GIS о кибербезопасности

«Мы развиваем продукт: SafeERP 4.9.6 становится не только полезным, но и удобным инструментом, а также соответствует всем требованиям в сфере информационной безопасности. Автоматизация рутинных задач, таких как обновление SAP Notes, позволяет нашим заказчикам сосредоточиться на стратегических задачах безопасности», — сказала менеджер продукта SafeERP компании «Газинформсервис» Римма Кулешова.

«Вводя неверный OTP, Хак наблюдал стандартный ответ сервера об ошибке (400 Bad Request). Затем он подменил этот ответ на успешный ответ (200 OK) из предыдущей успешной попытки входа. Эта манипуляция позволила ему обойти проверку OTP и получить доступ к системе без корректного кода. После документирования методики эксперт отправил подробный отчёт команде разработчиков и вскоре получил вознаграждение в размере $650. Фаззинг неверных значений OTP позволил обнаружить возможность подмены ответа сервера, что дало полный обход механизма одноразовой аутентификации.

Чтобы в корпоративной сети исключить возможность обхода проверки OTP через манипуляцию ответом, нужно внедрить комплекс мер на уровне приложения, инфраструктуры и процессов. Обязательно весь трафик между клиентом и сервером должен идти по https, и нужно внедрить защиту от фаззинга: блокировку после множества неудачных входов с одного IP или учётной записи, а также вводить дополнительные проверки, в том числе 2FA. Рекомендую использовать современную платформу мониторинга подозрительной активности с расширенными возможностями. Такой платформой является решение Ankey ASAP с встроенными модулями поведенческой аналитики, которое отправляет уведомления об обнаруженных аномалиях в корпоративной сети, после чего оператор смог бы исключить возможность "успешной" подмены ответа сервером, разорвав цепочку атаки».

«Для многих служб ИБ и SOC отслеживание публикации API-ключей может стать нетривиальной задачей, поэтому разработчикам стоит критически взглянуть на свои процессы и добавить в них шаги для исключения возможности подобных утечек.

API-ключи, пароли, закрытые ключи — всё это секреты, которые не должны храниться вместе с кодом в Git-репозитории, особенно если репозиторий публичный или доступен широкому кругу сотрудников. Храните все параметры конфигурации, включая API-ключи, вне исходного кода. Запретите Git'у отслеживать файлы, которые потенциально могут содержать секреты или специфичные для разработчика конфигурации. Автоматически проверяйте код на наличие потенциальных секретов перед тем, как коммит будет создан».

«Компания "Газинформсервис" не только предоставила площадку с заданиями, но и взяла на себя роль в обеспечении стабильной и безопасной среды для работы команд. Второй этап стал проверкой не только технических знаний, но и стрессоустойчивости и командного духа», — отметил менеджер проекта CTF-соревнования и аналитик лаборатории стратегического развития компании «Газинформсервис» Михаил Спицын.

"Переход к беспарольной аутентификации — это один из самых эффективных способов защитить пользователей от фишинга, брутфорс-атак и подстановки учётных данных. Однако важно учесть и потенциальные риски, связанные с централизованными механизмами восстановления доступа. Даже с passkey нужно сохранять бдительность: защищать учётные записи в облачных хранилищах, использовать многофакторную аутентификацию для критических сервисов и своевременно обновлять ПО. В целом переход к беспарольным учётным записям — важный шаг вперёд в борьбе с атаками на учётные данные, но он требует продуманной стратегии внедрения, надёжных механизмов резервного восстановления, а также организации дополнительных мер защиты. Организациям рекомендую подключать услуги центра мониторинга: это комплексная услуга, включающая в себя обеспечение отслеживания вредоносной активности и своевременного информирования о новых формах фишинга и атак с использованием социальной инженерии. Специалисты GSOC обладают такими компетенциями и разрывают цепочку атаки, предотвращая потенциальную утечку данных", — объясняет эксперт. #gsoc

«Для защиты от таких угроз существует множество методов, но даже при применении всех возможных средств защиты никто не может гарантировать полную безопасность. Однако, поскольку Zimbra управляет более чем 200 000 корпоративных серверов электронной почты, обслуживающих пользователей по всему миру, компаниям, предоставляющим такие услуги, необходимо иметь в своём распоряжении эффективные средства защиты. Одним из таких средств является GSOC — центр мониторинга и реагирования компании "Газинформсервис". Специалисты этого центра круглосуточно следят за инфраструктурой заказчиков, выявляют не только известные уязвимости, но и, благодаря возможностям поведенческой аналитики, обнаруживают внезапно появившиеся угрозы», — отмечает эксперт.

«В качестве мер предотвращения аналогичных инцидентов важно выстроить процесс безопасной разработки и проводить регулярный аудит кода с использованием SAST (Static Application Security Testing) для выявления уязвимостей на этапе разработки, затем DAST (Dynamic Application Security Testing) для тестирования работающих приложений на предмет эксплуатируемых брешей. В то же время важнейший критерий — обеспечить шифрование данных не только в транзите, но и в хранилищах, включая архивы и отладочные логи. Программное решение для анализа кода в процессе всего цикла разработки обеспечивает продукт компании "Газинформсервис" SafeERP — цифровой щит, который имеет встроенные инструменты SAST/DAST для анализа кода и защиты от уязвимостей. Не стоит повторять ошибок TeleMessage — можно выбрать SafeERP для безопасного управления бизнес-процессами», — отметила киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.

«Если такая мера, как настройка почтовых шлюзов с антифишинговыми модулями, а именно возможность блокировать вложения с расширениями .lnk, не настроена; рекомендую исправить это как можно скорее. Для предотвращения атак с использованием социальной инженерии необходимо проведение регулярного обучения сотрудников и пользователей по распознаванию фишинга, особенно в чувствительные периоды (массовые госкампании). В корпоративных центрах мониторинга специалисты проводят мероприятия по своевременному информированию. Специалисты GSOC, помимо таких мероприятий, предоставляют услуги мониторинга корпоративной сети с использованием современных решений с поведенческим анализом. И в случае, если такая сложная атака, как многоступенчатая загрузка вредоноса Stealerium, началась, то эксперты незамедлительно обнаруживают аномальное поведение и разрывают цепочку атаки», — отмечает Михаил Спицын.

«Использование поддерживаемой версии платформы — это необходимый минимум, но само по себе оно не гарантирует безопасность. Этот случай — прямое указание на недостаточность одних лишь превентивных мер (как WAF или своевременные патчи). Без эффективных механизмов обнаружения подозрительной активности, аномалий и скрытых угроз внутри периметра подобные бэкдоры могут оставаться активными очень долго», — объясняет руководитель GSOC.

Отметим, что именно здесь ключевую роль играют SOC-сервисы:
⏺Мониторинг целостности файлов: отслеживание появления новых или изменения существующих файлов.
⏺Анализ логов: поиск аномальных запросов к подозрительным файлам, нетипичного исходящего трафика.
⏺Поведенческий анализ (UEBA/NBA): выявление отклонений от нормальной активности пользователей и системы.
⏺Проактивный Threat Hunting: целенаправленный поиск индикаторов компрометации (IoC) и следов активности злоумышленников, которые могли обойти автоматизированные системы.