Наши эксперты расскажут, как меняется рынок, поделятся информацией об актуальных атаках и угрозах и о том, как продукты Positive Technologies помогают сделать кибербезопасность результативной. Вы сможете задать любые вопросы и продуктивно пообщаться с коллегами.
Когда: 18 сентября с 9:30
Где: отель Grand Autograph, ул. Орджоникидзе, 31
Как попасть: заранее зарегистрироваться на сайте
Вас ждут:
• Рассказ об успехах на рынке, новых функциях и планах развития PT NGFW.
• Лекция Алексея Лукацкого о том, как начать предсказывать киберзло и поставить это на поток.
• Подробная информация о наших продуктах и сервисах, помогающих проверить защищенность вашей компании снаружи: пентест и Standoff Bug Bounty, анализ защищенности приложений и PT MAZE.
• Два разговора о важном: как проводить безопасный внутренний автопентест с PT Dephaze и для чего вам переходить на PT Application Firewall PRO.
Когда: 25 сентября с 10:00
Где: Loft Hall, Арсенальная набережная, 1
Как попасть: заранее зарегистрироваться на сайте
Вас ждут:
• Два крутых тест-драйва. На одном покажем, как настроить PT NGFW, дадим возможность протестировать устойчивость настроек и пройтись по сложным сетевым сценариям. На втором вы узнаете, как на практике работает PT Boost — решение, помогающее в минимальные сроки вывести киберустойчивость компании на новый уровень. Внимание: на оба тест-драйва требуется отдельная регистрация!
• Самые актуальные обновления PT NAD, MaxPatrol SIEM, PT Sandbox и MaxPatrol EDR.
• История о PT NGFW в Петербурге: любовь, производственная драма, а также самая актуальная информация о продукте.
• Лекция Алексея Лукацкого «Семь когнитивных искажений и их влияние на повседневную деятельность ибэшника».
• Разговор с юристом о том, что вам стоит учесть в работе в ближайшее время: от изменений в антимонопольном законодательстве до нюансов работы с персональными данными.
• Много интересного о хакерах, расследованиях и платформе Standoff, которая помогает оттачивать навыки и командам защиты, и атакующим.
📆 Бронируйте дни в календарях, увидимся на Positive Tech Day!
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍6💯4❤2🐳2
Уязвимость PT-2025-368801 (CVE-2025-54916, BDU:2025-06402) высокого уровня опасности (7,8 балла по шкале CVSS 3.1) была обнаружена в драйвере файловой системы Microsoft и затрагивала ряд ОС, среди которых Windows 10, Windows 11 и Windows Server 2025.
В ходе мониторинга актуальных угроз наши эксперты установили, что потенциально по всему миру уязвимо не менее 1,5 млн устройств с одной только Windows 11 (по данным платформы StatCounter, в июле 2025 года ее использовали 54% клиентов вендора). Большинство из них находятся в США (28%), Китае (13%), Японии (8%), Германии и Южной Корее (по 4%), а также в России (3%).
🥷 Используя недостаток безопасности, для обнаружения которого наш эксперт провел целое расследование, атакующий мог бы похитить учетные данные пользователя и начать продвижение по корпоративной сети, что теоретически могло привести к нарушениям бизнес-процессов, утечке информации и нанесению организации финансового ущерба.
«Для успешной эксплуатации уязвимости нарушителю было бы достаточно запуска жертвой на своем устройстве зловредного виртуального диска. Для этого злоумышленник мог бы направить его по электронной почте, сопроводив убедительным фишинговым письмом. В результате атакующий смог бы удаленно выполнить произвольный код и получить полный контроль над операционной системой для дальнейшего развития атаки», — делится подробностями Сергей Тарасов, руководитель группы анализа уязвимостей, PT ESC.
Мы вовремя уведомили разработчика об угрозе, и он уже выпустил обновление безопасности, которое необходимо установить как можно скорее.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25❤10👌3💯1
😶🌫️ Кажется, сама погода намекает...
Что сегодня в 15:00 нужно подключиться к NetCase Day и узнать реальные кейсы использования PT Sandbox и PT NAD.
#PTNAD #PTSandbox
@Positive_Technologies
Что сегодня в 15:00 нужно подключиться к NetCase Day и узнать реальные кейсы использования PT Sandbox и PT NAD.
#PTNAD #PTSandbox
@Positive_Technologies
😁22🔥12🤩8❤2
Привет! У тебя отличный ник @etoyaudachnozashel, хочу купить его у тебя для своего бизнеса за 3000 $. Сделку проведем официально, готов продать?
Все чаще пользователи Telegram получают подобные сообщения. И, как правило, они от мошенников. Отметим, что схема не новая, но только за последние пару недель с такими «выгодными» предложениями столкнулись несколько наших коллег. Рассказываем, как все устроено.
1️⃣ Вы получаете «письмо счастья» от якобы заинтересованного покупателя (пример на скриншотах). Которому на самом деле все равно, какой у вас никнейм (короткий, длинный, красивый, брендовый). Его цель — предложить интересную цену и убедить вас, что все будет сделано «официально», чтобы притупить вашу бдительность.
2️⃣ «Покупатель» предлагает провести сделку через Fragment. Это платформа, где действительно можно легально приобрести никнейм в Telegram за криптовалюту. С одним важным «но» — никнеймы продаются в формате аукциона.
3️⃣ Мошенник сообщает, что создаст «прямой запрос», чтобы сделка состоялась без аукциона. Таким образом вы якобы получите деньги сразу, а «покупателю» никто не сможет перебить ставку. На этом шаге злоумышленник генерирует для вас фишинговую ссылку.
4️⃣ Депозит. Вам приходит сообщение от бота или «покупателя», по ссылке из которого вы переходите в мини-приложение, по интерфейсу очень схожее с платформой Fragment. И здесь вам предлагается внести депозит или заплатить комиссию от сделки в 5%, чтобы завершить ее и получить всю сумму. Стоит отметить, что Fragment действительно берет 5% комиссии от суммы продажи никнейма, но в данном случае страница поддельная, и эти 5% улетают в кошелек мошенникам.
5️⃣ Вы с никнеймом, но на 150 $ беднее (если вам изначально предлагали 3000 $).
Это только один путь, которым может завершиться начальное предложение. В других вариантах мошенники могут прислать фишинговые ссылки для передачи аккаунта иным путем, где от вас потребуется ввести логин и пароль или вас могут попросить прислать код из сообщения. В таком случае вы можете потерять доступ к своему аккаунту, за возвращение которого с вас могут потребовать выкуп.
«Чтобы вернуть доступ к аккаунту или никнейм, следует обратиться в поддержку мессенджера. Telegram может вернуть доступ или ник при наличии убедительных доказательств владения. Однако Telegram не проводит финансовых расследований и обычно не участвует в возврате денег — его роль состоит преимущественно в восстановлении аккаунта или ника.
Кроме того, есть ряд действий, которые жертва может предпринять самостоятельно: завершить все чужие сессии, включить двухэтапную верификацию и сменить пароль, обратиться в банк с запросом о блокировке платежа мошенникам», — рассказала Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies.
Отметим, что любая сделка, где вас в спешке просят сообщить код, перейти в сторонний бот или сделать предоплату, почти наверняка является мошеннической. Обращайте внимание на названия ботов, написание URL в ссылках и сравнивайте их с официальными.
@Positive_Technologies
🔥25❤15🤔10😁3👍1
Как поменялись требования к сертификации средств защиты конечных устройств ✍️
Мы запускаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель MaxPatrol EDR, подробно разберут, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности СОР — систем обнаружения и реагирования.
Наша продуктовая команда и специалисты отдела сертификации вместе с регулятором участвовали в рабочей группе по формированию требований к СОР. Сейчас эти требования активно разрабатываются ФСТЭК России с привлечением производителей СЗИ.
❣️ Один из пунктов сертификации, о котором мы расскажем сегодня, — это методы обнаружения кибератак на узлах.
Изначально перед ФСТЭК стояла сложная задача —сохранить границы и контекст в рамках конкретного узла, что само себе крайне сложно в сфере кибербезопасности. Дело в том, что уже существуют требования к антивирусу (САВЗ), которые важно было сохранить независимыми, а EDR как решение может взаимодействовать с множеством других СЗИ. Важно было не приписать их функции EDR, а показать, что такая взаимосвязь — базовое требование для этого класса решений. Например, отправка в SIEM-системы, песочницу, работа с TI и антивирусами.
В финальной версии требований мы увидели большой объем исправлений, который появился благодаря диалогу с вендорами. Это говорит о том, что к представителям индустрии прислушиваются и на выходе появляется документ, который отражает суть именно этого класса решений.
👀 В одном из требований нормативного документа есть предписание, что механизмы обнаружения должны позволять находить на узле признаки:
Этот список подтверждается на практике, а в нашем MaxPatrol EDR такие признаки полностью закрываются работой коррелятора. Кроме того, наши пользователи могут связать отдельные события обнаружения с этими признаками, используя разметку по MITRE ATT&CK Framework.
💡 Как правило, путь злоумышленника состоит из разведки, анализа в контексте узла и сетевого окружения, закрепления на узлах, дампа административных учетных записей, перемещения между узлами, эксфильтрации данных. Время нахождения злоумышленника в инфраструктуре может достигать 90 дней, и нужно уметь собирать все его шаги в цепочки. Так пользователь получит не множество отдельных событий, а комплексное понимание о тактиках и техниках атаки. За счет этого сертифицируемые решения становятся по-настоящему прикладными.
💡 Среди критериев оценки есть указание на типы данных мониторинга, которые должны собирать такие решения (посмотреть их можно здесь).
Для обнаружения угроз в MaxPatrol EDR поддерживаются не только эти типы данных наряду со стандартными для отрасли методами сбора, но и расширенные возможности, которые помогают нашим клиентам снижать количество ложноположительных срабатываний и оперативно обнаруживать киберугрозы на конечных устройствах. Все эти параметры можно увидеть в карточках активов, в событиях, они используются в правилах коррелятора и YARA.
В следующих публикациях подробнее расскажем о требованиях к реагированию в СОР и кастомной экспертизе. Stay tuned!
#MaxPatrolEDR
@Positive_Technologies
Мы запускаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель MaxPatrol EDR, подробно разберут, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности СОР — систем обнаружения и реагирования.
Наша продуктовая команда и специалисты отдела сертификации вместе с регулятором участвовали в рабочей группе по формированию требований к СОР. Сейчас эти требования активно разрабатываются ФСТЭК России с привлечением производителей СЗИ.
Изначально перед ФСТЭК стояла сложная задача —сохранить границы и контекст в рамках конкретного узла, что само себе крайне сложно в сфере кибербезопасности. Дело в том, что уже существуют требования к антивирусу (САВЗ), которые важно было сохранить независимыми, а EDR как решение может взаимодействовать с множеством других СЗИ. Важно было не приписать их функции EDR, а показать, что такая взаимосвязь — базовое требование для этого класса решений. Например, отправка в SIEM-системы, песочницу, работа с TI и антивирусами.
В финальной версии требований мы увидели большой объем исправлений, который появился благодаря диалогу с вендорами. Это говорит о том, что к представителям индустрии прислушиваются и на выходе появляется документ, который отражает суть именно этого класса решений.
👀 В одном из требований нормативного документа есть предписание, что механизмы обнаружения должны позволять находить на узле признаки:
• получения первоначального доступа;
• внедрения и исполнения вредоносного программного обеспечения;
• закрепления (сохранения доступа) с возможностью получения повторного доступа;
• управления вредоносным программным обеспечением и его компонентами;
• повышения привилегий доступа;
• сокрытия действий;
• сбора и вывода информации;
• неправомерного доступа или воздействия.
Этот список подтверждается на практике, а в нашем MaxPatrol EDR такие признаки полностью закрываются работой коррелятора. Кроме того, наши пользователи могут связать отдельные события обнаружения с этими признаками, используя разметку по MITRE ATT&CK Framework.
💡 Как правило, путь злоумышленника состоит из разведки, анализа в контексте узла и сетевого окружения, закрепления на узлах, дампа административных учетных записей, перемещения между узлами, эксфильтрации данных. Время нахождения злоумышленника в инфраструктуре может достигать 90 дней, и нужно уметь собирать все его шаги в цепочки. Так пользователь получит не множество отдельных событий, а комплексное понимание о тактиках и техниках атаки. За счет этого сертифицируемые решения становятся по-настоящему прикладными.
Для обнаружения угроз в MaxPatrol EDR поддерживаются не только эти типы данных наряду со стандартными для отрасли методами сбора, но и расширенные возможности, которые помогают нашим клиентам снижать количество ложноположительных срабатываний и оперативно обнаруживать киберугрозы на конечных устройствах. Все эти параметры можно увидеть в карточках активов, в событиях, они используются в правилах коррелятора и YARA.
В следующих публикациях подробнее расскажем о требованиях к реагированию в СОР и кастомной экспертизе. Stay tuned!
#MaxPatrolEDR
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥12👍10👌7🤯1
🎱 Эксперты Positive Technologies отнесли к трендовым еще восемь уязвимостей
Среди них недостатки безопасности в архиваторах файлов WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver. Эти уязвимости требуют оперативного устранения или принятия компенсирующих мер.
Пользователи MaxPatrol VM уже в курсе этих недостатков: информация о трендовых уязвимостях поступает в систему в течение 12 часов с момента их появления.
🗄 Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR
PT-2025-26225 (CVE-2025-6218, оценка по CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, оценка по CVSS — 8,8)
Потенциально уязвимы все устройства под управлением Windows с версиями WinRAR до 7.13. Чтобы защититься, рекомендуется вручную установить исправленную версию, поскольку WinRAR (загруженный более 500 миллионов раз по всему миру) не имеет функции автоматического обновления.
Уязвимости связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки. Это может позволить злоумышленнику обойти стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в нее, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями.
В случае успеха атакующий cможет перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.
📁 Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip
PT-2025-32410 (CVE-2025-55188, оценка по CVSS — 3,6)
В мире скачано около 430 миллионов копий программы. Потенциально уязвимы все устройства, на которых установлены версии 7-Zip до 25.01 (чтобы защититься, рекомендуется обновить программу до актуальной версии).
Уязвимость связана с некорректной обработкой символических ссылок при распаковке архивов и позволяет злоумышленнику перезаписывать произвольные файлы в целевой системе. В первую очередь недостаток затрагивает ОС семейства Linux, но эксплуатация возможна и на устройствах на базе Windows.
💻 Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, SAP NetWeaver
PT-2025-20812 (CVE-2025-42999, оценка по CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, оценка по CVSS — 10,0)
Visual Composer в SAP NetWeaver позволяет создавать компоненты приложений без программирования. По оценкам «Т1 Интеграции», около 2000 российских организаций продолжают использовать программные продукты SAP.
Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер.
Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы, но и напрямую выполнять команды ОС с правами администратора, что приводит к полной компрометации системы. Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства.
🎦 Уязвимости в платформе для проведения видеоконференций TrueConf Server
PT-2025-36231 (BDU:2025-10114, оценка по CVSS — 7,5), PT-2025-36232 (BDU:2025-10115, оценка по CVSS — 7,5), PT-2025-36233 (BDU:2025-10116, оценка по CVSS — 9,8)
Все три уязвимости обнаружил эксперт PT SWARM Никита Петров. Эксплуатируя цепочку из этих уязвимостей, потенциальный злоумышленник может полностью скомпрометировать уязвимые серверы и получить доступ к сети организации. Подробнее о них мы рассказали ранее в нашей публикации.
📖 Детальнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в сентябрьском дайджесте.
Узнавать об актуальных недостатках безопасности можно на нашей странице трендовых уязвимостей и на портале dbugs.
#втрендеVM
@Positive_Technologies
Среди них недостатки безопасности в архиваторах файлов WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver. Эти уязвимости требуют оперативного устранения или принятия компенсирующих мер.
Пользователи MaxPatrol VM уже в курсе этих недостатков: информация о трендовых уязвимостях поступает в систему в течение 12 часов с момента их появления.
🗄 Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR
PT-2025-26225 (CVE-2025-6218, оценка по CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, оценка по CVSS — 8,8)
Потенциально уязвимы все устройства под управлением Windows с версиями WinRAR до 7.13. Чтобы защититься, рекомендуется вручную установить исправленную версию, поскольку WinRAR (загруженный более 500 миллионов раз по всему миру) не имеет функции автоматического обновления.
Уязвимости связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки. Это может позволить злоумышленнику обойти стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в нее, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями.
В случае успеха атакующий cможет перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.
📁 Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip
PT-2025-32410 (CVE-2025-55188, оценка по CVSS — 3,6)
В мире скачано около 430 миллионов копий программы. Потенциально уязвимы все устройства, на которых установлены версии 7-Zip до 25.01 (чтобы защититься, рекомендуется обновить программу до актуальной версии).
Уязвимость связана с некорректной обработкой символических ссылок при распаковке архивов и позволяет злоумышленнику перезаписывать произвольные файлы в целевой системе. В первую очередь недостаток затрагивает ОС семейства Linux, но эксплуатация возможна и на устройствах на базе Windows.
💻 Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, SAP NetWeaver
PT-2025-20812 (CVE-2025-42999, оценка по CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, оценка по CVSS — 10,0)
Visual Composer в SAP NetWeaver позволяет создавать компоненты приложений без программирования. По оценкам «Т1 Интеграции», около 2000 российских организаций продолжают использовать программные продукты SAP.
Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер.
Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы, но и напрямую выполнять команды ОС с правами администратора, что приводит к полной компрометации системы. Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства.
🎦 Уязвимости в платформе для проведения видеоконференций TrueConf Server
PT-2025-36231 (BDU:2025-10114, оценка по CVSS — 7,5), PT-2025-36232 (BDU:2025-10115, оценка по CVSS — 7,5), PT-2025-36233 (BDU:2025-10116, оценка по CVSS — 9,8)
Все три уязвимости обнаружил эксперт PT SWARM Никита Петров. Эксплуатируя цепочку из этих уязвимостей, потенциальный злоумышленник может полностью скомпрометировать уязвимые серверы и получить доступ к сети организации. Подробнее о них мы рассказали ранее в нашей публикации.
📖 Детальнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в сентябрьском дайджесте.
Узнавать об актуальных недостатках безопасности можно на нашей странице трендовых уязвимостей и на портале dbugs.
#втрендеVM
@Positive_Technologies
❤11👍8👏3🔥2
Для этого нужно не только разбираться в технологиях и продуктах, но и понимать, как должна работать целостная устойчивая система: архитектура, процессы и механизмы защиты.
С 6 октября Positive Education запускает шестинедельный практикум «Архитектура сетевой безопасности предприятия», на котором наши эксперты поделятся собственным опытом и помогут вам отработать необходимые навыки.
🧑🎓 Вы научитесь проектировать сетевую архитектуру с учетом актуальных угроз и требований регуляторов, разберете ошибки проектирования и узнаете, чем они грозят при реальных атаках. А еще вы сможете попрактиковаться на облачном стенде с PT NGFW, PT NAD и MaxPatrol SIEM и освоите методы контроля и оценки эффективности защиты.
👨💻 Авторами практикума стали Михаил Кадер и Андрей Скрипкин — архитекторы решений для ИБ с опытом более 30 лет, а прокачаться в сетевой безопасности вам помогут наши коллеги: Сергей Сахаров, Александр Бирюков, Алексей Сивенков и другие специалисты.
👉 Более подробная информация о практикуме — на нашем сайте.
И пусть ваши сети станут самыми защищенными 😉
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥8❤3👌3😁1
Поговорим о том, как бизнес может обеспечить полную видимость трафика и контроль киберугроз в «облаке», на вебинаре 23 сентября в 14:00.
Регистрируйтесь заранее, чтобы узнать:
Увидимся на вебинаре! Добавляйте событие в календарь, чтобы ничего не пропустить.
#PTNAD #PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👌7❤5🔥4❤🔥3
Forwarded from Positive Hack Days Media
Media is too big
VIEW IN TELEGRAM
< Почему нельзя покупать Wi-Fi-роутеры с предустановленным VPN
На маркетплейсах все чаще встречаются объявления о продаже таких устройств. Продавцы обещают безлимитный доступ к заблокированным ресурсам. Но умалчивают, что вместе с этим они могут получить доступ к вашей сети и интернет-трафику🤯
Что скрывают эти «чудо-роутеры», за 107 секунд в рилсе рассказал Егор Тишин. Это мы не покупаем.
Ждем в комментариях ваши идеи, чего бы нам еще такого разобрать🧤
@PHDays
@PositiveHackMedia
На маркетплейсах все чаще встречаются объявления о продаже таких устройств. Продавцы обещают безлимитный доступ к заблокированным ресурсам. Но умалчивают, что вместе с этим они могут получить доступ к вашей сети и интернет-трафику
Что скрывают эти «чудо-роутеры», за 107 секунд в рилсе рассказал Егор Тишин. Это мы не покупаем.
Ставьте:
🔥 — если когда-то задумывались о покупке, но теперь передумали.
🐳 — если и раньше знали, что брать такое нельзя.
Ждем в комментариях ваши идеи, чего бы нам еще такого разобрать
@PHDays
@PositiveHackMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳79🔥24❤15👌6💯6
😀 Сегодня весь интернет отмечает День смайлика
Отцом всем известных текстовых смайлов (эмотиконов) :-) и :-( считается Скотт Фалман, профессор информатики Университета Карнеги — Меллона.
Сорок три года назад, 19 сентября 1982 года, он отправил коллегам электронное сообщение, в котором предложил помечать шутки комбинацией из двоеточия, дефиса и закрывающей скобки.
🙂 Автором желтого улыбающегося смайлика — прародителя всех остальных — стал американский художник Харви Болл, который в 1963 году на заказ создал графическое изображение для поднятия духа сотрудников компании.
😉 А первый набор из 176 эмодзи появился в 1999-м, его разработал японский дизайнер Сигэтака Курита. Позже они были включены в стандарт Unicode и с 2010 года доступны на устройствах Apple и Android.
Казалось бы, смайлы созданы для радости и простоты, но и до них добрались хакерыи все испортили 🤬
Зато из эмодзи получаются крутые безопасные пароли, мы про это уже как-то рассказывали 👱♀️🚶♂️🛣👅💦.
Пользуйтесь смайликами с удовольствием(и умом) и оставайтесь в кибербезопасности!
@Positive_Technologies
Отцом всем известных текстовых смайлов (эмотиконов) :-) и :-( считается Скотт Фалман, профессор информатики Университета Карнеги — Меллона.
Сорок три года назад, 19 сентября 1982 года, он отправил коллегам электронное сообщение, в котором предложил помечать шутки комбинацией из двоеточия, дефиса и закрывающей скобки.
«На деле более экономно будет помечать не шутки, судя по происходящему. Для них используйте :-(», — иронично добавил Фалман.
🙂 Автором желтого улыбающегося смайлика — прародителя всех остальных — стал американский художник Харви Болл, который в 1963 году на заказ создал графическое изображение для поднятия духа сотрудников компании.
😉 А первый набор из 176 эмодзи появился в 1999-м, его разработал японский дизайнер Сигэтака Курита. Позже они были включены в стандарт Unicode и с 2010 года доступны на устройствах Apple и Android.
Казалось бы, смайлы созданы для радости и простоты, но и до них добрались хакеры
Так, в феврале этого года инженер-программист Пол Батлер обнаружил уязвимость в Unicode, которая позволяет прятать в обычном на вид наборе эмодзи скрытую информацию. К примеру, если добавить такой код в обычное почтовое сообщение, можно будет проследить по нему всю цепочку переписки и взломать политику конфиденциальности организации 👀󠇀󠆀󠇀󠆣󠇀󠆠󠄜󠄐󠇀󠆯󠇀󠆮󠇀󠆯󠇀󠆠󠇀󠆫󠇀󠆨󠇁󠅱󠇁󠅼󠄑󠄐󠇀󠆑󠇀󠆥󠇀󠆩󠇁󠅷󠇀󠆠󠇁󠅱󠄐󠇁󠅽󠇁󠅲󠇀󠆮󠄐󠇁󠅰󠇀󠆮󠇀󠆧󠇁󠅻󠇀󠆣󠇁󠅰󠇁󠅻󠇁󠅸󠄜󠄐󠇀󠆠󠄐󠇁󠅵󠇀󠆠󠇀󠆪󠇀󠆥󠇁󠅰󠇁󠅻󠄐󠇀󠆬󠇀󠆮󠇀󠆣󠇁󠅳󠇁󠅲󠄐󠇀󠆯󠇀󠆥󠇁󠅰󠇀󠆥󠇀󠆤󠇀󠆠󠇁󠅲󠇁󠅼󠄐󠇀󠆧󠇀󠆤󠇀󠆥󠇁󠅱󠇁󠅼󠄐󠇀󠆢󠇁󠅱󠇀󠆥󠄜󠄐󠇁󠅷󠇁󠅲󠇀󠆮󠄐󠇁󠅳󠇀󠆣󠇀󠆮󠇀󠆤󠇀󠆭󠇀󠆮󠄞󠄐󠇀󠆁󠇁󠅳󠇀󠆤󠇁󠅼󠇁󠅲󠇀󠆥󠄐󠇀󠆮󠇁󠅱󠇁󠅲󠇀󠆮󠇁󠅰󠇀󠆮󠇀󠆦󠇀󠆭󠇀󠆥󠇀󠆥󠄐󠄪󠄝󠄙︊︊︊︊
А летом прошлого года стало известно о новом типе атак, в которых хакеры использовали эмодзи, чтобы удаленно управлять вредоносной программой Disgomoji на компьютерах жертв.
Злоумышленники подключали удаленный компьютер к определенному каналу в Discord и отдавали команды:
📸 — сделать скриншот экрана и отправить изображение,
👆 — загрузить на компьютер определенный файл,
🦊 — архивировать все профили пользователей браузера Firefox.
Зато из эмодзи получаются крутые безопасные пароли, мы про это уже как-то рассказывали 👱♀️🚶♂️🛣👅💦.
Пользуйтесь смайликами с удовольствием
@Positive_Technologies
❤19😁10🔥7👍4🤔2
Forwarded from ESCalator
Вредонос летит, вредонос бежит, вредонос в песочнице сидит ⏳
В середине августа мы рассказывали о новой масштабной кампании группировки PhantomCore, обнаруженной департаментом Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI).
Спустя несколько дней после публикации исследования с помощью PT Sandbox удалось предотвратить атаку на российские оборонные и промышленные предприятия, а также банковский сектор, в которой использовалась обфусцированная вариация инструмента PhantomRShell, применяемого PhantomCore.
🗓 Это произошло 24 августа. При этом в открытых системах агрегации сведений о ВПО информация о семплах появилась только утром 25 августа, а еще через сутки вредонос все еще не обнаруживался большинством популярных антивирусных решений.
Атака начиналась с письма от вполне легитимного отправителя — его учетная запись была скомпрометирована. Вложение в формате архива оказалось файлом-полиглотом, собранным из трех последовательно склеенных объектов разных типов: DLL (содержит вредоносную нагрузку типа бэкдор), PDF (для отвлечения внимания) и ZIP-архива (с LNK-файлом внутри для закрепления в системе).
Благодаря анализу трафика бэкдора песочнице удалось соотнести этот семпл с инструментом PhantomRShell, который позволяет злоумышленнику удаленно выполнять произвольный код.
🤨 Подробности атаки и как хакерам удалось отправить эту нагрузку от легитимного отправителя, рассказали в материале на Хабре.
#ti #apt #malware
@ptescalator
В середине августа мы рассказывали о новой масштабной кампании группировки PhantomCore, обнаруженной департаментом Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI).
Спустя несколько дней после публикации исследования с помощью PT Sandbox удалось предотвратить атаку на российские оборонные и промышленные предприятия, а также банковский сектор, в которой использовалась обфусцированная вариация инструмента PhantomRShell, применяемого PhantomCore.
🗓 Это произошло 24 августа. При этом в открытых системах агрегации сведений о ВПО информация о семплах появилась только утром 25 августа, а еще через сутки вредонос все еще не обнаруживался большинством популярных антивирусных решений.
Атака начиналась с письма от вполне легитимного отправителя — его учетная запись была скомпрометирована. Вложение в формате архива оказалось файлом-полиглотом, собранным из трех последовательно склеенных объектов разных типов: DLL (содержит вредоносную нагрузку типа бэкдор), PDF (для отвлечения внимания) и ZIP-архива (с LNK-файлом внутри для закрепления в системе).
Благодаря анализу трафика бэкдора песочнице удалось соотнести этот семпл с инструментом PhantomRShell, который позволяет злоумышленнику удаленно выполнять произвольный код.
🤨 Подробности атаки и как хакерам удалось отправить эту нагрузку от легитимного отправителя, рассказали в материале на Хабре.
#ti #apt #malware
@ptescalator
❤🔥22❤18🔥16👍4👏2
Media is too big
VIEW IN TELEGRAM
Конечно нет. Если вы почему-то не были на нашем онлайн-митапе честных кейсов использования PT NAD и PT Sandbox, то мы легко поделимся записями.
Среди прочего мы рассказывали о первом отечественном решении на базе PT NAD, которое умеет создавать копию всего трафика в «облаке», чтобы можно было подробно его проанализировать.
А уже сегодня в 14:00 состоится вебинар, на котором наши эксперты вместе со специалистами из К2 Cloud в подробностях расскажут об этом уникальном кейсе. Не пропустите 😉
#PTNAD
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👏13❤10👌5
Порой в кибербезопасности счет идет на секунды. И если вы пока не научились останавливать мгновения, попробуйте другое решение ⏱
Мы улучшили AI/ML-модуль MaxPatrol BAD (Behavioral Anomaly Detection) в составе MaxPatrol SIEM так, чтобы время работало на вас.
❗️ Подробнее о том, как MaxPatrol SIEM помогает командам SOC выигрывать время там, где это важнее всего, расскажем и покажем на вебинаре 30 сентября в 14:00.
👉 Регистрируйтесь заранее и готовьте свои вопросы.
#MaxPatrolSIEM
@Positive_Technologies
Мы улучшили AI/ML-модуль MaxPatrol BAD (Behavioral Anomaly Detection) в составе MaxPatrol SIEM так, чтобы время работало на вас.
Если коротко, обновленный модуль поведенческой аналитики помогает сократить продолжительность расследования киберинцидентов с часов до минут благодаря точному поиску атак. Для этого мы расширили экспертизу, опираясь на собственные исследования и реальные кейсы, и на 20% увеличили производительность продукта.
👉 Регистрируйтесь заранее и готовьте свои вопросы.
#MaxPatrolSIEM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥7❤4🐳3
Продолжаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель направления защиты конечных устройств от целевых атак, рассказывают, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности сертификация СОР — средств обнаружения и реагирования.
Сегодня поговорим о реагировании, которому в документе ФСТЭК уделено много внимания.
Действия реагирования должны выполняться по запросу (команде) администратора СОР уровня узла. Также администратор должен иметь возможность настраивать перечень действий и запускать их автоматически или после подтверждения. В MaxPatrol EDR, помимо ручного реагирования, мы изначально предусмотрели возможность автоматического запуска, даже если устройство не в сети.
👀 В документе ФСТЭК приведен перечень действий по реагированию, к которым должны быть предусмотрены механизмы их реализации (можно посмотреть здесь).
В наших проектах и на кибербитве Standoff мы видим постоянный спрос на такие механизмы. С помощью MaxPatrol EDR можно изолировать узлы или завершать отдельные соединения, удалять вредоносные файлы, останавливать процессы, запрашивать дополнительные данные для анализа, блокировать учетные данные, удаленно выполнять команды, завершать работу компьютеров и сеансы пользователей.
Этот набор мы постоянно расширяем. Уже сейчас поддерживается более 40 действий реагирования, которые можно выполнять как на одном, так и на множестве узлов — вручную или автоматически.
При разработке документа обсуждалась возможность массового реагирования, то есть действий сразу на нескольких узлах. В финальной версии прямого указания нет, но в нашем продукте эта функция реализована и развивается. Пользователи переходят от рутинных операций на отдельных узлах к действиям сразу на группах потенциально скомпрометированных устройств.
🧐 Есть и отдельные требования к методам реагирования:
• Например, завершение сеанса в ОС и выключение устройства с уведомлением пользователя и возможностью задать таймер, чтобы тот успел сохранить данные. Мы реализовали это еще до выхода новой версии продукта. Команде было особенно приятно работать над такими функциями, так как это стало одним из первых интерактивных модулей в MaxPatrol EDR.
• При изоляции устройств нужно сохранять частичную связь для администрирования. Поэтому в архитектуре продукта мы предусмотрели сохранение связи с сервером управления и возможность выполнять запросы к узлу, например через Remote Shell.
• Документ также детально описывает сбор дополнительных сведений об узле для анализа и расследования. Наши клиенты давно запрашивают такие функции, и перечень собираемых данных значительно расширился. Сейчас, как и в документе ФСТЭК, этот список выглядит так.
О модулях реагирования в MaxPatrol EDR можно узнать на нашем портале. А еще лучше — попробовать их в деле!
#MaxPatrolEDR
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤3👏3😱3❤🔥1
Задачка со звездочкой, ведь нужно учесть множество нюансов: технологии, процессы, архитектуру и команду.
За пять недель вы вместе с нашими экспертами-практиками — Алексеем Лукацким, Константином Смирновым, Алексеем Павловым и другими специалистами — узнаете, что необходимо для создания работающей модели SOC.
Подробнее о практикуме читайте на нашем сайте.
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥8👍5👏1
В этом году медиахолдинг объявил о реализации стратегии результативной кибербезопасности. Одним из продуктов в основе его киберустойчивости стал наш межсетевой экран нового поколения.
Пилотирование продукта началось в конце 2024 года. На этом этапе подразделения ИТ и ИБ Rambler&Co оценивали надежность и производительность NGFW российских вендоров, скорость обработки трафика, а также наличие простых сценариев миграции с зарубежных решений. Лучшим по итогам тестирования стал PT NGFW
Уже в первом квартале 2025 года модели PT NGFW 2050 и PT NGFW 1050 были установлены в офисе Rambler&Co. Выбор программно-аппаратного комплекса сделали на основе профиля трафика медиахолдинга, а также с учетом возможного увеличения количества рабочих мест, при котором нагрузка на корпоративную сеть может возрасти.
«Мы устанавливали все релизы PT NGFW, начиная c версии 1.5 и до текущей 1.8, которая удовлетворяет нашим требованиям. Кроме того, у бизнеса есть возможность влиять на конечный функционал и вид отечественного NGFW: все наши обращения по необходимым доработкам и функциям были реализованы в продукте», — рассказал Евгений Руденко, директор по кибербезопасности Rambler&Co.
Среди преимуществ PT NGFW эксперты Rambler&Co выделили стабильность работы, высокую скорость запуска новых функций с каждым обновлением продукта , оперативную и качественную техподдержку. Сейчас среднее время ответа эксперта на обращение составляет всего 7 минут.
«Тот факт, что крупнейший медиахолдинг страны выбрал PT NGFW для защиты от киберугроз, подтверждает уверенное включение продукта в число лидеров рынка. А интерес, который проявляют к нему игроки из различных отраслей экономики России, в очередной раз доказывает его актуальность», — отмечает Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
PT NGFW обеспечивает надежную защиту медиахолдинга от киберугроз благодаря более чем 10 000 сигнатур, добавленных в него экспертами PT ESC. Rambler&Co использует модули системы предотвращения вторжений (IPS), контроля приложений и URL-фильтрации.
👉 Подробнее об интеграции читайте в новости на сайте.
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍7👏6❤3😁1
🇨🇳 Уникальная экспертиза из России в Китае — от Positive Technologies
На этой неделе в Тяньцзине прошел третий саммит по кибербезопасности и в рамках него шестая международная антивирусная конференция, собравшие ведущих специалистов по борьбе с киберпреступностью со всего мира.
По приглашению организаторов с докладом выступила Ксения Наумова, старший специалист отдела сетевой экспертизы антивирусной лаборатории PT ESC. Она рассказала, как hunting-правила помогают находить ранее неизвестные угрозы на сетевом уровне, предложив новый взгляд на привычную парадигму сетевой безопасности.
Ксения продемонстрировала, что правила могут работать не только в лоб — ловить вредоносы по точному совпадению, но и фиксировать аномальное поведение, которое эти образцы вызывают в сети. Подробностями из доклада поделились в канале ESCalator.
👏 Гордимся тем, что экспертиза Positive Technologies востребована на международном уровне и помогает развивать глобальное комьюнити.
#PositiveЭксперты
@Positive_Technologies
На этой неделе в Тяньцзине прошел третий саммит по кибербезопасности и в рамках него шестая международная антивирусная конференция, собравшие ведущих специалистов по борьбе с киберпреступностью со всего мира.
По приглашению организаторов с докладом выступила Ксения Наумова, старший специалист отдела сетевой экспертизы антивирусной лаборатории PT ESC. Она рассказала, как hunting-правила помогают находить ранее неизвестные угрозы на сетевом уровне, предложив новый взгляд на привычную парадигму сетевой безопасности.
Ксения продемонстрировала, что правила могут работать не только в лоб — ловить вредоносы по точному совпадению, но и фиксировать аномальное поведение, которое эти образцы вызывают в сети. Подробностями из доклада поделились в канале ESCalator.
«Безмерно благодарна организаторам за приглашение и возможность поделиться своим опытом. Была искренне рада получить столь позитивный отклик на мой доклад. Конференция превзошла все ожидания, и я с удовольствием приму участие снова», — отметила Ксения.
👏 Гордимся тем, что экспертиза Positive Technologies востребована на международном уровне и помогает развивать глобальное комьюнити.
#PositiveЭксперты
@Positive_Technologies
🔥29❤20👍10🤩5❤🔥2💯2
После первых внедрений наша система для автоматического выявления потенциальных маршрутов кибератак и проактивного управления киберустойчивостью подтверждает свою результативность на практике.
Метапродукт планомерно развивается в сторону поддержки разнообразных по составу и масштабу инфраструктур, быстродействия и точности в определении ключевых мер для превентивного повышения защищенности компании.
«В новой версии MaxPatrol Carbon мы сосредоточились на развитии экспертного контента. Продукт автоматически моделирует многоэтапные кибератаки на критически важные системы компании. Это позволяет превентивно выявлять и устранять наиболее быстрые и опасные пути развития атак, лишая хакеров шанса нанести компании неприемлемый ущерб. Существенно выросла вариативность маршрутов, и, что особенно важно, зачастую они включают в себя те, о которых специалисты по ИТ и ИБ даже не подозревают.
Благодаря этому появляется возможность определить ключевые недостатки и решить на практике сложный вопрос приоритизации задач со стороны ИБ и рационального распределения ресурсов ИТ. Так работает принцип fix less, secure more: фокус смещается с бесконечного исправления уязвимостей на выполнение тех мер защиты, которые принесут максимальный положительный эффект для киберустойчивости компании», — отметил Михаил Помзов, управляющий директор Positive Technologies.
Продукт обновлен на основе обратной связи от пользователей. Результаты первых внедрений подтверждают эффективность подхода: решение выявляет наиболее значимые недостатки, приоритетное устранение которых, позволяет командам по ИБ и ИТ в четыре раза снизить трудозатраты на повышение уровня защищенности от недопустимых событий. Это достигается благодаря точной приоритизации задач и концентрации усилий на ключевых мерах.
Среди важных улучшений
📍 Количество комбинаций тактик и техник злоумышленников, учитываемых системой при построении маршрутов, выросло на 58% в сравнении с предыдущим релизом. MaxPatrol Carbon 25.6 моделирует, в частности, возможность кражи учетных данных в процессе атаки Kerberoasting либо их получения из базы данных Active Directory (ntds.dit).
🔢 Продукт применяет новый подход к приоритизации угроз: наряду с оценкой количества шагов на маршруте атаки, также анализируются их сложность и длительность (время, необходимое атакующему для достижения целевой системы). Автоматическое ранжирование потенциальных киберугроз происходит еще точнее, благодаря чему специалисты по ИБ и ИТ могут сфокусироваться на наиболее важных задачах — устранении самых опасных маршрутов и выполнении приоритетных рекомендаций.
💪 Появились рекомендации по усилению защищенности сети и контроля привилегий учетных записей. Следуя предлагаемым системой критически важным мерам, компании смогут существенно сократить возможности атакующего в инфраструктуре и усложнить ему задачу по развитию атаки. Там, где полностью исключить легитимные способы подключения нельзя, MaxPatrol Carbon помогает максимально затруднить хакерам продвижение, чтобы команды SOC получили дополнительное время как для выявления подозрительной активности, так и для реагирования на нее.
🆙 Версия 25.6 имеет высокую масштабируемость и подходит для крупных инфраструктур с количеством активов более 20 тыс. Переработанный движок анализа топологии сети существенно ускорил создание цифровых моделей: сейчас он поддерживает большинство популярных на российском рынке сетевых устройств. Моделирование потенциальных маршрутов атакующих занимает от 30 минут до нескольких часов в зависимости от состава инфраструктуры. Таким образом, MaxPatrol Carbon предоставляет оперативную и всестороннюю оценку текущего состояния защищенности.
Больше подробностей о MaxPatrol Carbon 25.6 — в материале на нашем сайте.
#MaxPatrolCarbon
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍7🔥6👏3