📈 Представляем результаты деятельности Positive Technologies по итогам первого квартала 2025 года

• Объем отгрузок за первые три месяца вырос до 3,8 млрд рублей по сравнению с 1,8 млрд рублей за аналогичный период прошлого года.

«Традиционно первый квартал не является индикатором годовых финансовых показателей, однако результаты первых трех месяцев демонстрируют, что команда продаж в хорошей форме. Хотя мы только расставились по ролям и целям и определяющие общий финансовый результат 25-го года месяцы впереди, но у всех хорошее предчувствие и уверенность, подкрепленные отгрузками первого квартала», — отметил Максим Филиппов, заместитель генерального директора Positive Technologies.

• Снизился объем долга и уровень долговой нагрузки в сравнении с финансовыми результатами. Отношение чистого долга к EBITDA на 31 марта составило 1,92 по сравнению с 2,97 на конец прошлого года.

🏟 Мы продолжаем активно готовиться к проведению киберфестиваля Positive Hack Days, который пройдет 22–24 мая в «Лужниках». Там же, на фестивале, 23 мая состоится день инвестора Positive Technologies (расскажем о нем в отдельной публикации).

➡️ Подробнее о результатах за первый квартал — в материале на нашем сайте.

#POSI

🤖 Как искусственный интеллект используется в киберзащите и заменит ли он специалистов в ближайшем будущем? Отвечают знатоки аналитики Positive Technologies

Более чем в половине техник и тактик киберзащиты, представленных в матрице MITRE D3FEND, где собраны и систематизированы известные методы защиты в кибербезопасности, возможно использование ИИ. На сегодня доступны 28% таких защитных мер, а в 27% случаев подобные решения находятся на стадии разработки.

В новом исследовании рассказали, как ML-технологии уже могут применяться на всех этапах обеспечения ИБ: предупреждения, обнаружения и реагирования на угрозы. Так, ИИ-модели находят баги в коде и готовых продуктах, используются для симуляции атак, обработки событий безопасности и поведенческого анализа, обнаружения рисков, распознавания нежелательного контента и фишинга, помощи в принятии решений по инцидентам кибербезопасности и автоматического ответа на угрозы.

Мы не остаемся в стороне от этого тренда. Например, MaxPatrol VM ежедневно использует ML-технологии для поиска информации об уязвимостях в открытых источниках, чтобы после провести их анализ и приоритизацию по уровню опасности. А средство поведенческого анализа в PT Sandbox и ML-помощник BAD (Behavioral Anomaly Detection) в MaxPatrol SIEM умеют находить ранее неизвестные угрозы и сообщать о них.

👀 Наши аналитики уже сейчас видят «карьерные перспективы» искусственного интеллекта в сфере ИБ. Роман Резников из исследовательской группы Positive Technologies отмечает:

«Одна из целей внедрения ИИ в мире кибербезопасности — создание автопилота, который не только повысит скорость реакции на инцидент, но и значительно снизит нагрузку на специалистов. Это особенно актуально в условиях дефицита кадров и растущего числа кибератак с использованием искусственного интеллекта».

Кроме того, с их помощью можно будет упростить процесс создания копий реальных инфраструктур на киберполигонах, и модулей мультиагентных систем киберзащиты, которые «входят в моду» в 2025 году.

🤖 Сможет ли ИИ полностью заменить человека во всех задачах, связанных с ИБ? Пока что нет. Кроме того, нередко он сам — цель атак злоумышленников. Также ИИ-модули нуждаются в качественных обучающих данных и привлечении высококлассных экспертов. Так что, восстание машин нам все еще не грозит.

👉 Все подробности — в исследовании на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

Positive Technologies поддержала участников Национальной технологической олимпиады! 👨‍🏫

С сентября по март около четырех тысяч школьников 8–11 классов со всей страны жили одной идеей — пройти путь от отборочного тура до финала Национальной технологической олимпиады по направлению «Информационная безопасность». И мы с гордостью стали партнерами этих масштабных соревнований.

«Для ребят это отличная возможность сделать первый шаг в индустрию, прокачать скилы и получить шанс поступить в топовые вузы страны без экзаменов или заработать заветные 100 баллов по ЕГЭ», — рассказал Иван Булавин, CPO Standoff, архитектор профиля ИБ НТО.

Финал прошел в марте. И это был не просто экзамен, а настоящий командный кибербатл: участники решали практические задачи на специально созданном киберполигоне. Учебные угрозы, предложенные в качестве финальных заданий, были основаны на реальных приемах и инструментах, используемых хакерами. Стремление школьников разбираться в сложных темах ИБ — серьезная основа для будущего развития отрасли.

🏆 В числе наград — билеты на киберфестиваль Positive Hack Days, который пройдет с 22 по 24 мая в «Лужниках». Здесь финалисты смогут познакомиться с лучшими практиками в сфере ИБ и лично пообщаться с экспертами мирового уровня.

@Positive_Technologies

🐱 Мы продолжаем марафон Standoff Defend. Как ваши дела с расследованием атаки APT-группировки Charming Kitten?

Все удалось, но остались вопросы? Вы чего-то не успели? Сомневаетесь в правильности решения или сделанных выводах?

Тогда приходите на воркшоп 25 апреля в 11:00 (мск), где наши эксперты в прямом эфире проведут эталонное расследование атаки, поделятся опытом и дадут ответы на все вопросы в прямом эфире.

👉 Регистрируйтесь по ссылке, занимайте дату в календаре и не опаздывайте, а то рискуете пропустить самое интересное.

#StandoffDefend
@Positive_Technologies

Хотите узнать все о процессе управления активами? 🤨

Тогда присоединяйтесь к первому вебинару из серии про asset management. Наши эксперты расскажут, как следить за изменениями в составе активов в условиях постоянно меняющейся инфраструктуры, а также как защищать сервисы, отслеживать их взаимодействие и влияние на критически важные системы.

Первый вебинар из серии пройдет 24 апреля в 14:00. На нем мы:

➡️ Обсудим, что такое цифровые активы, чем отличается взгляд специалистов по ИТ, ИБ и владельцев сервисов на то, что подключено к сети.

➡️ Приведем результаты исследования о том, как компании подходят к процессу управления активами.

➡️ Раскроем технологический подход Positive Technologies к построению эффективного управления ИТ-инфраструктурой.

➡️ Продемонстрируем, как он работает в наших продуктах и как будет развиваться.

Регистрируйтесь на вебинар заранее на нашем сайте 😮

Это лишь начало. В следующих вебинарах расскажем, как выстроить результативное управление активами и эффективную защиту.

#PositiveЭксперты
@Positive_Technologies

Team46 и TaxOff: две стороны одной медали 😑

В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025-2783 в браузере Chrome. Использование этой уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако последующая цепочка заражения осталась без атрибуции.

🪞 В отчете описана атрибуция данной атаки к группировке TaxOff, о которой мы писали ранее. Кроме того, приводятся данные, которые позволяют считать еще одну найденную нами ранее группировку Team46 и TaxOff одной и той же группой.

Начальным вектором атаки было фишинговое письмо, содержащее ссылку, при переходе по которой жертва активировала one-click exploit, приводящий к установке бэкдора Trinper группировки TaxOff в скомпрометированной системе. В этой атаке был обнаружен бэкдор группировки Team46.

Группировка Team46 была ранее замечена в атаках, использующих DLL-Hijacking для Яндекс Браузера (CVE-2024-6473).

📖 Подробнее читайте на нашем сайте.

#TI #APT #cve
@ptescalator

Вот и он — новый долгожданный выпуск Positive Research 📚

В этот раз вас ждет номер-перевертыш 🙃

В нем два блока и, соответственно, две обложки. Основной блок — это статьи наших экспертов. Второй блок посвящен детской кибербезопасности — реальные истории об инцидентах и советы, как противостоять (не)детским киберугрозам.

Нам повезло, можем взять в руки и полистать, ощущая свежий запах типографской краски, а вы увидите его на наших мероприятиях или в PDF-версии. Кроме того, мы уже начали выкладывать новые статьи на сайт.

Что внутри?

🐍 Рассказ Алексея Лукацкого с советами о том, как ИБ-специалистам показать свою ценность для бизнеса в 2025 году. Минутки финансовой грамотности, живые примеры и великолепный стиль автора — в наличии.

🎙 Инструкция, полезная каждому интровертному айтишнику: как подготовиться к публичному выступлению технически и внутренне.

🪄 Магия вне Хогвартса Виталий Самаль, ведущий специалист отдела обнаружения вредоносного ПО PT ESC, рассказывает, как исследовать macOS и находить фантастических тварей вредоносы, где бы они ни обитали (а для любителей мира Гарри Поттера станет приятным сюрпризом дизайн статьи).

🥘 Внутренняя кухня Positive Technologies: интервью с AppSec-специалистами о том, без каких скилов им сегодня не обойтись, почему в нашем случае практики DevSecOps не всегда применимы и как им удается «поженить» задачи ИБ, разработки и интересы бизнеса.

👧👦 Презентация детской рубрики с занимательными ребусами о кибербезопасности (часть из которых уже разгадали в этом канале) и советами о том, как защитить юных пользователей от опасностей, подстерегающих в сети.

И это, конечно, не все! Качайте номер и читайте его целиком.

#PositiveResearch
@Positive_Technologies

⭐️ Рассказали, как отправили MaxPatrol BAD на киберучения и что из этого вышло

MaxPatrol BAD (Behavioral Anomaly Detection) — модуль поведенческого анализа в MaxPatrol SIEM, который работает как система второго мнения. Он собирает данные о событиях и пользователях, присваивает им определенную оценку риска и выдает альтернативную точку зрения, основываясь на своих ML-алгоритмах. Это снижает когнитивную нагрузку на специалистов и позволяет им эффективнее принимать решения по инцидентам ИБ.

Чтобы проверить, как модуль справляется с обнаружением сложных и неизвестных атак, мы протестировали его в условиях киберучений, где роль атакующих берет на себя наша red team — команда, которая достоверно имитирует действия злоумышленников.

📝 В своей статье на Хабре Алексей Потапов, ведущий эксперт PT Expert Security Center, рассказал о результатах этих учений: MaxPatrol BAD отлично себя проявил, сумев отследить все основные действия атакующих.

Читайте про процесс поиска аномальной активности, работу с правилами корреляции и про то, как BAD подходит к оценке рисков, в нашем блоге.

#PositiveЭксперты
@Positive_Technologies

🧠 Какие задачи решает искусственный интеллект в сфере кибербезопасности

Технологии ИИ и машинного обучения постепенно становятся неотъемлемой частью процесса обеспечения информационной безопасности.

ИИ-решения позволяют автоматизировать работу систем защиты и снять со специалистов выполнение рутинных задач, обнаруживать поведенческие аномалии, нетипичные явления в сетевом трафике и даже неизвестные угрозы.

🎤 На вебинаре 22 апреля в 14:00 эксперты Positive Technologies представят исследование о том, как ИИ уже используется в киберзащите.

Обсудим:

🧠 Как будет развиваться ИИ в ИБ и какие препятствия стоят на пути.

🤟 Как ML-модели в продуктах Positive Technologies уже сегодня помогают защищать организации от киберугроз.

🪞 И сможет ли ИИ заменить специалистов в области кибербезопасности.

➡️ Регистрируйтесь на вебинар заранее на нашем сайте, чтобы не пропустить!

#PositiveЭксперты
@Positive_Technologies

🔄 Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила новый пакет экспертизы

Теперь MaxPatrol VM, система управления уязвимостями в составе PT ICS, выявляет уязвимости в программируемых логических контроллерах (ПЛК) Siemens Simatic и Schneider Electric Modicon. По данным аналитиков Mordor Intelligence, компании входят в пятерку мировых лидеров по производству ПЛК. Вендорам принадлежит более 20% российского рынка.

Благодаря новому пакету экспертизы, предприятия смогут контролировать защищенность программно-аппаратной части промышленных систем автоматизации. Эффективность и надежность обнаружения уязвимостей ПЛК была протестирована на реальных образцах оборудования.

💡 ПЛК — один из основных компонентов автоматизированных систем управления технологическим процессом (АСУ ТП), они управляют датчиками, сенсорами и различными механизмами, а также обмениваются данными с другими компонентами АСУ ТП, например со SCADA-системами.

Использование злоумышленником уязвимостей контроллера может привести к критическим ситуациям. Например, отказ в обслуживании ПЛК может стать причиной выхода из строя управляемого им оборудования. Для восстановления работоспособности контроллера потребуется его перезагрузка, во время которой злоумышленник получит возможность подменить прошивку.

Дальнейшие действия атакующего могут быть самыми разными: от внедрения бэкдора для незаметного управления устройством до установки скрытой программной закладки 👀

«После ухода с российского рынка зарубежных вендоров российские предприятия столкнулись со сложностями при установке обновлений безопасности для иностранных АСУ ТП. На этом фоне необходимость видеть полную картину защищенности ПЛК стала для компаний особенно острой», — отметил Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies.

💡 Подробности — в материале на нашем сайте.

#PTICS
@Positive_Technologies

🎤 Подкаст «КиберДуршлаг» снова на связи: в новом выпуске обсуждаем, должны ли разработчики разбираться в ИБ

Осторожно, сейчас будет спойлер! «Однозначно должны», — считают ведущие и гость подкаста Алексей Астахов, директор по продуктам Application Security, Positive Technologies.

Обсудили в выпуске:

✅ Как создавать продукты в соответствии с идеологией secure by design.
✅ Как связаны безопасная разработка и vulnerability management.
✅ Что изменилось в AppSec с появлением ML.
✅ Как выглядит «джентльменский набор» продуктов для безопасности организации.

Смотрите подкаст на:
📺 YouTube | 📺 RUTUBE | 📺 VK Видео

А также слушайте на любой удобной платформе.

#КиберДуршлаг
@Positive_Technologies

‼️ Больше 270 поводов оказаться в «Лужниках» 22–24 мая: программа PHDays Fest уже на сайте!

Пока неполная, но будет обновляться.

Более 500 спикеров представят 270 докладов в 26 треках: техническая программа охватит ключевые вопросы кибербезопасности. Впервые пройдет трек о девайсах и технологиях.

📢 Вот лишь несколько выступлений:

🟠 Александр Колчанов — об угрозах, которые таит бытовая электроника.

🟠 Антон Белоусов — об агентах ИИ в киберразведке.

🟠 Абдаллах Наваф Аль-Махамид (Hackerx007) — о том, как обходить аутентификацию в рамках багбаунти.

В этом году PHDays Fest посетят делегации из 41 государства, в том числе из стран Латинской Америки, Африки, Ближнего Востока и Азии 🌍

🎫 Напоминаем: попасть на экспертные доклады можно по билету — он оформляется через пожертвование в один из благотворительных фондов на нашем сайте.

Онлайн-трансляция — будет, но некоторые выступления пройдут только офлайн. Так что если хотите увидеть все, приезжайте лично!

👀 Посмотреть программу

@PHDays

🔥 Все 10 моделей программно-аппаратного комплекса PT NGFW включены в реестры Минцифры и Минпромторга России

Включение ПАК продукта в единый реестр российской радиоэлектронной продукции Минпромторга и реестр отечественного ПО (раздел ПАК) Минцифры подтверждает, что PT NGFW — российский межсетевой экран нового поколения, имеющий необходимую степень доверенности, так как проектируется, разрабатывается и производится на территории России.

«Мы успешно прошли все проверки регуляторов, комиссия осмотрела производственную линию аппаратных комплексов, изучила особенности их создания и сборки», — отметила Анна Комша, руководитель продуктовой практики PT NGFW, Positive Technologies.

С этого момента PT NGFW может защищать инфраструктуры организаций, которым разрешено приобретать оборудование и ПО исключительно российского происхождения. К таким организациям относятся ведомства и компании с госучастием, предприятия ТЭК, оборонной и атомной промышленности, а также транспортные, телекоммуникационные и кредитно-финансовые компании.

Напомним, что PT NGFW — первое и на настоящий момент единственное решение в своем классе, сертифицированное по новым требованиям ФСТЭК России к многофункциональным межсетевым экранам уровня сети.

🔥 Результатами PT NGFW за 2024 год мы делились ранее в публикации. Оставить заявку на тест-драйв продукта можно на нашем сайте.

#PTNGFW
@Positive_Technologies

⏱ Самое время для нового задания марафона Standoff Defend

В этот раз вам предстоит протестировать новинку нашего полигона для киберзащитников — регулируемые атаки, достоверно воспроизводящие техники, тактики и инструменты крупнейших APT-группировок.

Сегодня мы опубликовали в открытом доступе одну из таких атак — от группировки Charming Kitten, а еще написали инструкцию, чтобы вам было проще ее расследовать.

🏆 В этот раз задание конкурсное и на время: первые три участника марафона, которые полностью завершат расследование до 23 апреля, получат славу в залах Вальгаллы по три приза:

🎫 Билет на PHDays Fest с проходом в закрытую часть, включая кибербитву Standoff.
🎁 Стильный мерч Standoff.
🎗 Уникальные ачивки на платформе Standoff 365.

Готовы? Подробности задания уже на сайте марафона.

#StandoffDefend
@Positive_Technologies

⚙️ Почти половина российских корпораций используют отечественные решения для безопасной разработки

Это данные нашего совместного с компанией «К2 Кибербезопасность» исследования подходов бизнеса к безопасной разработке собственного ПО (например, мобильных и бизнес-приложений, финансовых и учетных систем, специализированных отраслевых промышленных решений).

Респондентами выступили руководители ИТ и ИБ разных уровней из 103 крупных российских компаний.

Делимся ключевыми результатами

👀 При разработке собственного ПО 83% корпораций уделяют внимание безопасности

Более половины (59%) тех, у кого такой процесс пока отсутствует, видят потребность в его построении. Безопасность разработки чаще (в 48% компаний) остается в зоне ответственности ИТ-отдела, у 41% респондентов за это направление отвечает подразделение ИБ.

🛠 В почти половине (49%) корпораций заявили, что они используют отечественные решения для безопасной разработки собственного ПО

Причем 30% используют исключительно решения отечественных вендоров, 19% — и отечественных и зарубежных, 19% — только зарубежных. Те, кто перешел на отечественные решения, при выборе ориентировались прежде всего на их доступность на рынке, включая техподдержку и обновления.

😱 Самые актуальные и опасные угрозы для безопасности собственных разработок — DDoS-атаки и утечки данных

Среди угроз респонденты также выделили атаки нулевого дня (zero-day); вирусы, связанные с ошибками сотрудников при эксплуатации решений; устаревшие компоненты; нарушение контроля доступа; уязвимости в открытом коде.

«Рост интереса к безопасной разработке, который мы наблюдаем в 83% компаний, подтверждает, что бизнес осознает: защита ПО на этапе создания — это не просто тренд, а необходимость», — отметила Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies.

📖 Подробности — на нашем сайте.

@Positive_Technologies

🐈‍⬛ Подрядчики на аутсорсе — удобно, быстро, выгодно. Но стоит одному из них допустить ошибку — и ваша безопасность под угрозой.

На вебинаре 18 апреля в 14:00 Алексей Лукацкий расскажет, как защитить свой бизнес от таких рисков.

🕳 Поговорим про очевидные и неочевидные дыры, которые можно обнаружить даже в самом надежном партнерстве.

🛡 Поделимся проверенными стратегиями и инструментами защиты — от оценки рисков и ключевых пунктов договора или SLA с подрядчиками до практических методов проверки и мониторинга.

🔍 Рассмотрим реальные кейсы и обсудим, что помогает вовремя вычислить подозрительных поставщиков, организовать безопасное взаимодействие с ними и не дать злоумышленникам ни малейшего шанса.

Регистрируйтесь заранее и присоединяйтесь к прямому эфиру, чтобы получить действенную пошаговую стратегию по предотвращению «партнерских» рисков.

⚠️ UPD: вебинар перенесен, о новой дате сообщим в отдельной публикации.

#PositiveЭксперты
@Positive_Technologies

👾 «Улов» уязвимостей, которые наши эксперты отнесли к трендовым, был богатым: в новом дайджесте их 11

Это недостатки безопасности в продуктах Microsoft и контроллере Kubernetes, а также гипервизорах VMware и веб-сервере для создания веб-приложений Apache Tomcat.

👾 Пользователи MaxPatrol VM уже о них знают: туда информация об угрозах поступает в течение 12 часов после их появления.

Уязвимости в продуктах Microsoft

Потенциально затрагивают около миллиарда устройств с установленными на них устаревшими версиями Windows (например, Windows 11 и Windows 10).

1️⃣ Уязвимость, приводящая к повышению привилегий, в драйвере фильтра Windows Cloud Files Mini, CVE-2024-30085 (CVSS — 7,8)

Злоумышленник может получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством.

2️⃣ Уязвимость повышения привилегий, подсистемы ядра Windows Win32, CVE-2025-24983 (CVSS — 7,0)

Запуск аутентифицированным пользователем спецпрограммы приводит к выполнению кода с привилегиями SYSTEM и возможности красть и уничтожать данные в системе.

3️⃣ Уязвимость удаленного выполнения кода в файловой системе Windows NTFS, CVE-2025-24993 (CVSS — 7,8)

Переполнение буфера в области памяти файловой системы Windows NTFS дает возможность выполнить код локально, установить вредоносное ПО и получить доступ к новым устройствам через компрометацию сети.

4️⃣ Уязвимость обхода функции безопасности консоли управления Microsoft, CVE-2025-26633 (CVSS — 7,0)

Эксплуатация уязвимости через открытие жертвой специально созданного MSC-файла может привести к утечке данных и установке ВПО.

5️⃣ Уязвимость спуфинга в компоненте графического интерфейса Microsoft Windows File Explorer, CVE-2025-24071 (CVSS — 7,5)

Эксплуатируя уязвимость, злоумышленник может получить возможность использовать перехваченный протокол сетевой аутентификации NTLMv2 хеша в атаках с передачей хеша. Подобное может привести к краже данных и раскрытию конфиденциальной информации.

6️⃣ Уязвимость удаленного выполнения кода в драйвере файловой системы Windows Fast FAT, CVE-2025-24985 (CVSS — 7,8)

Эксплуатация уязвимости может привести к установке ВПО, компрометации сети и получению доступа к новым устройствам.

Уязвимости в продуктах VMware

Могут затронуть более 40 000 узлов гипервизора VMware ESXi, доступных в интернете. Под угрозой — все пользователи устаревших версий продукта.

7️⃣ Уязвимость произвольной записи в высокоскоростном интерфейсе гипервизоров VMware ESXi и Workstation, CVE-2025-22224 (CVSS — 9,3)

Злоумышленник с локальными правами администратора на виртуальной машине может выполнить код от имени процесса VMX, который отвечает за обработку ввода-вывода на устройствах, на гипервизоре и получить полный контроль над узлом.

8️⃣ Уязвимость произвольной записи памяти в гипервизоре VMware ESXi, CVE-2025-22225 (CVSS — 8,2)

Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра и обойти механизмы безопасности.

9️⃣ Уязвимость разглашения информации в компоненте гипервизоров VMware ESXi, Workstation и Fusion, CVE-2025-22226 (CVSS — 7,1)

Киберпреступник с привилегиями администратора может получить доступ к защищенной информации и извлечь содержимое памяти процесса VMX, который нужен для запуска виртуальной машины.

1️⃣0️⃣ Уязвимость компонента в контроллере Kubernetes Ingress nginx Controller, CVE-2025-1974 (CVSS — 9,8)

Застрагивает более 6500 кластеров. Злоумышленник может захватить кластер и использовать его в своих целях, например для получения полного контроля над инфраструктурой организации.

1️⃣1️⃣ Уязвимость удаленного выполнения кода в комплекте серверных программ Apache Tomcat, CVE-2025-24813 (CVSS — 9,8)

На GitHub обнаружено около 200 публично доступных уязвимых серверов. Эксплуатация уязвимости может привести к загрузке ВПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов.

Подробнее обо всех недостатках безопасности — в дайджесте на сайте.

#втрендеVM
@Positive_Technologies

📝 Определение недопустимых событий — первый шаг к построению системы результативной кибербезопасности в любой компании

А еще это важный повод для диалога между бизнесом и теми, кто отвечает за ИБ. Задача первых — рассказать, какие сценарии действительно недопустимы, а вторых — определить, могут ли они быть реализованы при атаке злоумышленников на ИТ-инфраструктуру.

❌ Например, если недопустимое событие — последствие затопления складов с готовой продукцией, то отвечать за ливни, наводнения или плохое состояние сантехники специалисты по кибербезопасности не могут.

✅ А вот позаботиться о том, чтобы не было несанкционированного срабатывания системы автоматического пожаротушения или чтобы хакеры не взяли под контроль датчики отопления и подачи воды, — вполне.

Для каждого бизнеса недопустимые события свои, но в качестве отправной точки обсуждения можно использовать универсальные сценарии (такие, например, как потеря денег или нарушение ключевых процессов).

🗺 Кроме того, мы создали отраслевую карту недопустимых событий, на которую могут ориентироваться компании из разных сфер. Поделились ей в статье для Positive Research — ее написал наш коллега Кирилл Босов, руководитель отдела риск-ориентированного консалтинга.

Полезная в материале — не только карта! Читайте, чтобы разобраться, с какой стороны подойти к определению недопустимых событий и как выстроить этот процесс вместе с топ-менеджментом.

#PositiveЭксперты
#PositiveResearch
@Positive_Technologies

🙄 Взлом больших языковых моделей (LLM) может привести к финансовым потерям? Да не, ерунда какая-то…

А вот и нет! LLM все чаще интегрируют в Web3-приложения, такие как DAO- и dApp-боты, или автоматические трейдеры. Не за горами время, когда именно они будут принимать решения о продаже и покупке криптовалюты на основе новостей или команд пользователей. Если злоумышленники найдут способ обмануть или взломать модель, плакали ваши биткоины…

В ноябре 2024 года энтузиасты запустили публичный эксперимент: ИИ-агент Freysa с кошельком (≈50 000 $ в крипте), запрограммированный никому не переводить деньги. Всем желающим предложили попробовать уговорить агента нарушить это правило за плату за каждый запрос. Взломать модель смог некто p0pular.eth, который и получил всю сумму в качестве призового фонда.

Такой пример приводит в своей первой статье на Хабре о безопасности ИИ-агентов Виктор Рябинин из команды безопасности блокчейн-технологий, Positive Technologies. Он рассказывает об архитектуре AI-агентов Web3 и возможных векторах атак на них.

А во второй — Виктор подробно описывает jailbreak-методы (способы обойти программные ограничения) для разных моделей GPT и других популярных ИИ, а также способы их комбинации.

Например, так как все модели самообучаемые, можно создать новый паттерн, подгрузив в окно запроса диалоги или скриншоты диалогов, в которых нейросеть отвечает на запрещенный запрос. Нейросеть учится новому поведению и реагирует соответствующе.

А еще можно «брутфорсить» промпт, автоматически генерируя и подбирая такие сочетания слов, которые могут обойти ограничения ИИ, чтобы получить ответ на запрещенный запрос.

Между прочим, благодаря тому, что даже в топовых LLM есть уязвимости, появились площадки и соревнования, на которых эксперты и энтузиасты пробуют силы во взломе AI-агентов и LLM.

👀 Подробнее о таких соревнованиях и методах защиты больших языковых моделей читайте в наших материалах (первом и втором).

#PositiveЭксперты
@Positive_Technologies

Эксперт Positive Technologies Александр Попов выступил на конференции Zer0Con в Сеуле 🇰🇷

На ежегодной международной конференции по атакующей кибербезопасности Zer0Con эксперты со всего мира делятся докладами высокого технического уровня о поиске, анализе и эксплуатации уязвимостей. В этом году в мероприятии приняли участие 13 спикеров.

⚡️ Александр Попов — главный исследователь безопасности операционных систем, руководитель комитета по открытому коду в Positive Technologies, представил свой открытый проект kernel-hack-drill — площадку для экспериментов с уязвимостями ядра Linux.

Некоторые ошибки повреждения памяти крайне сложно эксплуатировать, особенно если уязвимость связана с состоянием гонки, не дает полноценного контроля над данными или приводит к нежелательным отказам системы. Набор инструментов kernel-hack-drill облегчает жизнь исследователя и помогает разрабатывать прототипы эксплойтов для особенно сложных уязвимостей в ядре Linux.

В своем выступлении Александр рассказал, как он экспериментировал с уязвимостью CVE-2024-50264 в ядре Linux, используя kernel-hack-drill.

💡 С 2013 года Александр — разработчик ядра Linux. В Positive Technologies он занимается вопросами поиска уязвимостей, методами их эксплуатации и разработкой средств защиты операционных систем. Результаты своих исследований эксперт представлял на многих международных конференциях: OffensiveCon, Nullcon, Linux Security Summit, Positive Hack Days, Open Source Summit и других. На Zer0Con Александр выступил уже во второй раз.

🌟 Гордимся выступлением и уверены, что такой международный обмен опытом помогает сделать киберпространство безопаснее!

#PositiveЭксперты
@Positive_Technologies

💪 Продолжаем онлайн-марафон Standoff Defend для тех, кто хочет прокачать свои навыки киберзащиты

В новом версии онлайн-полигона вы сможете как следует размяться проверить, что уже умеете, тренируясь в спецверсии Standoff Cyberbones, где собраны лучшие инциденты и атаки команд белых хакеров с кибербитвы Standoff.

Специально для вас — участников марафона — мы добавили в бесплатную версию нашего онлайн-симулятора целых четыре новых инцидента и цепочку атак (какие — не расскажем, пусть будет сюрприз).

А если застопоритесь, используйте подсказки, которые мы оставили внутри расследования цепочки 👌

Регистрируйтесь на нашей платформе (если вы еще этого не сделали) и беритесь за расследования!

#StandoffDefend
@Positive_Technologies

Позитив выходит «на охоту» 💰

Как мы будем достигать целей по продажам в 2025 году? Об этом честно поговорили друг с другом на Sales Kick-off — ежегодной встрече, где синхронизируются наши команды по продажам и развитию бизнеса, включая международное направление.

Цель на 2025 год обозначена — отгрузки в диапазоне 33–35–38 млрд рублей. Результаты прошлого года — разобраны, планы и стратегии продаж — определены, батарейки — заряжены ⚡

🤩 С какими эмоциями выходили участники Sales Kick-off 2025? Смотрите видео с эксклюзивной частью выступления Максима Филиппова, заместителя генерального директора.

@Positive_Technologies

🖥 Новая версия MaxPatrol EDR 7.2 может выявлять угрозы на конечных устройствах под управлением более чем 25 операционных систем

Теперь решение поддерживает в три раза больше ОС, в числе которых основные версии из мирового топ-10: Windows 11, Debian 12, Ubuntu 22.04 LTS и 24.04 LTS. Работает MaxPatrol EDR 7.2 и с последними версиями популярных отечественных систем: «РЕД ОС Рабочая станция» 8.0, Astra Linux Special Edition 1.8, «Альт Рабочая станция» 10.2 и «Альт Сервер» 9, помогая обеспечить надежную защиту конечных устройств тем организациям, которые с 2025 года обязаны были перейти на отечественные ОС.

«Для Positive Technologies важно, чтобы продукт мог защищать как можно больше конечных устройств. Именно поэтому мы будем и дальше оперативно добавлять свежие версии ОС, — рассказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. — Мы хотим, чтобы агенты EDR развивались и могли встроиться в инфраструктуру любой сложности, поэтому, помимо антивирусных технологий, в этом году особое внимание уделим повышению отказоустойчивости, управляемости и качества установки».

Рассказываем, что еще появилось в MaxPatrol EDR:

🎱 Модуль изоляции узлов для Linux-систем, блокирующий сетевой трафик.

🎱 Модуль трассировки событий для Windows (ETW), который позволяет получить расширенную информацию об активности в операционных системах и повышает качество обнаружения угроз.

🎱 Модуль удаленного выключения и перезагрузки защищаемых рабочих станций. Он позволяет блокировать подозрительную или потенциально опасную активность и останавливать развитие атаки, если другие способы не помогают, а также — перезагружать узлы с целью установки обновлений для устранения уязвимостей.

🎱 Возможность добавлять исключения для правил корреляции с помощью табличных списков из MaxPatrol SIEM, которая сокращает количество ложных срабатываний.

👉 Подробности о новой версии продукта ищите на нашем сайте.

#MaxPatrolEDR
@Positive_Technologies

🔎 Научим находить атаки в трафике до того, как они нанесут ущерб

С 28 апреля Positive Education запускает новую образовательную программу «Анализ сетевого трафика», в которую включили максимум практики с фокусом на разборе реальных атак.

⭐️ Практикум готовили наши эксперты-практики

За их плечами — десятки обнаруженных атак, сложные кейсы и работа с трафиком в боевых условиях. Встречайте:

⭐️ Алексей Леднев — руководитель продуктовой экспертизы PT Expert Security Center
⭐️ Кирилл Шипулин — руководитель экспертизы PT NAD

В подготовке курса также принимали участие другие эксперты Positive Technologies: Евгений Бечкало, Роман Ежов, Дмитрий Еронин, Никита Лазарев, Евгений Летягин, Ксения Наумова и Андрей Тюленев.

🎓 Что вас ждет

Текстовые материалы и видеосессии, которые можно изучать в удобном темпе, а также обширная практика на облачном стенде: вы будете воспроизводить хакерские атаки и исследовать их при помощи средств защиты, проверяя те на прочность.

Вы узнаете:

🔵 какие именно следы и артефакты оставляют злоумышленники в сети
🔵 почему в сети невозможно скрыть свое присутствие
🔵 как интерпретировать сетевые алерты и работать с ложноположительными срабатываниями
🔵 какие ключевые подходы и инструменты используются для анализа сетевого трафика
🔵 как расследовать инциденты на основе трафика, чтобы не тратить много времени на шум

Мы разберем основные приемы и инструменты хакеров, а приятный бонус — чат, в котором вы сможете обмениваться опытом и совместно решать практические задачи.

👉 Больше подробностей — на сайте программы.

#PositiveEducation
#PositiveЭксперты
@Positive_Technologies

Мы запустили новый статус для партнеров — метапартнер ⭐️

Его получают компании, на практике реализующие стратегию результативной кибербезопасности (РКБ) и запустившие свои программы открытых кибериспытаний. А также имеющие партнерский уровень Premium или Professional Advanced.

🤩 На недавно состоявшемся дне открытых дверей (подробнее об этом ежегодном мероприятии для партнеров рассказывали в посте по ссылке) мы объявили, что первым обладателем этого статуса стала Innostage. Компания активно внедряет РКБ и почти год находится на открытых кибериспытаниях.

Если мы присвоили компании статус метапартнера, это значит, что она имеет экспертизу по всем продуктам Positive Technologies и достаточный опыт для реализации проектов РКБ у клиентов. Мы будем рекомендовать такого партнера для дальнейшего внедрения продуктов, проведения киберучений и подготовки к кибериспытаниям 🧐

«Почти пять лет мы развиваем стратегию результативной кибербезопасности и продвигаем необходимость измерять свой уровень ИБ. Появление метапартнерства имеет для нас большую ценность: наши партнеры разделяют смыслы РКБ и транслируют их на рынок, повышая тем самым его уровень зрелости», — отметила Оксана Полякова, директор по работе с партнерами Positive Technologies.

До конца года новый статус смогут получить еще несколько наших партнеров.

@Positive_Technologies

👾 Как выстроить эффективный процесс управления уязвимостями?

Обсудим завтра на онлайн-эфире AM Live, в котором примет участие Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.

Разберем, как адаптировать модель управления уязвимостями под особенности вашей компании, как грамотно распределить роли и зону ответственности между службой ИБ, департаментом ИТ и бизнесом и как наша система MaxPatrol VM не даст злоумышленникам шанса использовать уязвимости для взлома.

Вы узнаете:

➡️ Какие существуют методологии и стандарты управления уязвимостями.

➡️ С чего начать построение процесса управления уязвимостями и как оценить его эффективность.

➡️ Какие специалисты и отделы организации должны участвовать в процессе и каковы их индивидуальные задачи.

Встречаемся в прямом эфире завтра (9 апреля) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

🏭 Мы добавили в PT ISIM пакет экспертизы с поддержкой сетевых протоколов Honeywell Experion PKS

Honeywell — один из мировых лидеров в области технологий автоматизации промышленности и управления производственными процессами. Вендор на протяжении многих лет входит в четверку ключевых игроков на отечественном рынке АСУ ТП, являясь основным поставщиком специализированных решений для 27% предприятий.

Теперь PT ISIM детально разбирает трафик семейства распределенных систем управления (РСУ) Experion PKS, выявляя различные аномалии, которые могут указывать на вмешательство злоумышленников. В их числе: неавторизованные изменения прошивки, эксплуатация уязвимостей и модификация параметров технологических процессов. Такие РСУ установлены на критически важных промышленных объектах (АЭС, газопроводах и других) во многих странах мира. В России эти решения в основном применяются нефтеперерабатывающими компаниями.

🚨 С новым пакетом экспертизы PT ISIM своевременно обнаруживает и сообщает оператору:

🔵об умышленном изменении параметров технологических процессов;

🔵о нелегитимных операциях перепрошивки и изменения конфигурации ПЛК, которые могут повлечь остановку производства и ухудшение качества продукции;

🔵о неавторизованной передаче сервисных команд, нетипичных для работы АСУ в штатном режиме;

🔵 о попытках эксплуатации ранее найденных и закрытых производителем уязвимостей нулевого дня в решениях Honeywell (в их числе CVE-2023-24474, CVE-2023-25770, CVE-2023-24480, CVE-2023-26597, CVE-2023-25178).

«Предприятия медленно и с осторожностью внедряют защитные механизмы в силу специфики непрерывного производства. Кроме того, они не всегда решаются обновить уязвимое ПО, даже когда появляются патчи. Системы мониторинга безопасности промышленных инфраструктур, такие как PT ISIM, позволяют неинвазивно повысить их защищенность. Установив новый пакет экспертизы для Honeywell, промышленные организации, использующие SCADA-системы этого вендора, смогут обезопасить себя от актуальных угроз», — прокомментировал Дмитрий Скляр, руководитель направления экспертизы по анализу защищенности промышленных систем в Positive Technologies.

#PTISIM
@Positive_Technologies

📊 Представляем итоговые результаты деятельности Positive Technologies за 2024 год и делимся целями на 2025-й

Финансовые результаты оказались ниже изначальных ожиданий менеджмента компании. С полной отчетностью вы можете ознакомиться на нашем сайте, а здесь расскажем о главном:

➡️ Объем отгрузок по итогам года с учетом корректировок по оплатам, поступивших до 31 марта 2025 года, составил 24,1 млрд рублей.

➡️ Валовая прибыль отгрузок: 22,8 млрд рублей (95% от общего объема отгрузок).

➡️ Чистая прибыль без учета капитализируемых расходов (NIC): -2,7 млрд рублей. Согласно утвержденной дивидендной политике, мы не планируем выплату дивидендов по результатам 2024 года.

✅ Какие ключевые задачи ставит перед собой менеджмент Positive Technologies на 2025 год

• Возвращение к целевым нормам рентабельности по NIC и возможности выплаты дивидендов.

• Снижение расходов для достижения этого показателя при консервативных сценариях.

• Возврат темпов роста выручки к целевым показателям.

В компании проведена работа над ошибками и трансформация ряда функций, направленные на увеличение эффективности. Большая часть мероприятий по снижению затрат уже завершена.

🎯 Прогноз по отгрузкам на 2025 год — в диапазоне 33–35–38 млрд рублей.

💼 Кроме того, согласно политике работы с капиталом, по результатам 2024 года мы не планируем проведение дополнительной эмиссии акций в 2025 году. Возможность проведения следующей допэмиссии прогнозируем не ранее 2026 года.

#POSI

Случилось допустимое (и радостное для фанатов хоккея) событие: россиянин Александр Овечкин стал мировым рекордсменом по количеству заброшенных шайб 🏒

В матче против «Нью-Йорк Айлендерс» нападающий «Вашингтон Кэпиталз» в 895-й раз за свою карьеру переиграл голкипера и побил рекорд другой легенды НХЛ — Уэйна Гретцки (894 шайбы).

«Я рад за Александра. Мой дед был русским. Он бы обрадовался, что мой рекорд побил россиянин», — заявил журналистам Гретцки, завершивший свою спортивную карьеру в 1999 году.

😱 Однако хоккейные события, которые в теории могут привести к недопустимым последствиям, тоже случаются. Например, когда хакеры, играя в нападении, успешно атакуют клубы или целые лиги (да, даже НХЛ). О шайбах, заброшенных в их ворота злоумышленниками, рассказали на наших новых карточках.

Читайте сами и делитесь с другими фанатами хоккея 👀

@Positive_Technologies

👽👽 Я б в пентестеры пошел, пусть меня научат

Все, что вы хотели бы знать об этой профессии, но почему-то пока не спросили, рассказал в своем интервью Positive Research наш коллега Александр Морозов, руководитель отдела тестирования на проникновение.

Вы узнаете, почему Саша не выбрал темную сторону несмотря на печеньки, всегда ли заказчики рады отчетам, проверяют ли позитивные пентестеры собственную ИТ-инфраструктуру, часто ли они придерживаются первоначального «плана по взлому» и, наконец, как попасть в его команду.

🔥 Полный текст статьи — на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

🔄 MaxPatrol SIEM, система мониторинга событий ИБ, получила масштабное обновление экспертизы

Ежедневно хакеры изобретают новые методы, совершенствуют известные способы атак, а также ищут аналоги инструментам, которые уже покрыты детектами систем безопасности.

Чтобы обеспечить результативную защиту и оперативно предупреждать инциденты кибербезопасности, наши эксперты следят за новейшими подходами киберпреступников и непрерывно расширяют экспертный контент MaxPatrol SIEM.

Обновления коснулись восемнадцати пакетов экспертизы, суммарно было разработано 60 правил корреляции и нормализации. С их помощью MaxPatrol SIEM среди прочего выявляет:

👨‍💻 Современные сетевые аномалии при удаленной работе. Среди них нетипичные для корпоративной инфраструктуры подключения по VPN или RDG не из России, подозрительные действия на узлах, исходящие от специализированных программ для удаленного администрирования, а также создание посредством их файлов, которые нарушители могут отправить на целевой узел для дальнейшего развития атаки.

👽 Дополнительные признаки работы хакерских утилит Cobalt Strike и Covenant. Их продолжают задействовать для постэксплуатации и сокрытия нелегитимной активности на конечных устройствах.

🪟 Новейшие сценарии атак на Microsoft Active Directory, службу каталогов для Windows. MaxPatrol SIEM сообщит оператору о попытках получения сертификатов для целевой учетной записи в результате ретрансляции NTLM-аутентификации, выпуска TGT-билетов (удостоверяющих личность пользователя) на имя другого пользователя вследствие злоупотребления сопоставлением сертификатов и о других угрозах, связанных с сертификатами.

📩 Способы атак на корпоративный почтовый сервер Miсrosoft Exchange. Среди добавленных детектируемых событий — скачивание с помощью функции Microsoft ActiveSync содержимого почтового ящика пользователя, учетные данные которого уже находятся в распоряжении злоумышленников, а также получение перечня опубликованных каталогов Microsoft Exchange с последующими попытками подключения по протоколу SMB к каждому из них.

Дополнительно наши специалисты актуализировали выпущенные ранее пакеты для обнаружения техник атакующих, относящихся по матрице MITRE ATT&CK к тактикам «Разведка» (Discovery), «Закрепление» (Persistence), «Повышение привилегий» (Privilege Escalation), «Получение учетных данных» (Credential Access) и другим.

🧬 Чтобы начать использовать новые правила, необходимо обновить MaxPatrol SIEM до версии 8.2 и установить обновления пакетов экспертизы.

#MaxPatrolSIEM
@Positive_Technologies

😏 Он вернулся: и мы сейчас не о Терминаторе, а о подкасте «КиберДуршлаг».

В первом выпуске нового сезона бессменные ведущие Павел Попов и Михаил Козлов обсудят все интересное, что мы пропустили за каникулы происходит в сфере кибербезопасности и управления уязвимостями.

🍿 Запасайтесь попкорном и готовьтесь слушать:

🤖 О двуликом ML: с одной стороны, без него сейчас в мире кибербезопасности не обойтись, а с другой — не станут ли ИИ-помощники уязвимыми местами продуктов для ИБ?

🛠 Как обновлять ПО, чтобы с вами не случалось ситуаций «я что-то нажал, и все сломалось».

👾 О трендовых уязвимостях: какими они были в прошлом году и как могут измениться в 2025-м.

Это еще не все, но дальше писать некогда: мы так соскучились, что уже смотрим свежий выпуск. Присоединяйтесь 😉

📺 YouTube

📺 Rutube

📺 VK Видео

А еще его можно послушать на любой удобной платформе.

#КиберДуршлаг
@Positive_Technologies

Эксперт PT SWARM обнаружил новый вектор эксплуатации «старых» уязвимостей в снятых с производства, но все еще использующихся процессорах Intel

Речь идет об уязвимостях CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2019-0090, CVE-2021-0146, которые уже исправлены компанией Intel. Прежние способы их эксплуатации давали злоумышленникам возможность частично скомпрометировать систему безопасности затронутых платформ, а новый, найденный нашим коллегой Марком Ермоловым, может привести к ее полному взлому 🤯

Под угрозой находятся устройства, оснащенные процессорами Intel Pentium, Celeron и Atom семейств Denverton, Apollo Lake, Gemini Lake и Gemini Lake Refresh.

❗️ Сейчас выпуск этих чипов прекращен, однако они все еще применяются в некоторых ультрамобильных устройствах (электронных книгах и мини-ПК) и встраиваемых системах, вроде бортовой электроники автомобилей.

1️⃣Первый сценарий возможной атаки — внедрение в процессоры программы-шпиона через цепочку поставок на этапе сборки или ремонта оборудования.

«Для этого не требуется пайка или другая физическая модификация оборудования. Злоумышленнику достаточно локального доступа для извлечения ключа шифрования и внедрения вредоносного кода в прошивку подсистемы Intel CSME. Подобную зловредную программу с большой долей вероятности не смогут выявить стандартные функции безопасности, такие как Intel Boot Guard или virtualization-based security (VBS), и все существующие антивирусы. До поры до времени оставаясь незамеченным, вредоносный код может начать высылать данные пользователей злоумышленникам, блокировать доступ к устройству, удалять и зашифровывать данные носителей и выполнять другие опасные действия», — объяснил Марк Ермолов.

2️⃣ Сценарий номер два — обход средств защиты авторских прав (DRM) для получения доступа к защищенному контенту стриминговых сервисов. Эта же методика компрометации может использоваться для обхода механизмов защиты и копирования данных в некоторых моделях электронных книг Amazon, где используются уязвимые процессоры Intel Atom.

3️⃣ Третья возможность, которую дает обнаруженный вектор, — доступ к данным на зашифрованных носителях информации (жестких дисках или SSD). Такие атаки могут применяться при краже ноутбука или планшета на базе указанных процессоров.

Компания Intel была уведомлена в рамках политики ответственного разглашения, но не признала описываемую проблему и отказалась принимать меры для ее устранения или снижения уровня угрозы.

🛡 Чтобы обезопасить себя, советуем проверить технические характеристики устройств, которыми вы пользуетесь. Если их процессоры потенциально уязвимы, будьте осторожнее, например, при ремонте, где злоумышленник может получить к ним доступ.

#PositiveЭксперты #PTSWARM
@Positive_Technologies

👽 Киберзащитникам приготовиться

Сегодня мы проводим двойной запуск: обновленной версии онлайн-полигона для специалистов по ИБ Standoff Defend и онлайн-марафона, во время которого вы сможете первыми протестировать все его функции ✖️

⚡ Что по полигону

На Standoff Defend мы воспроизвели виртуальную ИТ-инфраструктуру типовой компании, которая нуждается в защите от атак. Команды защиты смогут прокачивать там свои навыки в режиме 24/7, разбирая с ментором свои действия и различные способы решения задач.

✌ Что по марафону

Он поможет быстро понять все возможности онлайн-полигона и одновременно — в короткие сроки прокачать свои навыки в ИБ.

С 3 по 29 апреля вы будете выполнять практические задания (например, расследовать атаки APT-группировок и свежие инциденты с кибербитвы Standoff), изучать теорию, получать инсайды и постоянную поддержку ментора.

⭐️ Когда начинать

Прямо сейчас. Остановитесь на минутку (ну ладно, на четверть часа) и прикиньте, какие скилы у вас уже есть, чему хотелось бы научиться и что нужно подтянуть.

На сайте марафона подсказали, на какие вопросы уже сейчас полезно ответить для саморефлексии, и приоткрыли завесу тайны, поделившись его основными этапами.

Ну что, уже видите образ конечного результата? Супер! Ждите следующих заданий, они появятся совсем скоро!

🎁 Кстати, участие в марафоне бесплатное, а победителей конкурсов (да, они тоже будут) ждут крутые призы. Поехали?

#StandoffDefend
@Positive_Technologies

🏆 Слабо стать «Событием года», причем, трижды? Нам вот нет!

На вчерашней церемонии награждения национальной премии наши мероприятия собрали весь пьедестал: золото, серебро и бронзу, оставив позади достойных противников (вы бы видели этот шорт-лист!).

🥇 Лонч PT NGFW назван «Лучшим маркетинговым событием года». Каких успехов добился продукт с момента запуска, рассказывали недавно в этом посте.

🥈 Киберфестиваль Positive Hack Days, состоявшийся в мае 2024 года в «Лужниках», занял второе место в номинации «Лучший городской праздник».

🥉 А кибергород, который мы построили на фестивале, взял третье место за «Лучшую креативную идею мероприятия». Его посетили более 100 000 человек, а на PHDays в этом году мы планируем увидеть в два раза больше гостей.

В следующем году постараемся взять все золото подняться еще выше, а пока порадуйтесь вместе с нами и поддержите ❤️ в комментариях.

На фото — эмоции наших коллег с церемонии награждения, с такой же радостью и любовью мы стараемся делать все — от наших мероприятий до продуктов (потому они получаются такими крутыми и не оставляют никого равнодушным 🔥).

@Positive_Technologies

👽 Что общего между хакерами в жизни и в кино?

Иногда — ничего. Вы же не думаете, что взлом суперсекретной базы данных или отключение света в целом городе в пару кликов похожи на правду? Но некоторые сценаристы и режиссеры подходят к делу обстоятельнее, и тогда атаки в фильме выглядят вполне достоверно.

🎬 В шоу «Хак Так» на нашем научпоп-канале Positive Hack Media реальные белые хакеры оценивают сцены хакинга из фильмов и выносят вердикт: «хак», если происходящее на экране недалеко от истины, или «так», если сняли что-то «ну такое». А еще — подшучивают над ведущим, рассказывают случаи из жизни и делятся, как они докатились до жизни такой сами стали исследователями безопасности.

Гости нового выпуска — Анатолий Иванов, Игорь Сак-Саковский и Дарья Афанасова — посмотрят кино о «проникателях», поимке короля даркнета, а еще — старый сериал про свидетелей. Не расскажем, сколько «хаков» и «таков» они получили, но в этот раз ребятам даже спорить не пришлось.

В эфире дурацкие звездные шутки от ведущего Кирилла Шипулина, а также рецепты, как из шеф-повара превратиться в триажера, как раскрыть мошенницу из «Тиндера» и как защитить свои данные в сети.

Смотрим тут 👇
https://youtu.be/JjDwIqk9SIA

Хотите увидеть «Хак Так» офлайн? Приходите на киберфестиваль Positive Hack Days в мае (позже расскажем, в какой день планируем смотреть кино)!

@Positive_Technologies
@PHDays

👾 Теперь MaxPatrol VM можно развернуть на платформах zVirt, Basis Dynamix и «Альт Виртуализация»

Пользователи смогут получать информацию о трендовых уязвимостях в течение 12 часов с момента их обнаружения и выстраивать полноценный процесс управления недостатками безопасности, развернув нашу систему в полностью импортозамещенной виртуальной среде👏

Все три платформы, как и MaxPatrol VM, входят в реестр отечественного ПО, что делает их интеграцию востребованной для субъектов КИИ, которые обязаны перейти на российское программное обеспечение, согласно Указу Президента № 166 от 30 марта 2022 года.

Платформы Basis Dynamix (в конфигурации Enterprise) и zVirt — лидеры среди российских систем виртуализации по версии CNews. Компании «Базис», по подсчетам «ТМТ Консалтинг», принадлежит более трети российского рынка виртуализации, доля Orion soft составляет 14%. «Альт Виртуализация» также входит в число распространенных решений и пользуется спросом среди госструктур, средних и крупных предприятий, дата-центров и провайдеров.

😎 Благодаря доступным обновлениям и технической поддержке, предоставляемой отечественными вендорами, возможность совместного использования продуктов актуальна и для компаний, в которых импортозамещение не является обязательным.

«Тестирование работы MaxPatrol VM на платформах zVirt, Basis Dynamix и „Альт Виртуализация“ показало, что все возможности системы доступны в полном объеме, а скорость продукта не уступает показателям работы в зарубежных аналогах платформ виртуализации», — прокомментировал результаты нагрузочных тестов Денис Матюхин, руководитель MaxPatrol VM.

👉 Подробнее об интеграции рассказали на нашем сайте.

#MaxPatrolVM
@Positive_Technologies

🌤 PT Cloud Application Firewall доступен пользователям «Рег.ру» для защиты критически важных веб-приложений

Целью киберпреступников сегодня может стать любая организация, у которой есть веб-приложение. Оно может быть только первым шагом в сложной цепочке атак. Ущерб и последствия в случае реализации таких кибератак могут быть значительно более существенными, чем простой сбой веб-ресурса.

По данным Positive Technologies, в 44% случаев именно веб-сайты становились точкой входа злоумышленников в инфраструктуру, а 19% утечек случались из-за уязвимостей в веб-приложениях.

🤝 Ключевая задача нашего партнерства с «Рег.ру», ведущим облачным и хостинговым провайдером, — качественно повысить безопасность веб-ресурсов в национальных зонах .ru и .рф, а также сделать кибербезопасность доступной для максимального количества пользователей. Общая клиентская база облачных услуг компании составляет двадцать одну тысячу активных пользователей.

Наш продукт PT Cloud Application Firewall обеспечивает облачную защиту веб-ресурсов от кибератак и подходит бизнесу любого масштаба — от стартапов из пяти сотрудников до сетевых гигантов.

Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies, отметил:

«Мы рады заключению нового трехстороннего сотрудничества с компаниями «Рег.ру» и StormWall. Клиентам нашего нового технологического партнера стала доступна эшелонированная защита собственных веб-ресурсов проверенными временем решениями. Мы ценим оказанное доверие и выбор PT Cloud Application Firewall в качестве инструмента для защиты от внешних киберугроз и атак нулевого дня».

➡️ Узнать больше подробностей о PT Cloud Application Firewall вы можете на сайте продукта.

#PTCloudAF
@Positive_Technologies

Как инфраструктура компаний появляется на киберполигоне Standoff 🤜

Кибербитва Standoff проходит в специально созданном виртуальном пространстве — Государстве F, где наша команда во всех деталях воссоздает технические и экономические процессы из отраслей, которые есть в любом государстве: банковский сектор, энергетика, нефтегаз, сфера ИТ и другие.

Кибербитва уже давно стала не просто полем сражения команд защитников и атакующих, но и местом, где компании могут исследовать безопасность программного обеспечения в условиях, максимально приближенных к реальным (и ваша компания тоже может стать технологическом партнером Standoff).

🏪 Например, одна ритейловая сеть обратилась к команде Standoff с запросом проверить защищенность ее обновленной программы лояльности. При этом критическое для них событие — нарушить работу системы так, чтобы через нее появилась возможность продавать алкоголь в неподходящее время (это могло бы привести к значительному нарушению основной деятельности компании).

О том, удалось ли командам атакующих реализовать этот сценарий, в подкасте «Причиняем пользу» рассказала Елена Молчанова, бизнес-лидер киберполигона Standoff. Посмотреть подкаст целиком и узнать больше о том, как компании тестируют свои системы на киберполигоне, можно на YouTube и VK Видео, а послушать — на любой удобной платформе.

👽👽 На кибербитве Standoff 15, которая пройдет в «Лужниках» во время киберфестиваля Positive Hack Days, вы сможете увидеть последствия кибератак на макете виртуального Государства F своими глазами. Попасть на кибербитву можно будет по билету в закрытую часть PHDays.

#Standoff
@Positive_Technologies

🛡 Как писать недырявый код: рассказываем об инструментах для безопасной разработки

Сканеров, анализаторов и плагинов, решающих AppSec-проблемы, — сотни, если не тысячи. Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, в статье на Хабре поделился теми, которыми пользуется сам. Рассказал о фишках, особенностях и преимуществах каждого из них.

В его списке оказались:

✳️ SonarLint — бесплатное расширение для IDE, позволяющее фиксить и устранять проблемы в момент написания кода.

✳️ Плагин Semgrep для IDE делает примерно то же самое, плюс помогает соблюдать стандарты кода.

✳️ Еще один плагин для IDE — PT Application Inspector. Благодаря встроенным модулям SCA обнаруживает не только недостатки исходного кода и конфигурационных файлов, но и уязвимые сторонние компоненты и библиотеки.

✳️ Gitleaks и Git-secrets — open-source-инструменты, которые используются для поиска потенциальных секретов в исходном коде и Git-репозиториях.

✳️ Trivy Secret Scanning — часть инструмента Trivy, помогающая обнаруживать токены API, ключи доступа и пароли, утечка которых может представлять угрозу безопасности проекта.

✳️ PT BlackBox Scanner — открытое решение для динамического анализа веб-приложений.

✳️ OWASP ZAP (Zed Attack Proxy) — еще один бесплатный инструмент с открытым исходным кодом для сканирования веб-приложений.

🥹 Читайте, а в комментариях (и к посту, и к статье) делитесь, какими инструментами пользуетесь для создания качественного кода, то есть кода без уязвимостей.

#PositiveЭксперты
@Positive_Technologies

Дано: ваша компания использует контейнерные среды.

Найти: как обеспечить их безопасность, ведь, согласно отчету компании Red Hat, 67% фирм отложили или замедлили развертывание контейнеров из-за проблем с безопасностью Kubernetes.

Решение: PT Container Security 🎁

Подробнее о способе решения задачи нашем продукте рассказали в обзоре на Anti-Malware.ru, а в этом посте поделимся важными фактами.

😵‍💫 PT Container Security защищает контейнеры в течение всего жизненного цикла ПО: от разработки до внедрения контейнера в продуктивную среду.

🤪 Он подходит компаниям с любым уровнем зрелости процессов ИБ, поскольку содержит широкий набор функций и встроенную экспертизу для защиты основных функциональных областей безопасности контейнеризации.

🔥 Благодаря собственной базе уязвимостей помогает выстроить процесс управления ими в образах контейнеров, в том числе на базе образов отечественных ОС, таких как Astra Linux, ALT Linux «РЕД ОС» и других.

⚡️ Защищает кластеры контейнеризации на нескольких уровнях.

🥺 Выявляет аномальную активность в потоке событий рантайма контейнеров, позволяя отслеживать атаки на запускаемые в них приложения.

🚨 Дает возможность проводить расследование инцидентов.

И это, конечно, далеко не все. Подробности о продукте, его архитектуре, системных требованиях, сильных сторонах и необходимых доработках (да, мы честно рассказываем обо всем) — ищите в обзоре.

#PTContanerSecurity
@Positive_Technologies

😮 Как обезопасить свой Telegram-аккаунт: пошаговая инструкция

Telegram ежедневно используют около 72% россиян в возрасте от 12 лет. Обратная сторона такой популярности — огромное количество мошеннических схем, которые злоумышленники проворачивают через мессенджер.

О многих из них — от рассылки фишинга под видом розыгрыша премиум-подписки до выманивания крупных сумм денег якобы для того, чтобы избежать проблем с законом, — мы рассказывали в недавней статье на Хабре.

⛔️ Часто последствием афер становится еще и кража Telegram-аккаунта жертвы. Оставили на карточках подробную инструкцию от экспертов PT ESC, как защитить свою учетную запись — заранее и экстренно, если вы только что обнаружили взлом.

🕺 Читайте, лайкайте, шерьте — всем знакомым точно пригодится.

#PTESC #PositiveЭксперты
@Positive_Technologies

Ложные срабатывания — все! Мы выпустили новую версию PT Application Inspector 👁

🔎 Повысили точность результатов сканирования

Объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST) — в продукте появились возможности анализа достижимости и поиска транзитивных зависимостей.

1️⃣ PT Application Inspector 4.10 учитывает не только информацию об уязвимостях в используемых библиотеках, но и проверяет использование уязвимых функций. В итоге система предупреждает лишь о тех уязвимостях, которые реально могут быть проэксплуатированы злоумышленниками.

2️⃣ Библиотека, которая содержится в коде, может быть связана с другой — уязвимой — через одну или несколько библиотек. Наш продукт отслеживает такие связи и отображает их в виде графа зависимостей, что позволяет четко определить фактическую угрозу.

🤥 Сократили число ложных срабатываний

Результаты тестирования на 193 открытых проектах с GitHub, использующих уязвимые компоненты, впечатляют: количество ложноположительных срабатываний снизилось на 98–100%. Это позволяет сэкономить время на анализе срабатываний и сосредоточиться на исправлении реальных дефектов безопасности.

«PT Application Inspector определяет, действительно ли уязвимый фрагмент кода присутствует в приложении. Так как в большинстве случаев наличие уязвимости в коде не подтверждается, число срабатываний снижается в десятки раз», — прокомментировал Сергей Синяков, руководитель продуктов application security, Positive Technologies.

⬆️⤵️Добавили поддержку тегов для параллельного анализа

Теперь разработчики могут запускать сканирование разных Git-веток одного репозитория одновременно, не опасаясь перезаписи результатов, а статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами репозитория. Эта функция позволяет минимизировать простои, объединять историю изменений уязвимостей из разных веток и гибко настраивать синхронизацию.

👀 Больше подробностей об обновлении — на нашем сайте.

#PTApplicationInspector
@Positive_Technologies

День открытых дверей Positive Technologies — место, где начинается позитив 🤩

В марте мы провели наше ежегодное мероприятие для партнеров — DOD 2025, на котором подвели итоги совместной работы за 2024 год, а также наметили планы на будущее.

В портфеле Positive Technologies более 25 высокотехнологичных продуктов и решений. Выполнять пилотные проекты, проектирование, интеграцию, внедрение и сопровождение нам помогают более 480 партнеров по России и миру. Ежегодно мы проводим день открытых дверей, где делимся, что нового готовим и как предлагаем усиливать наш бизнес, а также обмениваемся опытом.

🏆 Ежегодно на DOD мы проводим церемонию награждения партнеров за совместную работу с наилучшими показателями.

По итогам 2024 года:

Лучшими партнерами стали Инфосистемы Джет, ДиалогНаука, РТК ИБ (ГК Солар).

Лучшие региональные партнеры — TS Solution, ГК «Анлим».

Лучший дистрибьютор — OCS.

Победителями промо-программы PT NGFW 2024 (за первую большую продажу продукта) стали Айтуби и Инфосистемы Джет.

Мы благодарим всех наших партнеров и дистрибьюторов за вклад в общее развитие бизнеса 🌟

😱 И one more thing: на DOD 2025 мы анонсировали PT Maze — сервис, который поможет защитить любое приложение для iOS и Android от реверсинга. Защита PT Maze усложняет поиск уязвимостей в приложении и препятствует созданию вредоносных клонов. Больше подробностей расскажем на PHDays Fest в мае.

Как прошел DOD 2025 — смотрите на видео 😉

@Positive_Technologies

🦸‍♂️ Глобальная миссия SuperHardio Brothers, команды экспертов по харденингу, — обеспечить киберустойчивость и непрерывность бизнеса

В новой серии нашего спецпроекта 31 марта в 14:00 поговорим о том, как методология ХардкорИТ помогает достичь этого результата. На вебинаре эксперты поделятся, как через математическое моделирование времени атак рассчитать метрики киберустойчивости и с их помощью управлять доступностью ИТ-систем.

В прямом эфире обсудим:

🧮 Чем устойчивость бизнеса отличается от киберустойчивости и как их оценить.

🤔 Почему традиционные меры IT DR (восстановления после катастроф) — не предел того, что вы можете предпринять.

🛡 Как ХардкорИТ помогает определить недопустимые события и критические для бизнеса системы и сделать так, чтобы злоумышленник до них не добрался.

👍 Кому подходит наша методология (покажем реальные истории успеха заказчиков).

Приглашаем присоединиться всех, кто хочет строить киберустойчивый бизнес: от CIO, CTO и CISO до ИТ-экспертов и технических специалистов разного профиля.

#ХардкорИТ
@Positive_Technologies

❌ Кибермошенники стали использовать поддельную CAPTCHA для установки вредоносного ПО на устройства жертв

О новом методе социальной инженерии наши коллеги рассказали в исследовании киберугроз за IV квартал 2024 года. Злоумышленники размещали на вредоносных сайтах поддельную CAPTCHA, и после ее прохождения предлагали пользователю вставить данные из буфера обмена в командную строку, активируя загрузку и установку инфостилера — ВПО, предназначенного для сбора информации с зараженного устройства. Жертвами таких атак массово становились частные лица. Как фальшивая CAPTCHA выглядит на практике — показали на скриншоте в иллюстрации, чтобы вы ее точно узнали⬆️

«Настоящие проверки CAPTCHA никогда не требуют ввода команд в операционной системе и в пределах непосредственно веб-страницы. Существующие методы антибот-проверок предполагают только упорядочивание фигур, повторение буквенно-числовой последовательности или проставление галочки в окне „Подтвердить, что я человек“. Кроме того, настоящая CAPTCHA обычно не запрашивает логины, пароли, номера карт или другие сведения. Если после выполнения CAPTCHA пользователя просят ввести конфиденциальные данные — это сигнал, что нужно проявить осторожность», — предупреждает Анна Голушко, старший аналитик исследовательской группы Positive Technologies.

❗️Социальная инженерия по-прежнему остается самым популярным методом для атак как на организации, так и на частных лиц. Компании чаще всего атакуют через электронную почту, а граждан — через сайты.

Самыми распространенными инструментами в атаках на организации были шифровальщики, вредоносное ПО для удаленного управления и шпионское ПО.

Например, в середине ноября специалисты PT ESC зафиксировали кампанию по распространению Lumma Stealer и NetSupport RAT: сотрудники российских организаций получали фишинговые письма с вложенными файлами форматов LNK и DOCX, при открытии которых происходила загрузка ВПО.

Злоумышленники изобретают новые схемы доставки вредоносов на устройства.

🔴 Одна из таких — письма о фейковом увольнении, через которые распространялся предположительно банковский троян, что говорит о финансовой мотивации злоумышленников. Уловка с потерей работы придумана для того, чтобы у жертвы отключилось критическое мышление и она открыла вредоносное почтовое вложение.

🔴 Другая новая тактика — вложения намеренно поврежденных документов Microsoft Office, которые не обнаруживаются средствами защиты. В зараженных файлах находится QR-код, который ведет на мошеннические сайты для установки ВПО или кражи учетных данных.

➡️ Об этих и других методах атак и их последствиях читайте в полном тексте исследования на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

⚙️ Как производится PT NGFW

Делимся эксклюзивными кадрами с технологического завода, где по нашему техническому заданию собирают программно-аппаратные комплексы для межсетевого экрана нового поколения от Positive Technologies.

Результатами PT NGFW за 2024 год мы делились в этой публикации. На видео — процесс сборки PT NGFW 1050, одной из самых популярных моделей по итогам прошлого года.

🔥 Взять продукт на тест-драйв.

#PTNGFW
@Positive_Technologies

🙂 Хотите выстроить в своей компании защищенную и устойчивую к кибератакам сетевую архитектуру?

Присоединяйтесь к образовательной программе «Архитектура сетевой безопасности предприятия» от Positive Education, которая стартует 7 апреля.

Автор программы — Михаил Кадер, главный архитектор стратегических проектов Positive Technologies, чей опыт проектирования защищенных сетей составляет более 20 лет.

За четыре недели программы вы прокачаете свои скилы:

✅ в устройстве инфраструктуры предприятий и ее ключевых компонентов;

✅ тестировании защищенности сети при помощи пентестов и автоматизированных систем;

✅ проектировании безопасных сетей с учетом требований регуляторов, чтобы они выдерживали и атаки и аудит;

✅ аналитике журналов, настройке защитных политик и в тестировании сценариев защиты на облачном стенде.

🤔 Как построена программа

📸 Ее легко можно совмещать с работой: вебинары с упором на практику будут проходить дважды в неделю в живом формате — вы сможете задавать экспертам вопросы и получать обратную связь прямо во время занятия.

🌩 Закрепить полученные знания и отработать практические навыки можно будет на облачном стенде с моделированием атак.

💬 Мы пригласим каждого участника в чат для общения и совместного решения кейсов.

Программа подходит сетевым инженерам, специалистам по ИБ и администраторам, которые хотят глубже разобраться в кибербезопасности и построении эффективной защиты инфраструктуры компаний.

👉 Регистрируйтесь по ссылке и получите доступ к бесплатному модулю уже сегодня!

#PositiveEducation
@Positive_Technologies

🤖 Репозиторий обновился, а вы не в курсе? Созданный нашими коллегами GitHub-бот решит эту проблему.

В статье для Positive Research Александр Дупленко, специалист направления развития инициатив ИБ-сообществ, рассказывает, что уже умеет наш бот и как он показал себя на Open Security Week.

Ищите в ней подробности об архитектуре решения, тонкостях настройки, успешном «пилоте» и о том, как легко этот волшебный помощник становится незаменимым для разработчиков.

На достигнутом мы останавливаться не собираемся, перспективы у GitHub-бота — о-го-го. Например, хотим, чтобы он мог интегрироваться с другими сервисами и фильтровать уведомления.

Кстати, правки от сообщества принимаются. Уже знаете, что хотели бы добавить? 😉

#PositiveResearch
@Positive_Technologies

🧩 Интерактивный бейдж с PHDays Fest 2: непросто выиграть, обидно потерять, невозможно забыть... Откуда же он такой взялся?

Об этом его создатели — наши коллеги из Positive Labs — написали статью в блог на Хабре, где рассказали, как им пришла в голову идея сделать такой крутой мерч и сколько проблем пришлось решать в процессе.

Вот вам пять увлекательных фактов:

1️⃣ Концепт бейджа ребята придумали на созвоне в пробке, а прототип нарисовали буквально на коленке.

2️⃣ Его первая версия даже не включилась из-за ошибки с выбором пинов — это несколько расстроило коллег, но, конечно, не остановило.

3️⃣ В устройстве должны были быть ИК-порт и звук, но кое-что пошло не так.

4️⃣ Чтобы понять, как сделать экран, сияющий каждым пикселем, пришлось принести в жертву отреверсить личную колонку с дисплеем одного из создателей бейджа.

5️⃣Вся партия в 1000 бейджиков вышла с производства с тестовой прошивкой и их вчетвером 6 часов перепрошивали вручную.

Прошлогодняя история стала хорошей тренировкой, и на ней ребята из Positive Labs не остановились. Как бейдж изменился за лето год и какие новые фичи в нем отросли — узнаете на киберфестивале PHDays 22–24 мая.

#PositiveLabs #PHDays
@Positive_Technologies

⚠️ Эксперты PT ESC обнаружили попытки эксплуатации уязвимости CVE-2025-24071

Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта.

CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл .library-ms, извлекаемый при распаковке вредоносного архива и содержащий ссылку на SMB-ресурс.

Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки.

Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может использоваться при сохранении файла с расширением .library-ms из электронного письма.

🕵️‍♀️ Несмотря на то что данные об уязвимости были опубликованы пару дней назад, злоумышленники не спят: мы уже обнаружили попытки эксплуатации CVE-2025-24071 в организациях в России и Республике Беларусь.

Атакующие распространяют архивы, в которых содержатся документ в формате PDF и файл .library-ms (скриншот 1). Жертва распаковывает архив и запускает PDF-приманку (скриншот 2), в то время как файл .library-ms автоматически и незаметно для пользователя отправляет данные на командный центр злоумышленников.

📈 Эксперты PT ESC прогнозируют всплеск атак с использованием этой уязвимости. Мы рекомендуем следующие методы защиты:

• Ограничить соединения по SMB-протоколу к внешним серверам.
• Обновить Windows до последней версии (установить мартовские обновления).
• Запретить запуск файлов с расширением .library-ms.
• Заблокировать получение файлов с расширением .library-ms по электронной почте.

IoCs

Письмо Минпромторга России от 17.03.2025 № 182544_21 о направлении сведений по кадровому потенциалу предприятий 2025.pdf.library-ms
MD5: c3f9813545b7f830183369dd649bd595
SHA-1: fcadd1a24f2fa6e0f5338ff0e8d186258c79a05d
SHA-256: a4205e773eee7f33d1bb776a2f7b36da4b3955284208c015257311b8ef23f721

Письмо Минпромторга России от 17.03.2025 № 182544_21.zip
MD5: 83a60de9faed1b0a0344eda108aee44f
SHA-1: 10c02f7a3214dc166f6a8ce19c3d0a988084b3ea
SHA-256: e7897176a7d226c82af27ff525399bd0c7d7b73fdfffac8d2d56b8707637aa99

01 Сопроводительное.pdf.library-ms
MD5: 74e2f206e99040868b60eef04781de8a
SHA-1: f27ecc7ec9c6425a41a3cbfa8bf74f24c32c6488
SHA-256: 8a3728ebdb64e69347c14356b250eb0720801ce367acd1b53510a8dea16f7001

01 Сопроводительное.zip
MD5: 78cd8d4481713fbd4beb790a127bd793
SHA-1: 595b68aaad8a705e78125735cdb7136b6f17b077
SHA-256: 07f6d81b5e3fba23f5de34038424ebec4710cbc16959de4389ceb7855e69bac2

spisoc.library-ms
MD5: 9bab71704cefac935546e09d12dfd2c1
SHA-1: 922c6ee612bd22a85cd1e84f50e18d21656c3f3d
SHA-256: cb9810b6492aad667554958332a3518aeed8d356dcd03b43e4116cd92c938d0f

154.205.148.56
38.60.247.250
94.250.249.129


#win #news #cve #detect #ioc
@ptescalator

🎴 Раскидываем карты, да не простые, а кибертаро

Да, мы тоже не удержались и сделали свою модную колоду старших арканов. Красивые — глаз не отвести третий день сидим любуемся.

Решили разыграть ее между нашими подписчиками, но не рандомайзером, как обычно, — придумали конкурс посложнее.

Те, кто в теме, знают классические значения арканов. Сопоставьте с ними (всеми или несколькими) любые известные вам киберинциденты и напишите свои варианты в комментариях до 23:59 31 марта.

🪱 Например: программа-червь Роберта Морриса, которая стала первым вирусом, получившим значительное внимание СМИ, и поразила 10% компьютеров, подключенных к сети, = аркан «Башня» 🗼

Выберем самый интересный, полный и интригующий ответ и отправим автору уникальную колоду.

Всем таро удачи и вдохновения!

@Positive_Technologies

🔧 Псссс , вы слышали что-нибудь о пользовательских правилах в PT Sandbox? Если нет — расскажем, если да — поможем с настройкой.

Поговорим об этом в прямом эфире 25 марта в 11:00.

Руководитель отдела экспертизы PT Sandbox Шаих Галиев даст практические рекомендации:

🔵по настройке правил предварительной фильтрации для источника;
🔵настройке правил поведенческого анализа для источника;
🔵проверке их корректной работы.

Это поможет песочнице эффективнее обнаруживать ВПО и быстрее анализировать файлы при большой нагрузке.

🎁 Каждому участнику — гайд по настройке пользовательских правил проверки в PT Sandbox в подарок.

✉️ Не забудьте зарегистрироваться заранее, а в день вебинара мы обязательно напомним вам о трансляции.

#PTSandbox
@Positive_Technologies

🙂 Собираетесь в магистратуру по кибербезопасности, но не знаете, чего ждать?

Поддерживаем будущих коллег и на нашем совместном онлайн-вебинаре с ИТМО готовы подробнее рассказать, как выглядит реальная жизнь специалиста по кибербезопасности: от проверок на защищенность до расследования инцидентов.

⏱ Когда: 24 марта в 16:00
🤘 Как попасть: зарегистрироваться по ссылке и вовремя подключиться

Вместе с Макаром Ляхновым, специалистом по разработке образовательных платформ Positive Education, разберемся:

⭐️ с какими инцидентами сталкиваются в своей работе аналитики SOC и как взяться за расследование, если вы еще никогда этого не делали;

⚡️ какие «типовые» хакерские атаки на веб-приложения и на отдельные узлы в корпоративной сети существуют.

Обещаем, что вы не передумаете, а только еще больше полюбите ИБ! До встречи на вебинаре 😉

#PositiveEducation #PositiveЭксперты
@Positive_Technologies

🎫 Вы этого ждали: мы начали продажу билетов на международный киберфестиваль Positive Hack Days!

Традиционно у нас будет как открытая бесплатная зона для всех желающих с мощной научно-популярной программой в Кибергороде, так и закрытая часть с экспертными докладами и дискуссиями, проход в которую будет по билетам.

🫰 Получить билет можно за пожертвование в благотворительный фонд на сумму от 1500 рублей.

Для этого вам нужно зайти на наш сайт, зарегистрировать личный кабинет, выбрать один из трех фондов («Подари жизнь», «Улица Мира» или «Старость в радость») и внести пожертвование. После оплаты билет будет доступен в личном кабинете.

Приобрести билет можно и от имени юридического лица — на сайте есть подробная инструкция о том, как это сделать.

В закрытой части вас будут ждать выступления более 500 спикеров — от начинающих специалистов до именитых экспертов со всего мира, CIO и CISO крупных IT-компаний. А также кибербитва Standoff.

👀 В бесплатной части киберфестиваля будет много интерактивных инсталляций в обновленном Кибергороде, выступления на тему технологий в ваших руках на научпоп-сцене, квесты, в которых вы сможете почувствовать себя реверс-инженерами, масштабный концерт и многое-многое другое!

😏 Приобрести билет

Ждем вас в «Лужниках» 22–24 мая! 🏟

Все новости киберфестиваля — в канале @PHDays

👀 Запуск первой программы багбаунти как первая любовь — прекрасная, волнующая и не всегда понятная

Чтобы она была взаимной разобраться во всем «на берегу», запускаем серию ламповых оффлайн-митапов Standoff Bug Bounty для заказчиков. Митапы будут проходить прямо у нас — в московском офисе Positive Technologies.

На них можно будет пообщаться с компаниями, у которых уже есть собственные программы, послушать о реальных кейсах, разобраться в форматах багбаунти, понять, какой из них больше всего вам подходит, и, конечно, лично задать экспертам все накопившиеся вопросы.

1️⃣ Первая встреча пройдет 27 марта и начнется в 17:00. Если хотите присоединиться, пишите на почту meetup-bb@standoff365.com: укажите свои ФИО (чтобы мы могли заказать пропуск), компанию и должность. Поторопитесь, заявки проходят модерацию, а количество мест ограничено.

Что планируем обсуждать:

👾 О личном опыте самых импактных находок на багбаунти расскажет Анатолий Иванов, CPO Standoff Bug Bounty.

🛡 Как багбаунти помогает компаниям выстраивать и улучшать процессы AppSec, поделится Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies.

🤍 Свой кейс автоматизации «обеления» трафика для багхантеров представит Илья Петров, руководитель отдела кибербезопасности веб-приложений в Okko.

🧮 Как перейти от метода «пальцем в небо» к объективной оценке уязвимостей в багбаунти, объяснит Петр Уваров, руководитель направления VK Bug Bounty.

🏢 Отдельно поговорим об опыте проведения программ багбаунти одним из владельцев государственных систем.

И конечно, оставим время для неформального общения! Ждем ваших писем и вас на митапе!

#StandoffBugBounty
@Positive_Technologies

Что скрывает от нас стеганографическая мафия? 👤

В ноябре 2024 года мы рассказывали вам про группировку PhaseShifters и тогда же упомянули про используемый криптор по подписке — Crypters And Tools. Наше исследование не остановилось просто на изучении группировок, мы пошли дальше.

Продолжение истории про Crypters And Tools привело нас к следующей статистике:

📩 Примерно 3000 вредоносных документов и исполняемых файлов.

🗺 Почти 100 атакуемых стран.

👥 Как минимум три группировки, использующие Crypters And Tools для подготовки своих атак.

🟣 Около 50 сетевых индикаторов, принадлежащих инфраструктуре самого криптора.

🔫 Десятки исследованных аккаунтов в социальных сетях, связанных с криптором, более 100 просмотренных медиафайлов.

О том, как работает криптор, кто и как его использует, вы можете прочитать в первой части нового исследования в нашем блоге.

#TI #APT #hacktool
@ptescalator

📂 Массивы данных становятся целью более чем в половине успешных атак на организации

Об этом мы рассказывали в своем недавнем исследовании, посвященном утечкам информации во втором полугодии 2024 года. Данные похищают и шифруют, чтобы получить выкуп, продают в дарквебе или используют для дальнейших атак.

О том, что делать бизнесу, чтобы избежать таких сценариев, поговорят эксперты по кибербезопасности в прямом эфире AM Live 19 марта в 11:00. От Positive Technologies в нем примет участие Виктор Рыжков, который руководит развитием бизнеса по защите данных и отвечает за наше единое решение для защиты данных PT Data Security, MVP-версия которого была представлена осенью 2024 года.

На встрече специалисты по защите данных расскажут, что такое датацентричный подход в кибербезопасности, всем ли организациям он подходит и при помощи каких инструментов может быть реализован. А также обсудят риски, нюансы его внедрения, основные вызовы, с которыми компании столкнутся при защите данных в ближайшее время, и спрогнозируют развитие технологий и продуктов в сфере data security.

⏺️Регистрируйтесь заранее — и не опаздывайте на прямой эфир!

#PositiveЭксперты
@Positive_Technologies

📶 Эксперт команды PT SWARM Владимир Разов обнаружил уязвимость в нескольких моделях роутеров компании D-Link

Уязвимость BDU:2024-06211 получила оценку 8,4 балла по шкале CVSS 3.0. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения.

«При успешной эксплуатации найденной уязвимости пользователь, авторизованный в веб-интерфейсе роутера, может полностью скомпрометировать устройство и получить доступ ко всему трафику, проходящему через него», — отметил Владимир Разов.

🐛 Недостатку подвержены следующие модели роутеров D-Link: DIR-878, DIR-882, DIR-2640-US, DIR-1960-US, DIR-2660-US, DIR-3040-US, DIR-3060-US, DIR-867-US, DIR-882-US, DIR-882/RE, DIR-882-CA, DIR-882-US/RE.

По данным Mordor Intelligence, компания D-Link входит в список лидеров мирового рынка Wi-Fi-маршрутизаторов. На момент исследования уязвимые роутеры можно было обнаружить в Индонезии, Канаде, Китае, США, Швеции и на Тайване.

Перечисленные модели больше не поддерживаются производителем. D-Link рекомендует вывести их из эксплуатации и заменить на оборудование, которое получает обновления встроенного ПО.

💡 В качестве временной меры для снижения угрозы эксплуатации уязвимости злоумышленниками Владимир Разов рекомендует использовать OpenWrt (открытую встраиваемую операционную систему, основанную на ядре Linux и предназначенную специально для маршрутизаторов) либо сменить учетные данные для доступа в веб-интерфейс роутера.

#PositiveЭксперты
@Positive_Technologies

Как искусственный интеллект облегчает работу специалистам по кибербезопасности 🤖

Один из примеров: с помощью ИИ можно обнаруживать трендовые уязвимости, информация о которых затем поступает в нашу систему управления уязвимостями MaxPatrol VM — в течение 12 часов с момента обнаружения.

🕵️ Для того чтобы определить трендовые уязвимости (те, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время), эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, из бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода.

Но часть этого анализа берет на себя ИИ, что ускоряет поиск и позволяет как можно быстрее устранять такие недостатки в инфраструктуре компаний.

👀 Больше подробностей о применении ИИ в кибербезопасности на эфире AM Live рассказал Николай Лыфенко, руководитель ML-разработки в Positive Technologies. Посмотреть можно на сайте проекта.

#PositiveЭксперты
@Positive_Technologies

🤑 Говорят, что они могут за пару дней заработать на восемь айфонов, первичный взнос по ипотеке или 14 666 пачек «Доширака».

👾 Рассказывают, что стоит им только взглянуть на скоуп — и уязвимости в нем не просто находятся, но и сами пишут о себе отчеты, прикладывая к ним пруфы.

🙂 Болтают, что компании выстраиваются в очередь, лишь бы они выбрали конкретную багбаунти-программу.

Они — топ-3 рейтинга багхантеров платформы Standoff Bug Bounty: Олег Уланов aka brain, Рамазан Рамазанов aka r0hack и Сергей Бобров aka BlackFan.

Не знаем, как насчет ипотеки и сканирующего взгляда, но интервью у ребят точно берут — одно из них можно прочитать в Positive Research. Там исследователи безопасности делятся подробностями не всегда простой, но интересной багхантерской жизни, рассказывают, как выбирают программы, в которых интересно участвовать, с какими сложностями сталкиваются, и рассуждают о будущем багбаунти.

Интересно? Еще как! Читать всем.

#PositiveResearch #StandoffBugBounty
@Positive_Technologies

😐 «Чего не отвечаете?», или История о том, как угнать Telegram-аккаунт без регистрации и смс

Недавно мы написали статью о наиболее популярных методах кражи учетных записей в Telegram.

😑 В статье рассматриваются такие схемы, как:

• Распространение фишинговых сообщений о получении Premium-подписки.
• Отправка сообщений с просьбой помочь в голосовании.
• Получение кода авторизации под видом сотрудников техподдержки, правоохранительных органов и т. п.
• Выпуск дубликата сим-карты.
• Копирование файлов с активными пользовательскими сессиями.

Из того, что особенно интересно:

🖥 Рассматриваются нюансы для официальных десктопных версий и веб-клиентов приложений.

🔜 Кража сессий при копировании tdata, (appstore, stable — для macOS) с ключами авторизации устройства (authorization key) остается незаметной для пользователя (отсутствует информация о дополнительной сессии в списке активных устройств).

☝️ Конфиденциальная информация, которая интересует злоумышленников, чаще всего хранится в каталогах:

Для Windows: C:\Users\<Имя пользователя>\AppData\Roaming\TelegramDesktop\tdata

Для Linux: /home/<Имя пользователя>/.local/share/TelegramDesktop/tdata

Для macOS, клиент версии Telegram for Mac: HDD/Users/<Имя пользователя>/Library/Application Support/Telegram Desktop/tdata

Для macOS, клиент версии Telegram for macOS: HDD/Users/<Имя пользователя>/Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram/appstore (stable, если устанавливали через DMG-файл)

🌐 При использовании веб-версий украсть учетную запись можно имея физический доступ к устройству.

Для Google Chrome злоумышленники копируют содержимое каталогов:

Windows: C:\Users\<Имя пользователя>\AppData\Local\Google\Chrome\User Data\Default

Linux: /home/<Имя пользователя>/.config/google-chrome/Default

macOS: HDD/Users/<Имя пользователя>/Library/Application Support/Google/Chrome/Default

💻 Нет разницы, в какой операционной системе злоумышленник использует украденную информацию: tdata с Windows может применяться для авторизации как на Linux, так и на macOS. Это также работает с веб-версиями.

🔗 При переходе по ссылке https://web.telegram.org/ из приложения на компьютере или мобильном устройстве генерируется токен доступа к содержимому учетной записи — возможно войти в веб-версию Telegram. Попробуйте сами!

📝 Даются рекомендации, как выявить нелегитимные сессии и обезопасить себя от рассмотренных атак.

Полный текст статьи читайте на Хабре.

#dfir #macos #win #linux #web
@ptescalator

😵‍💫 Можно ли распылить пароль, как краску из баллончика?

Именно так — нельзя, но хакеры придумали похожий способ взлома сразу нескольких аккаунтов. Именно поэтому новый метод атаки и назвали «распылением паролей».

В наших новых карточках Кирилл Кирьянов, руководитель отдела экспертизы MaxPatrol SIEM, рассказывает, как действуют злоумышленники, чем это может грозить, а главное — как не оставить киберпреступникам шансов на успех.

Читайте сами и делитесь с друзьями.

#PositiveЭксперты
@Positive_Technologies

💦 Наши аналитики изучили утечки данных по всему миру во второй половине 2024 года. Делимся ключевыми трендами и советуем читать исследование целиком

🚰 Откуда течет

Магазины, аптеки, онлайн-сервисы, сайты ресторанов и службы доставки — именно с ними связано большинство объявлений в дарквебе о продаже и покупке баз конфиденциальных данных, похищенных в России и странах СНГ.

В топ-3 по количеству таких сообщений входят торговые организации (31%), онлайн-сервисы (16%) и банковский сектор (9%). Средняя стоимость украденной информации в объявлениях о продаже — 450 долларов.

Для сравнения: усредненный ценник по всему миру в 55% случаев ниже 1000 долларов, только в 6% публикаций стоимость информации превышает 10 000 долларов.

📈 Спрос растет

Наши коллеги отметили, что на теневых форумах во всех странах стало в четыре раза больше объявлений о покупке утекшей информации.

Вместе с этим потенциальные покупатели готовы платить почти в три раза больше: в сравнении с первым полугодием прошлого года цена выросла с 600 до 1700 долларов.

🖥 Утечки становятся объемнее

Еще один общемировой тренд — увеличение объема информации, попавшей в руки преступников. Так, на 4% (до 56%) выросло количество баз данных, насчитывающих более 100 000 строк, а на 17% (до 52%) — тех, размер которых превышает 1 ГБ.

Эту тенденцию подтверждает и статистика Роскомнадзора, по данным которого число утечек в России в прошлом году уменьшилось, а количество файлов, попавших в открытый доступ, возросло — с 300 млн до 710 млн записей.

🛡 Как защищаться

«Традиционные средства обеспечения безопасности данных, которые создавались в 2000-х годах, не способны полноценно защитить современную инфраструктуру от утечек, — комментирует Виктор Рыжков, руководитель развития бизнеса по защите данных Positive Technologies. — Они строятся на предположении, что организация четко понимает, как устроена ее инфраструктура, какие критически важные данные она хранит и где, но в реальности такое случается редко. Альтернативой традиционным методам становится концепция data security platform (DSP), в рамках которой защита фокусируется на самих данных, а не на месте их хранения».

Именно эта концепция легла в основу PT Data Security — нашего единого решения для защиты данных, MVP-версия которого была представлена осенью 2024 года. Уже сейчас специалисты по ИБ, наши клиенты и партнеры могут принять участие в программе предварительного тестирования. Продукт позволит выявлять критически значимые сегменты и системы, содержащие чувствительные данные, и обнаруживать подозрительные обращения к важной информации.

@Positive_Technologies
#PositiveЭксперты

🤔 Интересуетесь трендами и развитием систем анализа трафика?

Поговорим об этом на вебинаре 18 марта в 14:00. Обсудим ключевые аспекты, определяющие эффективность NTA- и NDR-систем, и поделимся планами совершенствования инструментов реагирования в PT NAD 🌐

🔥 Горячие темы для обсуждения:

🔴 Тренды в анализе трафика — изменение требований к системам в условиях растущего числа киберугроз и усложнения сетевой инфраструктуры.

🔴Чек-лист требований к современным системам анализа трафика от мирового аналитического агентства.

🔴 Что важнее: соответствовать чек-листу или оперативно выявлять угрозы за счет грамотного мониторинга внутренних сетей и периметра.

🔴 Дорожная карта развития реагирования в PT NAD.

Регистрируйтесь заранее и готовьте вопросы!

#PTNAD
#PositiveЭксперты
@Positive_Technologies

🔥 Выход на международный рынок и объем отгрузок более миллиарда: подводим итоги PT NGFW за 2024 год

Сегодня мы провели ежегодное мероприятие для партнеров «День открытых дверей», где подвели главные продуктовые итоги года. Фокус был сделан на финансовых результатах межсетевого экрана нового поколения PT NGFW.

Отправной точкой для старта массовых отгрузок PT NGFW стал день презентации продукта — 20 ноября 2024 года.

📊 На карточках делимся ключевыми результатами, которых удалось достичь за полтора месяца. А здесь рассказываем подробнее:

• Общий объем отгрузок PT NGFW за 2024 год составил 1,2 млрд рублей.

• PT NGFW для защиты своей инфраструктуры выбрали 45 компаний (одна из них — зарубежная). Сейчас эти проекты находятся в разной стадии реализации — от начала внедрения и до успешной эксплуатации. Самые крупные реализованы для компаний из ритейла и финансового сектора.

Максим Филиппов, заместитель генерального директора Positive Technologies, отметил:

«Мы в Positive Technologies любим вызовы. И история PT NGFW тому подтверждение. В 2022 году мы поставили себе цель разработать NGFW за 2 года, когда международные вендоры к этому шли десятилетиями. И в 2024-м мы уже ставили рекорды по скорости и производительности среди отечественных и зарубежных вендоров на рынке, где есть сильнейшие конкуренты.

Теперь мы смотрим на этот забег в 2025 году и видим, что все усилия были не зря. Благодаря вере наших клиентов и партнеров в PT NGFW мы можем наблюдать как одна за другой российские компании для обеспечения стабильности и защиты своего бизнеса от кибератак выбирают PT NGFW».

• Среди преимуществ продукта клиенты отмечают отказоустойчивость, высокую производительность, которая в начале 2025 года была подтверждена тестированием в лаборатории BI․ZONE, а также технический фундамент, основанный на опыте лучших сетевых инженеров и разработчиков.

• Помимо прочего, PT NGFW на рынке выделяет тот факт, что продукт первым среди конкурентов получил сертификат ФСТЭК России по новым требованиям как многофункциональный межсетевой экран уровня сети. Это и стало отправной точкой для старта отгрузок: документ дал возможность внедрять PT NGFW на объектах критической информационной инфраструктуры.

• Клиенты также отмечают качество обнаружения киберугроз (catch rate), которое составило 85,3% запущенных атак, и высокий уровень техподдержки: среднее время ответа эксперта на обращение составляет всего 7 минут.

• С первого дня отгрузок PT NGFW в рамках сертификата технической поддержки мы гарантируем замену оборудования в случае его поломки в течение одних суток. По итогам первых месяцев промышленных эксплуатаций уровень fail rate составил менее 1% всех отгруженных программно-аппаратных комплексов PT NGFW.

🔥 Заказать PT NGFW можно на нашем сайте.

#PTNGFW
@Positive_Technologies