИИ в госсекторе. Решения компании уже сейчас соответствуют обновлённым требованиям ФСТЭК», — подчеркнул заместитель генерального директора – коммерческий директор компании «Газинформсервис» Роман Пустарнаков.

Приказ № 117 устанавливает следующие ключевые требования. Среди них — контроль достоверности ответов ИИ (п. 61), защита ИИ-систем и данных (п. 60), запрет на облачные ИИ-сервисы (п. 61), использование ИИ в мониторинге ИБ (п. 49).

«Даже доверенные ИИ-системы уязвимы: возможны утечки данных, внедрение вредоносного кода и эксплуатация уязвимостей. Мы уже анонсировали платформу BAS SimuStrike для проверки ИИ и его окружения на угрозы. Решения для безопасной разработки ИИ, такие как SafeERP и GIS-Киберполигон, позволяют тестировать модели на этапе создания, оценивая их устойчивость к атакам. А функция выявления недостоверных ответов и настройки сценариев реагирования, включая автоматическую блокировку, реализована с помощью BAS SimuStrike, который имитирует вредоносные запросы», — подчеркнул Роман Пустарнаков.

Для комплексной защиты можно использовать несколько решений нашей компании:
⏺криптографическую платформу Litoria, которая предотвращает несанкционированные изменения данных;
⏺систему управления доступом Ankey IDM, исключающую передачу конфиденциальной информации разработчикам;
⏺многофункциональный комплекс Efros DefOps, обеспечивающий контроль целостности и конфигураций;
⏺и СУБД Jatoba с механизмом обезличивания данных, усиливающую безопасность и защищающую от утечек чувствительной информации.

Новые нормы от ФСТЭК — это не просто очередной виток усиления ИБ, а важный шаг к формированию безопасной и контролируемой среды для ИИ в госсекторе и на объектах КИИ. С одной стороны, это позволит использовать потенциал ИИ для защиты информации. С другой — создает четкие барьеры для рисков, связанных с галлюцинациями, утечками и злоупотреблениями. Государственные организации уже сегодня должны начинать адаптацию, чтобы быть готовыми к марту 2026 года.
#gis_новости #efros_defops #jatoba #ankey_idm #litoria_crypto #safeerp

⚠️ Уход SAP с российского рынка существенно усиливает риски для отечественных компаний, использующих это ПО. Ситуация усугубляется обнаружением 27 новых уязвимостей в июльском обновлении безопасности SAP, среди которых несколько критических (CVSS 10.0).

🗣Тимур Цыбденов, ведущий инженер компании «Газинформсервис», выделяет особо опасную уязвимость CVE-2025-42967, напрямую угрожающую цепочкам поставок. Злоупотребление доверенным механизмом Characteristic Propagation делает атаку скрытой и разрушительной. Уязвимость в функциональности Characteristic Propagation (Распространение Характеристик) в SAP S/4HANA и SAP SCM позволяет привилегированным злоумышленникам внедрять произвольный код под видом легитимных бизнес-отчётов.

Эксперт отметил, что это влечёт существенные риски для бизнеса: затрагивает ключевые компоненты современных SAP-ландшафтов, несёт угрозу кражи всех персональных и конфиденциальных данных и массовой порчи мастер-данных, фальсификации производственных партий и саботаж планирования. Возможна даже остановка производства через сбой распространения характеристик, удаление системных объектов.

Установка патча от SAP не является достаточной мерой защиты. Необходим комплексный подход, включающий немедленную установку патча (SAP Security Note 3618955), строгое ограничение доступа к транзакциям разработки (SE38/SE80), интеграцию с SIEM для мониторинга подозрительной активности и внедрение принципа «белого списка» для отчётов, используемых в Characteristic Propagation. Для упрощения и автоматизации процесса аудита безопасности SAP-систем эксперт предлагает использовать специализированные решения, такие как SafeERP:

«Использование SafeERP Security Suite может значительно упростить задачу по аудиту безопасности SAP-систем. Например, для массовой проверки уязвимых систем проведите аудит пользователей на наличие полномочий на запуск транзакций настройки Characteristic Propagation и транзакций создания ABAP-отчётов или модификации существующих технических отчётов. Также проведите ревью прав всех пользователей с доступом к разработке (S_DEVELOP, S_PROGRAM). После аудита запретите прямой доступ к транзакциям разработки для всех, кроме выделенной группы доверенных разработчиков.

Также при помощи SafeERP вы можете контролировать запуски транзакций разработки. Настройте и запускайте регулярные сканирования SafeERP всех кастомных отчётов (не только новых) на наличие опасных операторов (CALL 'SYSTEM', CALL FUNCTION и др.). Внедрите решение для контроля целостности ABAP-кода SafeERP для детектирования несанкционированных изменений в стандартных и кастомных отчётах. С помощью SafeERP Security Suite вы сможете контролировать целостность RFC-соединений, а также контролировать появление новых RFC-соединений в системе».

#gis_новости #safeerp

⏺Компании "Газинформсервис" и РАУ ИТ заключили стратегическое партнерство, чтобы предложить российскому бизнесу безопасное внедрение решений 1С. Фокус сделан на предприятиях с объектами критической информационной инфраструктуры (КИИ), таких как нефтегазовая, топливно-энергетическая и другие отрасли, где требования к информационной безопасности особенно высоки.

В рамках сотрудничества РАУ ИТ отвечает за интеграцию флагманских продуктов 1С, включая 1С:ERP, 1С:ЗУП КОРП и других. "Газинформсервис" обеспечивает комплексную защиту информации, контроль безопасности ERP-систем, размещенных на платформах 1С. Это позволяет заказчикам обеспечить соответствие информационной безопасности критической информационной инфраструктуры всем требованиям регуляторов, таких как ФСТЭК России.

"Многим предприятиям требуется не только внедрить систему управления предприятием, но и обеспечить безопасность платформы и кода, а также тщательно подойти к вопросу использования и хранения персональных данных — подчеркивает Коммерческий директор РАУ ИТ Эдуард Пржибыш, — именно поэтому РАУ ИТ больше года привлекает экспертов "Газинформсервиса" для реализации проектов с особыми требованиями к информационной безопасности, например, объектов с критической информационной инфраструктурой".

"Защита данных — неотъемлемая часть любого современного проекта, — подчеркивает Римма Кулешова, менеджер продукта SafeERP компании "Газинформсервис". — Наше партнерство с РАУ ИТ позволяет клиентам получить комплексное решение, объединяющее эффективность 1С с надежной защитой от киберугроз".

#gis_новости #safeerp