Материалы по тегу: безопасность

24.09.2020 [15:38], Сергей Карасёв

Ростех сообщил о разработке брандмауэра на базе полностью российского процессорного модуля

На конференции «Цифровая индустрия промышленной России» (ЦИПР-2020) представлен проект отечественного межсетевого экрана нового поколения, который, как ожидается, найдёт широчайшее применение. Решение, техническое проектирование которого уже завершено, создаётся концерном «Автоматика», входящим в государственную корпорацию Ростех.

Речь идёт о разработке полностью российского процессорного модуля со встроенными функциями сетевой безопасности. По словам создателей, речь идёт о продукте класса SSoC (Secured System on Chip) — защищённая система на кристалле. «Мы применили новаторский подход и отошли от принципа "монолитного продукта сетевой безопасности". В нашем решении функции сетевой безопасности размещаются непосредственно в модуле центрального процессорного устройства», — говорится в сообщении.

Сейчас разрабатываются опытные образцы процессорных модулей с функциональностью файрвола. Кроме того, будут созданы отладочные комплекты для прототипирования и настройки различных конфигураций устройств сетевой безопасности. Новый процессорный модуль может стать основой различного сетевого оборудования. Это, в частности, шлюзы для Интернета вещей, полноформатные межсетевые экраны и пр.

«Появление доступного, конкурентоспособного и полностью отечественного продукта станет новым шагом в обеспечении безопасности отечественных телекоммуникационных сетей», — отмечает концерн «Автоматика». К сожалению, никаких технических подробностей о новинке пока нет.

Постоянный URL: http://servernews.ru/1021434
15.09.2020 [16:33], Андрей Крупин

Trend Micro: 39 % работников взаимодействуют с корпоративными данными, используя личные устройства

Более трети (39 %) сотрудников организаций используют личные устройства для удалённого доступа к корпоративным данным, причём зачастую через службы и приложения, размещённые в облаке. Об этом свидетельствует исследование, проведённое компанией Trend Micro Incorporated.

Опросы 13 тысяч удалённых работников в 27 странах показали, что 70 % сотрудников по всему миру подключают корпоративные ноутбуки к домашней сети без использования VPN, чем не только подвергают опасности данные своей компании, но и повышают риск их перехвата злоумышленниками.

Исследование также показало, что более половины (52 %) удалённых работников по всему миру владеют устройствами интернета вещей, подключёнными к домашней сети, а 10 % используют продукты малоизвестных брендов. Многие такие гаджеты, особенно от небольших производителей, отличаются широко известными недостатками, такими как уязвимости прошивки и небезопасная схема входа в систему. Теоретически они могут позволить злоумышленникам попасть в домашнюю сеть и затем использовать незащищённые личные устройства для доступа в корпоративные сети, к которым те подключены.

Trend Micro рекомендует работодателям убедиться, что удалённые работники соблюдают принятую в организации политику безопасности. При необходимости компаниям стоит уточнить эти правила, чтобы упреждать угрозы, возникающие при использования личных устройств в офисах, а также устройств и приложений интернета вещей.

Постоянный URL: http://servernews.ru/1020676
15.09.2020 [13:23], Андрей Крупин

«Лаборатория Касперского» отмечает рост атак на нефтегазовые компании и системы автоматизации зданий

Промышленные системы автоматизации по-прежнему являются объектом повышенного интереса со стороны киберпреступников. Об этом свидетельствует исследование, проведённое специалистами центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT).

Согласно представленным данным, в первые шесть месяцев 2020 года доля атакованных компьютеров выросла по сравнению с предыдущим полугодием с 38% до почти 40% в системах автоматизации зданий и с 36,3% до 37,8% в АСУ ТП нефтегазовой отрасли.

География атак на системы промышленной автоматизации, первое полугодие 2020 года (источник: «Лаборатория Касперского»)

География атак на системы промышленной автоматизации, первое полугодие 2020 года (источник: «Лаборатория Касперского»)

По мнению экспертов, рост атак на компьютеры АСУ ТП в нефтегазовой отрасли может быть связан с появлением множества новых программ-червей, активность которых была особенно высока в Китае и на Ближнем Востоке. Что касается систем автоматизации зданий, то их уязвимым местом является незащищённая сетевая инфраструктура, делающая поверхность атаки больше, чем для систем АСУ ТП. Кроме того, чаще всего такие устройства принадлежат компаниям-подрядчикам и, соответственно, их безопасность хуже контролируется сотрудниками ИБ-отделов нанимающей компании, что опять же облегчает доступ атакующим.

Результаты исследований ландшафта угроз для систем промышленной автоматизации в первом полугодии 2020 года также показали, что основными источниками угроз для компьютеров в технологической инфраструктуре организаций по-прежнему остаются интернет, съёмные носители и электронная почта. Кроме того, угрозы становятся фокусированными, а значит, более разнообразными и сложными. Стало заметно больше семейств бэкдоров, троянцев-шпионов, эксплойтов для Win32 и вредоносного ПО на платформе .NET.

Подробнее с результатами аналитического исследования Kaspersky Lab ICS CERT можно ознакомиться на сайте ics-cert.kaspersky.ru.

Постоянный URL: http://servernews.ru/1020653
14.09.2020 [12:45], Андрей Крупин

Шлюз безопасности Ideco UTM обновился до версии 8.0

Компания «Айдеко» объявила о выпуске новой версии шлюза безопасности Ideco Unified Threat Management 8.0, предназначенного для организации защищённого доступа в Интернет в корпоративных и ведомственных сетях.

Ideco UTM является многофункциональным решением, помимо инструментов для управления трафиком, включающим межсетевой экран (брандмауэр), систему предотвращения вторжений, контентную фильтрацию, контроль приложений, антивирусную проверку трафика, безопасный VPN, модуль отчётов и многое другое. Продукт может быть интегрирован в сеть в качестве шлюза либо прокси-сервера. Поддерживается интеграция с Active Directory, DLP- и SIEM-системами.

В основу восьмой версии шлюза положена новая платформа на основе ядра Linux 5.4.17 и обновлённых системных пакетов. Продукт получил новый веб-интерфейс администрирования, средства маршрутизации по пользователям и группам (а не только IP-адресам и сетям), терминал доступа в веб-интерфейсе (с возможностью выполнения сетевой диагностики командами ping, mtr, host, tcpdump, просмотра логов и др.) и доработанный брандмауэр, в котором новые правила применяются автоматически, без необходимости разрыва установленных соединений — как к текущим, так и к новым соединениям. Также сообщается о новой реализации системы балансировки и резервирования каналов с возможностью работы с любым количеством сетевых подключений к провайдерам. С полным списком изменений можно ознакомиться по ссылке ideco.ru/products/ics/release-history.

Комплекс Ideco UTM зарегистрирован в реестре российского ПО как рекомендованный для закупки российскими компаниями и госструктурами. Решение поставляется на рынок в нескольких редакциях, разнящихся набором поддерживаемых функций и стоимостью.

Постоянный URL: http://servernews.ru/1020555
11.09.2020 [00:29], Владимир Мироненко

Серверы и рабочие станции на Linux — следующая цель хакеров

В связи с ростом популярности платформ с открытым исходным кодом, исследователи «Лаборатории Касперского» предупреждают, что хакеры всё чаще атакуют устройства на базе Linux с помощью инструментов, специально разработанных для использования уязвимостей в платформе.

Windows по-прежнему чаще является объектом массовых атак вредоносного ПО. Но есть и другие примеры, когда дело доходит до сложных угроз (APT), и когда атакующий — зачастую спонсируемая государством группа хакеров — налаживает длительное присутствие в сети.

По словам «Лаборатории Касперского», эти злоумышленники всё больше диверсифицируют свои арсеналы, добавляя инструменты для взлома Linux, расширяя тем самым перечень систем, на которые они могут нацеливаться. Многие организации выбирают Linux для стратегически важных серверов и систем. В связи со «значительной тенденцией» к использованию Linux в качестве десктопной платформы крупными предприятиями, а также государственными органами, злоумышленники, в свою очередь, разрабатывают всё больше вредоносных программ для этой платформы.

«Тенденция к совершенствованию наборов инструментов APT в прошлом неоднократно фиксировалась нашими экспертами, и инструменты, ориентированные на Linux, не являются исключением», — отметил Юрий Наместников, руководитель группы глобальных исследований и анализа «Лаборатории Касперского» в России. «Стремясь защитить свои системы, ИТ-отделы и отделы безопасности используют Linux чаще, чем раньше. Злоумышленники реагируют на это созданием сложных инструментов, способных проникнуть в такие системы», — добавил он.

По данным «Лаборатории Касперского», более десятка APT-атакующих использовали вредоносные программы для Linux или некоторые модули на базе Linux. В их числе вредоносные программы LightSpy и WellMess, обе нацелены на устройства на Windows и Linux. Также было обнаружено, что вредоносное ПО LightSpy позволяет атаковать устройства на iOS и Mac. Хотя целевые атаки на системы на базе Linux по-прежнему редки, для желающих их произвести имеется целый набор веб-шеллов, бэкдоров, руткитов и пользовательских эксплойтов.

Аналитики также предположили, что небольшое количество зарегистрированных атак не отражает степень опасности, которую они представляют, указав, что компрометация отдельного сервера на Linux «часто приводит к серьёзным последствиям», поскольку вредоносное ПО распространялось по сети на конечные точки под управлением Windows или macOS, «тем самым обеспечивая более широкий доступ для злоумышленников, который может остаться незамеченным».

Например, влиятельная русскоязычная группа хакеров Turla за последние годы значительно усовершенствовала свой набор инструментов, включив использование бэкдоров Linux. По словам «Лаборатории Касперского», новая модификация бэкдора Penguin x64 Linux, о которой сообщалось ранее в 2020 году, уже затронула десятки серверов в Европе и США.

Ещё один пример — северокорейская APT-группировка Lazarus, которая продолжает диверсифицировать свой набор инструментов и разрабатывать вредоносное ПО не только для Windows, но и для других операционных систем. «Лаборатория Касперского» недавно сообщила о мультиплатформенном вредоносном фрейворке MATA, который использует Lazarus, а в июне 2020 года исследователи проанализировали новые образцы, связанные с операциями Operation AppleJeus и TangoDaiwbo, запущенными в финансовых и шпионских целях. Изученные образцы включали вредоносное ПО для Linux.

Для снижения риска того, что системы на Linux станут жертвами атак, рекомендуется принять ряд мер, включая такие простые шаги, как обеспечение правильной настройки брандмауэров и блокирование неиспользуемых портов, автоматизация обновлений безопасности и использование специального решения безопасности с защитой Linux.

Организации должны дополнительно вести учёт надёжных источников программного обеспечения и избегать использования незашифрованных каналов обновления; применять SSH-аутентификацию на основе ключей и защищать ключи паролями; использовать двухфакторную аутентификацию и применять аппаратные токены. Также следует избегать запуска бинарников и скриптов из ненадёжных источников.

«Мы советуем специалистам по кибербезопасности учитывать эту тенденцию и внедрять дополнительные меры для защиты своих серверов и рабочих станций», — сообщил Наместников.

Постоянный URL: http://servernews.ru/1020360
08.09.2020 [12:15], Андрей Крупин

Защитные решения Dr.Web для UNIX и Linux подверглись существенным доработкам

Компания «Доктор Веб» сообщила об обновлении защитных решений Dr.Web для интернет-шлюзов, почтовых и файловых серверов UNIX, а также рабочих станций под управлением Linux.

Выпуск апдейтов обусловлен добавлением новых функциональных возможностей, внесением улучшений и исправлением выявленных в коде продуктов ошибок.

Доработкам подверглись сканирующий, антиспамовый, конфигурационный, статистический и прочие модули. Разработчики повысили уровень защищённости продуктов, устранили проблему с функционированием Dr.Web на компьютерах под управлением Astra Linux, добавили новый компонент drweb-urlcheck, оптимизировали модуль логирования системных сообщений. Также сообщается о реализации поддержки OpenSSL 11.1.1, добавлении поддержки новых версий Samba — 4.11 и 4.12, устранении ошибки, возникавшей при обработке писем размером более 64 Мбайт, и прочих улучшениях.

Во избежание проблем с информационной безопасностью UNIX-серверов и узлов корпоративной сети рекомендуется произвести установку выпущенных компанией «Доктор Веб» пакетов обновлений.

Выполнить обновление защитных решений можно через систему обновлений Dr.Web.

Постоянный URL: http://servernews.ru/1020103
04.09.2020 [11:48], Владимир Мироненко

Большую часть оборудования Интернета вещей легко взломать: изолента — не лучшая защита

Подавляющее большинство оборудования Интернета вещей в домах и офисах уязвимо для атак, позволяющих легко взять устройства под контроль и манипулировать ими в злонамеренных целях, заявил Марк Роджерс (Marc Rogers), белый хакер и исполнительный директор по кибербезопасности компании Okta.

На виртуальной конференции Disclosure он заявил, что немногие производители устройств или исследователи в области безопасности уделяют этому вопросу столько же внимания, сколько уязвимостям программного обеспечения. Роджерс охарактеризовал большую часть оборудования Интернета вещей, как имеющую очень слабую защиту от атак, направленных на извлечение секретных данных из прошивки устройств.

Роджерс утверждает, что он смог получить полный root-доступ, включая возможность перепрошивки ПО, на 10 из 12 устройств, которые он тестировал. По его словам, большинство из них удалось взломать менее чем за пять минут. Среди протестированных им продуктов были домашние маршрутизаторы, коммутаторы, устройства считывания карт доступа и другие подобные устройства, подключённые к Интернету.

Проблема со всеми устройствами Интернета вещей заключается в том, что большая часть конфиденциальной информации об устройстве, включая сертификаты, ключи и протоколы связи, обычно хранится в плохо защищенной флеш-памяти. Роджерс пояснил, что любой, у кого есть доступ к IoT-устройству и некоторые базовые знания о взломе оборудования, может легко получить доступ к прошивке для поиска данных, включая уязвимости, которые потенциально могут позволить ему производить атаки на аналогичные устройства без физического доступа.

По словам Роджерса, методы, которые он использовал для взлома этих устройств, хорошо известны и существуют давно. Он рассказал о нескольких из них, доступных хакерам для извлечения конфиденциальной информации из устройства IoT и получения контроля над ней способом, не предусмотренным производителем устройства.

Один из самых простых способов взлома — получить доступ к UART, последовательному интерфейсу, который, помимо прочего, используется для отчётов о диагностике и отладке во всех продуктах Интернета вещей. Злоумышленник может использовать UART для получения root-доступа к консоли IoT-устройства, а затем загрузить прошивку, чтобы получить данные и проверить наличие слабых мест.

Второй, немного более сложный путь — через JTAG, интерфейс на уровне микроконтроллера, который используется для различных целей, включая тестирование интегральных схем и программирование флеш-памяти. Злоумышленник, имеющий доступ к JTAG, тоже может изменить флеш-память, получить доступ к инструментам отладки и извлечь конфиденциальную информацию об устройстве. Как полагает Роджерс, производители могут предпринять шаги, чтобы заблокировать JTAG, и они действительно делают это для некоторых современных устройств, но большинство из них по-прежнему не считают это необходимым.

Исследователь назвал дилетантскими попытки производителей усложнить доступ к UART и другим интерфейсам. В качестве одного из примеров Роджерс указал на производителя устройств Интернета вещей, который замаскировал интерфейс UART под порт HDMI. Он привел ещё один пример, когда интерфейс микроконтроллера, в котором хранится главный ключ для широко используемого устройства чтения карт доступа, был закрыт куском изоленты.

Как в случае, когда пристальное внимание исследователей безопасности к интеллектуальным автомобильным технологиям способствует их улучшению, необходимо уделять такое же внимание проблемам оборудования Интернета вещей, считает Марк Роджерс.

Постоянный URL: http://servernews.ru/1019838
03.09.2020 [10:32], Андрей Крупин

Вышло обновление Dr.Web Enterprise Security Suite 12.0 с исправлением ошибок

Компания «Доктор Веб» сообщила о выпуске пакета обновлений для программного комплекса Dr.Web Enterprise Security Suite 12.0, обеспечивающего централизованную защиту всех узлов корпоративной сети — рабочих станций, почтовых, файловых серверов и серверов приложений, включая терминальные, интернет-шлюзов и мобильных устройств сотрудников.

Доработкам подверглись модули SpIDer Agent for Windows, Protection for Windows, File System Monitor, ES Service, Net Filtering Service, Scanning Engine, Firewall for Windows, Shell Extension и прочие компоненты.

Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений. В частности, были устранены проблемы в работе антивирусного сканера, скорректированы параметры пакетного фильтра брандмауэра, оптимизированы алгоритмы обработки временных почтовых файлов при использовании протокола IMAP и исправлены ошибки, приводившие к невозможности удалённой деинсталляции агентов на рабочих станциях. Также сообщается о повышении безопасности работы модуля самозащиты.

Защитный комплекс Dr.Web Enterprise Security Suite включён в реестр российского ПО и может применяться в органах безопасности и иных государственных ведомствах. Подробная информация о продукте представлена на сайте products.drweb.ru/enterprise_security_suite.

Постоянный URL: http://servernews.ru/1019778
02.09.2020 [23:39], Алексей Степин

В IT-инфраструктуре NASA творится бардак: инспекция снова выявила неудовлетворительный уровень информационной безопасности

Космические полёты и исследования — одна из самых наукоёмких отраслей человеческой деятельности, которая совершенно естественно использует и информационные технологии. Но если раньше, когда «компьютеры были большими», вопрос ИТ-безопасности не стоял, то сейчас, когда в том же NASA используется великое множество смартфонов, планшетов или ноутбуков, ситуация складывается иначе. И отчёт Управления Генеральной Инспекции (OIG) свидетельствует о высоком риске информационных утечек.

Стратегия NASA по обеспечению ИТ-безопасности

Стратегия NASA по обеспечению ИТ-безопасности

Причина такого риска проста: помимо собственной ИТ-инфраструктуры, сотрудники NASA, как, в общем-то, и везде в современном мире, активно пользуются мобильными устройствами и далеко не всегда исключительно для личных, не связанных с работой целей. Хотя доступ с личных устройств в сети агентства и запрещён правилами, но в этих правилах встречаются исключения и в некоторых случаях для проверенных и одобренных устройств доступ к email-системе NASA может быть разрешён.

Некоторые партнёры агентства, в зависимости от соглашения, также могут использовать собственные ИТ-устройства для доступа в коммерческие сегменты сетей NASA или даже в сегменты, связанные непосредственно с проводимыми космическими миссиями. Однако, как сообщает OIG, годами в NASA практиковался допуск в непубличную часть сетей с неавторизованных устройств, как личных, так и принадлежащих партнёрам агентства.

...однако внедрение ряда мер весьма запаздывает

...однако внедрение ряда мер весьма запаздывает

Один из пиков конфликта пришёлся на апрель 2018 года, когда директор по информационным технологиям (Chief Information Officer) утвердил запрет на подключение подобных устройств к сетям NASA, обозначив их как «unauthorized devices». Однако сам ИТ-отдел отреагировал на это негативно, заявив, что столь строгая политика мешает работе. Конфликт был урегулирован в октябре того же года, и партнёры NASA всё-таки смогли получить доступ к закрытым сетям при условии установки программного обеспечения Mobile Device Management (MDM).

Но свежий отчет Управления Генеральной Инспекции, опубликованный конце лета, выявил, что меры, предпринимаемые NASA для обеспечения сетевой безопасности, недостаточны и выполняются зачастую формально. В частности, развёртывание средств мониторинга сетевых подключений со стороны устройств, агентству не принадлежащих, не полностью предусматривает возможность отключения и блокировки подозрительных устройств от сети. Полное развёртывание такой системы было запланировано на декабрь 2019 года, но с тех пор неоднократно откладывалось как по техническим причинам, так и из-за смены приоритетов в работе ИТ-отдела NASA.

Процесс использования MDM не назовёшь простым. Неудивительно, что он «мешает работе»

Процесс использования MDM не назовёшь простым. Неудивительно, что он «мешает работе»

Мониторинг и автоматическое применение правил безопасности полностью не внедрены и сейчас, поскольку они даже не были запланированы изначально в проекте MDM. В итоге данные NASA, не предназначенные для публики, признаны находящимися под угрозой утечки, а сети признаны уязвимыми для взлома с целью внедрения вирусов, червей и прочего ПО подобного рода.

Хотя отчёт OIG и отмечает, что ситуация с кибербезопасностью в NASA улучшилась в сравнении с 2018 и 2019 годами, но также отмечается и неудовлетворительная координация между центральным ИТ-отделом агентства и его периферийными собратьями. Из-за этого необходимые средства обеспечения кибербезопасности внедряются крайне неравномерно и не всегда отвечают «требованиям на местах».

Рекомендации OIG довольно логичны, первым пунктом в них названа необходимость внедрения единой системы средств сетевой безопасности, мониторинга и блокировки несанкционированного доступа. Политику кибербезопасности NASA рекомендовано пересмотреть, определить единый набор правил и спецификаций MDM и привести всё в соответствии со стандартом NIST SP 800-124. Прислушается ли космическое агентство США к этим требованиям, неизвестно, поскольку случай подобной халатности не первый, и подобное небрежение ИТ-безопасностью отмечалось ещё около 10 лет назад. Полностью с отчётом можно ознакомиться по этой ссылке.

Постоянный URL: http://servernews.ru/1019753
02.09.2020 [17:44], Андрей Крупин

Сканер безопасности RedCheck дополнился средствами аудита АСУ ТП

Компания «Алтэкс-Софт» сообщила о выпуске новой версии системы мониторинга защищённости IT-инфраструктуры предприятия RedCheck 2.6.5.

RedCheck является флагманским продуктом компании «Алтэкс-Софт». Созданное отечественным разработчиком решение представляет собой средство анализа защищённости, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Программа определяет уязвимости операционных систем, СУБД, платформ виртуализации и приложений, потенциально опасные настройки, осуществляет оценку соответствия требованиям политик и стандартов, контроль целостности, инвентаризацию оборудования и программного обеспечения, формирует подробные отчёты.

Обновлённая версия RedCheck 2.6.5 дополнилась инструментами аудита в режиме «Пентест» (тестирование на проникновение) и проведения проверок на наличие уязвимостей компонентов SCADA-систем в автоматизированных системах управления технологическими процессами (АСУ ТП). Кроме того, программный комплекс получил усовершенствованную административную веб-консоль, улучшенные средства логирования и аудита Unix-систем, обновлённую базу сигнатур OVAL и прочие доработки.

Подробные сведения о продукте представлены на сайте redcheck.ru.

Постоянный URL: http://servernews.ru/1019735
Система Orphus