✖️ PT NGFW превысил заявленную производительность в два раза по результатам тестирования «Инфосистемы Джет»

Эксперты компании провели более 300 проверок нашего межсетевого экрана нового поколения, оценивая его производительность, функциональность и отказоустойчивость.

🔥 Во время нагрузочного тестирования платформы PT NGFW 2010 продукт показал стабильную работу с включенными модулями безопасности даже при изменении числа правил фильтрации и настроек трансляции адресов.

«Особенно отмечу производительность PT NGFW, которая оказалась в два раза выше, чем заявляла Positive Technologies», — поделился Илья Ярощук, инженер по информационной безопасности «Инфосистемы Джет».

Среди возможностей продукта эксперты выделили:

💡 Глубокую фильтрацию трафика (L3–L7)

💡 Встроенный потоковый антивирус на собственном движке

💡 IPS с базой более 10 000 сигнатур PT ESC

💡 Анализ зашифрованного трафика при помощи SSL inspection

💡 Отказоустойчивый кластер с переключением меньше чем за 1,5 секунды

«Тестирование подтвердило, что PT NGFW готов к использованию в крупных инфраструктурах, в том числе в сценариях, где критичны большая пропускная способность, отказоустойчивый кластер с быстрым переключением и инспекция трафика», — подвел итог испытаний Юрий Дышлевой, лидер продуктовой практики PT NGFW.

👀 Больше деталей о тестировании — в отчете на сайте лаборатории.

#PTNGFW
@Positive_Technologies

Представляем MaxPatrol VM версии 2.10 — с вдвое ускоренным расчетом уязвимостей и втрое повышенным качеством детектирования

«Внутренние тесты и опыт масштабных внедрений в инфраструктуру российских предприятий помогли нам выпустить самую стабильную и производительную версию MaxPatrol VM за всю его историю, — говорит Дмитрий Секретов, директор Positive Technologies по разработке инфраструктурных продуктов. — В новом релизе мы сфокусировались на оптимизации компонентов, кратно увеличили скорость работы продукта и значительно снизили потребление системных ресурсов».

🏎 Скорость

В новой версии команда продукта отлично поработала над увеличением производительности, чтобы клиенты могли получать данные об уязвимостях максимально быстро, даже в крупных инфраструктурах. Улучшенные настройки позволяют производить сбор данных с активов на 30–40% быстрее, а отображение информации в интерфейсе ускорилось в семь раз.

Также мы повысили эффективность сервиса расчета: теперь он рассчитывает уязвимости в два раза быстрее и может делать это в многопоточном режиме.

👍 Стабильность

За счет оптимизации архитектуры увеличилась стабильность работы, в том числе у клиентов с крупными инфраструктурами.

🔎 Точность

Команда MaxPatrol VM работает и над повышением качества детектов: новая версия в три раза точнее обнаруживает недостатки безопасности за счет пересмотра уже существующих детектов и использования современных методологий.

👍 Удобство

Пользователям доступны пять новых отчетов в формате HTML, адаптированных для разных ролей: специалистов по кибербезопасности, ИТ-специалистов и руководителей по ИБ. В них отображается информация об уязвимостях на активах с описаниями и статусами и без них, отдельно — информация об ошибках, для которых есть прямая ссылка на патч и для которых ее нет, а также общая статистика уязвимостей.

Кроме того, в новой версии доступно обновление информации о веб-уязвимостях в онлайн-формате. В карточках уязвимостей теперь можно найти всю необходимую для исправления информацию, не переходя на сайт вендора.

🔥 Модуль MaxPatrol HCC

В него добавлен графический конструктор для создания собственных стандартов и требований. Пользователи могут использовать встроенные шаблоны, а также создавать стандарты и требования с нуля под собственную инфраструктуру и регламенты.

Больше подробностей о новой версии — в новости на нашем сайте.

#MaxPatrolVM
@Positive_Technologies

💬 Чаты раздора, или Как не попасться на старую схему развода в Telegram

Вы наверняка не раз читали истории или даже сталкивались с ними, когда мошенники сначала просили проголосовать «в конкурсе красоты за сестру» или «помочь питомнику выиграть грант», а потом угоняли чужой Telegram-аккаунт.

Со временем схема изменилась и усложнилась (как и многие другие в социальной инженерии), чтобы выглядеть достовернее. Рассказываем, как этот сценарий работает сейчас и что делать, чтобы не попадаться.

👣 Шаг 1

Совершенно внезапно вас добавляют в новый групповой чат и рассказывают, что ваш бывший или действующий коллега участвует в конкурсе «Лучший менеджер» или «Продажник года». И конечно, нуждается в вашей поддержке. Помимо вас, в эту же группу приглашают тех, с кем вы работаете или работали — вроде как вы вместе делаете доброе дело для знакомого.

👣 Шаг 2

В чате появляется ссылка на конкурс. Перейдя по ней, вы попадаете на достаточно профессионально сделанный сайт, а вернее — на его страничку, где идет голосование за «лидеров». Причем у «вашего» кандидата голосов ненамного меньше, чем у противника. Еще десяток — и догонит (это делается специально, чтобы мотивировать вас проголосовать).

👣 Шаг 3

Для голосования вас просят авторизоваться через Telegram — то есть ввести номер телефона и проверочный код.

👣 Шаг 4

Вы ввели данные. И все. Ваша учетная запись оказалась в руках преступников, которые могут распорядиться ей как угодно.

❗️ Давайте сделаем четыре шага назад и посмотрим, как не дать себя обмануть. Запомните несколько простых правил от нашего коллеги из департамента информационной безопасности Владимира Камышанова.

1️⃣ Вас не смогут пригласить в непонятный чат, если это запрещено. Зайдите в Настройки → Конфиденциальность → Приглашения и выберите «Никто». Теперь даже если у вашего знакомого украдут аккаунт, вас не смогут добавить в группу.

2️⃣ Проверяйте ссылки перед тем, как перейти по ним. Часто поддельные ресурсы похожи на настоящие, но могут различаться написанием. В десктопных версиях Telegram это можно сделать наведя курсор на ссылку, а в мобильных — зажав ее пальцем.

3️⃣Не авторизуйтесь на сторонних ресурсах (особенно незнакомых) с помощью мессенджеров и соцсетей. Если вас при этом просят указать номер телефона и код, присланный в СМС-сообщении или от официального бота Telegram, — это почти наверняка мошенники.

4️⃣ Позвоните тому самому «коллеге-конкурсанту» или напишите через другой ресурс, чтобы уточнить, действительно ли он просит вас проголосовать. В 99% случаев информация не подтвердится.

5️⃣ Наконец, не храните в переписке важную информацию, ведь если мошенники получат доступ к вашему аккаунту, вся она окажется в их руках.

Делитесь постом с другими и оставайтесь в безопасности ❤️

@Positive_Technologies

💯 Наши эксперты выявили около 100 критических инцидентов во время масштабных киберучений с «Почтой России»

Ими завершилась первая фаза большого проекта по построению киберустойчивой инфраструктуры компании, который стартовал в июне. Помимо нас, в нем участвует 21 ИТ-компания, включая ГК «Солар», «Лабораторию Касперского» и «Инфосистемы Джет» (последние в течение месяца имитировали целевую кибератаку со стороны продвинутых злоумышленников).

💯 Киберучения для новых знаний

Киберучения будут проводить в конце каждой стадии проекта, чтобы проверить стойкость инфраструктуры и скорректировать меры защиты. Необходимые изменения в дальнейшем будут масштабировать на всю инфраструктуру «Почты России», согласно планам. Например, во время учений можно обнаружить неочевидные лазейки для злоумышленников или способы реализации критических событий.

«Построить защиту в масштабах инфраструктуры „Почты России“ и предусмотреть всё крайне сложно. Важно корректировать свои действия исходя из знаний об узких местах, которые и определяются после проверки защищенности белыми хакерами. Я уверен, что мы придем к проверке защищенности в формате кибериспытаний с определением стоимости взлома во всех российских компаниях», — говорит Алексей Трипкош, директор по результативной кибербезопасности Positive Technologies.

🔎 Во время учений команда PT ESC в режиме 24/7 отслеживала события ИБ, расследовала инциденты и реагировала на атаки. Всего наши эксперты проанализировали 4177 событий, посчитав 1371 из них действиями «красной» команды и назвав критическими 99 инцидентов.

👍 Как мы защищаем «Почту России»

Всего за первый этап совместной работы команда экспертов из разных компаний внедрила более 30 подсистем кибербезопасности и ключевые механизмы защиты.

В проекте участвуют свыше 250 экспертов по кибербезопасности, а общие трудозатраты по нему уже составили около 100 (!) человеко-лет.

🟥 Над построением результативной кибербезопасности корпоративного сегмента «Почты России» работают 76 специалистов Positive Technologies.

За короткое время они смогли создать комплекс обеспечения кибербезопасности, который включает в себя системы MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR и PT NAD. Когда мы полномасштабно развернем MaxPatrol SIEM в 2027 году, это станет самым масштабным случаем внедрения российской SIEM-системы 👀

👍 Мы запускаем цикл постов, в которых наши коллеги от первого лица будут просто и понятно рассказывать о проекте, делиться своими открытиями и интересными деталями процесса (не переключайтесь!).

👉 Подробнее о киберучениях и о том, что мы и коллеги успели сделать в первой части проекта, рассказали в статье на сайте.

@Positive_Technologies

☁️ Мы расширили экспертизу MaxPatrol SIEM в защите облачных решений и не только

Теперь продукт детектирует угрозы на платформах Amazon Web Services (AWS), Microsoft 365, в сервисах «Яндекс 360», контейнерных средах и службе каталогов «Альт Домен», а также обнаруживает атаки с использованием хакерской утилиты NetExec.

☁️ Безопасность в «облаке»

Сервисы Amazon и Microsoft занимают 50% мирового рынка облачных решений. Крупнейшие мировые компании пользуются ими для хранения и организации работы с информацией в «облаке». Атака на AWS и Microsoft 365 может привести к компрометации данных сотрудников и клиентов, распространению вредоносного ПО и продвижению злоумышленника внутри корпоративной IT-инфраструктуры.

Чтобы этого не произошло, команда PT ESC добавила в MaxPatrol SIEM 35 новых экспертных правил для обнаружения подозрительной активности в ресурсах на AWS и Microsoft 365. С их помощью система отслеживает множество нелигитимных действий: от массового копирования и удаления контента до добавления привилегированных учетных записей.

«В ответ на растущее число атак на облачные инфраструктуры мы активно интегрируем систему с платформами ведущих вендоров, чтобы бизнес мог масштабироваться, не опасаясь взлома, — прокомментировал Сергей Болдырев, руководитель группы обнаружения продвинутых атак отдела экспертизы MaxPatrol SIEM. — Так, интеграция с платформами AWS и Microsoft 365 стала шагом не только к усилению безопасности облачных сервисов, но и к адаптации продукта на международном рынке».

🆕 Другие новые возможности

🔴 Кроме того, продукт стал одной из первых российских SIEM-систем, которая собирает и обрабатывает события Яндекс Браузера для организаций, отслеживая в том числе загрузку потенциально опасных файлов, блокировку расширений и выполнение вредоносного JavaScript-кода в них, а также изменение политик браузера.

🔴 Мы интегрировали решение с PT Container Security для защиты контейнерных сред и эффективного отслеживания атак в Unix-системах, на основе которых работают контейнеры.

🔴 Добавили поддержку операционной системы ALT Linux, чтобы продукт мог сообщать о подозрительной активности в службе каталогов «Альт Домен», которую компании используют как альтернативу Active Directory от Microsoft.

🔴 Для усиления защиты IT-инфраструктуры бизнеса от внутренних атакующих в MaxPatrol SIEM усовершенствованы существующие и разработаны новые правила корреляции для обнаружения признаков работы NetExec (инструмента для удаленного выполнения команд).

Больше о расширении экспертизы продукта — в новости на сайте.

#MaxPatrolSIEM
@Positive_Technologies

😍 PT NAD круто изменился за год

Как именно и какие возможности это дает вам как пользователям, расскажем на вебинаре 27 ноября в 14:00. Команда продукта подведет итоги года и разберет ключевые фичи, появившиеся в PT NAD версии 12.4.

Всего за час расскажем, как работать с расширенным управлением профилями и исключениями дочерних систем, научим обращаться с репутационными списками и централизованно настраивать вендорные правила в иерархии. А еще — наглядно продемонстрируем, как мы прокачали экспертизу продукта, улучшили центральную консоль и механизмы DPI.

👍 Будет не только теория, но и практика: покажем, как пользоваться новыми возможностями PT NAD для решения реальных задач.

👉 Регистрируйтесь и зовите с собой коллег!

#PTNAD
@Positive_Technologies

🙂 Все скрытые возможности и фишки PT Sandbox в одном флаконе онлайн-воркшопе

Встречаемся 2 декабря в 12:00, чтобы узнать секретные лайфхаки и подходы для исследования вредоносов от команды нашей песочницы.

Рассказываем, что будет:

🔴 Практика с примерами анализа: запустим актуальное ВПО под Windows- и Linux-системы и вместе определим, насколько оно опасно.

🔴 Расшифровка отчетов: объясним, как правильно интерпретировать результаты работы PT Sandbox.

🔴 Использование фильтров: покажем, как они помогают сосредоточиться на подозрительной активности.

🔴 «Перевод с вредоносного на русский» — научим понимать, что делает ВПО: крадет данные, создает бэкдор или распространяется по сети.

Приходите на воркшоп, чтобы PT Sandbox в ваших руках стал мощным инструментом для анализа даже самых сложных образцов и обнаружения скрытых угроз.

#PTSandbox
@Positive_Technologies

❕ Дружеское напоминание для всех, кто собирается на нашу олимпиаду по программированию: регистрация заканчивается уже завтра

Успейте подать заявку до 28 ноября, а в субботу встречаемся с вами:

🔴В 11:30 (мск) онлайн, если вы участвуете удаленно.

🔴С 10:00 в «Котельной» на Хлебозаводе № 9, если очно (вход в пространство видно на фото, ориентируйтесь на большую полосатую птицу).

С 11:30 до 12:00 пройдет инструктаж, а ровно в полдень откроются задачи. Всего их будет семь, времени на решение — три часа.

С 15:00 до 15:30 мы объявим победителей — троих счастливчиков, которые поделят между собой призовой фонд в 600 000 рублей.

После этого до 18:00 вы сможете пообедать, познакомиться и пообщаться с экспертами Positive Technologies и друг с другом.

👀 Кстати, если участвуете офлайн, сможете походить по Хлебозаводу с бесплатным аудиогидом и зайти на выставку «Город говорит».

Скорее регистрируйтесь (если еще не), и до встречи 29 ноября!

@Positive_Technologies

🙂 Сайты злоумышленников, найденные нашими экспертами, будут блокировать быстрее

Мы подписали соглашение о взаимодействии по противодействию и предупреждению нарушений в интернете с Координационным центром доменов .RU/.РФ.

💻 Благодаря этому мы сможем не просто находить фишинговые и другие мошеннические сайты во время мониторинга интернет-ресурсов, но и напрямую создавать заявки на блокировку вредоносных доменов в зонах .RU/.РФ/.SU.

Наша статистика показывает, что за последние четыре года использование фишинговых адресов в зоне .RU уменьшилось на четверть, при этом количество доменов, через которые мошенники распространяют вредоносное ПО, выросло почти в четыре раза.

Сейчас мы собираем информацию о таких сайтах и передаем ее в продукты Positive Technologies, а также публикуем в виде отдельных фидов с индикаторами компрометации. Подписанное соглашение расширяет наши возможности в борьбе с вредоносными ресурсами.

«Теперь мы сможем оперативно направлять данные киберразведки напрямую регистраторам для разделегирования доменов. Это позволит быстрее выводить сайты злоумышленников из обращения и снижать риск массового заражения среди компаний и пользователей российского сегмента интернета», — объяснил Денис Кувшинов, руководитель департамента Threat Intelligence PT ESC.

#PositiveЭксперты
@Positive_Technologies

🤖 Как нас предают умные гаджеты

Вы можете даже не догадываться о том, что спортивные часы сливают кому-то ваши маршруты, а робот-пылесос показывает посторонним где деньги лежат неприличные фото.

Наш эксперт Дмитрий Соколов в коротком ролике рассказывает, какие данные о вас могут утечь в руки мошенников через IoT-устройства, и дает три совета, как этого избежать 3️⃣

С вас ❤️, если ролик был полезным, и 🐳 — если вы молодец и раньше-то никогда не верили этому подозрительному пылесосу.

👀 Ну и поделитесь на всякий случай видео с любителями пробежек и умных домов.

@PHDays
@PositiveHackMedia

Как молот грома помешал клешням безмолвия 🦀

Во время расследования инцидентов команда Incident Response при поддержке департамента Threat Intelligence обнаружила следы использования вредоносного ПО KrustyLoader.

Впервые это ВПО было описано в январе 2024 года экспертами из Volexity и Mandiant: они обнаружили его использование в атаках, нацеленных на эксплуатацию RCE-уязвимостей нулевого дня в Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан для Linux, однако позже появились версии для Windows. Примечательно, что на момент исследования загрузчик использовала только одна группировка, которую мы называем QuietCrabs.

Дальнейшее расследование позволило обнаружить активность другой группировки в инфраструктуре жертвы. Интересно, что действия второй группировки, вероятно, помешали QuietCrabs реализовать атаку и стали причиной, по которой на эту атаку обратили внимание.

Мы предполагаем, что второй группой является Thor. На основе изучения сетевой инфраструктуры злоумышленников и данных телеметрии мы пришли к выводу, что они проводили массовые атаки на российские компании. Для получения первоначального доступа к инфраструктуре группировка эксплуатировала ряд уязвимостей типа RCE (Remote Code Execution), например CVE-2025-53770, CVE-2021-27065.

😠 В статье мы покажем цепочки атак, которые обнаружили во время расследования, и расскажем про инструменты, используемые злоумышленниками. Читайте материал в нашем блоге.

#IR #TI #APT
@ptescalator

У Гринча появился брат — Глинч. И он охотится не за праздниками — его цель ваши данные 👻

Совместно с Минэкономразвития мы запускаем спецпроект, основанный на реальных историях. Он покажет, что даже привычные офисные устройства могут стать лазейкой для хакеров. Камеры, принтеры, «умные» гаджеты — все это может открыть дверь для Глинча.

В спецпроекте мы рассказываем, как вовремя заметить угрозу и защитить ваш бизнес от таких цифровых проделок — чтобы Глинч наверняка остался за дверью 🙅

Первая история уже опубликована в канале Минэкономразвития 🫲

@Positive_Technologies

❣️ Все компании строят киберзащиту по-своему, но есть вещи, важные для любого бизнеса

Например, не стоит пытаться защититься от всего и сразу — это практически невозможно. А вот посмотреть глазами атакующего на слабые места в своей инфраструктуре (от устаревших версий ПО до забытых архитектурных решений) и закрыть бреши — хороший план.

💯 Есть несколько способов проактивного сбора информации: имитация хакерских атак с помощью красных команд, автоматизированный пентест с поиском известных уязвимостей, устаревших версий ПО и открытых портов, регулярный аудит журналов, анализ аномалий и подозрительной активности. Эти методы не конкурируют, а дополняют друг друга, и как сочетать их между собой — решать вам.

«Кибербезопасность — это не решение „из коробки“, а живой процесс на всех уровнях компании: от архитектуры и управления до корпоративной культуры», — считает Максим Долгинин, руководитель по развитию бизнеса PT Dephaze.

Главное — действовать регулярно и не на бумаге.

Более подробный анализ ситуации — в материале «Известий», выпущенном к недавно прошедшему Дню защиты информации.

#PositiveЭксперты
@Positive_Technologies

ДОМ․РФ протестировал обновленный онлайн-полигон Standoff Defend 💪

Кибератаки случаются внезапно. Чтобы не растеряться в критический момент, нужно готовиться заранее.

Перед специалистами киберзащиты компании стояли конкретные цели:

🔴 Отработать реагирование на сложные инциденты и целенаправленные атаки.

🔴 Улучшить командное взаимодействие в условиях атаки.

🔴 Ускорить адаптацию новых сотрудников и оценить готовность к отражению современных киберугроз.

И Standoff Defend помогает успешно справляться с этими задачами: он моделирует кибератаки на основе реальных кейсов APT-группировок и позволяет безопасно анализировать действия злоумышленников. В процессе практики участники проходят через полный цикл атаки — от первичного проникновения до расследования инцидента.

«Мы искали инструмент, который позволит не просто изучать теорию, а тренироваться в условиях, максимально близких к реальной атаке. Standoff Defend оказался удобным и продуманным решением: сценарии приближены к реальным инцидентам, а формат онлайн-полигона позволяет совмещать тренировки с текущими задачами», — отметил Дмитрий Шарапов, управляющий директор по информационной безопасности ДОМ․РФ .

🛡 Хотите, чтобы и ваша SOC-команда была готова к любому нападению? Узнайте больше о Standoff Defend на нашем сайте.

#StandoffDefend
@Positive_Technologies

Двадцать пять лет кибербезопасности в одном журнале 📖

Приглашаем вас в путешествие в прошлое вместе с новым потрясающим номером Positive Research.

🚗 Прыгайте с нами в «Делориан» и полетели:

✅читать о Positive Technologies вчера, сегодня и завтра;
✅ вдохновляться интервью с неординарными личностями из мира ИБ;
✅оценивать кибербезопасность в ретроспективе;
✅открывать для себя топ-5 уязвимостей, ИБ-проектов, хакерских атак и коктейлей от наших экспертов;
✅предполагать, какой будет кибербезопасность в 2050-м;
✅узнавать, как пережить Новый год и каникулы без происшествий, если вы — дежурный в SOC.

❗️Пока что журнал можно полистать в PDF, но мы, как и всегда, будем выкладывать статьи на сайт, а еще разыграем и отправим 25 бумажных коллекционных номеров нашим подписчикам.

Условия розыгрыша очень простые:

1️⃣ Одним нескучным предложением опишите, каким был для вас 2025 год в ИБ.

2️⃣ Отправьте свой вариант ответа на почту journal@ptsecurity.com с пометкой «Конкурс» до 10 декабря включительно.

3️⃣ Ждите подведения итогов розыгрыша: мы выберем 25 победителей и свяжемся с ними, чтобы узнать, куда отправить журнал.

🎄 А самые интересные варианты ответов опубликуем в отдельном предновогоднем посте и в Positive Research. Удачи!

#PositiveResearch
@Positive_Technologies