«Лаборатория Касперского» опубликовала инструкции по организации процессов отслеживания и реагирования на утечки данных в дарквебе. Руководство предназначено для компаний, столкнувшихся с кражей конфиденциальной корпоративной информации, и будет полезно в первую очередь аналитикам Cyber Threat Intelligence, инженерам SOC, специалистам по реагированию на инциденты, ИБ-службам.

Представленные «Лабораторией Касперского» инструкции позволят организациям структурировать процессы реагирования на утечки данных — обозначить необходимые шаги и предписать конкретные роли ответственным лицам. Руководство включает в себя не только технические детали, например, как настроить систему постоянного мониторинга ресурсов дарквеба для оперативного выявления инцидентов, но и рекомендации по тому, как выстроить в случае утечки эффективную коммуникацию со СМИ, клиентами, партнёрами, высшим руководством и другими вовлечёнными сторонами.

«Компаниям часто не хватает понимания, как действовать в результате инцидента, как отреагировать не только быстро, но и корректно, чтобы максимально снизить возможный ущерб, репутационный и финансовый. Мы видим, что у бизнеса назрела необходимость в чётко выстроенном процессе реагирования на утечки, и, поскольку такие инциденты в ближайшее время не прекратятся, решили поделиться своим многолетним опытом и знаниями в детальном многостраничном руководстве. Уверены, что оно будет полезно для большинства компаний», — комментирует Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence.

По данным сервиса Kaspersky Digital Footprint Intelligence, в 42 % организаций, подвергнувшихся компрометации данных в 2022 году, не было контактного лица, ответственного за обработку таких инцидентов. Более четверти компаний (28 %) либо не отреагировали на уведомление, либо заявили о том, что это не вызывает у них беспокойство. Только 22 % компаний отреагировали на информацию о киберинциденте должным образом, а 6 % сообщили, что они уже в курсе произошедшего.

Недавно представленный Amazon чат-бот Amazon Q страдает характерными для этого типа решений «галлюцинациями» и допускает утечки конфиденциальных данных, сообщает Platformer. Пользователям превью-версии стали доступны данные о местоположении ЦОД компании, непубличных дисконтных программах и ещё не представленных функциях.

Инцидент получил статус утечки уровня 2. Это означает, что он оказался достаточно серьёзен, чтобы привлечь специалистов к его устранению ночью и работе в течение выходных. Проблемы Q весьма некстати проявились тогда, когда Amazon пытается отвоевать себе место на рынке ИИ-ассистентов. Пионерами здесь стали Microsoft, Google и некоторые стартапы. В сентябре компания объявила о намерении инвестировать $4 млрд в стартап Anthropic, а на этой неделе, наконец, представила собственный чат-бот Q.

В ответ на сообщения о проблемах Q в компании заявили, что некоторые сотрудники действительно обмениваются отзывами по внутренним каналам, но нет свидетельств того, что в материалах обратной связи упоминаются случаи явной утечки данных. Позже компания ещё раз подчеркнула, что Amazon Q не допускал утечек конфиденциальной информации. При этом в компании уточняют, что обратная связь только приветствуется, поскольку поможет лучше настроить поведение ИИ-ассистента. Однако внутренние документы компании, утекшие в Сеть, свидетельствуют об обратном — Q выдавал вводящие в заблуждение или же потенциально опасные ответы, например, касающиеся вопросов безопасности.

Источник изображения: John Schnobrich/unsplash.com

До сих пор Amazon тщательно скрывает местоположение ЦОД из своего огромного парка, включающего как собственные объекты, так и арендованные мощности. В 2018 году WikiLeaks обнародовала внутреннюю документацию IT-гиганта, включающую сведения о координатах дата-центров компании по состоянию на 2015 год. С тех пор расположение ЦОД раскрывалось только в документах о планируемом строительстве, но точных сведений о местонахождении всех площадок компании данных нет до сих пор. В последнем отчёте K-10, AWS уведомила, что на конец 2022 года компания владела по всему миру ЦОД общей площадью более 1,4 млн м² и арендует ещё более 1,6 млн м².

Служба безопасности SAP начала расследование, связанное с появлением на eBay одного из накопителей, пропавших в одном из ЦОД компании. Как сообщает издание The Register, инцидент произошёл ещё в ноябре прошлого года в немецком городе Вальдорф земли Баден-Вюртмеберг. Известно, что из дата-центра компании пропали сразу четыре SSD. Это уже пятый инцидент с исчезновением накопителей из европейских ЦОД SAP за последние два года, передаёт издание.

В результате расследования выяснилось, что охрана была организована очень плохо, поскольку никто не проверял людей, покидавших считавшийся защищённым ЦОД. В результате диски переместили в «небезопасное» здание в комплексе строений штаб-квартиры, откуда они и были украдены без особых проблем. В компании отметили, что на дисках не хранилось какой-либо личной информации, но, как оказалось, эти данные не вполне соответствовали действительности.

В своё время в SAP утверждали, что подходят к безопасности данных очень серьёзно, и, хотя служебная информация не подлежит разглашению, представители разработчика ПО заверили, что свидетельства утраты данных клиентов или сотрудников отсутствуют. Однако один из четырёх SSD, оказавшийся на eBay, приобрёл сотрудник самой SAP, после чего выяснилось, что накопитель содержал персональные записи о сотне сотрудников компании. Местонахождение трёх оставшихся дисков неизвестно до сих пор.

Изображение: Bru-nO / Pixabay

Хотя свою роль сыграла человеческая ошибка и несоблюдение протоколов безопасности, основной причиной утери всё-таки назвали кражу. Инцидент не может не вызывать беспокойства как у самих разработчиков, так и у их клиентов, поскольку в последние годы SAP активно продвигает собственные облачные решения и продажу ПО по модели услуг, предоставляемых как на базе собственных ЦОД, так и дата-центров партнёров.

Инцидент в IT-индустрии не первый и, вероятнее всего, не последний. В 2019 году финская компания Blancco, занимающаяся безопасной очисткой накопителей, обнаружила, что из 159 случайным образом выбранных на eBay накопителях из США и Европы 42 % несли данные, оставшиеся от прежних владельцев. Доступ к ним могли получить даже люди, имеющие базовую компьютерную грамотность. Более того, в 15 % случаев накопители хранили и персональные сведения.

Впрочем, даже неправильный вывод из экплуатации может привести к проблемам. Так, банк Morgan Stanley, сэкономив $100 тыс. на утилизации HDD, в итоге потерял $120 млн. Но это касается и другого оборудования. Недавний анализ, проведённый ESET, показал, что выставляемые на продажу сетевые устройства зачастую содержат массу информации, позволяющей как минимум скомпрометировать сети крупных компаний.

Хотя это произошло в 2021 году, только сейчас стало известно о том, что хакерам удалось похитить учётные данные целого ряда крупнейших международных компаний для входа в сети ЦОД двух крупнейших операторов Азии: шанхайской GDS Holdings Ltd. и сингапурской ST Telemedia Global Data Centres (STT GDC).

Об этом сообщила исследовательская фирма в области кибербезопасности Resecurity Inc., утверждающая, что от взлома пострадало около 2000 клиентов обоих операторов ЦОД. Гендиректор Resecurity Джин Ю (Gene Yoo) рассказал, что эти инциденты были раскрыты в сентябре 2021 года после того, как один из сотрудников фирмы, работая под прикрытием, сумел внедриться в хакерскую группу в Китае. Вскоре после этого Джин Ю известил о случившемся GDS и STT GDC, а также ряд клиентов Resecurity, чьи данные попали к хакерам.

Источник: Resecurity Inc.

В январе 2022 года Resecurity вновь уведомила GDS и STT GDC после того, как стало ясно, что хакеры получили доступ к учётным записям. Одновременно фирма известила власти Китая и Сингапура. Оба оператора ЦОД сообщили, что оперативно отреагировали на уведомления Resecurity и начали внутренние расследования. GDS признала, что веб-сайт поддержки клиентов был взломан, отметив, что в 2021 году она исследовала и устранила уязвимость. В свою очередь, STT GDC заявила, что привлекла внешних экспертов по кибербезопасности, когда узнала о случившемся в 2021 году инциденте.

«Несанкционированного доступа или потери данных не наблюдалось», — отметила STT GDC, добавив, что полученные Resecurity учётные данные, представляют собой «неполный и устаревший список учётных данных пользователей для приложений». «Любые такие данные теперь недействительны и не представляют угрозы безопасности в будущем», — сообщил оператор.

Источник: Resecurity Inc.

В частности, хакеры получили доступ к различным учётным данным некоторых крупнейших компаний мира, включая Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. и Walmart Inc. Большинство пострадавших компаний, с которыми связался ресурс Bloomberg News, включая Alibaba, Amazon, Huawei и Walmart, отказались от комментариев. Что касается GDS и STT GDC, то те утверждают, что никто из их клиентов не пострадал.

Тем не менее, согласно документам, проанализированным Bloomberg News, хакеры получили адреса электронной почты и пароли более 3000 человек в базе данных GDS, включая её собственных сотрудников и клиентов, и более 1000 человек из STT GDC. Хакеры также украли из сети GDS учётные данные более чем 30 тыс. камер наблюдения, для доступа к большинству из которых использовались простые пароли вроде «admin» или «admin12345».

Источник: Resecurity Inc.

Хакеры имели доступ к учётным данным более года, после чего выставили их в прошлом месяце на продажу в даркнете за $175 тыс., сообщила Resecurity. А в прошлый понедельник хакерская группа разместила украденные данные в даркнете уже бесплатно. Фирма утверждает, что даже без действительных паролей похищенные данные всё равно представляют ценность, поскольку с их помощью хакеры смогут создавать целевые фишинговые электронные письма для людей, имеющих высокий уровень доступа к сетям компаний.

Компания «Киберпротект» сообщила о выпуске новой версии программного комплекса «Кибер Протего» (Cyber Protego) 9.4.

«Кибер Протего» относится к классу решений Data Loss Prevention (DLP) и представляет собой инструмент для защиты от утечек данных с рабочих станций, серверов и виртуальных сред. Продукт поддерживает клиентские ОС Windows и macOS, серверы под управлением Windows Server, а также платформы виртуализации и VDI-системы Microsoft, Citrix Systems, VMware и Oracle.

Источник изображения: cyberprotect.ru

Обновлённая версия «Кибер Протего» 9.4 дополнилась средствами контроля данных, передаваемых посредством протоколов SFTP и IMAP. Также продукт получил поддержку операционных систем Windows 11 и Windows Server 2022 (до версии 22H2 включительно), доработанные инструменты логирования и протоколирования. В числе прочего оптимизирован контроль использования почтового веб-сервиса Gmail и мессенджера WhatsApp, усовершенствован механизм контроля SSL-соединений, а также внесён ряд других улучшений и обновлений.

Особенностью Cyber Protego является модульная архитектура с опционально лицензируемыми функциональными компонентами и единым унифицированным управлением, что позволяет клиентам выбирать оптимальную конфигурацию DLP-решения в соответствии с требованиями к обеспечению безопасности IT-инфраструктуры и бюджетом.

Компания «СёрчИнформ» объявила о расширении функциональных возможностей системы «Контур информационной безопасности» (КИБ).

Программный комплекс «СёрчИнформ КИБ» относится к классу систем Data Loss Prevention (DLP) и предназначен для предотвращения утечек конфиденциальной информации в корпоративных сетях, управления рисками и всесторонней защиты бизнеса от внутренних угроз. Решение состоит из модулей, каждый из которых контролирует свой канал передачи информации. Система показывает, какой путь проходят данные, и делает прозрачными все коммуникации.

В новой версии DLP-платформы реализован инструмент создания водяных знаков на экране компьютера. Когда пользователь производит съёмку экрана — с помощью скриншота или фото на телефон, на изображении остаётся защитная маркировка, по которой легко установить виновника в случае утечки. Водяной знак содержит сведения о сотруднике и используемом им устройстве. Водяные знаки также добавляются, в том числе, если снимок или видеозапись экрана сделаны в рамках RDP-сеанса.

«С помощью защитных водяных знаков мы продолжаем развивать направление контроля утечек на телефон. Сначала мы научили КИБ распознавать наведение сотрудниками смартфонов с камерой на свой монитор. Система об этом оповещает, так что можно приготовиться к потенциальному инциденту. Водяные знаки же оберегают от ситуаций, когда скриншот или фото рабочего экрана уже утекли в Сеть, но кто за этим стоит — непонятно. Новая функция DLP-системы значительно облегчит расследование в подобных ситуациях и позволит привлечь виновников к ответственности», — отмечает разработчик.

Компания «Киберпротект» сообщила о выпуске обновлённого программного комплекса Cyber Protego 9.3.

Cyber Protego относится к классу решений Data Loss Prevention (DLP) и представляет собой инструмент для защиты от утечек данных с рабочих станций, серверов и виртуальных сред. Продукт поддерживает клиентские ОС Windows и macOS, серверы под управлением Windows Server, а также платформы виртуализации и VDI-системы Microsoft, Citrix Systems, VMware и Oracle.

Одним из важнейших улучшений в новой версии DLP-системы Cyber Protego 9.3 стало расширение возможностей по контролю печатающих устройств в сети организации, мессенджера WhatsApp, почтовых веб-сервисов Mail.ru и Rambler. В подсистему мониторинга активности пользователей добавлено расширение для сбора доказательной базы и превентивного выявления инцидентов. Кроме того, улучшения коснулись производительности и защиты программного комплекса.

Также в продукте реализована возможность использования корпоративного SSL-сертификата. Отдельное внимание разработчиками было уделено доработкам пользовательского интерфейса установщика и агента Cyber Protego Mac Agent.