🔎Что такое Threat Intelligence: киберразведка на конкретных примерах

Необычное интервью дал порталу Anti-Malware.ru Никита Назаров — это не только ответы на вопросы, но и живое демо! На примере повседневных ситуаций в ИБ-команде он с конкретикой и скриншотами показал, как Threat Intelligence ускоряет реагирование на инциденты, позволяет принимать проактивные меры безопасности, помогает обучать аналитиков, экономит время при написании детектов.

Также Никита рассказал, как работает новый функционал портала Threat Intelligence – Threat Landscape. С его помощью команды SOC или CSIRT получают актуальные именно для них данные со всего мира и набор готовых к применению инструментов для детектирования, защиты и исследования релевантных угроз.

Ещё обсудили:
⚪️обязателен ли SOC для использования TI;
⚪️как важно учитывать профиль и историю атакующего при выборе тактики реагирования;
⚪️что приходится делать тем, кто вместо обработанной информации TI работает только с сырыми данными и IoC;
⚪️как используются данные TI на разных уровнях;
⚪️чем полезны в TI данные из даркнета.

Очень практичный разговор получился, рекомендуем почитать!
#советы @П2Т

✅ Всё о Kaspersky Cybersecurity Training

В конце года мы запустили в России образовательную онлайн-платформу для ИБ-специалистов, Kaspersky Cybersecurity Training.

На ней собраны практические курсы по самым востребованным навыкам, причём авторы всех курсов — наши ведущие специалисты, реально занимающиеся тем, чему они учат. Среди курсов: анализ ВПО, реагирование на инциденты, мониторинг ИБ и поиск угроз, использование Yara и Suricata.

Проходить курсы и получать практические навыки кибербезопасности можно онлайн, в удобном формате и комфортном темпе.
Чтобы больше узнать о программах и условиях обучения, приходите на вебинар 30 января в 11.00 (МСК). Расскажем:

🟣 про портфолио курсов и разберем, какие компетенции можно освоить с помощью наших программ;
🟣 где можно отточить навыки на реальных образцах вредоносного кода и артефактах, с которыми наши специалисты сталкивались в расследованиях.

Если не сможете присутствовать на вебинаре, всё равно регистрируйтесь — мы пришлём вам запись!

Узнать о всех курсах.

#события @П2Т

🗣 Всё самое важное в ИБ: из 2024 в 2025

Хотите обсудить с экспертами ключевые события в сфере ИБ за прошлый год и получить прогнозы на наступивший? Или устроить обзор событий для коллег, редко интересующихся этой сферой? Приходите на онлайн-стрим уже завтра, во вторник!

Наши эксперты, специализирующиеся на сложных угрозах, финансово мотивированной киберпреступности, хактивизме, применению ИИ в атаке и защите, поделятся статистикой, разберут основные тенденции, дадут прогнозы на наступивший год и ответят на вопросы слушателей.

Подключайтесь завтра, 28 января 2025, 12:00 (по МСК)

Зарегистрироваться на стрим ⟶

#события @П2Т

💥 Импланты для Juniper, ханты для инфостилеров и другие интересные исследования ИБ за неделю

🔵Новая сложная атака на роутеры Juniper, их заражают ВПО J-magic, которое исследователи называют развитием бэкдора cd00r, обнаруженного нами добрых десять лет назад. Имплант прослушивает весь входящий трафик и реагирует на запросы соединения в «волшебных» пакетах. Если вызывающий компьютер пройдёт двухэтапную проверку имплантом, ему открывается обратный шелл на роутере. Исследователи считают кампанию отдельной от других известных на сегодня атак с компрометацией корпоративных МСЭ и маршрутизаторов.

🟣Разбор сложной тактики вымогателей: скомпрометированные хосты ESXi используются для развития атаки во внутренней сети, а присутствующие на хосте ESXi инструменты, например SSH, используются чтобы установить SOCKS туннель к С2.

🟢Отличное руководство от CERT-IL по обнаружению инфостилеров в инфраструктуре. Разобраны основные семейства, тенденции на рынке этого ВПО, рекомендованы признаки компрометации, которые удобно находить в сетевом трафике и на конечных точках. Есть правила SIGMA и Yara.

🟢Долгосрочная компрометация цепочки поставок: APT PlushDaemon больше чем на полгода смогла троянизировать инсталлятор VPN IPany, популярного в Южной Корее. В нагрузку к клиенту жертвам полагался троян SlowStepper.

⚪️Разбор атак на финансовые департаменты российских компаний. Группа DarkGaboon проводит качественный фишинг со знанием специфики работы этих отделов и устанавливает жертвам коммерческий троянец Revenge RAT.

🟣Две относительно новые RaaS, Hellcat и Morpheus, используют одну и ту же вредоносную нагрузку, так что возможно за ними стоят одни и те же люди.

🟣Свеженькая глобальная атака с распространением Lumma Stealer — под видом решения капчи просят запустить скрипт из буфера обмена. Это определённо стало модной тактикой.

🟢Новое в романтических приключениях жабы и гадюки: вредоносная кампания ориентирована на начинающих злоумышленников. Под видом билдера трояна XWorm они получают... заражение этим самым XWorm, который ворует у них токены Discord, Telegram и всё, что плохо лежит.

🟣Обстоятельное интервью с теперь уже бывшим директором CISA Джен Истэрли. Просто интересно почитать, что думает директор одного из самых эффективных агентств в сфере кибербезопасности.

#новости #APT #дайджест @П2Т

💰 CISO, эволюция, зарплатный рост

Подробное исследование на базе опроса многих западных CISO опубликовал IANS. Отчёт 2025 State of the CISO содержит любопытную статистику о том, чем занимаются различные CISO, как различается их роль и вес внутри компании, и как они видят эволюцию своего подразделения, своей должности и карьеры.

Основной тенденцией последнего года-двух называют расширение роли CISO за пределы традиционной ИБ — приходится охватывать более широкий спектр бизнес-рисков, уделяя внимание безопасности цепочки поставок, непрерывности бизнес-операций, защищённости выпускаемых продуктов. Этот рост обязанностей создаёт новые возможности карьерного роста и даже новые руководящие позиции, такие как Chief Trust Officer и Chief Digital Officer.

Значительно увеличивается количество CISO, должность которых является одной из высших в компании и взаимодействующих с советами директоров. CISO, имеющие доступ к руководству, обладают большим стратегическим влиянием и видимостью — 47% из них взаимодействуют с советом директоров ежемесячно или ежеквартально. Впрочем, этот показатель отличается для бизнесов разного размера и, парадоксально, он ниже для относительно небольших компаний.

IANS выделяет три разновидности CISO — Стратегические, Функциональные и Тактические — в зависимости от круга их задач и уровня доступа к руководству. Стратегические CISO, обладающие высоким уровнем влияния и регулярным взаимодействием с советом директоров, хвастают сообщают о более высокой удовлетворённости работой и в полтора раза большей компенсацией.

Практические советы
На основании вышесказанного авторы дают несколько советов для CISO, стремящихся к развитию, росту профессиональных компетенций и доходов:
Лучше доступ к руководству. CISO следует стремиться чаще общаться с топ-менеджментом, выстраивая доверительные отношения с членами совета директоров и участвуя в стратегических бизнес-дискуссиях. При этом важно работать над восприятием CISO как стратегического партнёра, а не просто технического консультанта. Это включает в себя согласование стратегий безопасности с бизнес-целями и практически полезный вклад в обсуждения бизнес-рисков.

Новые сферы влияния. Карьерный рост вместо выгорания авторы увязывают c ролями, которые объединяют безопасность с ИТ, цифровой трансформацией, внедрением ИИ или управлением рисками. В зависимости от того, чем занимается организация, перспективными «следующими должностями» для CISO названы Chief Trust Officer, Chief Product Officer и Chief Risk Officer.

Для тех, кому интересно, во сколько раз больше можно получать, совмещая роли CIO и CISO, во вложении — полная версия отчёта с многочисленными диаграммами. 😊

#советы #CISO @П2Т

🤖 Угрозы в облаках: от злоупотребления API до слабых паролей

Полугодовой обзор Google Cloud даёт довольно чёткие сигналы о том, какие угрозы в публичных облаках нужно отслеживать и предотвращать в первую очередь (даже если перед словом Cloud стоит любой другой бренд). На фоне привычных и печальных проблем со слабыми или отсутствующими паролями для доступа в облако (привет, DeepSeek!) и мисконфигурациями облачных сервисов (45,7% и 34,3% инцидентов), отмечен значительный рост атак с компрометацией или злонамеренным использованием доступных API и UI. Их доля достигла 17%, на треть больше, чем за предыдущие полгода. В ответ на эту угрозу рекомендуют развивать API security, а как минимум — систематически находить и убирать из общего доступа случайно доступные там API. Надо же с чего-то начинать эту самую API security.

Особо авторы подчёркивают угрозы базам данных. Если вышеописанные трюки открывают доступ к БД, злоумышленники могут и извлечь данные для вымогательства, и, например, запустить на серверах майнинг Monero — удивительно популярный в 2024 году метод заработка. Кроме вышеописанных мер защиты, для серверов БД неплохо работают «ковровые» ограничения, такие как разрешение обращаться к БД только из доверенной подсети или вообще с конкретных IP.

Identity называют «новым периметром» и подчёркивают всё растущее разнообразие способов его кражи и эксплуатации: от воровства куки и сессионных токенов до AitM. А учитывая, что identity уже давно получают не только пользователи, но и, например, микросервисы, управлять этим зоопарком без централизованного решения становится проблематично.
Характерным трендом является недооценка инцидентов с identity командами ИБ, поэтому реагирование часто оказывается недостаточным и атакующие быстро возвращают утраченные позиции.

Авторы рекомендуют обновить плейбуки для реагирования на инциденты с identity и включить в них полный комплекс мер: принудительно включить MFA и исключить нестойкие методы MFA, сбросить пароли, отозвать сессионные ключи и токены, удалить куки и разорвать все ранее аутентифицированные сессии, вручную перепроверить и по необходимости перевыпустить связанные долгосрочные ключи и методы идентификации, такие как криптографические сертификаты, отозвать авторизацию приложений и сервисов, добавленных скомпрометированным аккаунтом, а также добавленных в аккаунт устройств.

#советы #облако @П2Т

🐥 Ловим вредоносные изменения групповых политик

Групповые политики (GPO) незаменимы для администратора, управляющего инфраструктурой на технологиях Microsoft. Но их повсеместное присутствие делает их привлекательной целью для атакующих, применяющих GPO среди прочих инструментов LotL, чтобы воровать и шифровать данные, не вызывая срабатываний СЗИ.

Типичные сценарии зловредного применения GPO включают одновременный запуск шифровальщиков на многих хостах, добавление вредоносных администраторов и запуск запланированных задач. Для этого атакующие используют как стандартную консоль Microsoft для работы с GPO, так и дополнительные инструменты, такие как SharpGPOAbuse.

Простой способ мониторинга подозрительного использования GPO — это отслеживание в логах события 5136, которое пишется при изменении объектов Active Directory. Однако многие организации по разным причинам не включают extended logging на Windows-хостах, а он нужен для такого мониторинга. Кроме того, требуется опыт, чтобы минимизировать количество ложных срабатываний, но сохранить эффективность.

Предоставляя услуги Kaspersky MDR, мы отслеживаем изменения GPO в инфраструктуре клиентов, используя несколько подходов. Если журналы extended logging недоступны, мы полагаемся на другие источники данных, включая ETW (Event Tracing for Windows), а также применяем собственный инструменты GCNet, который фиксирует любые изменения GPO сразу же, как они происходят.

Чтобы узнать больше о вредоносном использовании GPO, инструменте GCNet и других методах в нашем арсенале MDR, изучите этот пост на Securelist.

#советы #APT #Microsoft #SOC #MDR @П2Т

🎚 Лучшие посты января

Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗

🟣все новшества фреймворка D3FEND 1.0, парного к ATT&CK;
🟣сколько стоит железо для SIEM;
🟣о пользе киберразведки (TI) на многочисленных примерах;
🟣ИБ-ликбез: ответы самые популярные вопросы родственников, друзей и коллег;
🟣живой и честный разговор о DLP в России;
🟣куда развиваться CISO и сколько денег просить;
🟣безопасность LLM — бесконечная работа (и это не про DeepSeek);
🟣прогноз рынка труда на 5 лет и кому придётся учиться ИБ;
🟣сколько стоит утечка и что, кроме вымогателей нужно учесть.

#советы #дайджест @П2Т

🗣 Узнайте о новостях SIEM из первых рук

Совершенствование SIEM и процессов в SOC — процесс бесконечный, но иногда надо остановиться и посмотреть, как много нового и полезного удалось сделать. Мы тоже посмотрели, и поняли, что масштабный релиз Kaspersky Unified Monitoring and Analysis Platform требует целой телепередачи 😊, чтобы рассказать обо всех новшествах и о том, как они повышают качество и скорость работы SOC.
Приходите на эфир KUMA.TV завтра, чтобы послушать про:

▶️ новый AI-модуль в нашем SIEM;
▶️ что поможет эффективно обрабатывать SIGMA-правила и находить правила, не используемые корреляторами;
▶️ какие ИИ-функции помогут приоритизировать алерты и ускорят обработку инцидентов;
▶️ можно ли использовать KUMA в очень большой разнородной инфраструктуре;
▶️ как внедряют нашу SIEM заказчики в РФ и на Ближнем Востоке.

Кроме этого, конечно будут ответы на вопросы и живая демонстрация!
Встречаемся уже завтра, 4 февраля 2025 в 11:00 (МСК).

Зарезервировать место на стриме⟶

#события @П2Т

➡️ Интересные исследования APT и новости ИБ за неделю

🔵Анализ Android-инфостилера Tria, примечательного необычной приманкой — приглашением на свадьбу.

🟣Подробный разбор целевой атаки на телеком-провайдеров в Азии: целью является шпионаж, поэтому атакующие использовали целый букет редких инструментов и техник, чтобы быть малозаметными. Финально у жертвы на хосте развернули PlugX.

🟣Российские компании атакуют с помощью инфостилера Nova, переработанного из SnakeLogger.

🟣Новый класс side-channel-атак: в отличите от всех предыдущих, уязвимости с мультяшными именами SLAP и FLOP опираются на спекулятивное извлечение обрабатываемых данных, а не спекулятивное выполнение. Позволяют (в теории) утащить данные из, например, соседнего окна браузера. Работают только на устройствах Apple возрастом не старше 4 лет.

🔵За неделю ИИ-стартап DeepSeek успел прославиться аж тремя историями из сферы ИБ: полёг под DDoS (или оправдал этим перегрузку серверов любителями халявы), продемонстрировал вопиющее пренебрежение нормами безопасности, храня внутренние данные, включая чаты пользователей и токены в незащищённой БД, а также проявил очень низкую устойчивость R1 и V3 к джейлбрейкам.

🟢Google по примеру OpenAI выкатили отчёт о зловредном использовании LLM Gemini. Внутри не написано никаких чудес, главный вывод для служб ИБ — все поставщики облачных моделей с интересом следят за содержимым чатов, а там, возможно, уже лежат ваши API-ключи и непубличные финансовые показатели.

🟢Сложность Mac-угроз нарастает — разбираем особенности атак Banshee stealer на macOS.

⚪️Подробный анализ SparkRAT, кроссплатформенного ВПО с открытым кодом, которое тоже применяется на Mac-платформах, в том числе APT.

🟢Как выглядит бэкенд Lazarus для сбора данных со всех скомпрометированнных npm-пакетов, криптокошельков, и так далее? В этом посте можно посмотреть на картинки и оценить масштаб.

🟢Разбор инструмента для вишинга — редкий материал о том, как это работает с франкоязычными атакующими и жертвами.

🔴Новый год — новый коммерческий инфостилер, FleshStealer.

🟠Анализ активности банковского троянца Coyote, дело конечно происходит в Бразилии.

🔵Британская NCSC стряхнула пыль с концепции непростительных уязвимостей — тех, которые хорошо известны и дёшевы в предотвращении. Документ чисто технический, классифицирует типы дефектов по опасности и сложности устранения, но интересно, что будет дальше — штрафы тем, кого не простили?

#APT #дайджест @П2Т

🔎 Как перестать беспокоиться перерасти периметр и начать жить

Хотя концепцию периметра в ИБ хоронят уже много лет, а она всё сопротивляется, последние годы в ней живётся объективно труднее. Дистанционная работа, взломы пограничных устройств, злоупотребление VPN-доступами в инфраструктуру делают защиту на одном периметре организации почти невозможной. Нужно внедрять новые подходы к сетевой безопасности. Ведущие мировые регуляторы рекомендуют переходить к SASE и Zero trust, но на практике это достаточно сложный процесс.

Какие основные компоненты потребуются для «новой сетевой безопасности», с чем едят ZTNA и CASB, каковы организационные нюансы внедрения и почему SASE — это не только безопасно, но и экономически эффективно?
Собрали все ответы в одной статье.

#советы #SDWAN @П2Т

🗣Спроси эксперта: отделяем ИБ-хайп от фактов и реальных технологий

Резонансные кибератаки и шумиха вокруг искусственного интеллекта создали «идеальный шторм». С одной стороны, бизнес, до самого высокого уровня в компании, осознаёт важность ИБ. С другой стороны, он приходит к ИБ с вопросами и предложениями, ориентируясь на ложное представление, созданное хайпом в СМИ и недобросовестной рекламой. Как повернуть интерес в ИБ в практическое русло и где искать не рекламную, а настоящую безопасность? Поговорим об этом на вебинаре 6 февраля!

Обсудим:
▶️ ландшафт угроз. Что привлекает внимание бизнес-стейкхолдеров, а что объективно угрожает компании;
▶️ «всемогущий» ИИ. Какие атаки уже реальны, какие решения действительно работают в ИБ;
▶️ какие критерии важны при выборе защитных решений, но никогда не упоминаются в рекламе;
▶️ где незаменимы живые эксперты: как десятилетия опыта влияют на воплощение ИБ-решений.

👤 Разборки с хайпом проведут Александр Лискин, руководитель управления исследования угроз и Олег Горобец, евангелист кибербезопасности.

Встречаемся завтра, в четверг: 6 февраля 2025 в 11:00 (МСК).

Зарезервировать место на вебинаре ⟶
#события @П2Т

🎧 Регуляторы хотят большей visibility в сетевых устройствах

Новые требования к сетевому оборудованию хотят предъявить кибер-агентства Великобритании, США и Австралии. На роутерах, файрволах, VPN, устройствах IoT и прочем они требуют достичь уровня обзорности (visibility and observability), который обеспечит ИБ-службе эффективный мониторинг устройства «из коробки», а также упростит сбор артефактов при расследовании инцидентов. Начинание очень здравое, учитывая десятки масштабных инцидентов с эксплуатацией сетевых устройств, сложности с их защитой и привилегированное положение, которое они занимают в сетях компаний.

В списке протоколируемых событий и нужных для расследования артефактов почти полсотни пунктов, поэтому отметим только несколько ключевых:
🟣события аутентификации со всеми деталями, включая неуспешные попытки;
🟣любые смены конфигурации устройства с данными о том, какой пользователь или процесс и как именно сделал изменения;
🟣любые манипуляции с файлами журналов;
🟣попытки обновления ПО и прошивки;
🟣создание и завершение процессов, монтирование и размонтирование томов.

Устройство обязано поддерживать передачу событий в «почти реальном времени» для дистанционного мониторинга и безопасный интерфейс выгрузки данных для расследований.

Отделам закупок, службам ИТ и ИБ рекомендовано ориентироваться на этот список как на минимальные требования, которым должно соответствовать приобретаемое сетевое устройство. Ну а производителям рекомендовано бегом воплощать всё перечисленное.

#новости #CISO #SIEM #SOC @П2Т

😵‍💫 «Нигерийские» новинки для учений по фишингу

Хотя «нигерийскому» спаму уже более двух десятилетий, он и не думает умирать. На смену богатым африканским принцам просто приходят новые легенды, но сама схема, основанная на том, чтобы заинтересовать жертву крупной суммой и вовлечь в мошенническую переписку с выманиваем денег и личных данных, остаётся.

Среди оригинальных легенд последнего времени наши эксперты отметили такие:
🟣 заинтересованный инвестор. Отправитель, якобы, ищет компании, в которые он может вложить деньги и просит фирму получателя установить с ним связь;
🟣 возмещение ущерба. Отправитель письма, якобы, представляет финансовую организацию, а получателя пытались обокрасть коррумпированные служащие. Теперь нужно обсудить, какую финансовую компенсацию получит жертва несостоявшейся кражи;
🟣 пианино в наследство. Кроме денежных приманок в спаме порой фигурируют необычные и ценные вещи, от которых отправитель мечтает избавиться;
🟣 приглашение в иллюминаты. Все члены тайных обществ крайне богаты, как упустить такую возможность? 😈

Хотя атаки такого рода исторически фокусируются на частных лицах, предотвращать их разновидности, направленные на корпоративных сотрудников, да и просто улучшать «кибергигиену» среди персонала будет очень полезно.

#советы @П2Т