Компания Nubes, специализирующийся на предоставлении облачных сервисов на базе собственного дата-центра уровня Tier III в Москве, сообщила о получении лицензий Федеральной службы по техническому и экспортному контролю на деятельность по разработке средств защиты конфиденциальной информации, а также на деятельность по её технической защите.

Выданные ФСТЭК России лицензии подтверждают соответствие компании предъявляемым ведомством требованиям в области IT-безопасности. Согласно полученным документам, специалисты Nubes вправе участвовать в разработке и доработке ПО и технических средств защиты информации, а также оказывать услуги по хранению персональных данных, в том числе по развёртыванию и настройке защитных решений.

Источник изображения: vk.com/cloudnubes

«Без лицензий ФСТЭК России мы поддерживали информационную безопасность внутри компании — защищали свои системы, облако NGcloud. Теперь можем помогать с информационной безопасность клиентам, настраивая антивирусы, межсетевые экраны и другие средства защиты инфраструктуры на стороне заказчика», — прокомментировал получение лицензий регулятора генеральный директор Nubes Василий Степаненко.

Nubes ведёт деятельность на российском IT-рынке с 2020 года. В портфеле облачного провайдера насчитывается более 20 cloud-сервисов, от классических IaaS-решений до платформенных сервисов DBaaS, Kubernetes, «1С» и др. В 2023 году компания пополнила ряды Ассоциации участников отрасли центров обработки данных, объединяющей профильные организации и экспертов в области строительства, эксплуатации и стандартизации ЦОД.

Правительство России разработало концепцию регулирования отрасли квантовых коммуникаций на ближайшие шесть с половиной лет. Распоряжение о её утверждении подписал премьер-министр Михаил Мишустин.

Концепция предполагает стимулирование развития рынка квантовых коммуникаций, поддержку отечественных производителей, достижение высокого уровня информационной безопасности граждан и государственных организаций. В документе также подчёркивается необходимость формирования правового механизма, регулирующего использование квантовых коммуникаций в существующих сетях связи, а также создания новых сетей квантовой связи. Отдельный акцент делается на техническом регулировании соответствующей отрасли и использовании национальных стандартов.

Источник изображения: freepik.com

Напомним, технологии квантовых коммуникаций основаны на использовании фундаментальных законов квантовой физики, которые невозможно обойти. Поэтому такие системы передачи данных способны обеспечить высочайший уровень безопасности. Дело в том, что осуществить незаметное «прослушивание» канала связи попросту невозможно: любая попытка перехвата данных будет тут же обнаружена и предотвращена. Обеспечивается это за счёт того, что для обмена ключами шифрования в квантовых системах используются одиночные фотоны, состояния которых безвозвратно меняются при попытке вмешательства.

«Квантовые коммуникации — это перспективное направление, и для его дальнейшего развития необходимо создать благоприятную регуляторную среду, исключить барьеры, которые тормозят такие процессы. Рассчитываем, что реализация концепции будет этому способствовать», — отметил Михаил Мишустин.

Заинтересованные ведомства совместно с ОАО «РЖД» должны в трёхмесячный срок представить в Минцифры предложения по реализации концепции.

Компания «Открытая мобильная платформа» сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) средства доверенной загрузки «Аврора» («Аврора СДЗ»).

«Аврора СДЗ» представляет собой специализированное ПО, предназначенное для функционирования совместно с процессорами Baikal-M и обеспечивающее доверенную загрузку ОС различных вендоров с помощью создания и проверки цепочки цифровых подписей каждой стадии загрузки. Средством поддерживаются операционные системы Astra Linux Special Edition, «Аврора» и «Альт СП».

Ключевой особенностью средства доверенной загрузки «Аврора» является расположение начального корня доверия непосредственно на кристалле, что избавляет от необходимости установки дополнительных аппаратных инструментов доверенной загрузки, при этом обеспечивая наивысший из возможных уровней безопасности. Это стало возможно благодаря глубокой интеграции продукта с процессорами Baikal от российской компании «Байкал Электроникс».

Использование модуля доверенной загрузки даёт возможность применять оборудование там, где необходимо обеспечить самый высокий уровень безопасности, например, в государственных корпорациях, на объектах КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании. Продукт предназначен для разработчиков, производителей программно-аппаратных комплексов и системных интеграторов.

Выданный ФСТЭК России документ подтверждает соответствие «Аврора СДЗ» требованиям профиля защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвёртого класса защиты (ИТ.СДЗ.УБ4.ПЗ). Сертификат действителен до 19 июня 2028 года.

Компания «Ред Софт» сообщила об успешном прохождении испытаний операционной системы «Ред ОС» на соответствие требованиям Федеральной службы по техническому и экспортному контролю к средствам виртуализации и контейнеризации.

Выданный регулятором документ подтверждает соответствие программной платформы с базовыми средствами виртуализации и контейнеризации «Требованиям по безопасности информации к средствам виртуализации» (Приказ ФСТЭК России от 27 октября 2022 г. №187), а также «Требованиям по безопасности информации к средствам контейнеризации» (Приказ ФСТЭК России от 04 июля 2022 г. №118) по 4 классу защиты.

Наличие сертификата допускает применение «Ред ОС» с целью развёртывания безопасной виртуальной и микросервисной инфраструктуры в IT-системах, обрабатывающих конфиденциальную информацию — в государственных информационных системах, информационных системах для обработки персональных данных, на объектах критической информационной инфраструктуры, а также в автоматизированных системах управления техническими процессами и информационных системах общего пользования.

В соответствии с требованиями ФСТЭК России в «Ред ОС» обеспечивается постоянный поиск уязвимостей, разрабатываются обновления безопасности и компенсирующие меры для невозможности эксплуатации уязвимостей.

Во II квартале 2023 года, по оценкам компании Pinpoint Search Group, финансирование стартапов, занимающихся разработками в области кибербезопасности, рухнуло на 55 % по сравнению с аналогичным периодом прошлого года. С другой стороны, мировой рынок кибербезопасности в целом вырос на 12,5 % в I квартале, опережая рост IT-отрасли.

Аналитики Pinpoint Search Group проанализировали 115 сделок по финансированию, слияниям и поглощениям в секторе ИБ. Их общая сумма по итогам II квартала 2023-го составила $1,9 млрд. Для сравнения: годом ранее показатель равнялся $4,3 млрд.

Источник изображения: pixabay.com

Несмотря на значительное снижение суммарных финансовых показателей, общее количество раундов поддержки компаний, занимающихся кибербезопасностью, превысило показатель II квартала прошлого года и составило 97 против 92 годом ранее. Во II четверти 2023-го произошло 18 слияний и поглощений, которые, по утверждению Pinpoint, отражают «устойчивую жизнеспособность сектора кибербезопасности».

Отмечается, что во II квартале 2023 года значительная часть финансирования пришлась на начальные раунды — приблизительно 45 %. При этом средний начальный объём вложений составил около $5 млн.

Инвесторы перешли на более диверсифицированный подход — они вкладывают средства в несколько стартапов вместо того, чтобы поддерживать какого-то одного разработчика. Это даёт возможность более эффективно управлять рисками, что важно в сложившейся макроэкономической обстановке.

Компания Cisco предупредила о наличии серьёзной уязвимости в коммутаторах серии Nexus 9000. Брешь позволяет удалённому злоумышленнику, не прошедшему проверку подлинности, перехватывать и изменять зашифрованный трафик, передающийся между узлами.

Дыра описана в бюллетене CVE-2023-20185 (CVSS 7.4): проблема связана с функцией шифрования CloudSec. Киберпреступник может перехватить пакеты данных и взломать шифрование с помощью криптоаналитических методов.

Уязвимость затрагивает серию коммутаторов Cisco Nexus 9000 (в ACI Mode) с прошивкой 14.0 и более поздними версиями с активированной функцией CloudSec. Уязвимость затрагивает Cisco Nexus 9332C, Nexus 9364C Fixed Spine и Cisco Nexus 9500 Spine, оснащённые картой Cisco Nexus N9K-X9736C-FX.

Источник изображения: pixabay.com

Ситуация ухудшается тем, что Cisco пока не выпустила обновление, устраняющее брешь, а известного пути обхода проблемы нет. Специалисты отмечают, что возможность перехватывать, расшифровывать и потенциально изменять трафик является серьёзной проблемой, особенно в дата-центрах, где хранится конфиденциальная информация. Рекомендуется отключить уязвимые коммутаторы.

Разработчик решений для обеспечения безопасности Bishop Fox LLC выпустил в минувшую в пятницу предупреждение о том, что сотни тысяч межсетевых экранов Fortinet Inc. остаются уязвимыми для атак, поскольку не получили патчи после раскрытия критической уязвимости в июне.

Уязвимость CVE-2023-27997 относится к типу багов, связанных с переполнением буфера (heap-based buffer overflow). Её обнаружили в ОС FortiOS. Уязвимость оценивается как критическая — 9,8 балла из 10 возможных по шкале CVSS. Благодаря ей злоумышленник может осуществлять удалённое выполнение кода на уязвимом устройстве с интерфейсом SSL VPN, доступном из Сети.

Fortinet выпустила обновления FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5, где уязвимость была устранена. Однако, как выяснила Bishop Fox, администраторы пренебрегли призывами установить патчи, так что более 300 тыс. брандмауэров FortiGate (69 % от 490 тыс. из обнаруженных в Сети) по-прежнему уязвимы для потенциальных эксплойтов.

Изображение: Bishop Fox

Чтобы продемонстрировать риск, связанный с уязвимостью, команда Bishop Fox разработала эксплойт, который запускает удалённое выполнение кода, компрометирующего целевую систему, позволяя ей обратно подключиться к серверу, контролируемому злоумышленником. Эксплойт предоставляет интерактивную оболочку на целевом устройстве.

Исследователи Bishop Fox настоятельно рекомендуют всем владельцам Fortinet FortiGate как можно скорее установить исправление, чтобы избежать опасности взлома системы. Им вторят эксперты из других компаний, занимающихся вопросами информационной безопасности.

Компания StormWall обнародовала результаты исследования, в ходе которого изучалась ситуация с кибербезопасностью в России и мире во II квартале 2023 года. Сообщается, что злоумышленники продолжали использовать комплексные DDoS-атаки, чтобы нанести максимальный вред компаниям. При этом Россия вошла в десятку самых атакуемых стран.

По оценкам, число DDoS-нападений на российские компании во II квартале 2023-го выросло на 28 % по сравнению с тем же периодом прошлого года. Чаще всего киберпреступники атаковали государственный сектор (37 % от общего числа нападений), финансовую отрасль (23 %) и телекоммуникационную сферу (18 %).

Кроме того, зафиксировано значительное количество атак на энергетический сектор (7 %), нефтяную сферу (5 %), транспортную отрасль (4 %), производственную сферу (3 %) и культурные учреждения (2 %). На все прочие сегменты пришлось только около 1 % атак.

Источник изображения: pixabay.com

Исследование показало, что количество атак на правительственные организации в годовом исчислении подскочило на 118 % во II четверти 2023-го. Рост атак на энергетический сектор составил 74 %, на нефтяную отрасль — 53 %. В области культуры зафиксировано увеличение на 42 %, тогда как число нападений на транспортную сферу поднялось на 26 %.

В целом, на Россию пришлось 5,3 % всех DDoS-атак, зарегистрированных в мире во II квартале 2023 года. По этому показателю РФ оказалась на восьмом месте. В тройку самых атакуемых стран вошли США (16,2 %), Индия (12,8 %) и Китай (10,4 %).

Отмечается, что для создания ботнетов хакеры активно используют IoT-устройства и виртуальные частные серверы (VPS). Пиковым месяцем по числу атак стал май, в течение которого произошло 42 % всех атак в России.

Новые ИИ-проекты с открытым исходным кодом на базе больших языковых моделей набирают огромную популярность за считаные месяцы. Но, как сообщает Dark Reading, уровень их безопасности оставляет желать лучшего. Тем более что из тысяч действующих версий наиболее популярны одни из самых молодых вариантов.

Как выяснила компания Rezilion, занимающаяся проектами в сфере кибербезопасности, использующие решения на основе LLM компании неизбежно ставят свой бизнес под угрозу. Так, проанализировав 50 самых популярных проектов на базе LLM на GitHub, компания пришла к интересным выводам. Для оценки использовался инструмент Scorecard от Open Source Security Foundation, который учитывает различные характеристики проектов, от числа уязвимостей до того, как осуществляется поддержка, а также другие факторы.

Источник: Rezilion

Известно, что с момента публичного дебюта ChatGPT, на GitHub появились более 30 тыс. проектов, использующих GPT-3.5, причём они активно интегрируются в самые разные программные решения. Исследователи составили «карту» популярных проектов, где по оси y отмечался уровень их популярности, а по оси x — уровень безопасности на основе рейтинга OpenSSF Scorecard. В итоге ни один из оценивавшихся проектов не набрал больше 6,1 балла из 10 возможных. Другими словами, все самые популярные решения на основе LLM связаны с высоким уровнем риска, а средний балл и вовсе составил 4,6.

Источник: Rezilion

Примечательно, что самый популярный проект Auto-GPT, набравший на GitHub почти 140 тыс. звёзд в местном рейтинге, появился в репозитории меньше трёх месяцев назад и получил рейтинг Scorecard 3,7 — решение является чрезвычайно рискованным. Как заявляют в Rezilion, для новых проектов характерен экспоненциальный рост популярности, но разработчикам и службам информационной безопасности стоит осознавать риски, связанные с применением подобных решений.

По данным экспертов организации, когда речь идёт о новом проекте, невозможно достоверно прогнозировать, будет ли он эволюционировать и поддерживаться. Быстро достигнув пика популярности, многие проекты сохраняют невысокий уровень безопасности — когда исследователи оценили соотношение возраста проектов и их уровня в Scorecard, выяснилось, что чаще всего встречались популярные разработки возрастом два месяца и рейтингом 4,5–5 баллов из 10.

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener.

Обновлённый программный комплекс получил модуль анализа состава ПО (Software composition analysis, SCA), дополнивший инструменты статического (Static application security testing, SAST) и динамического (Dynamic application security testing, DAST) анализа кода. Новый модуль SCA позволяет ускорить выявление и устранение уязвимостей. Система самостоятельно обнаруживает все сторонние компоненты, используя крупнейшие базы уязвимостей, а также собственный реестр данных, который регулярно обновляется экспертами компании. Для минимизации количества ложных срабатываний используется собственная технология Fuzzy Logic Engine.

Интерфейс Solar appScreener

Обновлённый Solar appScreener дополнительно получил поддержку классификации уязвимостей OWASP MASVS и стандарта PCI DSS (Payment Card Industry Data Security Standard) версии 4.0. Разработчиками продукта была изменена логика работы с пользователями по протоколу LDAP, значительно расширена база правил поиска уязвимостей для Java и C#, а также добавлены новые паттерны поиска уязвимостей для целого ряда языков программирования.

Кроме того, был внесён ряд изменений для повышения удобства работы пользователя с системой, например, при первом входе в систему теперь появляются интерактивные подсказки. Появление возможности управлять очередью сканирований позволяет при запуске анализа назначать приоритет сканирования и отслеживать очередь на новой странице в разделе «Проекты». Также разработчики упростили работу ИБ-служб в организациях, которые внедряют решение в процессы безопасной разработки, добавив возможность автоматически создавать задачи в Jira по результатам сканирования.