Новогодняя Дедморозная Песочница.

«Новый год к нам мчится» (с) и кристмасы всякие, все с ёлками и подарками, Дед-Морозами со Снегурочками и Санта-Клаусами с оленями. Детишки подарков ждут, письма с просьбами пишут… Так вот, те детишки, которые так долго просили у нас «сэндбокс-песочницу» в этот раз найдут подарок под ёлкой. Да-да, Дед Мороз внимательно прочитал всю-всю входящую почту и решил в уходящем году осчастливить всех новым решением для борьбы с продвинутыми атаками — Kaspersky Sandbox. И сейчас я по порядку всё расскажу.

В чем цимес технологии? В эмуляторе! Об эмуляторах я уже писал, кому интересно поподробнее разобраться тыц по ссылке. Если вкратце, это метод выявления угроз, при котором подозрительный файл запускается в виртуальной среде, имитирующей реальный компьютер. Поведение «подозреваемого» изучается в «песочнице» (sandbox) под лупой и при обнаружении опасных манёвров, объект изолируется от греха подальше для проведения дополнительных исследований.

Анализ подозрительных файлов виртуальной среде – технология не новая. Мы её использовали и для наших внутренних исследований и в крупных корпоративных проектах. Впрочем, это всегда была трудная, кропотливая работа, требующая постоянного совершенствования шаблонов опасных действий, оптимизаций и т.п. Но мы же на на месте стоять не любим! И этим летом получили патенты на технологию создания правильного окружения виртуальной машины для проведения скоростного и глубокого анализа подозрительных объектов. В этом блоге я уже рассказывал, что мы научились делать благодаря новым технологиям.

Именно эти технологии помогли нам запустить «песочницу» в качестве отдельного продукта, который теперь можно внедрить в инфраструктуру даже небольших компаний, причём для этого не потребуется продвинутая IT-служба. «Песочница» будет аккуратно и автоматически отбирать зёрна от плевел, точнее от кибератак всех мастей — шифровальщиков, эксплойтов нулевого дня и прочей гадости, и всё это — без привлечения аналитиков!

Для кого это особенно ценно? Для компаний без специализированного отдела; для малого и среднего бизнеса, который не готов выделять допресурсы на кибербезопасность; для крупных компаний с большим количеством разбросанных по городам и весям филиалов, где нет собственных айтишников; ну и компаниям, где штатные «безопасники» занимаются более критичными задачами.

Итого: быстрая обработка подозрительных объектов + снижение нагрузки на серверы + повышение скорости и эффективности реагирования на киберугрозы = очевидный профит! Полезный продукт на страже цифрового спокойствия для наших любимых клиентов!

P.S.: А те детишки, которые и в новом году будут вести себя хорошо и слушаться родителей, да не будут забывать письма с просьбами Дед-Морозу отправлять – те и в следующем году получат много новых и очень-очень полезных технологий. Честное слово! :)

Искренне ваш, Дед Мороз.

Первый День ОСи.

В конце прошлой недели мы провели первую специализированную конференцию «KasperskyOS Day» по нашей собственной безопасной иммунной Операционной Системе — ура! Мероприятие прошло скромно, без особого шика с фейерверками в подмосковном московском отеле Holiday Inn Vinogradovo, вот он на карте. Отель технически находится на территории Москвы, а за забором — Московская область :) Но несмотря на неяркий антураж и отсутствие пляжей с бассейнами, мероприятие прошло как мы любим — весело, активно, всем понравилось.

Коротко по цифрам: на двухдневную конференцию приехало 70 гостей из самых разных компаний, а шесть из них даже поставили свои стенды на нашей мини-выставке.

Дальше: с юмором и прилично…

Фотоканал на Flickr

Instagram

OpenTIP: смотрите глубже!

Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо OpenTIP) – я про него здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.

OpenTIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

В отличие от «классики в чёрном» — продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похожекакие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» – и через пару минут вы узнаёте, чем это кончилось.

Дальше: цель одна, но средства разные…

Введите свой email, чтобы подписаться на блог

Чёрный ящик и Иллюзия безопасности.

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. «Казалось бы» – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

«Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении»

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные «белые» хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем «монополию на исследования» в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что «в Багдаде всё спокойно». Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что «доступ независимых разработчиков к системе = потенциальный вектор атаки». Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять «монополию на исследования» и маркетинговую отстройку.

 

 

Ай-да-новости: ядрёный криптомайнинг.

Всем привет!

С летних каникул возвращается рубрика «Ай-да-новости». И сразу бахнем нетривиальной темой промышленной кибербезопасности.

Если кто-то пропустил посты о том, как я провёл это лето, то ознакомится можно здесь. А вот как провели лето некоторые сотрудники Южно-Украинской АЭС стало известно из… криминальной хроники. Служба безопасности Украины этим летом пресекла майнинг криптовалюты (sic!) в режимных помещениях этой станции. Результатом этого внештатного хобби стала утечка сведений о физической защите станции, которые составляют гостайну. А это уже не только печально, но даже как-то страшновато.

источник

Дальше: цифры говорят…>

Допрос под полным прикрытием.

Шестую части франшизы «Миссия невыполнима» я не смотрел, и не просите. Я и пятую-то видел только раз в зомби-состоянии в очередных перелётах и только из-за того, что одну из сцен снимали в нашем британском офисе. Честно говоря — мне хватило. «Пиф-паф-трах-бах» — не мой жанр, у меня есть другие планы для свободного времени (которого обычно и так не хватает).

Единственный эпизод, который я всё же «проглотил» по настоятельной рекомендации коллег: хорошие парни элегантно вынуждают плохого парня сдать других плохих парней, создав ему подходящую обстановку (точнее — фейковый прямой эфир об атомном Армагеддоне). Вроде как допрос, но не совсем.

Почему именно этот эпизод?

Он удивительно доходчиво и наглядно раскрывает один из методов выявления… неизвестных кибератак! На самом деле таких методов много — они различаются по области применения, эффективности, ресурсоёмкости и прочим параметрам (в моём ЖЖ о них регулярно рассказывается — смотрите по тегу technology). Но, пожалуй, одна из самых долгоиграющих технологий — эмулятор (про него я уже много раз писал).

В точности, как в этом эпизоде из «Миссии», эмулятор запускает исследуемый объект в изолированной искусственной среде, вынуждая его проявлять вредоносность.

Но у такого подхода есть существенный недостаток: искусственность той самой среды. Эмулятор создаёт окружение, максимально приближенное к реальной операционной системе, вредоносы учатся его распознавать, эмулятор распознаёт, что его распознали :), и вот мы уже входим в бесконечный цикл борьбы меча и щита, который регулярно открывает окно уязвимости на защищённом компьютере. Фундаментальная же проблема заключается в том, что предел функциональности эмулятора стремится к реальной операционной системе, но никогда её не достигнет!

С другой стороны, есть ещё одно решение задачи поведенческого анализа подозрительных объектов — анализ в… реальной операционной системе! Что-о-о? Прямо на «боевом» компьютере? Нет — на виртуальной машине! Ведь технологически эмулятор не способен так же полно и точно эмулировать работу операционной системы по сравнению с настоящей ОС под виртуальной машиной. Идеальный «допрос» под полным прикрытием!

Дальше: лекарство против вредоносной спячки…

Аудит SOC 2 пройден!

Ещё в прошлом году в рамках нашей Глобальной инициативы по информационной открытости мы говорили о планах на прохождение независимого аудита и получение отчёта SOC 2. И вот наконец мы можем объявить о том, что он пройден! Позади ого-го-го какая работа, в которой было задействовано очень много сотрудников компании! И я очень горжусь, что мы это сделали!

Что за таинственная аббревиатура этот SOC 2? Зачем этот зверь вообще нужен?

Service Organization Controls (SOC) – это aудит по контрольным процедурам в сервисных организациях; всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности.

Мы выбрали этот стандарт для подтверждения надёжности наших продуктов, чтобы доказать клиентам и партнёрам, что наши внутренние процессы соответствуют высочайшим международным стандартам и нам нечего скрывать. Аудит для нас проводила одна из компаний «большой четверки» (по условиям договора мы не можем раскрыть, какая именно). В течение прошедшего года наши сотрудники активно общались и делились всей необходимой информацией с аудиторами – R&D, IT, Information Security, команда внутреннего аудита.

Финальный отчет, который мы получили на этой неделе, подтверждает пригодность внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз и их корректную работоспособность, а также что процесс разработки и выпуска наших антивирусных баз защищен от неавторизованного вмешательства. Ура!

По запросу мы готовы предоставить этот отчет нашим партнерам, клиентам и госрегуляторам.

Всем привет из… :)

Ай-да-новости: кибербревно в глазу, Linux-бэкдор и длинные руки Большого Брата.

Начнём с благостных новостей.

Недавно уважаемая независимая тестовая лаборатория AV-Comparatives выпустила результаты своего ежегодного опроса. Он проводился в конце 2018, участие в нём приняли 3000+ респондентов по всему миру. Отвечая на вопрос «Каким защитным продуктом вы чаще всего пользуйтесь?», большинство пользователей (из аудитории AV-Comparatives) в Европе, Азии и Южной Америке назвало наш бренд. На втором месте мы оказались только в США (уверен, что второе место временно!). Кроме того, в Европе нас выбрали самым часто используемым защитным решением для смартфонов. Мы также возглавили список компаний, продукты которых пользователи чаще всего просят затестить, как в «домашнем» сегменте, так и среди антивирусных продуктов для бизнеса. И пусть тестят, мы готовы! Про независимые тесты и обзоры, которые проходят наши продукты можно почитать тут.

Дальше новость из рубрики «бревна-то я и не заметил».

В мае был обнаружен уженепомнюкакойпосчёту бэкдор с функциями очень полезными для шпионажа. У кого нашли бэкдор? У русских, китайцев? Ба, снова у Cisco! Слышали ли мы громкие разборы этого случая в СМИ, разговоры про угрозы нацбезопасности, обсуждение отказа от использования оборудования Cisco за пределами США и т.п.? Не-а! Хотя одновременно полным ходом идёт громкое международное линчевание Huawei, причём не только без подобных бэкдоров, но и убедительных доказательств вообще.

Источник

Дальше: Большой Брат подкрался незаметно…

Умная пробирка для злобной малвары

Вы задавали себе вопрос, почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не очевидно, то в нашей энциклопедии есть краткий и исчерпывающий ответ.

Эту подводку я использую с другой целью: а почему до сих пор всю компьютерную гадость многие так и называют «вирусами», хотя вирусов как таковых уже надцать лет не было замечено в «дикой цифровой природе»?

Дело в том, что по сей день технологии компьютерной безопасности вызывают ну уж очень сильные ассоциации с людьми в белых скафандрах, карантином, пробирками и прочей атрибутикой изучения микробиологических глубин мира. Именно так: вирусы уже давно повывелись, но методы их анализа и разработки защиты остались, развились и очень даже хорошо показывают себя в борьбе с современными вредоносами. Например, эмулятор.

Вкратце, эмулятор — это метод выявления неизвестных угроз, при котором подозрительный файл запускается в виртуальном пространстве, имитирующем реальный компьютер. Антивирус* смотрит за поведением файла «на лету» и при обнаружении опасных действий изолирует его от греха подальше для проведения дополнительных исследований.

Читать далее…

Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.

Сегодняшний выпуск «ай-да-новостей» (с) — по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая «рекламная пауза перед главным выпуском новостей». А именно: по версии компании HeadHunter, которая ежегодно представляет «Рейтинг работодателей России», в этом году мы заняли почётное первое место среди работодателей отрасли «IT и интернет» и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы «благой» целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Дальше: доппельгангеры атакуют!…