Что такое threat hunting, и как правильно охотиться на киберпреступников

Threat hunting или TH — проактивный поиск следов взлома или функционирования вредоносных программ, которые не обнаружены стандартными средствами защиты. Сегодня мы поговорим о том, как устроен этот процесс, какие инструменты можно использовать для поиска угроз, о чем помнить при формировании и...

Все блоги / Про интернет

Разбираем уязвимость в Citrix ADС, позволяющую за минуту проникнуть во внутреннюю сеть компании

В конце прошлого года эксперт Positive Technologies обнаружил уязвимость CVE-2019-19781 в ПО Citrix ADC, которая позволяет любому неавторизованному пользователю выполнять произвольные команды операционной системы. Под угрозой оказались около 80 тысяч компаний по всему миру. Ситуация усугубляется...

Все блоги / Про интернет

Безопасность мобильных устройств и приложений: пять популярных сценариев атак и способы защиты

Изображение: Unsplash Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все — от Wi-Fi и Bluetooth до динамика и микрофона. Аналитики Positive Technologies опубликовали...

Все блоги / Про интернет

Детектирование техник обхода песочниц и виртуализации на примере PT Sandbox

Когда заходит речь о песочницах, все представляют себе виртуальную машину, напичканную различными инструментами для отслеживания действий подозрительного ПО. И большинство продуктов работают именно таким образом. Следовательно, возникает вопрос — как же быть, если вредоносное ПО обнаружит...

Все блоги / Про интернет

В поисках APT30: как мы заметили новую активность группировки после нескольких лет молчания

Кибергруппировка APT30 известна довольно давно – еще в 2015 году ее активность описывали наши коллеги из FireEye. Участники этой группы обычно атакуют государственные структуры в Южной и Юго-Восточной Азии (в Индии, Таиланде, Малайзии и др. странах) с целью кибершпионажа, а их инструментарий...

Все блоги / Про интернет

Волк в овечьей шкуре: как поймать хакера, который тщательно маскируется под обычного пользователя

Изображение: Unsplash С ростом хакерской активности появляются продукты и методы, которые позволяют выявлять актуальные приемы взлома, закрепления, распространения. Поэтому хакеры стараются быть на шаг впереди и оставаться как можно более незаметными. Сегодня мы поговорим о тактиках сокрытия следов...

Все блоги / Про интернет

Новые стандарты информационной безопасности: усложним жизнь злоумышленникам

В сфере ИТ и ИБ давно утвердилось понятие бенчмарк (benchmark) — это технический стандарт настройки конкретной операционной системы, сетевого оборудования или серверного софта. В таких документах обычно описывают, что и как должно работать в инфраструктуре компании, на какие аспекты защиты это...

Все блоги / Про интернет

Исследование: на черном рынке растет популярность торговли доступами к корпоративным сетям

Эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. Выявленный тренд...

Все блоги / Про интернет

Новогодние поздравления и COVID-19: как хакеры используют новости

Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой...

Все блоги / Про интернет

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 5

Это финальная статья из цикла (первая, вторая, третья и четвертая части), в котором мы рассматриваем техники и тактики хакеров в соответствии с MITRE ATT&CK, а также показываем, как можно распознавать подозрительную активность в сетевом трафике. В заключительном материале мы рассмотрим техники...

Все блоги / Про интернет

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 4

В предыдущих постах (первая, вторая и третья части) мы рассмотрели техники семи тактик MITRE ATT&CK: первоначальный доступ (initial access); выполнение (execution); закрепление (persistence); повышение привилегий (privilege escalation); предотвращение обнаружения (defense evasion); получение...

Все блоги / Про интернет

Как не подарить свою компанию хакеру, пока она на удаленке. Советы специалистам SOC

Изображени: Unsplash Понятие «удаленной работы» для многих приобрело значимость только в связи с мерами по нераспространению вирусной инфекции, с которыми нам всем, увы, пришлось столкнуться. Опыт массового перевода сотрудников на удаленку есть у крайне малого числа компаний. И даже те, кто...

Все блоги / Про интернет

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 3

В предыдущих постах (первая и вторая части) мы рассмотрели техники пяти тактик MITRE ATT&CK: первоначальный доступ (initial access); выполнение (execution); закрепление (persistence); повышение привилегий (privilege escalation); предотвращение обнаружения (defense evasion). Кроме того, мы показали,...

Все блоги / Про интернет

Пять уязвимостей, опасных для удаленной работы

Изображение: Unsplash При переводе сотрудников на дистанционный режим IT-подразделения допускают различные ошибки безопасности и открывают доступ к внутренней инфраструктуре для посторонних. Для начала перечислим уязвимости, которые лучше побыстрей устранить в своей инфраструктуре, чтобы в эти...

Все блоги / Про интернет

Кастомизация песочниц: почему это нужно вам прямо сейчас

Вопрос кастомизации образов песочниц был актуален с момента их появления. Первые версии таких программ были внутренними решениями ИБ-компаний, но уже тогда возникла потребность в кропотливой настройке изолированных машин. И дело было не только в установке вспомогательного ПО для мониторинга...

Все блоги / Про интернет

Продолжаем разбирать уязвимости промышленных коммутаторов: выполняем произвольный код без пароля

В Positive Research 2019 мы разобрали протокол управления промышленными коммутаторами Moxa. В этот раз мы продолжим эту тему и подробно разберем уязвимость CVE-2018-10731 в коммутаторах Phoenix Contact моделей линейки FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx, выявленную нашими экспертами....

Все блоги / Про интернет

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

Согласно Verizon, большинство (87%) инцидентов ИБ происходят за считанные минуты, а на их обнаружение у 68% компаний уходят месяцы. Это подтверждается и исследованием Ponemon Institute, согласно которому у большинства организаций уходит в среднем 206 дней на обнаружение инцидента. По опыту наших...

Все блоги / Про интернет

Обзор: самые громкие инциденты безопасности в 2019 году

Изображение: Unsplash С каждым годом вопрос кибербезопасности приобретает все большее значение. Утечек данных не становится меньше, киберпреступники продолжают изобретать все более хитрые методы взлома и схемы заработка, а корпоративная безопасность все чаще подвергается испытанию на прочность. Как...

Все блоги / Про интернет