Экстрим Безопасность

#хакнутыефакты Мероприятия по ИБ и ИТ - это пиар. Правда или миф?🤔 Мы приглашаем своих клиентов на мероприятия, но не все хотят туда идти. Потому что думают, что это "очередной пиар, где все предлагают свои продукты". Скажем по своему опыту - каждый event вносит что-то новое. Да, немного повторения есть, но новой информации достаточно. Во время записи подкаста мы спросили у Александра Карпова - как меняется эта сфера в ИТ и ИБ? "Я могу это соотнести со своим опытом выступлений. Когда я только пришел, у меня было понимание этапов продаж. Но что действительно интересно, я до конца не знал. В первую очередь, здесь выступают такие моменты: кто выступает, как повествуют, о чем рассказывают. Суть выступления - это очень важный момент. Например, сейчас наша команда объездила всю Россию (и не только). Много кому/где/о чем рассказали и поэтому на многих мероприятиях нам не надо рассказывать, например, о своих продуктах. Нам бы хотелось по аналогии с сегодняшним подкастом, рассказать про attack-as-a-service. Это круто! Есть много вендоров и партнеров, которые рассказывают не о конкретных решениях с призывом "возьмите здесь и сейчас", "защитите себя и вы будете спать спокойно"... Гораздо круче, как, например, история с расследованием F6, группа IB и т.д.. Они берут конкретный сценарий того, что произошло в одном из заказчиков и подробно об этом рассказывают. И с точки зрения технической, и с точки зрения практической человечной истории. То есть доносят: "да, ребят, вам могут банально в Телеграме написать. Вам письмо может прийти. Это просто! Вы хотя бы вот здесь, на этом этапе обратите, пожалуйста, внимание". Конечно, есть классные истории и не очень. Если подвести итог, о чем я сейчас рассказал, то тех, кто реально очень интересно что-то рассказывает становится больше. И вот это вот прям кайф!"🔥 Наш итог: мероприятия - это не всегда про пиар и физическое присутствие на каком-то событии. Выступления спикеров становятся интереснее и переходят в новый формат. Какой у вас опыт с мероприятиями? Делитесь в комментариях, обменяемся мнениями😉

#анатомияиб Зачем нужен MaxPatrol VM? Компании ежедневно сталкиваются с рисками взлома из-за дыр в программном обеспечении и настройках. Для защиты от таких угроз используется MaxPatrol VM — система для управления уязвимостями и соответствием стандартам. В пилотных историях мы часто говорим «закрыли критическую уязвимость», но что это значит? Это слабое место в системе, через которое злоумышленник может проникнуть внутрь и навредить компании. Например, забытое обновление на сервере, стандартный пароль на маршрутизаторе или неправильно настроенные права доступа. Хакеры постоянно ищут такие лазейки, ведь их использование — самый простой способ атаковать. В первую очередь, это риски потери данных, остановки бизнеса и штрафов. И да, уязвимость может появиться просто из-за человеческой ошибки — это тоже риск. Вернемся к MaxPatrol VM. Как в разных сферах можно использовать MaxPatrol VM? Рассмотрим примеры: 1) Финансы — проверка соответствия требованиям ЦБ РФ и PCI DSS, защита от атак через уязвимости в интернет-банке; 2) Госсектор — обеспечение выполнения приказов ФСТЭК и ГОСТов, защита инфраструктуры; 3) Промышленность — контроль целостности и безопасности АСУ ТП, защита от кибердиверсий. Внедрение MaxPatrol VM позволяет находить и устранять уязвимости до того, как ими воспользуются. Как MP VM это делает? 🔸 Автоматически сканирует всю сеть: серверы, компьютеры, сетевые устройства, даже виртуальные машины и облака. 🔸 Проверяет тысячи параметров — от отсутствующих патчей до некорректных настроек безопасности. 🔶 Показывает риски — система сама оценит, насколько опасна каждая уязвимость именно для вашей компании. 🔶 Даёт чёткие инструкции — что нужно обновить или изменить, чтобы устранить проблему. В центре системы находится сервер управления с политиками безопасности. Именно там прописано, какие стандарты нужно проверять и как оценивать риски. MP VM находит проблемы через безопасные подключения к системам, агентов на компьютерах и базу знаний с постоянно обновляемыми шаблонами проверок. MaxPatrol VM позволит перейти от «тушения пожаров» к плановой безопасности. Главное, чтобы инструмент работал в паре с ответственными администраторами и процессом регулярного обновления 😉

#хакнутыефакты Мы постоянно говорим про комплексный подход, но как это работает на самом деле? Александр привел отличный пример - мы не могли не поделиться с вами!🤩 Сначала берем обычный вариант, когда это просто деревушка, которая забором с кольями ограничена, в лучшем случае, да? Это какой-нибудь старый фаейрвол. И у нас есть полноценный защищенный замок, где есть: - ров, вырытый вокруг этого замка - лучники - котел с горящим маслом - стены высокие - и вообще, во рву плавают акулы с крокодилами😀 - мост подвесной есть и т.д. На таком примере можно говорить и про периметр информационной защиты информационной, и про комплексный подход ко всему этому. Здесь мы говорим не только про программное обеспечение, которое заказчик покупает, а еще и про квалификацию кадров, про то, как подходят к их обучению и т.д. Чем более комплексный будет подход, тем выше эффективность защиты. Если вернуться к вопросу того, можно ли на 100% защититься от чего-либо, то любой более-менее вменяемый человек скажет, что наверняка защититься от всего невозможно. Если встает вопрос цены и появляются чаши весов: а надо ли нам этих ребят пытаться взломать? Если надо, то через какой вектор направления атаки? Вопрос того, будут ли вас ломать, зная, что это будет стоить очень дорого. Вы понимаете, что у вас находится в инфраструктуре и это очень дорого. Дорого и как доверие, и как бюджет. От этого стоит отталкиваться, чтобы строить свой периметр. Небоскреб, который будет километр в высоту, его же построить можно? Можно. Но вопрос, сколько это будет стоить? И для чего нам это надо? Вот здесь то же самое😉 P. S. это только один из крутых моментов нового выпуска, слушайте скорее!

#подкаст "Атака как сервис" Если раньше злоумышленники делали всё ручками - от поиска уязвимостей до написания кода, то сейчас хакерские услуги можно купить. 🔥Мы пригласили эксперта из "АйТи Бастион" - Александра Карпова, чтобы он рассказал о защите бизнеса от угрозы attack-as-a-service. В новом выпуске вы узнаете: ⚡️Что такое Attack-as-a-service и кто является потребителем подобных услуг? ⚡️Какие угрозы для бизнеса несёт такой сервис? ⚡️Можно ли предотвратить использование сервисов Attack-as-a-service? (спойлер - да, но как это сделать?😉) ⚡️Как построить стратегию защиты от Attack-as-a-service? ⚡️Шаги, которые можно применить прямо сейчас, чтобы защитить свою компанию. 🎉Мы постарались сделать этот выпуск особенным, ведь он завершает 2 сезон! Делитесь в комментариях, что нового для себя открыли? Какой момент запомнился больше всего? 📍 Слушать подкаст: Сайт подкаста Яндекс Музыка Apple podcasts Spotify Deezer ЗВУК Castbox VK Podcasts mave.stream Mave Pocket Casts Podcast Addict Soundstream

#хакнутыефакты МИФ: «Многофакторная аутентификация — нууу нет, это сложно и неудобно». ❌ Социальная инженерия сегодня — это не сюжет из шпионского фильма, а суровая реальность. Исследование актуальных киберугроз для организаций показало, что социальная инженерия использовалась в 60% инцидентов. Злоумышленнику часто достаточно одного убедительного письма, чтобы добиться своей цели. 🤔 Тогда как предотвратить компрометацию учетных записей при социальной инженерии? Вопрос достаточно широкий. При социальной инженерии можно компрометировать не только учетные записи пользователей, но и информацию. Если говорить про организации, то одним из основных продуктов в этом направлении будет многофакторная аутентификация. Она обеспечит дополнительную безопасность учетной записи. При потере логина и пароля потребуются дополнительные факторы, которые указаны в политиках на определенного пользователя. Это пуш-уведомления, смс, токены и т.д. Есть второй момент - в рамках потери второго фактора для пользователей, но опять же-таки это все равно обеспечивает дополнительную безопасность. Даже если логин-пароль окажется в руках злоумышленника. Если он попытается войти в контур, то у него появится необходимость предъявить еще один элемент аутентификации, которого у него на руках не будет, ХА. Тем самым мы явно повышаем уровень безопасности даже потерянной учетной записи. Вывод: многофакторную аутентификацию используем, подкаст "Метод хакера" слушаем 😊

#хакнутыефакты Как организовать реагирование на инциденты в нерабочее время? Можно поставить средства защиты информации, но есть трудность - это всё тяжело поддерживать и мониторить 24 на 7. Можно настроить бизнес-процессы и системы. А если у компании недостаточно бюджета? Если у компании недостаточно денег, то нужна команда из инженера по ИБ и аналитиков, которые ответят на вопрос "что происходит?". Во многих системах можно настроить оповещение на почту или в телеграм. Это поможет инженеру оперативно среагировать. Аналитик проанализирует ситуацию и скажет "вот эти данные - конфиденциальные, утечка произошла не просто так". После данные возвращают обратно в работу офицера безопасности, который решит, что с этим делать - разрешить отправку или полностью заблокировать. Дополнительно можно использовать инструменты для блокировки рабочей станции с полной остановкой текущих процессов. Например, мы увидели, что наш сотрудник в 11 вечера скачивает себе что-то на диск. У нас есть система, которая остановила процесс отправки данных в облачное хранилище. Далее дежурная команда может изменить пароль сотрудника до дальнейшего разбирательства. Подробнее про риски и контроль инфраструктуры в ночное время в выпуске "От заката до рассвета".

#анатомияиб «Тяжело в учении - легко в бою». Разбираем Security Awareness. Письмо директору с просьбой СРОЧНО оплатить счет мероприятия. Всплывающее окно «ваш комп заблокирован». «Коллега» в мессенджере просит отправит пароль. Ситуации, с которыми ежедневно сталкиваются компании, потому что обмануть человека проще, чем атаковать сервер. ⚡️ Security Awareness — решение для формирования культуры осознанной безопасности в коллективе. Как повышать осведомленность о кибербезопасности? 1) Обучать сотрудников распознаванию мошеннических звонков и писем, имитирующих клиентов или регуляторов. 2) Отрабатывать сценариев, когда «курьер» или «технический специалист» пытается получить доступ в закрытые зоны. 3) Формировать привычки не оставлять пароли на стикерах и не подключаться к открытым Wi-Fi сетям с рабочего ноутбука. Внедрение киберкультуры позволяет превратить сотрудников из «слабого звена» в надежный рубеж обороны. Как этого добиться? 🔸 Не через запугивание, а через вовлечение — интерактивные тренинги, симуляции фишинга, игровые сценарии. 🔸 На конкретных примерах из жизни компании — разбор реальных (или похожих) инцидентов без поиска виноватых. 🔸 Не раз в год, а постоянно — короткие напоминания, обновляемые правила, история месяца об уловках мошенников. 🔸 Даёт не теорию, а практические навыки — как проверить отправителя, куда сообщить о подозрительном письме, как создать надёжный пароль. Безопасность — это не отдел ИБ, а личная ответственность каждого. Security Awareness меняет поведение через понимание последствий, простые алгоритмы действий и позитивное подкрепление — когда сотрудник не боится сообщить об ошибке, а получает благодарность за бдительность. Security Awareness позволит перейти от реакции на инциденты к их предотвращению. Главное, чтобы культура безопасности жила не только в презентациях, но и в ежедневных действиях каждого сотрудника 😉

#хакнутыефакты Есть продукты для поиска уязвимости, есть автопентест и они друг друга вообще никак не заменяют? Представим, есть компания, где я слежу за уязвимостями всех софтин, которые есть в инфраструктуре с помощью системы VM. Приходит интегратор и говорит: - Слушай, а ты пентесты делаешь? - Не делаю. Зачем? У меня стоит VM. Они не могут друг друга заменить? Нет, потому что VM — это история про все уязвимости, которые есть. Но не на каждую из этих уязвимостей есть эксплойт. Соответственно, VM — это про приоритизацию уязвимостей: что патчить, а что прикрыть другими средствами защиты. Автопентест — это про реальную эксплуатацию уязвимостей. Если есть какой-то "дырявый" сервис, но он прикрыт фаерволом, то можно проверить это автопентестом. VM покажет, что сервис остался "дырявым". Проверка автопентестом скажет, что принятые компенсирующие меры реально помогают на какое-то время и никто не достучится. Обратная ситуация - есть у меня система автопентеста. Всё, можно забыть про VМ? Конечно же нет. ИБ - это комплексная история, то есть должны быть налаженные процессы, в том числе с менеджментом уязвимостей. Зачем это нужно? Для того, чтобы понимать риски и вовремя их устранять. Появилась уязвимость, на нее нет эксплойта. Но есть VM, который говорит: "Пожалуйста, запатчи эту уязвимость, потому что она критичная, если на нее когда-то появится эксплойт, будет плохо". Для этого нужен VM, а автопентест подтвердит наличие уязвимости и её эксплуатации. Подробнее про автопентест слушать в подкасте.

#хакнутыефакты Что говорит законодательство по использованию систем контроля привилегированных пользователей? В 117-й приказ была добавлена информация о том, что все удаленные сотрудники теперь обязаны подключаться к системам внутри контура компании только под строгой аутентификацией. Это означает запрет на свободный доступ в рабочий периметр компании через обычные каналы. Начали прописывать требования по строгой аутентификации "посредством проведения мероприятий по обеспечению защиты информации при предоставлении привилегированного доступа должна быть исключена возможность получения привилегированного доступа к информационным системам лицами, для которых такой доступ должен быть исключен, а также использования повышенных прав доступа с нарушением внутренних стандартов и регламентов по защите". Приказы обновляются постоянно. Поэтому продукты, которые проходят сертификацию, достаточно серьезно проверены на наличие различных уязвимостей. Получение сертификата занимает продолжительное время ➕ усилия со стороны разработки. О контроле привилегированных пользователей и РАМ-системе можно узнать: ⚡️ подкаст "Хакеры против компаний: как защитить бизнес от современных киберугроз" ⚡️ запись стрима "Как управлять доступами, если вы не энтерпрайз?"

#мероприятия В пятницу состоится вебинар о РАМ-системе "Solar SafeInspect". Вебинар будет полезен ИТ-специалистам, которые работают в ГИС или около ГИС. Спикеры: ⚡️ Алексей Ермаков, ведущий инженер ГК "Солар". ⚡️ Дмитрий Федоров, пресейл-аналитик ГК "Солар". Приходите, если вам интересно узнать, как РАМ-система позволяет исполняют требования регуляторов. Регистрация по ссылке.

#хакнутыефакты Как РАМ-система защищает сессии привилегированных пользователей от атак повторного воспроизведения (replay attack)? Немного вводных: при replay attack злоумышленник перехватывает данные, которые отправляются по защищенному соединению. Например, сотрудник отправляет директору запрос на бюджетирование проекта. Злоумышленник перехватывает это сообщение и отправляет его повторно. У директора нет веских причин усомниться в подлинности запроса. В результате бюджет на проект может отправится на счет злоумышленника. В PAM-системе реализовано несколько механизмов защиты: 🔸 Разрешение по времени, то есть по истечении определенного периода пользователь больше не сможет подключиться. 🔸 Дополнительные интеграции со сторонними системами, которые помогут администратору увидеть, что пользователь пытается повторно подключиться. 🔸 Специальные политики, которые будут ограничивать ряд действий сотрудника на целевом ресурсе. Например, изначально подключившись, пользователь видит, что он использует привилегированную учетную запись и будет думать о том, что при следующем подключении сможет передать файл и запустить его. В рамках подключения мы можем использовать дополнительные политики, которые смогут ограничить функционал пользователя. Буфер обмена тоже можно заблокировать для передачи. 🔸 Текстовое логирование действий, т.е. текстовый лог будет дополнительно отправляться администратору для просмотра действий и попыток в воспроизведении каких-либо атак пользователям. Это позволяет администратору своевременно отреагировать и запретить пользователю доступ или заблокировать его. При блокировке у него закроются все сессии и доступ ко всем ресурсам. Подробнее о РАМ-системах рассказал Антон Смолков в выпуске подкаста "Хакеры против компаний: как защитить бизнес от современных киберугроз?"