Материалы по тегу: информационная безопасность

27.05.2020 [23:54], Владимир Мироненко

Рост хакерских атак на облачные сервисы для совместной работы превысил 1000 %

Связанные с пандемией COVID-19 ограничения властей на перемещение рабочей силы по всему миру вынудили компании адаптироваться к новым условиям. Немедленным ответом стало внедрение и интеграция облачных сервисов. В особенности облачных инструментов для совместной работы, таких как Microsoft Office 365, Slack и платформы для видеоконференций.

В новом докладе компании McAfee, специализирующейся на кибербезопасности устройств и облака, отмечено, что хакеры сейчас сосредоточились на нарушениях, связанных с использованием облачных учётных записей.

Robertiez / Getty Images

Robertiez / Getty Images

Проанализировав данные об использовании облачных вычислений за январь–апрель 2020 года более чем 30 млн корпоративных пользователей своей платформы мониторинга безопасности MVISION Cloud, компания оценивает рост использования облачных сервисов во всех отраслях в 50 %. Вместе с тем в некоторых отраслях наблюдался гораздо больший рост, например, в обрабатывающей промышленности — на 144 %, в сфере образования — на 114 %.

Особенно высоким был рост применения некоторых инструментов для совместной работы и видеоконференций. Использование Cisco Webex выросло на 600 %, Zoom — на 350 %, Microsoft Teams — на 300% и Slack — на 200 %. Опять же, здесь тоже лидируют производство и сфера образования. Рост распространения облачных сервисов создаёт вместе с тем повышенные риски для безопасности.

Согласно данным McAfee, трафик от неуправляемых устройств к корпоративным облачным учётным записям удвоился. За этот же период число внешних угроз, нацеленных на облачные сервисы, увеличилось на 630 %, причём наибольшее число атак было направлено на платформы для совместной работы.

В своём отчёте McAfee разделила подозрительные попытки входа в систему и получения доступа на две категории: «чрезмерно большое использование из аномального местоположения» и «подозрительно сверхъестественное». В обеих категориях наблюдался похожий рост за анализируемый период. Первая категория предназначена для учёта успешных входов из местоположений, которые не совсем обычны с учётом профиля организации, после чего пользователь получает доступ к большим объёмам данных или выполняет большое количество привилегированных задач.

Ко второй категории относятся входы одним и тем же пользователем из двух географически удалённых мест в течение короткого периода времени. Например, если один и тот же пользователь входит в сервис из одной страны, а затем через несколько минут получает доступ к сервису, используя IP-адрес в другой стране.

Наибольший рост угроз наблюдался в транспортной индустрии и логистике, достигнув 1350 %. За ними следует сфера образования с ростом угроз в размере 1114 %, правительственные организации — 773 %, производство — 679 %, финансовые услуги — 571 % и энергетика — 472 %. В первую десятку источников внешних атак на корпоративные облачные учётные записи по расположению IP-адресов вошли Таиланд, США, Китай, Индия, Бразилия, Россия, Лаос, Мексика, Новая Каледония и Вьетнам. 

Также отмечено, что за последние годы значительно выросло число атак, когда преступники используют списки «утёкших» или похищенных комбинаций имени пользователя и пароля для получения доступа к учётным записям. В докладе, опубликованном в этом году, компания Akamai, занимающаяся вопросами безопасности и доставки контента, сообщила, что за период с декабря 2017 года по ноябрь 2019 года ею было зафиксировано 85,4 млрд атак против организаций по всему миру, использующих неправильное обращение с учётными данными. Из них 473 млн атак было направлено на финансовый сектор.

Чтобы лучше защитить облачные учётные записи своих сотрудников и предотвратить несанкционированный доступ, McAfee рекомендует компаниям внедрить облачные шлюзы безопасности.

Постоянный URL: http://servernews.ru/1012026
27.05.2020 [15:16], Андрей Крупин

Вышла новая версия защитного решения ESET Endpoint Antivirus для Linux

Компания ESET объявила о выпуске новой версии программного решения Endpoint Antivirus 7 для Linux, обеспечивающего комплексную защиту корпоративных рабочих станций от киберугроз.

Ключевой особенностью обновлённого ESET Endpoint Antivirus для Linux стала микросервисная архитектура. Благодаря этому продукт работает стабильнее, поскольку компоненты запускаются по мере необходимости, а сбой одного из них не выводит из строя все приложение. За счёт этого сохраняется производительность рабочей станции.

В числе прочих изменений нового решения называются доработанные средства защиты от вредоносного ПО, поддержка облачной технологии обнаружения цифровых угроз LiveGrid и совместимость с консолью централизованного управления продуктами ESET — Security Management Center. Кроме того, в обновлённом Endpoint Antivirus 7 для Linux отсутствует графический интерфейс: пользователи получают только всплывающие уведомления, которые отображаются при обнаружении угрозы и запуске автоматического сканирования съёмного носителя.

Продукт предназначен для защиты данных организации любого масштаба. Более подробную информацию о пакете ESET Endpoint Antivirus для Linux можно получить на сайте esetnod32.ru/business/products/linux.

Постоянный URL: http://servernews.ru/1011985
22.05.2020 [16:43], Алексей Степин

Новая сетевая атака NXNSAttack может затрагивать все DNS-резолверы

В последнее время всё чаще слышно о различных сетевых атаках: на RDP, разработчиков методов борьбы с коронавирусом и даже на суперкомпьютеры.

Израильские учёные из Тель-Авивского университета и Междисциплинарного центра в Герцлии опубликовали ещё один метод, позволяющий использовать в качестве атакующего средства DNS-резолверы.

Службы DNS, как известно, используются в сетях для получения информации о доменах, например, для получения IP-адреса по имени хост-системы. Однако согласно опубликованному исследованию, именно DNS-резолверы можно использовать и в качестве так называемых «усилителей трафика»: на каждый отправленный запрос резолвер может отправить в сторону системы-жертвы до 1621 запроса. В пересчёте на трафик коэффициент усиления может достигать 163.

Проблема лежит в особенностях функционирования самого протокола и затрагивает все серверы DNS, поддерживающие рекурсивную обработку запросов:

Угрозу могли представлять и публичные DNS-службы ICANN, Google, Cloudflare, Amazon, Oracle (DYN), Verisign и Quad9. Они, к счастью, уже избавились от этой проблемы. 

Основана атака NXNSAttack на использовании запросов, ссылающихся на фиктивные NS-записи, но без указания glue-записей с данными об IP-адресах. Если упоминаемый NS-сервер не встречался ранее, и его IP не указан, резолвер пытается определить адрес, запрашивая DNS-сервер жертвы, обслуживающий целевой домен (victim.com на приведённой диаграмме).

Атакующий способен выдать список не повторяющихся случайных NS-записей с несуществующими именами поддоменов для серверов. Резолвер будет безуспешно пытаться получить от них ответ и переберёт все перечисленные атакующей стороной записи, а от потока запросов, разумеется, пострадает DNS-сервер жертвы.

Интересно, что «степень усиления» различна для разных служб: для Google и OpenDNS это 30 раз и 32 раза соответственно. Не так уж много на фоне Norton ConnectSafe, у которого это целых 569 раз.

Исследователи предлагают и стратегии защиты. Для систем с DNSSEC это использование стандарта RFC-8198, не позволяющее обходить кеш DNS. Более простой способ заключается в ограничении числа имён, определяемых при обработке одного делегированного запроса.

Подробная информация содержится в опубликованном израильскими специалистами документе. Для защиты предлагается либо ограничить длину списка для обхода в рамках одного запроса, либо воспользоваться RFC-8198 при наличии DNSSEC.

Постоянный URL: http://servernews.ru/1011630
21.05.2020 [15:17], Андрей Крупин

«Ростелеком-Солар» запустил услугу по проверке готовности компаний к целевым кибератакам

Работающая в сфере информационной безопасности (ИБ) компания «Ростелеком-Solar» запустила услугу Red Teaming, в рамках которой осуществляется имитация кибератак на IT-инфраструктуру заказчика с последующим анализом эффективности используемых средств защиты.

В ходе Red Teaming специалисты «Ростелеком-Солар» применяют специальные методики, используемые злоумышленниками при APT-атаках, а также собственные наработки, создаваемые «с нуля» под конкретные задачи заказчика. Работы могут проводиться как на существующей IT-инфраструктуре клиента, так и на копирующем её тестовом полигоне.

Источник фото: Shutterstock

Источник фото: Shutterstock

Услуга Red Teaming позволяет проверить фактическую готовность организаций к отражению атак и может быть востребованной среди крупных компаний (банков, предприятий ТЭК, госструктур и других), которые представляют интерес для больших хакерских группировок.

«В отличие от классического тестирования на проникновение (пентеста), который нацелен только на выявление уязвимостей, цель Red Teaming — проверка подготовленности службы ИБ заказчика к реальной кибератаке. Команда атакующих в этом случае имеет больший временной запас и не ограничена в средствах достижения цели, что позволяет ей максимально точно имитировать действия злоумышленника», — говорится в сообщении компании «Ростелеком-Солар».

Постоянный URL: http://servernews.ru/1011525
18.05.2020 [17:05], Андрей Крупин

ФСТЭК России сертифицировала ESET NOD32 Secure Enterprise Pack 6

Компания ESET сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на защитный комплекс NOD32 Secure Enterprise Pack версии 6.

Выданный ведомством сертификат допускает использование продукта для защиты информационных систем персональных данных (ИСПДн) до класса К1 и конфиденциальной информации в автоматизированных системах (АС) до класса 1Г в части построения антивирусных систем любого масштаба.

Сертификат распространяется на следующие компоненты решения: средство для защиты рабочих станций Endpoint Antivirus 7.1, файловых серверов File Security for Microsoft Windows Server 7.1 и почтовых серверов Mail Security for Microsoft Exchange Server 7.1, а также на инструментарий централизованного управления Remote Administrator 6.5.

Сертификат соответствия ФСТЭК России действителен до 4 февраля 2025 года. Дополнительные сведения о программном решении можно найти на сайте esetnod32.ru/business/certified/sep.

Постоянный URL: http://servernews.ru/1011218
18.05.2020 [12:41], Андрей Крупин

«Ростелеком-Солар»: около 70 % корпоративных веб-приложений содержат уязвимости высокой степени риска

Уровень защиты современных корпоративных интернет-систем от хакерских атак по-прежнему остаётся крайне низким и оставляет желать лучшего. Об этом свидетельствует исследование компании «Ростелеком-Солар», проанализировавшей защищённость веб-приложений организаций государственного и банковского сектора, сферы производства, информационных технологий, IT-безопасности и других.

Проведённая специалистами «Ростелеком-Солар» экспертиза показала, что около 70 % исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным предприятий и пользователей, а также совершать в уязвимых онлайн-сервисах различные операции.

В частности, выяснилось, что почти 70 % веб-приложений оказались подвержены IDOR-уязвимостям (Insecure Direct Object References — небезопасные прямые ссылки на объекты). Более 50 % веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что даёт киберпреступникам возможность провести атаки типа XSS (Cross-Site Scripting — межсайтовое выполнение сценариев). Ещё 30 % уязвимостей связаны с возможностью удалённого внедрения SQL-кода.

С полной версией исследования «Ростелеком-Солар» можно ознакомиться по адресу rt-solar.ru.

Постоянный URL: http://servernews.ru/1011184
13.05.2020 [00:43], Юрий Поздеев

Эпоха паролей по умолчанию для серверного и сетевого оборудования уходит в прошлое

В 2020 году в Калифорнии вступил в силу новый закон, который имеет глобальные последствия для ИТ-экосистем. В первую очередь закон касается устройств, которые могут быть подключены к сети, теперь они должны обладать достаточной безопасностью по умолчанию.

Другими словами, время классических логинов/паролей ADMIN/ADMIN на серверах Supermicro или root/calvin для Dell окончательно ушло.

В 2018 году Калифорния приняла законопроект номер 327 (SB327), который, в частности, устанавливает новые требования для подключенных устройств, к которым возможен доступ не только из локальной сети. Они сводятся к двум основным правилам: а) заводской пароль должен быть уникальным для каждого изготовленного устройства; б) при первом использовании устройство должно требовать смены заводского пароля на пользовательский перед тем, как будут доступны все остальные фукнции.   Естественно, что производители серверного и сетевого оборудования не будут делать отдельную серии для Калифорнии, а распространят ее на все выпускаемые устройства.

Большинство поставщиков серверов уже выполняют первый пункт, генерируя случайные пароли для каждого экземпляра устройства. Некоторые производители давно по собственной инициативе придерживаются данной практики. Например, на серверах HPE уникальные пароли для iLO есть в нескольких последних поколениях.

На серверах для этого часто используется специальный пластиковый ярлык, спрятанный на передней панели, на котором напечатана вся необходимая информация. Шрифт используется достаточно мелкий, поэтому у некоторых пользователей может возникнуть проблема со считыванием пароля, особенно если серверная плохо освещена. 

Как всегда, больше всего проблем будет в переходный период, т.к. многие пользователи будут помещать оборудование в стойку, надеясь потом зайти на него, используя стандартные логин и пароль, однако они не подойдут и придется снова идти в серверную, фотографировать ярлык с паролем на каждом сервере и коммутаторе, чтобы иметь возможность подключиться к ним удалённо.

Определенно, использование уникальных паролей для серверов и сетевых устройств это большой шаг вперед в плане безопасности, т.к. многие пользователи не меняют эти пароли, оставляя таким образом огромную брешь в безопасности своей инфраструктуры, однако у любой медали две стороны и ради безопасности придется пожертвовать некоторым удобством ввода в эксплуатацию новых систем.

Постоянный URL: http://servernews.ru/1010730
08.05.2020 [16:52], Андрей Крупин

Система выявления инцидентов ИБ MaxPatrol SIEM получила оптимизированный движок

Компания Positive Technologies объявила о выпуске новой версии программного комплекса MaxPatrol SIEM 8, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.

MaxPatrol SIEM дает полную видимость корпоративной IT-инфраструктуры. Платформа собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.

Ключевой особенностью обновлённого MaxPatrol SIEM 8 стала оптимизированная архитектура продукта. За счёт доработки программных алгоритмов и системных модулей специалистам Positive Technologies удалось на 30% увеличить скорость работы SIEM-комплекса в режиме контроля соответствия стандартам (Compliance). Кроме того, была существенно ускорена работа платформы при взаимодействии с большими объёмами данных и формировании отчётов. В новый релиз также вошли дополнительные функциональные возможности, которые призваны упростить работу с продуктом и уменьшить ручную настройку решения.

С подробной информацией о системе выявления инцидентов ИБ MaxPatrol SIEM можно ознакомиться на сайте ptsecurity.com/products/mpsiem.

Постоянный URL: http://servernews.ru/1010496
27.04.2020 [17:23], Юрий Поздеев

Cisco: сотрудникам предприятий приходится обходить системы информационной безопасности

Компания Cisco провела опрос более чем 2000 офисных сотрудников различных предприятий из Европы, Африки, Ближнего Востока и России, направленный на определение их грамотности в области информационной безопасности (ИБ).

Результаты опроса действительно интересные: так, например, выяснилось, что в России более 65% сотрудников приходится обходить системы безопасности, чтобы просто выполнять свою работу.

При этом результаты опроса по всему региону EMEAR (Европа, Африка, Ближний Восток и Россия) отличаются - 77% и 23%, соответственно.

Ответы на вопрос о том, как осуществляется доступ к необходимым для работы приложениям

Как осуществляется доступ к необходимым для работы приложениям

тветы на вопрос о том, с какими угрозами ИБ сталкивалась их организация или их коллеги по рынку

С какими угрозами ИБ сталкивалась их организация или их коллеги по рынку

Среди наименее известных угроз для сотрудников были отмечены следующие: DDoS атаки, злоумышленники внутри организации, программы вымогатели.

Глава Консультационной комиссии директоров по информационной безопасности, подразделение Cisco Security, Уэнди Натер, прокомментировал результаты исследований: «Если система безопасности неудобна и вызывает сложности при работе, то сотрудники находят способы, чтобы ее обойти. Трудно в таком случае ожидать, что они не нанесут ущерб своей организации, ведь чаще всего они не осознают риски, с которыми сталкиваются. Поэтому компаниям необходимо внедрять системы, работающие по принципу «нулевого доверия», с простым унифицированным интерфейсом»

Постоянный URL: http://servernews.ru/1009532
19.04.2020 [00:21], Владимир Мироненко

CloudFlare поможет оценить BGP-безопасность интернет-провайдеров

Многие операторы являются незащищёнными от атак злоумышленников, использующих BGP-анонсы подсетей с фиктивными сведениями о маршруте для компрометации инфраструктуры провайдеров. Благодаря этому хакеры перенаправляют и перехватывают трафик для подмены сайтов.

Компания Cloudflare запустила сайт isBGPSafeYet.com, позволяющий выявить проблемных операторов, которые пренебрегают безопасностью и не применяют технологии фильтрации некорректных BGP-маршрутов.

uk.wikipedia.org

uk.wikipedia.org

В связи с переходом многих компаний на удалённый режим работы из-за пандемии коронавируса особенно важна поддержка сетей в рабочем состояниии. В частности, в начале апреля из-за ошибочного BGP-анонса более 8870 сетевых префиксов были направлены через сеть Ростелекома, что привело к временному коллапсу маршрутизации и проблемам с доступом к некоторым сервисам по всему миру. 

Чтобы снять проблему, интернет-провайдерам и другим крупным интернет-игрокам предлагается внедрить систему авторизации BGP-анонсов на основе системы сертификации RPKI (Resource Public Key Infrastructure), позволяющей определить, является ли BGP-анонс фальшивым или нет.

Использование RPKI для автономных систем и IP-адресов позволяет построить цепочку доверия. Следует отметить, что большинство провайдеров пока так и не внедрило RPKI. И главная цель запуска isBGPSafeYet.com заключается в том, чтобы привлечь внимание к этой проблеме.

Постоянный URL: http://servernews.ru/1008815
Система Orphus