Глобальная информатизация неизбежно ведет к непрерывному росту числа уязвимостей в информационных системах. Виной тому и недостаточное внимание к принципам безопасной разработки, и уязвимость архитектуры таких решений, и пресловутый человеческий фактор. Только за 2020 год в программном обеспечении различных производителей было выявлено 18103 уязвимости. Это число превышает аналогичные показатели предыдущих лет, а более половины этих недостатков (57%) характеризуются высоким или критическим уровнем опасности, что влечет существенные риски для обладателей уязвимого ПО. Своевременная установка патчей может снизить эти риски.
Обнаружение и предоставление производителям ПО сведений о новых уязвимостях — одна из ключевых задач по повышению защищенности информационных систем. Positive Technologies — активный участник этого процесса. Наша компания руководствуется принципами ответственного разглашения (responsible disclosure): вся информация о найденной уязвимости и детали ее эксплуатации в первую очередь предоставляются производителю данного ПО, оказывается консультационная поддержка по устранению уязвимости, и только после того, как производитель официально выпустит обновление безопасности, по договоренности с ним мы публикуем результаты наших исследований в интернете.
Только за последние три года эксперты нашей компании находили и способствовали устранению сотен серьезных уязвимостей (в том числе критического уровня опасности) в программных решениях признанных мировых лидеров в производстве ПО, к примеру:
- VMware vCenter Server (CVE-2021-21972), в платформе, предназначенной для централизованного управления и автоматизации VMware vSphere, ключевого продукта в современных центрах обработки данных.
- Citrix ADC и Citrix Gateway (CVE-2019-19781), в решениях, которые широко применяются в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет.
- Cisco ASA (CVE-2020-3452, CVE-2020-3187, CVE-2020-3259), в серии аппаратных межсетевых экранов с возможностями межсетевого экранирования с учетом состояния соединений, глубокого анализа протоколов прикладного уровня, трансляции сетевых адресов, защищенных подключений к локальной сети через веб-интерфейс или протоколы динамической маршрутизации.
- F5 BIG-IP (CVE-2020-5902 и CVE-2020-5903), в контроллере доставки приложений, который применяют крупнейшие компании мира.
- Fortinet FortiWeb (CVE-2020-29015, CVE-2020-29016, CVE-2020-29018, CVE-2020-29019), в семействе межсетевых экранов для защиты веб-приложений.
- Palo Alto PAN-OS (CVE-2020-2037, CVE-2020-2036, CVE-2020-2038, CVE-2020-2039), в операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.
- SonicWall SonicOS (CVE-2020-5135, CVE-2020-5133, CVE-2020-5134, CVE-2020-5137, CVE-2020-5136, CVE-2020-5138, CVE-2020-5139, CVE-2020-5140, CVE-2020-5141, CVE-2020-5142, CVE-2020-5143), в операционной системе, использующейся в популярных межсетевых экранах компании SonicWall, которая занимает пятое место на глобальном рынке аппаратных средств безопасности.
Благодаря Positive Technologies были устранены уязвимости подсистемы Intel Management Engine в современных процессорах Intel, исправлены проблемы безопасности в решениях других крупнейших компаний, таких как Dell (CVE-2020-5366), Microsoft (CVE-2019-0697, CVE-2019-0726), Check Point (CVE-2020-6020), а также в системах промышленной автоматизации от Schneider Electric (CVE-2018-7760), Moxa (CSA-20-056-01, CVE-2019-9098, CVE-2019-9099, CVE-2019-9102), Rockwell (ICSA-20-070-06), Siemens (ICSA-19-036-04).
Наша компания является активным участником международного сообщества OWASP (Open Web Application Security Project), открытого проекта по обеспечению безопасности веб-приложений. Исследования Positive Technologies направлены на освещение ключевых проблем ИБ и продвижение передовых подходов в области защиты информационных систем. В число наших исследований входят:
- Анализ актуальных киберугроз — ежеквартальные публикации, посвященные эволюции современных киберугроз и направленные на помощь организациям в отслеживании актуальных тенденций в мире ИБ.
- Статьи, посвященные исследованиям теневого рынка киберуслуг («Взлом на заказ» и «Доступ на продажу»), в которых раскрываются преступные схемы злоумышленников, что помогает специалистам по ИБ более эффективно спрогнозировать потенциальные угрозы для их организаций.
- Исследования защищенности IT-инфраструктуры крупнейших компаний («Внешние пентесты» и «Внутренние пентесты»), где в обезличенном виде мы делимся с сообществом ключевыми проблемами организации защиты сетевых периметров и локальных сетей. Подобные знания могут помочь компаниям избежать распространенных ошибок и учесть их при построении защиты собственной IT-инфраструктуры.
- Статьи, посвященные уязвимостям и угрозам мобильных систем, а также уязвимостям веб-приложений, в которых мы делимся экспертизой и знаниями о проблемах безопасности таких систем, предлагаем решения по защите.
- Исследования уязвимостей онлайн-банков, банкоматов и платформ для трейдинга, где мы рассказываем о способах атак, распространенных уязвимостях и методах их устранения.
- Анализ уязвимостей промышленных систем, в котором мы делимся с сообществом наиболее серьезными проблемами безопасности АСУ ТП и обращаем внимание промышленных компаний на необходимость более тщательного анализа и защиты оборудования в технологических сегментах внутренних сетей.
Другой стороной ежедневной работы экспертов Positive Technologies является анализ деятельности преступных кибергруппировок и публикация инструментов, позволяющих им эффективно противостоять. Наша компания активно участвует в глобальной борьбе против киберпреступности, анализирует тактики и техники преступников, делится результатами исследований в собственном блоге. Наши специалисты раскрыли подробности атак таких групп, как:
- Higaisa (Winnti, APT41) — группа стала известна благодаря атакам на разработчиков компьютерных игр.
- RTM — группа начала свою активность в 2015 году и атакует организации из различных отраслей с целью кражи денежных средств со счетов, кражи конфиденциальных документов, учетных записей.
- TaskMasters — основной целью группы является кража конфиденциальной информации организаций. При атаке злоумышленники стараются закрепиться в корпоративной информационной системе на длительное время и получить доступ к ключевым серверам компании, рабочим станциям высшего руководства, критически важным бизнес-системам.
- Calypso — группа активна как минимум с сентября 2016 года. Основной целью группы является кража конфиденциальных данных.
- TA505 — группа активна с 2014 года. За 6 месяцев 2019 года атаковала как минимум 26 компаний из 64 стран. Объекты атак — банки, исследовательские институты, организации энергетической промышленности, здравоохранение и авиационные компании. Цели группировки — кража финансовых средств и интеллектуальной собственности.
Во время массовых эпидемий шифровальщиков (например, NotPetya) наша компания в числе первых делилась рекомендациями по локализации угрозы и восстановлению систем.
Вся экспертиза компании не только публикуется в общедоступных источниках на двух языках (русском и английском), но и становится основой эффективности разрабатываемых систем защиты.
Positive Technologies призывает всех исследователей безопасности информационных систем придерживаться принципа ответственного разглашения и приглашает принять участие в международной конференции по ИБ Positive Hack Days 10.