Материалы по тегу: positive technologies

16.11.2020 [17:35], Андрей Крупин

Хакеры стали активнее атаковать медучреждения и индустриальные компании

Количество кибератак на промышленный сектор и организации сферы здравоохранения в последнее время существенно выросло. Об этом свидетельствует исследование, проведённое компаниями Positive Technologies и Microsoft.

По данным экспертов, в третьем квартале 2020 года каждая десятая атака была направлена на медучреждения. При этом половину всех инцидентов составили атаки шифровальщиков, которые спекулировали данными пациентов, лишали больницы возможности работать, отрезая доступ к информационным системам, листам назначений и осмотров. Атакам подвергались также исследовательские центры, которые занимаются разработкой вакцины от коронавируса.

Индустриальные компании, на долю которых пришлось 11% от общего числа атак, также в основном подвергались атакам со стороны шифровальщиков и APT-группировок, таких как Maze, Sodinokibi, Netwalker, Nefilim, DoppelPaymer, Snake, RansomEXX, Conti. Не остался без внимания злоумышленников интернет вещей: в первой половине 2020 года число атак в данном сегменте увеличилось на 35% по сравнению со второй половиной 2019 года.

Тренд на постоянное увеличение числа атак программ-вымогателей отмечают эксперты обеих компаний. По информации Positive Technologies, если в первом квартале 2020 года доля шифровальщиков в атаках на организации с использованием вредоносного ПО составляла 34%, то в третьем квартале она достигла 51%. При этом киберпреступники тщательно выбирают дату осуществления атаки — например, в праздничные дни или в конце финансового квартала, когда организациям сложнее оперативно отреагировать на вторжение.

Постоянный URL: http://servernews.ru/1025501
13.08.2020 [16:57], Андрей Крупин

84 % российских компаний имеют уязвимости в сетевой инфраструктуре

Защита периметра сетевой IT-инфраструктуры большинства отечественных организаций оставляет желать лучшего. Об этом свидетельствует исследование, проведённое компанией Positive Technologies.

Согласно представленным Positive Technologies сведениям, в сетях 84 % российских организаций выявлены бреши высокого уровня риска, причём в 58 % компаний имеется хотя бы один узел с критической уязвимостью, для которой существует общедоступный эксплойт. Более чем в половине предприятий внешние ресурсы содержат уязвимости, связанные с выполнением произвольного кода или повышением привилегий.

Источник: Positive Technologies

Источник: Positive Technologies

Как сообщается в исследовании, в каждой четвертой организации (26 %) на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP, что подвергает корпоративную IT-инфраструктуру риску заражения шифровальщиком WannaCry. Кроме того, на сетевом периметре большинства компаний были выявлены доступные для подключения веб-сервисы, электронная почта, интерфейсы для удалённого администрирования, файловые службы.

Во всех компаниях выявлены узлы, на которых раскрывается та или иная техническая информация: содержимое конфигурационных файлов, маршруты к сканируемому узлу, версии ОС или поддерживаемые версии протоколов. «Чем больше подобной информации об атакуемой системе удаётся собрать злоумышленнику, тем выше его шанс на успех», — отмечают в Positive Technologies. По мнению экспертов, причина кроется в небезопасной конфигурации служб.

Постоянный URL: http://servernews.ru/1018179
31.07.2020 [13:55], Андрей Крупин

PT Network Attack Discovery 10 получил расширенные инструменты расследования инцидентов

Компания Positive Technologies выпустила новую версию программного комплекса PT Network Attack Discovery (PT NAD), предназначенного для анализа сетевого трафика и расследования инцидентов информационной безопасности. PT NAD захватывает и разбирает сетевой трафик на периметре и в IT-инфраструктуре организации, что позволяет выявлять активность злоумышленника как на самых ранних этапах проникновения в сеть, так и во время попыток закрепиться и развить атаку внутри сети.

Обновлённый PT NAD определяет учётные данные пользователей при аутентификации по протоколу Kerberos, видит больше данных в зашифрованных SSH-сессиях (тип трафика, количество неудачных попыток аутентификации, наличие интерактивных данных в сессии, передача файлов, создание туннелей и др.) и проводит автоматический ретроспективный анализ по всем спискам индикаторов компрометации.

Также в программном комплексе расширен набор определяемых и разбираемых сетевых протоколов. Теперь PT Network Attack Discovery детектирует 80 протоколов (вместо 73 в предыдущей версии). Определение протоколов даёт понимание, в каком объёме и какого рода сетевые соединения устанавливаются внутри корпоративной сети.

Постоянный URL: http://servernews.ru/1017134
08.05.2020 [16:52], Андрей Крупин

Система выявления инцидентов ИБ MaxPatrol SIEM получила оптимизированный движок

Компания Positive Technologies объявила о выпуске новой версии программного комплекса MaxPatrol SIEM 8, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.

MaxPatrol SIEM дает полную видимость корпоративной IT-инфраструктуры. Платформа собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.

Ключевой особенностью обновлённого MaxPatrol SIEM 8 стала оптимизированная архитектура продукта. За счёт доработки программных алгоритмов и системных модулей специалистам Positive Technologies удалось на 30% увеличить скорость работы SIEM-комплекса в режиме контроля соответствия стандартам (Compliance). Кроме того, была существенно ускорена работа платформы при взаимодействии с большими объёмами данных и формировании отчётов. В новый релиз также вошли дополнительные функциональные возможности, которые призваны упростить работу с продуктом и уменьшить ручную настройку решения.

С подробной информацией о системе выявления инцидентов ИБ MaxPatrol SIEM можно ознакомиться на сайте ptsecurity.com/products/mpsiem.

Постоянный URL: http://servernews.ru/1010496
07.04.2020 [00:16], Андрей Крупин

MaxPatrol SIEM научился выявлять атаки на СУБД Microsoft SQL Server

Компания Positive Technologies сообщила об очередном расширении функциональных возможностей программного комплекса MaxPatrol SIEM, предназначенного для мониторинга событий информационной безопасности (ИБ) и выявления различных инцидентов в режиме реального времени.

Обновлённая версия MaxPatrol SIEM получила пакет экспертизы и правил для выявления атак на системы управления базами данных Microsoft SQL Server. Пакет включает 23 правила корреляции событий ИБ, которые позволяют выявить подозрительную активность: изменение параметров СУБД, влияющих на безопасность системы; получение логинов и паролей учётных записей платформы; большое количество неудачных попыток входа в систему; создание резервной копии базы данных; отключение аудита для сокрытия действий; создание резервной копии ключа или сертификата шифрования, а также прочие требующие внимания IT-служб инциденты.

По данным аналитиков, Microsoft SQL Server используют 64% организаций крупного бизнеса и государственного сектора. Поскольку в СУБД хранятся критически важные данные предприятия (финансовая отчётность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 года в 60% всех инцидентов мотивом злоумышленников была именно кража информации.

Подробная информация о системе MaxPatrol SIEM доступна для изучения на сайте ptsecurity.com/products/mpsiem.

Постоянный URL: http://servernews.ru/1007718
20.02.2020 [15:36], Андрей Крупин

Positive Technologies выпустила новую версию системы анализа трафика PT Network Attack Discovery

Компания Positive Technologies представила обновлённую версию решения PT Network Attack Discovery (PT NAD), предназначенного для анализа сетевого трафика и расследования инцидентов.

PT NAD захватывает и разбирает сетевой трафик на периметре и в IT-инфраструктуре организации. Это позволяет выявлять активность злоумышленника как на самых ранних этапах проникновения в сеть, так и во время попыток закрепиться и развить атаку внутри сети.

В новой версии PT NAD появилась тепловая карта с тактиками по модели MITRE ATT&CK. Функция поможет пользователям понять, на какой стадии атаки находятся злоумышленники, и оперативно узнать о применяемых ими техниках.

Также в программном комплексе расширен набор определяемых и разбираемых сетевых протоколов. Теперь PT NAD детектирует 73 протокола (вместо 56 в предыдущей версии). Среди новых — специфичные проприетарные протоколы, которые иногда встречаются в сетях крупных российских компаний. Другие улучшения нацелены на повышение удобства работы с продуктом. В частности, были доработаны функции фильтрации сессий, появилась фильтрация данных по группам сетевых узлов и возможность экспортировать данные виджетов.

PT NAD включён в реестр российских программ и имеет сертификат ФСТЭК России. Дополнительные сведения о продукте можно найти на сайте ptsecurity.com/products/network-attack-discovery.

Постоянный URL: http://servernews.ru/1004163
10.02.2020 [14:17], Андрей Крупин

Positive Technologies: более 80 % корпоративных сетей в России содержат следы вредоносного ПО

Эксперты Positive Technologies представили результаты мониторинга сетевой активности в IT-инфраструктуре 36 крупных компаний России и СНГ из различных отраслей экономики.

Проведённое исследование выявило подозрительную сетевую активность в 97 % организаций. В 94 процентах случаев глубокий анализ трафика зафиксировал нарушения регламентов информационной безопасности, в 81 % предприятий — активность вредоносного софта и практически в каждой третьей корпоративной сети (28 %) были замечены попытки эксплуатации уязвимостей в ПО.

Источник: Positive Technologies

Источник: Positive Technologies

К подозрительной сетевой активности специалисты Positive Technologies относят сокрытие трафика (VPN-туннели, проксирование запросов и подключения к анонимной сети Tor), а также действия, свидетельствующие о разведке и перемещениях потенциального злоумышленника внутри сети. В частности, выяснилось, что Tor, VPN и прокси широко практикуются в 64 % компаний, а в каждом третьем предприятии используются инструменты для сканирования внутренней сети.

Источник: Positive Technologies

Источник: Positive Technologies

В 67 % компаний активно применяются средства для удалённого доступа, такие, как RAdmin, TeamViewer, Ammyy Admin и другие. В 44 % организаций сотрудники используют пиринговые сети для передачи данных и скачивают торренты.

Кроме того, проведённый анализ трафика показал, что в инфраструктуре 81 % компаний чувствительные данные передаются в открытом виде. При этом в 56 % корпоративных сетей выявлена передача учётных данных по протоколу LDAP без шифрования, а в каждой второй организации задействован незащищённый протокол HTTP для доступа к веб-интерфейсам внутренних сервисов.

С полной версией аналитического исследования Positive Technologies можно ознакомиться по адресу ptsecurity.com/research/analytics.

Постоянный URL: http://servernews.ru/1003347
28.01.2020 [13:26], Андрей Крупин

MaxPatrol SIEM научился выявлять присутствие киберпреступников в корпоративной сети на этапе разведки

Компания Positive Technologies сообщила о расширении функциональных возможностей программного комплекса MaxPatrol SIEM, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.

Платформа MaxPatrol SIEM собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.

Пользователи MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Для этого в систему загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки. Программный комплекс позволяет обнаружить активность киберпреступников во время их попыток получить список учётных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты в корпоративной сети.

«Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто. Если злоумышленники действуют под учётной записью реального сотрудника и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Новый пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений», — говорится в заявлении компании-разработчика MaxPatrol SIEM.

Подробная информация о системе MaxPatrol SIEM доступна для изучения на сайте ptsecurity.com/products/mpsiem.

Постоянный URL: http://servernews.ru/1002425
20.12.2019 [13:25], Андрей Крупин

Критическая уязвимость в ПО Citrix Systems поставила под угрозу 80 тысяч компаний

Positive Technologies сообщила об обнаружении уязвимости в программном обеспечении компании Citrix Systems, решения которой широко задействованы в корпоративной среде.

Отмечается, что выявленная брешь носит статус критически опасной. В случае её эксплуатации злоумышленник может обойти механизмы защиты ПО Citrix Systems и получить прямой доступ к локальной IT-инфраструктуре организации из Интернета.

Опасной уязвимости подвержены платформы Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway) версий 10.5, 11.1, 12.0, 12.1 и 13.0. По оценкам экспертов Positive Technologies, обнаруженная «дыра» в перечисленных продуктах делает потенциально уязвимыми не менее 80 тысяч компаний из 158 стран.

«В зависимости от конкретной конфигурации, приложения Citrix Systems могут использоваться для подключения к рабочим компьютерам и критически важным бизнес-системам (в том числе таких классов, как ERP). Практически во всех случаях приложения вендора доступны на периметре сети предприятия, а значит, подвержены атакам в первую очередь. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix Systems на другие ресурсы внутренней сети атакуемой компании», — говорится в информационном сообщении Positive Technologies.

Отмечается, что компания Citrix Systems уже разработала комплекс оперативных мер, минимизирующих вероятность эксплуатации уязвимости киберпреступниками, а также настаивает на незамедлительном обновлении всех уязвимых версий ПО до рекомендуемых.

Постоянный URL: http://servernews.ru/1000165
27.11.2019 [17:10], Андрей Крупин

MaxPatrol SIEM научился выявлять атаки на Linux-системы

Компания Positive Technologies объявила о расширении функциональных возможностей программного комплекса MaxPatrol SIEM, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.

Платформа MaxPatrol SIEM собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.

Обновлённая версия системы выявления инцидентов MaxPatrol SIEM получила пакет экспертизы и правил для выявления атак в операционных системах семейства Linux. Он помогает обнаружить подозрительную сетевую активность приложений и учётных записей, что позволяет предотвратить развитие атаки.

«Linux-системы часто выступают в роли веб-серверов, в том числе крупных организаций. Этим объясняется интерес к ним злоумышленников: взлом Linux на периметре нередко приводит атакующего во внутреннюю сеть предприятия, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Более того, штатные средства типичной Linux-системы весьма удобны для дальнейшего развития атаки. Чтобы помешать злоумышленникам, мы разработали серию правил детектирования для MaxPatrol SIEM».

Linux является широко востребованной платформой в среде облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследования W3Techs, под управлением этой ОС функционируют 70% сайтов из наиболее популярных 10 млн доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развёрнутых на них интернет-приложениях есть уязвимости, говорится в заявлении Positive Technologies.

Подробная информация о системе MaxPatrol SIEM доступна для изучения на сайте ptsecurity.com/products/mpsiem.

Постоянный URL: http://servernews.ru/998604
Система Orphus