Касающаяся большинства информационных интернет-систем уязвимость, получившая название HTTP/2 Rapid Reset (CVE-2023-44487), стала причиной беспрецедентной DDoS-атаки, самой масштабной во всей истории Сети. Как сообщает Dark Reading, фактически речь идёт о новой главе в эволюции DDoS-угроз. Эксперты ожидают экспоненциального роста уровня атак, масштаб которых будет удваиваться примерно каждые 18 месяцев.

Серии атак по несколько минут каждая регистрировались 28 и 29 августа, за ними наблюдали AWS, Cloudflare и Google Cloud. Речь шла о кибернападениях на облачных и инфраструктурных провайдеров. Известно, что лазейкой послужил баг в протоколе HTTP/2, использующемся приблизительно в 60 % веб-приложений. IT-гиганты, наблюдавшие за ситуацией, координировали действия с другими облачными провайдерами, сервисами по обеспечению интернет-инфраструктуры, а также компаниями, занимающимися защитой от киберугроз.

Источник изображения: Lewis Kang'ethe Ngugi/unsplash.com

Как заявили в Cloudflare, HTTP/2 является фундаментальным элементом работы интернета вообще и большинства сайтов в частности. Атака позволила генерировать сотни тысяч запросов за раз, после чего немедленно отменять их, перегружая сайты и выводя из строя всё, что использует протокол HTTP/2. На пике Cloudflare регистрировала более 201 млн запросов в секунду. Google в то же время регистрировала по 398 млн запросов в секунду, в 7,5 раз больше, чем во время любой другой атаки против её ресурсов. AWS — 155 млн запросов, направленных на сервис Amazon CloudFront.

При этом в ходе августовского инцидента применялся довольно скромный ботнет из приблизительно 20 тыс. узлов — оружие оказалось довольно эффективным с учётом того, что регулярно наблюдаются более масштабные сети, иногда включающие миллионы машин. Хотя эффект от атаки оказался не столь сокрушительным, как, вероятно, надеялись её организаторы, владельцам интернет-проектов стоит уделить соответствующим угрозам особое внимание, поскольку речь идёт о гонке на опережение — злоумышленники состязаются с разработчикам защиты.

Владельцам ресурсов и сервисов рекомендуется оценить уровень защищённости своих систем от DDoS-атак и немедленно устранить уязвимость, применив патчи к серверам и иным сервисам и приложениям. Наконец, в качестве последнего средства допускается отключение HTTP/2 и также уязвимого HTTP/3 — при этом стоит помнить, что даунгрейд до HTTP/1.1 неизбежно снизит производительность.

Компания «Интеллектуальная безопасность», работающая на ИБ-рынке под брендом Security Vision, пополнила портфолио защитных решений новым продуктом по реагированию на киберугрозы следующего поколения — Next Generation SOAR.

Security Vision Next Generation SOAR представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности (Security Operation Center, SOC). Программный комплекс аккумулирует данные об инцидентах ИБ из множества источников, обеспечивает координацию работы команды SOC и автоматизирует процедуры реагирования.

Источник изображения: securityvision.ru

Платформа умеет самостоятельно осуществлять триаж (первичное категорирование) поступающих оповещений, приоритизировать инциденты, выбирать подходящий сценарий реагирования и оперативно предпринимать контрмеры по локализации инцидента для недопущения его распространения и нанесения значимого ущерба организации. В продукте задействованы методы машинного обучения и статистического анализа свойств инцидентов для выявления аномалий и возможных незамеченных ранее киберинцидентов в IT-инфраструктуре, а также для прогнозирования дальнейших шагов атакующих и развития инцидента с целью выбора оптимальных мер противодействия.

Security Vision Next Generation SOAR также позволяет формировать и отправлять отчётности по киберинцидентам в НКЦКИ (через систему ГосСОПКА), ФинЦЕРТ (через интерфейс АСОИ), Роскомнадзор и в отраслевые CERT. Для автоматизации такого взаимодействия в систему встроены инструменты отправки уведомлений и обмена данными с указанными структурами, а также для создания внутренней отчётности и визуализации состояния киберзащищенности компании в целях обеспечения ситуационной осведомлённости ИБ-служб.

Positive Technologies сообщила о выпуске на рынок программного комплекса MaxPatrol EDR.

Разработанный российской компанией продукт относится к решениям класса Endpoint Detection & Response и предназначен для предотвращения, обнаружения и реагирования на киберинциденты в корпоративной сети. MaxPatrol EDR обеспечивает многоуровневую защиту рабочих станций и серверов, а также включает технологии статического и поведенческого анализа аномалий в IT-инфраструктуре организации. Новинка поддерживает операционные системы Windows, macOS, Linux (в том числе российские сертифицированные ОС) и предоставляет ИБ-службам богатый выбор действий для автоматического и своевременного реагирования на угрозы: остановка процесса, удаление файлов, изоляция устройства, отправка на анализ, синкхолинг (sinkholing).

Как работает MaxPatrol EDR (источник изображения: ptsecurity.com)

MaxPatrol EDR поставляется с набором экспертных правил PT Expert Security Center, благодаря чему программный комплекс способен выявлять угрозы и популярные тактики и техники злоумышленников из матрицы MITRE ATT&CK (топ-50 для Windows и топ-20 для Linux). Кроме того, положенные в основу решения технологии позволяют обнаруживать атаки с использованием легитимных инструментов (PowerShell, WMI, CMD, BASH), которые могут пропустить традиционные средства защиты, основанные на сигнатурном анализе.

Система поддерживает совместную установку с другими средствами защиты. Её агенты могут работать автономно, то есть проводить анализ и противодействовать угрозам на конечных точках в изолированных сетях, без обращения к серверу.

MaxPatrol EDR можно приобрести как самостоятельный продукт. Также он является частью PT XDR — комплексного решения для расширенного обнаружения угроз и реагирования на них, которое Positive Technologies выпустила в 2021 году.

Компания BI.ZONE сообщила о выпуске новой версии программного комплекса Compliance Platform, предназначенного для автоматизации выполнения требований законодательства по информационной безопасности (ИБ).

Благодаря новым функциям платформа BI.ZONE Compliance Platform позволяет организациям подготовить информационные системы персональных данных (ИСПДн) и государственные информационные системы (ГИС) к аттестации или переаттестации в соответствии с приказом ФСТЭК России № 77. Продукт формирует полный комплект подтверждающей документации и актуализирует его при любых изменениях IT-инфраструктуры.

Схема работы BI.ZONE Compliance Platform

С помощью BI.ZONE Compliance Platform предприятия могут оценить, насколько применяемые меры безопасности в корпоративных системах соответствуют требованиям законодательства. Программный комплекс анализирует данные об IT-инфраструктуре и на основе полученных сведений создаёт отчёт о соответствии требованиям таких нормативных актов, как приказы ФСТЭК России № 17 и № 21, постановление правительства № 1119, приказы ФСБ России № 378 и № 524. Ознакомиться с ними, а также другими приказами и постановлениями можно прямо на платформе.

Помимо оценки применяемых мер защиты на соответствие требованиям регуляторов, продукт обеспечивает формирование модели угроз — документа с перечнем актуальных угроз безопасности и аналитикой. Это позволяет компаниям проанализировать возможные риски и вероятность их реализации. Модель угроз автоматически обновляется и корректируется при изменении IT-инфраструктуры организации или законодательства.

Общее количество серверов, на которых размещаются мошеннические сайты, в том числе для фишинга, в мировом масштабе за год увеличилось на 65 %. По состоянию на начало октября 2023-го их число достигло 93,2 тыс. Такие данные, как сообщает газета «Коммерсантъ», приводит НИИ «Интеграл» — научно-исследовательский институт Минцифры России.

Речь идёт о серверах, на которых располагаются ресурсы, маскирующиеся в мошеннических целях под банки, лотереи, крупные компании и т. д. По оценкам «Интеграла», такие серверы располагаются в 76 странах, тогда как годом ранее их было 82.

Источник изображения: pixabay.com

Лидером по количеству вредоносных ресурсов, размещённых на серверах в стране, является Канада: в 2023 году их число подскочило на 56 % — до 24,7 тыс. На втором месте в данном антирейтинге находятся Нидерланды, где количество вредоносных серверов взлетело за год на 160 %, достигнув 22,5 тыс. Замыкают тройку США с 15,4 тыс. фишинговых ресурсов и ростом на 80 % в годовом исчислении. Россия находится на четвёртом месте: 9,5 тыс. серверов с мошенническими ресурсами и годовой рост на уровне 14 %. Далее идёт Великобритании — 4,3 тыс. сайтов и увеличение на 7 % год к году.

В доменной зоне .com в 2023 году расположены 23,5 тыс. вредоносных ресурсов против 10,8 тыс. в 2022-м. Далее следует зона .ru, где число фишинговых сайтов за год поднялось с 9,0 тыс. до 17,1 тыс. В зоне .top расположены 12,7 тыс. вредоносных серверов против 4,9 тыс. годом ранее.

В координационном центре доменов .ru/.рф сообщили, что с января по сентябрь 2023 года поступили 36,6 тыс. жалоб об использовании доменных имен в этих зонах для «поддержания ресурсов с вредоносной активностью», что превысило показатель 2022 года более чем на 150 %. По итогам рассмотрения обращений прекращено делегирование 35,7 тыс. доменов.

Промышленные системы автоматизации по-прежнему являются объектами повышенного интереса со стороны киберпреступников по всему миру. Об этом свидетельствует исследование, проведённое специалистами центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT).

Результаты исследований ландшафта угроз для систем промышленной автоматизации в первом полугодии 2023 года показали, что наибольшее количество официально подтверждённых киберинцидентов пришлось на производственные организации и транспортную отрасль — в частности пострадали компании, связанные с кораблестроением и логистикой. Также мишенями становились энергетические предприятия и производители микроэлектроники.

Доля зафиксированных инцидентов в разных отраслях промышленной сферы (источник: Kaspersky Lab ICS CERT)

Подавляющее большинство инцидентов было вызвано атаками программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации. Как минимум три корпорации были скомпрометированы через незакрытую уязвимость в двух различных MFT-продуктах (Managed File Transfer). Используемые крупными организациями решения этого типа в очередной раз становятся источником проблем безопасности, и промышленные предприятия часто оказываются не в состоянии быстро закрыть опасную уязвимость не только в технологических сетях, но и внутри периметра своей сети.

«Криминально мотивированные атаки становятся настоящим бичом промышленных организаций по всему миру, затрагивают большинство реальных секторов экономики и оказывают негативное влияние на повседневную жизнь людей, — говорит Евгений Гончаров, руководитель Kaspersky ICS CERT. — В частности, в прошедшем полугодии в список наиболее атакованных секторов экономики попала электроэнергетика, в том числе производители комплексов специализированного оборудования, программного обеспечения и поставщики соответствующих сервисов. Мы напоминаем о том, что руководителям предприятий любого сектора и любого типа стоит держать риски кибербезопасности в фокусе внимания и принимать необходимые меры».

Подробнее с результатами аналитического исследования Kaspersky Lab ICS CERT можно ознакомиться на сайте ics-cert.kaspersky.ru.

Компания «Анлимитед Продакшен» сообщила о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса eXpress по четвёртому уровню доверия.

Платформа eXpress представляет собой инструмент для коммуникаций в корпоративной среде. Решение поддерживает видеоконференции, обмен сообщениями и файлами, работу с электронной почтой, документами, календарём и различными встроенными сервисами. Программный комплекс поддерживает интеграцию с 70+ сторонними системами, такими как Active Directory, DLP, SIEM, а также содержит средства защиты данных и контроля доступа пользователей к конфиденциальной информации.

Источник изображения: express.ms

Четвёртый уровень сертификации ФСТЭК России является самым высоким уровнем доверия, предъявляемым к средствам защиты информации в информационных системах, не предназначенных для обработки сведений, составляющих государственную тайну.

Сертификат четвёртого уровня доверия допускает применение коммуникационной платформы eXpress на объектах критической информационной инфраструктуры первой категории, в автоматизированных системах управления технологическими и производственными процессами (АСУ ТП), государственных информационных системах первого класса защищённости и информационных системах персональных данных при обеспечении первого уровня защищённости обрабатываемой информации.

Научно-производственное объединение «Эшелон» сообщило об успешном прохождении сертификационных испытаний на соответствие стандартам Министерства обороны Российской Федерации обновлённого программно-аппаратного комплекса «Рубикон», выполняющего функции межсетевого экранирования и обнаружения компьютерных атак.

Выданным ведомством сертификат подтверждает, что система «Рубикон» соответствует требованиям приказа Министра обороны РФ по 2 уровню контроля отсутствия недекларированных возможностей согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.).

Программно-аппаратный комплекс «Рубикон» может применяться на объектах Вооружённых сил Российской Федерации для защиты автоматизированных систем специального и военного назначения, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, имеющую степень секретности до «совершенно секретно» включительно.

Программная составляющая платформы «Рубикон» включена в реестр отечественного ПО и рекомендована для использования в российских государственных и коммерческих организациях. Также в активе комплекса имеется сертификат ФСТЭК России.

Компания Swissbit AG пополнила линейку защищённых продуктов iShield серией microSD-карт iShield Archive, специально разработанных для шифрования данных и защиты доступа к записываемым и хранящимся на них видео и изображениям. По данным Storage Newsletter, новинки предназначены для пользователей, уделяющих особое значение защите информации в соответствии обновлённым законодательством Евросоюза.

Выпускаются варианты ёмкостью 16, 32 и 64 Гбайт, а скорость доступа соответствует классам UHS-I U3 и Video Speed Class V30, обеспечивая, например, запись видео в разрешении 4К без задержек. Карты совместимы со всеми обычными типами камер. Поддерживается аппаратное шифрование AES-256. Компании и организации могут оснащать новыми картами беспилотники, нательные видеорегистраторы и многие другие типы камер. Любые записанные данные невозможно просмотреть, скопировать или удалить без соответствующих прав после того, как камера выключена и карта извлечена из устройства.

Источник изображения: Swissbit

Работа с картами памяти и их настройка осуществляются посредством ПО iShield Archive Tool (iAT) для Windows, macOS и Linux. Утилита позволяет задать параметры защиты, назначить PIN-коды и распределить роли и права доступа. Например, в WORM-режиме у выбранных пользователей есть доступ только на чтение без возможности изменения данных. Для того чтобы освободить место на карте, также необходимо использовать iAT и авторизоваться.

Накопители iShield Archive используют память 3D-pSLC NAND и способны работать при температурах от -40 до +85 °C. Заявленный ресурс составляет 4000 TBW при последовательной записи или 550 TBW при случайной записи 4K-блоками. Заявленная производительность последовательных чтения и записи составляет 39 и 37 Мбайт/с соответственно, а показатель IOPS на случайных операциях равен 740 и 1350.

Компания Yubico, специализирующаяся на средствах аппаратной аутентификации, объявила о получении статуса публичной, а также о том, что теперь её акции торгуются под тикером YUBICO на фондовой бирже Nasdaq First North Growth Market в Стокгольме. Yubico была основана в 2006 году. Компания привлекла инвестиции в размере $88 млн. Её выручка в 2022 году составила около $151 млн, прибыль — $24,8 млн.

«Большое спасибо нашей команде YubiTeam, клиентам, партнёрам и организациям, с которыми мы работаем в рамках нашей программы Secure it Forward. Теперь наши акции торгуются на бирже Nasdaq First North Growth Market в Стокгольме под тикером YUBICO!», — сообщила Yubico в соцсети X (бывшая Twitter).

Источник изображения: Yubico

Yubico предлагает ряд продуктов, включая аппаратные ключи безопасности YubiKey, которые позволяют организациям устранить источник 90 % кибератак: фишинг и кражу учётных данных. Эти аппаратные ключи совместимы с несколькими протоколами аутентификации, включая FIDO2/Web Auth, Universal 2nd Factor, PIV/Smart Card и одноразовые пароли. При этом ключи совместимы как с устаревшей, так и современной инфраструктурой организаций. Также Yubico запустила сервис Yubico Enterprise Services, предлагающий гибкую систему для покупки и апгрейда ключей безопасности с учётом потребностей компании.

О решении стать публичной и выйти на биржу через SPAC-влияние — со шведской холдинговой компанией ACQ Bure — Yubico объявила в апреле этого года, отметив, что это поможет ей выйти на другие рынки аутентификации, привлечь новых клиентов и более тесно сотрудничать со сторонними поставщиками. По словам гендиректора Yubico Маттиаса Дэниелссона (Mattias Danielsson), выход на биржу также позволит компании перейти от производственного подхода «точно в срок» к обеспечению бесперебойного пополнения запасов, что позволит выполнять более крупные заказы.