Архив тегов: technology

Весьма вероятно, что ваш офис сегодня также пуст, как и наш. Редко-редко раздаются шаги охраны и технических служб, да гудят системы охлаждения серверов, нагруженные всякой «удалёнкой». Кажется, ничего не нарушает покой и крепкий сон системного администратора – кроме невидимых человеческому глазу и неслышных человеческому уху событий, происходящих в тёмном лесу IT-инфраструктуры.

Роль IT-безопасника в некотором смысле похожа на роль лесника – чтобы поймать браконьера (вредоносное ПО) и нейтрализовать угрозу для обитателей леса, надо для начала его обнаружить. Можно, конечно, дождаться звуков выстрелов и быстро бежать в их сторону, но это значит, что событие уже произошло и остаётся только разбираться с последствиями. Можно в превентивных целях расставить по всему лесу сигналы и видеокамеры и реагировать на каждый новый шорох (и быстро лишиться сна и разума). А если учесть, что «браконьеры» научились здорово прятаться и не оставлять следов, то выясняется, что главный вопрос безопасности заключается в умении вычленять подозрительные события из множества событий повседневных.

Современные кибер-браконьеры всё чаще маскируются именно при помощи совершенно легитимных инструментов и операций – например, открытия документа в Microsoft Office, получения администратором удаленного доступа, запуска скрипта в PowerShell или активацией механизма шифрования данных. Новая волна так называемого «бесфайлового» вредоносного ПО и вовсе не оставляет никаких следов на жёстком диске, что заметно усложняет работу традиционных подходов к защите. Именно так, например, группировка Platinum проникала в компьютеры дипломатических организаций. Офисные документы, загружающие вредоносную нагрузку, применялись для заражения через фишинг в операции DarkUniverse, да и многих других. Ещё один пример — «бесфайловый» вымогатель-шифровальщик Mailto (aka Netwalker), который использует PowerShell скрипт для загрузки вредоносного кода непосредственно в память системного процесса.

Итак, если традиционными средствами не обойтись, то можно попытаться запретить целый ряд операций пользователям и ввести жёсткие политики доступа и использования ПО. Однако в этом случае и пользователи, и вредоносы скорее всего найдут обходные пути, как находят их лесные ручьи или звериные тропы.

Лучше найти решение, которое сможет определять аномалии в стандартных процессах и уведомлять о них администратора. Главная сложность такого решения, чтобы научиться автоматически определять «подозрительность» процессов во всем их многообразии, и не досаждать администратора постоянными криками «Волки! Волки!»

И у нас такое решение есть – Adaptive Anomaly Control. В основе сервиса лежат три основных компонента – правила, статистика и исключения. Правила охватывают основные офисные приложения, пакет приложений Windows Management Instrumentation, стандартные скрипты и другие компоненты, совмещённые со списком «аномальных» активностей. Эти правила являются частью решения и не требуют от администратора создавать их заново.

Дальше: и зачем тогда нужен антивирус?…

Неисповедимы пути вредоносного кода.

Он как вездесущий газ заполняет собой пространство, проникая на компьютеры через любое доступное «отверстие для маленьких жучков». Мы же эти «отверстия» находим и конопатим. При этом часто случается, что конопатим проактивно – то есть пока «жучки» эти «отверстия» в операционных системах и приложениях не нашли. А как найдут – мы их там с мухобойкой уже ждём :)

На самом деле, проактивность защиты, способность предугадать действия нападающего и заранее создать барьер на пути проникновения – это отличает действительно хорошую, высокотехнологичную кибербезопасность от маркетинговых пустышек.

Сейчас я расскажу вам о «безфайловом» (иногда его называют «бестелесным») вредоносном коде – опасном виде «жучков-призраков», которых научили использовать архитектурные недостатки Windows для заражения компьютеров. А также о нашей патентованной технологии борьбы с этой кибер-заразой. Будет всё как вы любите – просто о сложном, в лёгкой захватывающей манере кибер-триллера с элементами саспенса :)

Вангую самый первый вопрос: «безфайловый» — это как и что такое?

Объясняю. Попадая на компьютер, такой вредоносный код не создаёт своих копий в виде файлов на диске, и таким образом избегает обнаружения традиционными способами, например, при помощи антивирусного монитора, который следит за появлением зловредных и нежелательных файлов-приложений.

Как же такие вредоносы-призраки существует в системе? Исключительно в оперативной памяти доверенных процессов! Вот так.

В Windows (на самом деле не только в Windows) с древних времён существует возможность выполнения динамического кода, которая в частности используется для динамической компиляции, т.е. перевода программного кода в машинный не сразу, а по мере надобности с целью увеличения скорости исполнения приложения. Для поддержки этой возможности Windows позволяет приложениям загружать код в оперативную память через другие доверенные процессы и исполнять его.

Согласен – не самая здравая реализация с точки зрения безопасности, но, как говорится, «поздно пить боржоми». Так работают миллионы приложений, написанных на Java, .NET, PHP, Python и других языках и платформах.

Разумеется, что возможность использовать динамический код полюбили кибер-негодяи, которые изобрели различные способы злоупотребления им. Один из самых удобных и поэтому распространённых способов – техника «отражающей инъекции» (Reflective PE Injection). Не торопитесь падать в обморок от этого технического термина — сейчас популярно расскажу что это такое. Будет интересно! :)

Запуск приложения для пользователя выглядит… Да никак он не выглядит :) Кликнул на иконку и всё. Но за этими декорациями проходит непростая работа: вызывается системная программа-загрузчик, которая берёт наш файл с диска и исполняет его. И этот стандартный процесс контролируется антивирусными мониторами, которые «на лету» проверяют приложение на безопасность.

При «отражении» код загружается мимо системного загрузчика (а соответственно и антивирусного монитора) – он копируется напрямую в память доверенного процесса, создавая «отражение» исполняемого модуля. И всё выглядит как будто бы он был загружен системным загрузчиком. Такое «отражение» может исполняться как настоящий модуль, загруженный стандартным способом, но оно не зарегистрировано в списке модулей и, как уже указывалось выше, не имеет файла на диске.

Причём, в отличие от других техник инъекций кода (например через шелл-код), отражающая инъекция позволяет создавать функционально сильный код на высокоуровневых языках и стандартными средствами разработки с минимальными ограничениями. Итог: никаких файлов, надёжная маскировка в доверенном процессе, вне радаров традиционных защитных технологий, приемлемая свобода действий. Вот такое «королевство кривых зеркал». И окон.

Вполне естественно, что отражающая инъекция получила большую популярность у разработчиков вредоносного кода. Сначала техника появилась в эксплойт-паках, потом её «прелести» оценили кибер-военщина (например, операторы операций Lazarus и Turla) и продвинутый кибер-криминал (это же отличная легитимная лазейка для скрытого исполнения сложного кода!). Ну а дальше, как говорится, техника «пошла в народ».

Найти такую «бестелесную» заразу не так-то просто. Немудрено, что большинство продуктов с ней справляется «так себе», а некоторые «вообще никак».

Читаем дальше: исправляем кривизну окна…

Всем привет!

Частенько бывает так, что понятные и очевидные профессионалам истины достаточно сложно объяснить не специалистам. Но я попробую.

Вот, например, надо построить дом. И не просто какой-то типовой стандартный, а по собственным хотелкам. Для этого приглашается архитектор, который вместе с заказчиком рисует эскизы и чертежи, потом всё это просчитывается и согласовывается, появляется проектная документация, подрядчик на проведение работ, техническая инспекция следит за качеством, параллельно дизайнеры рисуют внутренние интерьеры – обычные процессы при строительстве любого объекта сложности выше чем «рай в шалаше». Многие работы уникальны, и они производятся конкретно под требования заказчика, но само строительство идёт из стандартных материалов и изделий: кирпичей, арматуры, бетона.

Так и в разработке программных продуктов.

Большое количество работ уникальны, требуют архитекторов, дизайнеров, технической документации, инженеров-программистов, часто специфических знаний и умений. Но в процессе разработки любого софта используется также огромное количество стандартных кирпичей-библиотек, выполняющих различные «повседневные» функции. Как при строительстве из типовых кирпичей можно сложить стену, забор или трубу – так и в программных продуктах модули с совершенно различным функционалом (потребительскими качествами) используют множество унифицированных библиотечных функций-кирпичей.

Так вроде должно быть понятно всем. Но при чём здесь кибербезопасность?

А вот при чём: цифровые зловреды под стать строительным дефектам. Если нанести повреждения на готовый к заселению дом – это полбеды. Поправить, отштукатурить, покрасить и плитку переложить. А вот если проблема глубоко внутри конструкции? – ага, а вот это дорого больненько. Тоже самое и с софтом. Если к нему сверху прилипнет какая-то зараза, то можно полечить-подчистить-восстановить – и все дела. Но если цифровая дрянь проникнет в библиотеки и модули, из которых собирается конечный продукт? – ай, это ой. Обнаружить такого зловреда может оказаться весьма и весьма непросто, а тем более его выковырять из рабочего бизнес-процесса.

И примеры тому есть, да и немало.

Даже в глубокой древности, во времена Виндовз-98 был похожий инцидент, когда вирус CIH пробрался в дистрибутивы компьютерных игрушек нескольких производителей – и оттуда разлетелся по всему миру. Другая подобная засада произошла годами позже, когда в где-то в 2000х появилась кибер-зараза, проникавшая в библиотеки среды программирования Delphi.

Таким образом получается, что угрозу для личных устройств и корпоративных сетей могут представлять не только «залётные» кибер-негодяи, но и те злодеи, которые случайно или намеренно умудрились пролезть в «закрома» производителя программных продуктов, которым вы пользуетесь, и внедриться в «программные запчасти», из которых потом собирается готовый продукт. Вот так бывает.

«Ах вон оно что, Михалыч!» (с).

Чтобы стало ещё понятнее, давайте спроецируем тот же сценарий на всем нам знакомый поход в обычный продуктовый магазин. Да не просто так сходить, а во времена глобального пандемического шухера, когда от злобного биологического вируса потряхивает вообще всю нашу планету.

Так вот, выглядеть это событие будет примерно вот так. Взяли сумки, руки помыли, маску с перчатками надели, однако на этом ваши меры предосторожности заканчиваются. Далее начинается ответственность продавца и производителя, каждый из которых тоже должен следовать санитарным нормам. А ведь есть ещё и грузчики, упаковщики, кладовщики, системы хранения и транспортировки продукции и так далее! – и на каждом сегменте этой цепочки кто-то может случайно (или намеренно) чихнуть на вашу условную картошку!

Тоже самое и в нашем цифровом мире.

Цепочка поставок в современных гибридных экосистемах ИТ-разработки сложнее на пару порядков, а новых кибер-зловредов мы ловим более 300 тысяч КАЖДЫЙ ДЕНЬ! – причём их сложность постепенно возрастает. Проконтролировать то, насколько «чисто помыты руки и маска с перчатками» у разработчиков каждого отдельного софтверного компонента, и насколько эффективны системы киберзащиты многочисленных поставщиков облачных услуг в каждый конкретный момент – задача невероятно сложная. Особенно если используемый продукт опенсорсный, а сборка приложения – по-модному автоматизирована и работает совсем неразборчиво, на полном доверии, «на лету».

Тут стоить помнить, что атаки на цепочки поставок – это самый что ни на есть тренд продвинутого киберзлодейства! Например, группировка ShadowPad атаковала финансовые организации через решение популярного поставщика ПО для управления серверной инфраструктурой. Другие хитрецы атакуют библиотеки открытого кода, и коллеги из индустрии напоминают, что у разработчиков «крайне мало возможностей удостовериться, что устанавливаемые ими компоненты из различных библиотек не содержат зловредного кода».

Ещё пример – атака на библиотеки контейнеров, таких как Docker Hub. С одной стороны, использование контейнеров позволяет повысить удобство и скорость развертывания приложений и сервисов. С другой, некоторые разработчики ленятся создавать собственные контейнеры и скачивают их готовые образы – а там, сюрприз-сюрприз, как в шляпе волшебника может скрываться что угодно. Кролик, например. Вот такой:

В итоге, разработчики хотят выдать «на гора» работающий продукт как можно скорее, специалисты по автоматизации разработки (devops) ратуют за использование доступных компонентов и облачных платформ на всех этапах, безопасники пьют валерьянку (ну или чего покрепче), а пользователи продукта рискуют получить не одного троянского коня, а целый табун!

Но мы же не зря здесь существуем! :) Если есть сложные задачки – мы любим их решать… и не только математические :)

И – бьют барабаны, трубят трубы, свистят свистелки и сопят сопелки, оркестр играет туш, а восторженная публика в воздух чепчики кидает и аплодирует пока те в воздухе! – мы расширяем возможности нашего продукта Kaspersky Hybrid Cloud Security.

Дальше: все довольны!…

Текст в заголовок мне навеял недавно прошедший День Пушкина, но на этом поэтическая тема данного поста полностью исчерпывается :) Здесь и дальше снова будет про мировое кибер-зловредство и новые интересные технологии борьбы с ним.

Далеко не всегда защита кибер-инвентаря сводится только к отражению атак. Это особенно верно для корпоративного сектора (а здесь и далее будет как раз про APT-угрозы для крупных огранизаций). Частенько по результатам особо болезненных инцидентов необходимо проводить анализ последствий, оценивать ущерб, анализировать причины «пробоя» и планировать «ремонтные работы».

Если по какой-то досадной причине в сетевую инфраструктуру залетел случайный кибер-воришка — это ерунда. Вычистить, отмыть поражённые сектора «мылом и хлоркой», поставить на вид сотрудникам-неряхам, не соблюдающим элементарные правила цифровой гигиены – и всё на этом. Но если вдруг в святая святых обнаружено весьма хитроумное изделие, которое аккуратно шифруется и прячет свою активность, которое что-то подслушивает, поднюхивает, высматривает и отправляет мега/гигабайты сетевых пакетов куда-то за «тридевять земель» неведомому адресату, то это будет совершенно другая сказка. Скорее всего, счастливого конца у неё сложно ожидать, но зато можно сделать её интереснее.

А именно.

Помимо всех необходимых «очистных» работ любопытно и крайне полезно узнать – а откуда именно в наши сети прилетел этот незваный гость? Кто именно может стоять за данным конкретным инцидентом?

источник

(придумайте подпись!)

Сразу и прямо следует сказать, что атрибуция (указание на автора конкретной атаки) в кибер-пространстве – это весьма тонкая материя. Здесь крайне легко ошибиться, показать пальцем и обвинить совершенно непричастных к данному инциденту, да и ложные «отпечатки пальцев» налепить – дело несложное (и такое тоже бывает, пример будет ниже).

Так вот, технически говоря, по конкретному образцу зловредного кода обвинить кого-то именно в кибер-атаке – это крайне скользкая позиция. Для этого нужно быть настоящим джентельменом, которому всегда верят на слово… но такое в наше не самое спокойное время бывает нечасто и нерегулярно.

Но нет причины унывать! Ведь технически говоря (да-да, опять!) мы можем очень многое рассказать о практически любом кибер-зловреде. И, если без лишней скромности, – здесь нам нет равных. Мы держим под колпаком все достаточно крупные хакерские группы и их операции (600+ штук), причём вне зависимости от их аффилированности и намерений (потому что «вор должен сидеть в тюрьме» ©). Мы знаем про их технологии, привычки и поведение практически всё. За много лет наблюдений в наших архивах накопилось так много данных о цифровой гадости и её повадках, что мы решили ими поделиться. В хорошем смысле :) Ведь по этим сигналам (поведение, оформление кода, прочее другое и разное) – по таким не всегда заметным непрофессиональному взгляду мелочам можно выяснить очень многое. Включая направление на источник атаки.

Итак, о чём это. Внимание на следующую строчку ->

На днях мы выпустили новый сервис для экспертов по кибербезопасности — Kaspersky Threat Attribution Engine (далее KTAE – запомнить можно по «ктаэтатам?» :). Этот сервис анализирует подозрительные файлы и определяет из какой хакерской группы у данной кибератаки растут ноги.

А зная врага в лицо, заказчикам гораздо проще с ним бороться: принимать осведомлённые решения, разрабатывать план действий, расставлять приоритеты, ну и в целом правильно реагировать на чрезвычайные ситуации с минимальным риском для бизнеса.

Как это делается?

Дальше: по секрету всему свету…

Каждый год в командировках и личных поездках я с моими попутчиками накручиваем до 100 полётных сегментов, покрывающих значительную часть планеты. Практически везде и за всё оплата карточкой или телефоном, кругом разгул бесконтактной оплаты, эпл и гугл пэи да пэйпассы, а в Китае и вовсе переводом через WeChat можно на любом рынке у любой бабушки купить хоть капусту, хоть летучую мышь. И печально известный биовирус переходу на виртуальные деньги только способствует.

// Кстати, приятно видеть Россию на пьедестале почёта по уровню проникновения финтех-услуг.

Рассказывали забавную сценку из Индии: на улице сидит человек, перед ним два кирпича, между ними костёрчик, кипятится вода – он чаем торгует. А рядом висит QR-код для онлайн-оплаты!

Разумеется, бывают исключения, в том числе из неожиданно высокоразвитых мест. Например, такси Гонконга (да! – только бумажный кэш, ничего прочего). А в прошлом году был неприятно удивлён во Франкфурте – в двух ресторанах принимали только бумажные деньги. Ну, пришлось гостям пометаться по близлежащим закоулкам в поисках банкомата. То есть, несмотря на развитие прогрессивных платёжных систем банкоматы были, есть и ещё долго будут есть.

источник

О чём это я? Конечно о кибербезопасности :) Банкоматы = деньги ⇒ их хакали, хакают и будут хакать. Увы, неприятную тенденцию роста подобных кибератак подтверждают исследования: с 2017 по 2019 год количество атакованных малварой устройств выросло аж в 2,5 раза.

Можно ли вести постоянный мониторинг безопасности вокруг и внутри банкомата? Конечно же, да! – наверняка подумали все вместе. Увы, это не так. Полно ещё уличных/магазинных/подземно-переходных денежных машинок с весьма узким интернет-горлышком. Не успевают они помимо транзакций ещё и за всей остальной окружающей ойкуменой следить!

И если гора не идет к Магомету, то рассчитывать надо только на свои силы. Поэтому мы применили лучшие практики оптимизации (в этом мы мастера с 25-плюс-летним стажем), да и радикально пригнули количество трафика, которое использует наша специализированная «таблетка» против банкоматной угрозы (Kaspersky Embedded Systems Security, далее KESS).

Дальше: где наличные, Наташ?…

Эх, как же хорошо жить в условиях безлимитного интернета! Теперь, наверное, никто уже и не вспомнит когда исчезли тарифы на кабельный доступ в Интернет с повременной или «помегабайтной» оплатой. Уже где-то лет 15 мы купаемся в «нон-стоп анлиме» формата 24-7-365. При этом скорости обычного домашнего подключения вплотную приблизились к гигабиту. Ай хо-ро-шо!

Особенно в наши тревожные времена – понимаю, что далеко не все, но многие смогли полноценно трудиться в карантинных условиях. И всё спасибо скорости современных сетевых соединений! Представьте себе, что эта биологическая хрень случилась бы в до-интернетные времена или же где-то в 90х, уже с интернетами, но на каналах тех лет пропускной способности.

Да, можно возразить, что на карантине Шекспир написал несколько великих пьес, Боккаччо — Декамерон, у Пушкина случилась Болдинская осень, а Ньютон догадался о теории всемирного тяготения. С интернетами и онлайнами у них бы ничего этого могло и не случиться! :)

Но не суть. Я сегодня о другом хотел рассказать. А именно.

Все мы рады скоростному «анлиму» — как пользователи. Но для бизнеса, особенно больших компаний внутрикорпоративный «анлим» означает распухание бюджетов и снижение прибыли (оборудование, провода, вентиляция, обслуживание этого хозяйства, плюс электричество и прочее другое). Посему у хорошего хозяина сисадмин постоянно смотрит на динамику трафика, прогнозирует пиковые нагрузки, создаёт резервные каналы и многое другое, чтобы обеспечить бизнесу гарантированное потребление всех необходимых сетевых прелестей. Чтобы ничто не останавливалось и не «лагало».

И, разумеется, любая организация будет стремиться сопутствующие «расходы и расходики» как можно сильнее утрамбовать к нулю, при этом сохранив (а лучше даже повысив) эффективность работы всей системы.

О как! Невозможное = возможно? Рассказываю…

источник

Дальше: апдейт пошёл!…

Если честно и откровенно, то с самого-самого начала моей нашей антивирусной деятельности мы я сразу поставил вполне себе всем нам достаточно амбициозную цель. Она была озвучена когда-то в 1992м году, когда мы с моим древне-давним другом-подельником Алексеем Николаевичем «Графом» Де-Мондериком стояли на остановке (где-то где Волоколамка мостом проходит над другой дорогой) и ждали трамвая номер 6 (к чему такие подробности? — да я и сам не знаю, просто всклерозилось). Так вот, глядя на мои тогдашние активности по поводу антивирусной темы – а я тогда впахивал по 12-14 часов в день («папанаработе» — так меня звали дети, а не просто «папа»). Так вот, глядя на это Граф спросил меня: а какая цель, зачем всё это и с таким упорством? Я ему ответил, что цель = сделать самый крутой в мире кибер-антивирус. Это было в 1992 году. Граф над этим хихикал, но работал. И оно получилось!

Как оно получалось? Тяжким трудом, изобретательством, да выживанием в те самые недобрые 199x-е года. Мы впахивали каждый по своему направлению. Я «долбал» новые вирусы, Граф кодил «морду» и редактор антивирусных баз, Вадим Богданов (джедай ассемблера) виртуозил разнообразный инструментарий для моих нужд. Да-да, нас в начале 90х было всего три человека! Потом четыре, затем пять… и – понеслось.

Но пора выруливать повествование в главное русло. Так какую я там цель поставил? Ага, самый крутой в природе антивирус. И тут вдруг случились самые первые в истории «антивирусные Олимпийские Игры». 1994 год, обширные тесты в Гамбургском университете. Победитель… Угадайте кто? :)

Да-да, с самого раннего начала – да! Мы сразу начали показывать самые лучшие результаты в различных независимых антивирусных тестах. Ура нам! (Граф, Андрей Крюков, я – слева направо).

// Режим «педант»: на самом деле были тестирования и ранее, но не «олимпийские», а по ограниченным сценариям. Как те или другие антивирусы детектят наиболее зловредных и поганых кибер-бацилл. Например, за месяц до упомянутого выше Гамбургского университета ICARO (Italian Computer Antivirus Research Organization — было такое) проводили тесты по паре супер-мутирующих вирусов. У нас, естественно, 100% детекта «живых» заражений. Само собой, оба виря были под MS-DOS, 16 бит, сейчас не актуальны совершенно.

Короче, с самого-самого начала своего существования наша команда, потом ставшая компанией – мы ставили перед собой амбициозную задачу: делать самый крутой антивирус в мире, с самым лучшим качеством защиты. Конечно, доверять заверениям вендоров пользователь никогда не спешил. Поэтому в параллели с развитием рынка антивирусов, появилась индустрия независимого тестирования этих самых антивирусных решений.

Но, начав участвовать вообще во всех тестах, мы столкнулись с неожиданной сложностью. Не секрет, что разные тестовые лаборатории используют разные методики тестирования и разные системы оценки, которые напрямую сравнивать сложно. Кроме того, всегда полезно ориентироваться на лучшие результаты в индустрии, в том числе и результаты конкурентов. Ведь полученный уровень детектирования или защиты в 99% можно трактовать как высокое достижение в случае сложных угроз, когда все конкуренты достигли кратно меньших результатов. Так и наоборот, этот результат может быть драматически низким показателем в случае, если большинство конкурентов показали 100%.

Именно поэтому внутри нашего подразделения по исследованию киберугроз начали применять агрегированную метрику под названием TOP3, которая объединила как абсолютные, так и относительные результаты во всех тестах для всех вендоров.

Дальше: Большой Зелёный Шар…

В прошлом посте о рабочей поездке в Челябинск я не просто так сказал «учиться на инженера», а с намёком. Поскольку теперь нужно рассказать о нашем сотрудничестве с Южно-Уральским Государственным Университетом (ЮУрГУ). Причём не только по нашим традиционным кибер-образовательным программам.

Университетские ребята из Челябинска настолько продвинуты, что самостоятельно нашли необходимые материалы по нашей иммунной операционной системе, сами всё изучили, сами набрали студентов и сделали три любопытных проекта. В частности: шлюз для обмена данными между подсетями по протолоку ModBus, автоматическая система формирования политик безопасности для контроля IPC (межпроцессного взаимодействия), модуль стеганографии для сокрытия обмена данных в промышленных устройствах. Всё на базе KasperskyOS и всё самостоятельно.

Увы, стыдно признаться — практически с нулевым нашим участием. Больше такого не повторится, мы будем помогать всем желающим материалами, специалистами, приглашениями на конференции и всем остальным, что ещё потребуется.

А в этом конкретном случае я решил ехать в Челябинск и лично сказать спасибо всем им и их руководителю Андрею Баринову. А также собрать мини-конференцию, где рассказать о делах наших скорбных (с) современных кибер-угрозах и как мы их будем успешно побеждать ->

Дальше: респект героям!…

28 января мир отмечал международный день защиты данных. Действительно есть что отметить. Цифровые данные – это валюта нового тысячелетия, аккумулированные знания о триллионах кликах и транзакций, золотое дно для крупных корпораций. На продаже этих кибер-ресурсов строятся многомиллиардные бизнесы, и их много.

Международные IT-компании зачастую имеют доступ к бóльшему объёму данных, чем государства и профильные ведомства. Тема исключительно важная, но – увы! – токсичная.

Само собой разумеется, что всяческих мошенников и нечистых на руку компаний было, есть и будет великое множество. Кибер-Паниковские, -Бендеры, -Рога-and-Копыта плодятся и размножаются поактивнее новомодного китайского вируса. Но есть и рецидивы у вполне уважаемых компаний, которые уже не один десяток лет на рынке. Но об этом чуть позже.

Сейчас же мне бы хотелось задать один простой вопрос, на который пока нет ответа в глобальном IT-пространстве. «Что такое хорошо и что такое плохо?» (с) Маяковский. Где грань между общечеловеческой моралью и бизнес-этикой? Где эта тонкая грань??

К сожалению, вопрос кибер-этики и кибер-морали остаётся понятием довольно размытым. Смею заверить вас, что с внедрением 5G и ростом вездесущих IoT девайсов наших данных с каждым годом будет собираться всё больше и больше.

Источник

Теперь подробнее. По пунктам. По самым главным и злободневным и весьма интересным вопросам.

Дальше: ахтунг!…

«Новый год к нам мчится» (с) и кристмасы всякие, все с ёлками и подарками, Дед-Морозами со Снегурочками и Санта-Клаусами с оленями. Детишки подарков ждут, письма с просьбами пишут… Так вот, те детишки, которые так долго просили у нас «сэндбокс-песочницу» в этот раз найдут подарок под ёлкой. Да-да, Дед Мороз внимательно прочитал всю-всю входящую почту и решил в уходящем году осчастливить всех новым решением для борьбы с продвинутыми атаками — Kaspersky Sandbox. И сейчас я по порядку всё расскажу.

В чем цимес технологии? В эмуляторе! Об эмуляторах я уже писал, кому интересно поподробнее разобраться тыц по ссылке. Если вкратце, это метод выявления угроз, при котором подозрительный файл запускается в виртуальной среде, имитирующей реальный компьютер. Поведение «подозреваемого» изучается в «песочнице» (sandbox) под лупой и при обнаружении опасных манёвров, объект изолируется от греха подальше для проведения дополнительных исследований.

Анализ подозрительных файлов виртуальной среде – технология не новая. Мы её использовали и для наших внутренних исследований и в крупных корпоративных проектах. Впрочем, это всегда была трудная, кропотливая работа, требующая постоянного совершенствования шаблонов опасных действий, оптимизаций и т.п. Но мы же на на месте стоять не любим! И этим летом получили патенты на технологию создания правильного окружения виртуальной машины для проведения скоростного и глубокого анализа подозрительных объектов. В этом блоге я уже рассказывал, что мы научились делать благодаря новым технологиям.

Именно эти технологии помогли нам запустить «песочницу» в качестве отдельного продукта, который теперь можно внедрить в инфраструктуру даже небольших компаний, причём для этого не потребуется продвинутая IT-служба. «Песочница» будет аккуратно и автоматически отбирать зёрна от плевел, точнее от кибератак всех мастей — шифровальщиков, эксплойтов нулевого дня и прочей гадости, и всё это — без привлечения аналитиков!

Для кого это особенно ценно? Для компаний без специализированного отдела; для малого и среднего бизнеса, который не готов выделять допресурсы на кибербезопасность; для крупных компаний с большим количеством разбросанных по городам и весям филиалов, где нет собственных айтишников; ну и компаниям, где штатные «безопасники» занимаются более критичными задачами.

Итого: быстрая обработка подозрительных объектов + снижение нагрузки на серверы + повышение скорости и эффективности реагирования на киберугрозы = очевидный профит! Полезный продукт на страже цифрового спокойствия для наших любимых клиентов!

P.S.: А те детишки, которые и в новом году будут вести себя хорошо и слушаться родителей, да не будут забывать письма с просьбами Дед-Морозу отправлять – те и в следующем году получат много новых и очень-очень полезных технологий. Честное слово! :)

Искренне ваш, Дед Мороз.