Недавно мы запустили блог центра исследования киберугроз Solar 4RAYS, где делимся аналитикой об актуальных угрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами. Некоторые исследования из блога мы будем размещать и здесь, и это – одно из них.

В ходе расследования атаки на одно из госучреждений в декабре этого года мы обнаружили новые индикаторы, которые с высокой долей вероятности можно атрибутировать преступной группировке (Ex)Cobalt (также известной как Comet/Shadow/Twelve). Группировка ранее преследовала финансовую выгоду, но затем сменила вектор и стала заниматься атаками, свойственными кибершпионам.

Мы выяснили, что с недавних пор злоумышленники стали использовать новую сетевую инфраструктуру и изменили технику развертывания главной вредоносной нагрузки. Также нам удалось обнаружить несколько новых доменов, потенциально связанных с группировкой. Они пока не использовались в атаках, но требуют пристального внимания, так как злоумышленники могут задействовать их в ближайшем будущем.

В ИТ-инфраструктуре идет постепенное повышение уровня абстракции, в частности, виртуальная машина – абстракция на уровне физического сервера, контейнер – абстракция на уровне приложения. Не вдаваясь в историю виртуализации, можно констатировать, что сейчас разработка ПО активно развивается в рамках микросервисной архитектуры и технологий контейнеризации. В этой статье расскажем, как мы подтянули компетенции по защите микросервисных архитектур в департаменте проектных решений нашего центра интеграции.

2022 год еще раз доказал, что геополитическая обстановка способна серьезно влиять на ландшафт киберугроз. В то же время мы увидели удивительную гибкость и стойкость киберпреступников, а также их способность адаптироваться практически к любым условиям. В этом посте расскажем о том, каким был фишинг образца 2022 года. Как на злоумышленников повлиял уход Visa и Mastercard? Какие темы они использовали для мошеннических схем? Сколько фишинговых доменов появилось за год и какие бренды эксплуатировались чаще всего? Надеемся, вам будет интересно.

Привет, Хабр. На прошедшем в ноябре SOС-форуме мы предлагали желающим решить несколько ИБ-задач: по пентесту, OSINT и digital forensic. Оказалось, квестом заинтересовались многие: всего участие приняли более 500 человек. А после форума нас стали просить прислать задания и решения к ним. И мы решили опубликовать наш квест на Хабре. Может, и вы, уважаемые читатели, заинтересуетесь. Ради спортивного интереса все решения спрятали под спойлеры.

Можно ли стать программистом без профильного образования? Нет, это не реклама очередных онлайн-курсов. Кандидат физико-математических наук Андрей Грицевич много лет назад, когда деревья были больше, трава зеленее и еще даже не вышел первый Angular, ответил для себя на этот вопрос однозначно: а почему бы и нет! И самоучкой пошел в UI. Сегодня он руководит отделом разработки Центра продуктов Dozor в нашей компании. Андрей уверен, что только счастливые люди выполняют свою работу хорошо, а значит, надо помочь им стать такими. Как этого добиться? Не бояться внедрять современные инструменты. Какие-то проблемы ушли в прошлое благодаря внедрению SCRUM, где-то сработали новые HR-практики, а для решения других задач вообще понадобилось убедить всех, что технологии самоуправления – это совсем не страшно. И все это в довольно консервативной команде, которая создает серьезные корпоративные ИБ-продукты.

В последние два года почти весь мир оказался на удаленке. И все-таки офисы не ушли в прошлое. Когда заболеваемость коронавирусом окончательно стала спадать, изголодавшиеся по живому общению сотрудники потянулись обратно. Но после многих месяцев работы в уютной домашней атмосфере требования к офисным пространствам изменились. Теперь современное рабочее место – это не про стол, кресло и ноутбук в шумном и безликом опенспейсе. Новый офис – это место, куда хочется приходить каждый день, чтобы продуктивно работать, активно взаимодействовать с коллегами и чувствовать себя пусть и не как дома, но уж точно комфортно. Поэтому офисы многих компаний сегодня становятся более демократичными: оригинальный дизайн, нестандартные планировки, больше света, больше воздуха, больше пространства. Именно таким стал после грандиозного ремонта наш московский офис на Вятской улице. Когда-то ничем не примечательный (кроме сотрудников😊) типичный офис превратился в высокотехнологичный центр разработки и интеграции. Обстановка теперь намного больше соответствует тому, что здесь делают. Ведь в офисе на Вятке, как мы его называем, работают те, кто создает и внедряет передовые продукты и сервисы кибербезопасности.

На связи Катя, консультант «Solar Интеграция», с ежемесячной подборкой новостей из мира комплаенса ИБ. В этом посте вы узнаете об основных изменениях законодательства в области кибербезопасности за март. Все новости разбиты на тематические блоки: изменения в области защиты информации, безопасность объектов КИИ, рекомендации регуляторов и отраслевые изменения.

Иногда бывает полезно взглянуть на ситуацию под другим углом. Для информационной безопасности это правило работает так: надо посмотреть на свою инфраструктуру с точки зрения потенциального злоумышленника. Как тебя будут ломать? И что будет, когда сломают? Такой подход к оценке уровня защищенности компании называется Offensive – наступательная безопасность. В этом посте мы поделимся нашим опытом подобных проектов и расскажем, как перейти от тестирования на проникновение к моделированию действий злоумышленников.

На связи Катя, консультант по информационной безопасности направления «Solar Интеграция». Представляю вам наш традиционный ежемесячный дайджест с новостями из мира комплаенса в области кибербезопасности. В подборке вы узнаете о наиболее важных изменениях февраля, все новости разбиты по тематическим блокам: лицензирование деятельности, государственный контроль, использование электронной подписи, новости в области стандартизации и отраслевые изменения.

Однажды моей команде довелось организовывать несложную кустовую схему шифрования для компании, у которой было более 2,5 тысяч офисов продаж и около ста региональных центров. Всё техническое описание решения легко излагалось в таблице Excel размером 2 800 строк на 25 столбцов, но где было взять столько эникейщиков, которые бы настроили оборудование без ошибок?

Если бы эта история была про оборудование, не поддерживающее автоматизацию ни в каком формате, именно так нам и пришлось бы поступить: развернуть некий стенд и найти десяток студентов для тестирования корректности настроек. Мы же имели дело с криптошлюзами S-Terra, и в нашем случае всё упиралось в знание Ubuntu и автоматизации по протоколу SSH. Автоматизировать нужно было два отдельных момента: загрузку конфигурации Cisco-like и инициализацию устройств. Для этого мы решили использовать систему управления конфигурациями Ansible.

В статье я расскажу, как мы пытались скрестить Ansible с криптошлюзами S-Terra, и что из этого вышло. Надеюсь, наш опыт будет полезным тем, кто возьмётся за подобный проект на базе решения S-Terra и будет искать способ ускорить конфигурирование оборудования и свести на нет человеческий фактор.

На связи Катя, консультант по информационной безопасности «Solar Интеграция», и я хочу поделиться с вами ежемесячной подборкой новостей из мира комплаенса в области кибербезопасности. В этом выпуске дайджеста вы узнаете об основных изменениях января, а чтобы вам было удобно его читать, я разбила все новости на тематические блоки: биометрические персональные данные, безопасность объектов КИИ, планы ФСТЭК России, новости в области стандартизации, отраслевые изменения.

Представьте, что вам нужно внедрить файрвол в инфраструктуре предприятия N — крупной компании с сотнями филиалов, несколькими ЦОДами и большим количеством взаимодействий с внешними организациями. Заказчик разводит руками и сам не знает, что с чем у него взаимодействует, по каким адресам и протоколам. И хотя в компании уже есть межсетевые экраны, но настроены они так, что разрешено практически всё. Как учесть всё это при проектировании и не сойти с ума?

Меня зовут Паша, я работаю в подразделении «Solar Интеграция». Вместе с коллегами мы делаем десятки комплексных проектов по кибербезопасности в год и часто решаем подобные головоломки, когда в инфраструктуре заказчика нужно внедрить новый или заменить старый файрвол. В этой статье я поделюсь одним из способов решения задачи по составлению матрицы сетевых взаимодействий: расскажу, как мы проводим анализ реального трафика в месте предполагаемой установки файрвола.

Меня зовут Катя, в «Solar Интеграция» я отвечаю за комплаенс и пристально слежу за всеми изменениями законодательства в области кибербезопасности. В свежем выпуске нашего compliance-дайджеста я собрала краткую выжимку из новостей за декабрь 2021 года и по традиции разбила их на тематические блоки: функционирование ГосСОПКА, безопасность объектов КИИ, биометрические персональные данные, документы для служебного пользования, проверки регуляторов, планы ФСТЭК России на 2022 год, новости в области стандартизации, отраслевые изменения. Если вам важно быть в курсе изменений в требованиях регуляторов, добро пожаловать под кат!

Киберзащита АСУ ТП пока остается для безопасников сложной задачкой на логику. С одной стороны, нельзя оставить без ИБ-мониторинга сеть, которая, например, обеспечивает теплом и светом население или перегоняет нефть и газ. С другой, ну, а где гарантия, что все эти СЗИ никак не повлияют на АСУ ТП и что их не взломают те же самые хакеры? В этом посте мы хотели бы порассуждать о том, какие компоненты АСУ ТП все-таки стоит подключить к SOC и что это даст ИБ-специалистам.

В нашем ежемесячном compliance-дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за ноябрь 2021 года. Для вашего удобства все новости разбиты на 9 блоков: персональные данные, защита информации, биометрические персональные данные, сертификация средств защиты информации, государственная тайна, оборонный комплекс, лицензирование деятельности по защите информации, стандартизация и отраслевые изменения.

В нашем ежемесячном сompliance-дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за октябрь 2021 года. Для вашего удобства все новости разбиты на 6 блоков: персональные данные, использование электронной подписи, биометрические персональные данные (на этот раз получился обширный блок), служебная тайна, функционирование ГосСОПКА, сертификация ФСТЭК России.

В нашем ежемесячном сompliance-дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за сентябрь 2021 года. В этот раз – изменения в области персональных данных, биометрических персональных данных, требований к финансовым организациям, военной и военно-технической деятельности РФ, лицензирования деятельности по работе со СКЗИ, использования электронной подписи и новости в области стандартизации.

Обнаруженный в 2017 году вредонос Trisis до сих пор остается настоящим кошмаром для промышленности. Его цель – вывести из строя систему противоаварийной защиты предприятия, лишив автоматику и персонал возможности оперативно реагировать на аварию (от остановки оборудования до выброса ядовитых веществ). К счастью, первая атака Trisis была неудачной – хакеры выдали себя, а исследователи узнали о новой угрозе. Как же работает этот опасный вредонос, можно ли защитить от него системы ПАЗ – разберемся в этом посте.