fbpx

Representative offices: 

Request callback
btn

WHAT'S NEW IN LABYRINTH DECEPTION PLATFORM: RELEASE 2.0.32

News

Labyrinth has released a new version of its more efficient solution for detecting and stopping hacking within corporate networks. This update offers a number of improved features that we will discuss in detail in this article.


New + Improved

Partial Generate/Terminate for Honeynets

Unlike the classic Generate/Terminateprocess, which creates Points globally for all Honeynets, the partial Generate / Terminate process allows to generate or delete Points for each Honeynet separately. This allows making changes to the configuration of Labyrinth much faster because there is no need to wait for the Points to be created for all Honeynets when making minor changes to a particular Honeynet.



Access to the web interface from Worker Node

Since this release, the web interface of Labyrinth is available not only from the Admin Consolebut also from every Worker Node. Now, it is enough to put an IP address of the Worker Node in the address bar of the browser and the main web interface of Labyrinth will be displayed.

This feature will be useful in case of distributed Labyrinth installations when one or more Worker Nodes are installed in different locations, and access to the location of Admin Console is limited.

NOTE The Web interface on Worker Node is enabled by default and cannot be disabled at this time. In the next release the possibility of disabling this feature.


Optional scanning of Honeynets networks

Before each Labyrinth generates process, scanning of all networks registered in the configuration of all Honeynets is performed. Network scanning is necessary to automatically find services (IP addresses and ports) for Universal Web Point (HTTP / HTTPS services), Windows 10 Host (RDP services), etc. This allows to start deployment of Labyrinth automatically or semi-automatically.

The scanning process significantly slows down Labyrinth generation process (depending on the number of networks and their size), and in some Honeynet configurations are not required. For example, if to specify web services for Universal Web Point in a Honeynet configuration in the Allowed IP Addresses (CSV)field, there is no need to scan the network for finding web services.

Starting from this release, it is possible to enable or disable scanning of Honeynet-related networks in the configuration of each Honeynet. This significantly speeds up generation process.

Along with the partial generation, this feature significantly reduces time needed to make changes to the configurations of Labyrinth.


Improved Universal WEB Point

The Universal Web Point type has been significantly redesigned. The main functions include the following:

  1. Automatic cloning of TLS / SSL certificate. That is, when starting this type of point, he tries to create a self-signed certificate, which is as similar as possible to the original.
  2. Ability to "listen" to more than one TCP port. Previously, Point of this type could "listen" on one TCP port. That is, if the original application, say, "listens" on port 80 with a redirect to HTTPS, then Universal Web Point would listen only to HTTPS.
  3. Added detection and simulation of Log4Shell vulnerability


Settings Integrations migration

The Settings -> Integrations options have been significantly redesigned and improved. These changes concern both the appearance (a more compact list of integrations) and fixing minor bugs.

NOTE We recommend checking the integration settings after the upgrade.

Wordlists forms and Honeynet refactoring

Wordlist (hostnames, usernames, passwords) has been significantly redesigned. In contrast to the global lists previously used to generate Labyrinth, these lists are customizable for each Honeynet. Now, there is an ability to specify different lists, for example hostnames, for each network segment.


List of available (downloaded Wordlist):


Honeynet settings:


The new Point type: VMWare vCenter Virtual Appliance

Added the new type of Point - VMWare vCenter Virtual Appliance. This is an imitation of the login form of VMWare vCenter 6.8 Virtual Appliance, which contains the Log4Shell vulnerability.

Fixes

Seeder Tasks: empty seeder tasks after generation

Fixed. Under certain circumstances, Seeder Tasks were not generated for Seeder Agents that connected after Generate. Expected Behavior: After Generate, Seeder Tasks should be created for new agents connected after Generate.


Seeder Tasks: empty related point_id

Fixed. At certain settings of the Labyrinth the following situation could arise:


TLS Certificate and Key Content-Type issue

Fixed. If the downloadable certificate or key is in the correct format, but with the wrong file extension, it was not possible to download it. Now it doesn't matter with which file extension, the main thing is to have the correct file format: PEM-encoded x509 certificate, and PEM-encoded RSA key.


Learn more about Labyrinth's innovative cyber solution.


iIT Distribution is the official distributor of the Labyrinth solutionwhich not only provides software, but also provides a full range of support and consulting services. Our company offers initial expertise and assessment of the state of IS of your company from qualified specialists, selection of equipment and software, as well as the implementation of comprehensive cybersecurity solutions in the existing infrastructure. In today's reality, it is very important to remain vigilant without postponing the issue of protecting your systems.

Back

Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR

News

Palo Alto Networks проінформувала клієнтів про вразливості, які можуть дозволити зловмиснику відключити її продукти, а саме Cortex XDR – свою топову платформу з виявлення та реагування на комп’ютерні загрози з великим покриттям – від захисту кінцевих точок до мережевого та хмарного захисту!


Про проблеми стало відомо від ентузіаста з ніком mr.d0x, який повідомив, що агент Cortex XDR може обійти зловмисник з підвищеними привілеями. Дослідник виявив, що агент може бути відключений локальним зловмисником із правами адміністратора шляхом простої зміни ключа реєстру, що залишить кінцеву точку вразливою до атак. Причому функція захисту від несанкціонованого доступу не запобігає використанню цього метода.


Крім того, mr.d0x виявив, що за замовчуванням існує "пароль для видалення", який (якщо він не був змінений адміністратором) також може використовуватися для відключення агента XDR. А якщо пароль за замовчуванням все ж таки був змінений, хеш нового пароля можна отримати з файлу, що дає можливість зловмиснику спробувати зламати пароль.

Щобільше, зловмисник, який не має прав адміністратора, також може отримати цей хеш. Фахівець розповів, що виявив ці вразливості ще влітку 2021 року, але лише зараз опублікував повідомлення у блозі з докладним описом результатів, щоб дати постачальнику достатньо часу для ухвалення відповідних заходів. Однак Palo Alto Networks все ще працює над виправленнями та засобами захисту від цих проблем.


Незважаючи на це все, кіберкомпанія проінформувала клієнтів про вразливість відмови в обслуговуванні (DoS), що стосується функції DNS-проксі в її програмному забезпеченні PAN-OS. Під час реалізації сценарію MitM-атаки (людина посередині) зловмисник може використовувати спеціально створений трафік для порушення роботи вразливих брандмауерів. Патчі оновлень доступні для всіх підтримуваних версій PAN-OS.

Також під час реалізації MitM зловмисник може запустити DoS-атаку на PAN-OS, додатку GlobalProtect та агенті Cortex XDR, використовуючи нещодавно виправлену вразливість OpenSSL, відстежувану як CVE-2022-0778.


У Palo Alto Networks заявили, що для компанії не є відомими атаки з використанням цих вразливостей у дикій природі і, на її думку, ці помилки мають рейтинг серйозності «середній», «низький»» або «інформаційний».

Back

Advanced anti-DDoS solutions from A10 Networks are available for installation!

News

Whether we like it or not, our systems are in the zone of cyber warfare to one degree or another in today's environment. You must be prepared for the worst, as threats are waiting for their potential victims at every turn, and that' s why the iIT Distribution team understands how important it is to be committed to an ongoing process of customer protection.


Due to the temporary constraints on the supply of hardware from the leader in developing solutions for balancing traffic, network perimeter protection and optimization of IP addressing A10 Networks, we would like to draw your attention to high-performance anti-DDoS solutions A10 Thunder TPS, available for seamless and fast deployment in a virtual environment.

High scalability, performance and deployment flexibility make the vThunder TPS a leader among other cyber products for detecting / preventing DDoS attacks., This solution, depending on the type of license and hardware capabilities of the virtual environment, can work with up to 100 Gbps, supporting flow detection of up to 1.5 million frames per second.A wide range of implementations on any virtual platform (ESXi, KVM, Hyper-V) makes vThunder TPS easily adapted to all possible deployment options.

Learn more about solutions from A10 Networks.


We are ready to provide our customers with A10 Thunder TPS trial licenses with full functionality for the required term (pilot period, setup, and start-up periods). Please pay attention that after signing the contract for purchasing the solution, the license replacement will take minutes without causing the customer's system to stop. This also applies to other products from A10 (A10 Thunder ADC and A10 Thunder CGN).

iIT Distribution is an official distributor of A10 Networksproviding distribution and promotion of vendor's solutions in Ukraine, Kazakhstan, Uzbekistan, and Georgia, as well as professional support in their design and implementation.

Back

Inspur Information Rated Gartner Hype Cycle Sample Vendor of Cloud-Optimized Hardware for Second Year

News

Inspur, a leading provider of server equipment, storage systems and cloud computing services, has once again been selected by Gartner as a Sample Vendor of cloud-optimized hardware for its “Hype Cycle for Cloud Computing".


Gartner mentions Inspur in its reports for the second year in a row, highlighting the benefits of the company's main cloud technologies in active use today, as well as innovations that are emerging to support future needs.

According to Gartner, a world-leading information technology research and consulting firm, large-scale mature applications will be introduced in the next 2-5 years due to an increasing number of Сloud-Оptimized hardware innovations for large-scale cloud data centers.


Cloud computing has pushed the limits of hyperscale cloud services in terms of agility and elasticity. Gartner’s report shows that in the field of infrastructure, hyperscale cloud service providers need more agile and innovative products and services to reduce power consumption and operating costs of data centers, and to optimize specific workloads. Hyperscale cloud service providers are working with device manufacturers to adopt cloud-optimized hardware, and an increasing number of IT teams are using Сloud-Оptimized hardware in their large-scale data centers.

This hardware mainly includes servers, networks, storage, and customized chips. Gartner pointed out that cloud-optimized racks and server designs can reduce power consumption based on loads, simplify physical installation, and speed up delivery. For example, Тhe Open Compute Project (OCP), which Inspur has an active role in, defines standards for all-in-one rack servers in data centers. The data shows that by using cloud-optimized open computing all-in-one rack servers, a large-scale data center customer of Inspur Information decreased its power consumption by 30%, reduced system failure rates by 90%, increased the ROI by 33% and increased OPS efficiency more than threefold. Inspur Information was able to deliver 10,000 servers to the customer each day.


To date, open computing technologies have been applied on a large scale in Internet companies, which operate the most advanced data centers. Top companies in key industries such as communications, finance, and energy around the world have also joined open computing organizations and make full use of open computing technologies in building their data centers.

As the world’s only server vendor that has joined all the three open computing organizations (OCP, ODCC, Open19)), Inspur Information actively contributes product specs, participates in the development of standards, and leads project implementation. By leveraging open computing, an innovative way to enable global collaboration, Inspur Information works with the upstream and downstream enterprises in the industry to explore sustainable innovative solutions for the infrastructure of large-scale data centers, such as liquid-cooled servers, high-speed network communication, and intelligent OPS.

Gartner recently released its global server market data for the third quarter of 2021. Inspur Information ranked second in the world with a market share of 11.3%. With its global presence expanding rapidly, Inspur Information has a rising market share across many industries, which it attributes to its contribution to open computing organizations.


iIT Distribution is the official distributor of reliable and competitive Inspur products in Ukraine, Georgia, Kazakhstanand Uzbekistan, offering its support in implementing the company's intelligent solutions in many production areas. iITD strives to provide its customers with only high-tech and efficient equipment to build a reliable enterprise IT infrastructure.

Get to know Inspur products better! The product line will be supplemented with new products, so stay tuned.

Back

FAST DELIVERY OF INFINIDAT AND INSPUR SOLUTIONS AVAILABLE NOW!

News

iIT Distribution announces that, despite all the external circumstances, the company's logistics is working intensively!

You can simply take advantage of fast delivery of multi-petabyte enterprise-class DSS solutions from INFINIDAT, as well as Inspur high-end server hardware on demand. We are ready to deliver your selected products in a MAXIMUM of 45 days after you submit your order.

To order, contact infinidat@iitd.com.ua and inspur@iitd.com.ua respectively.


As a reminder, INFINIDAT is the market leader in storage systems according to the Gartner 2021 Magic Quadrant for core storage systems! The company has developed its own innovative storage technologies (both primary - InfiniGuardsolutions, and disk backup - Built using the market-leading InfiniBox solution) and reliable protection of thousands of terabytes of data at the lowest possible price.

Learn more about INFINIDAT solutions.


We are excited to introduce you the products of Inspur, the company that is the absolute leader in the Chinese AI server market and the No. 3 server provider in the world (according to IDC and Gartner estimates).Inspur's high-end storage solutions have set more than 80 records in various tests, such as TPC-E, TPC-H, SPECAppServer and SPECPower!

Check out products from Inspur to suit all tastes!


If you have delayed this before, now is the time to focus on the selection and purchase of truly high-quality equipment for reliable storage of data from world leaders in the industry.

iIT Distribution is constantly concerned about the security and efficient, uninterrupted operation of our customers' IT infrastructures. In wartime, we feel a special responsibility for the security and digital comfort of every customer. That is why iITD, as an official distributor of INFINIDAT and Inspur, will continue to offer its support in selecting, designing and implementing the most effective cyber solutions of these vendors.

Back

Кібератака на українські державні сайти: що нам відомо сьогодні

News

У ході атаки, що сталася в ніч з 13 на 14 січня, хакерами був здійснений злам низки українських урядових сайтів – Міністерства закордонних справ, Міністерства освіти та науки, Міністерства оборони, Державної служби з надзвичайних ситуацій, Кабінету Міністрів та інших. Усього було атаковано близько 70 сайтів, офіційний контент на яких було змінено на текст-звернення до українця як збірного образу, опублікований російською, українською та польською мовами (звернення містить нагадування про «етнічну чистку» польського народу на Волині та Галичині).



Українська команда CERT повідомила, що зловмисники використали вразливість у жовтневій CMS (CVE-2021-32648 – патч, що знаходиться у відкритому доступі із серпня 2021 року). Служба безпеки України (СБУ) своєю чергою заявила, що хакери отримали доступ до інфраструктури компанії, яка надає керовані послуги (Managed Services) деяким зі зламаних сайтів.

Відповідно до більшості офіційних джерел, головною метою атаки була не крадіжка даних, не зупинка роботи урядових систем, а сіяння хаосу, паніки та недовіри.


Але чи було це лише псування державних сайтів, яке спровокувало звинувачення польських хакерів у скоєному (хоча хто може повірити в це безглуздя)?

Сьогодні існують додаткові факти, які вказують на те, що ця подія є значно серйознішою, ніж може здатися:

  • Згідно з інформацією від Моторного (транспортного) страхового бюро України (МТСБУ), їх бази даних тимчасово недоступні. Вірогідна причина – зовнішня атака. Ходять стійкі чутки, що бази даних МТСБУ були знищені хакерами, і характер зазначеного збою викликає серйозні побоювання в тому, що ці чутки можуть бути обґрунтованими;
  • Як стверджують інформаційні джерела компанії Learn more about Labyrinth's innovative cyber solution, питання журналістів на пресконференції Державної служби спеціального зв'язку та захисту інформації України (ДССЗЗІ) про те, чи отримали зловмисники доступ до Єдиного державного реєстру судових рішень, було не випадковим. Наразі українська CERT з'ясовує, чи міг зловмисник піти далі щодо інформаційних судових систем. Ці підозри можуть бути цілком раціональними;
  • Є перевірена інформація від ще однієї державної установи (NDA) про те, що вони втратили доступ до своєї платформи віртуалізації VMware і, відповідно, до всіх баз даних. Швидше за все, платформа була зашифрована.


З огляду на це, можна зробити такі висновки:

  • Це була добре спланована та організована supply chain атака. Реальні її цілі та наслідки поки не зрозумілі;
  • Вторгнення не розпочалося в ніч з 13 на 14 січня, тоді ми спостерігали скоріше останній етап цієї атаки. Навіть для добре підготовленої групи хакерів було б неможливо всього за кілька годин провести розвідку, знайти вразливості, обрати та реалізувати експлойти у різноманітних ІТ-інфраструктурах одночасно. Вірогідно, зловмисники отримали бекдори до інфраструктури жертв кілька місяців тому і мали достатньо часу на підготовку;
  • Деякі урядові бази даних та реєстри можуть бути викрадені без подальшого знищення або шифрування. У подібних випадках "тихої крадіжки" дуже складно оцінити масштаби втрат;
  • Варто очікувати, що вкрадені дані найближчим часом будуть використані для подальших атак на український уряд та приватні підприємства.


Спираючись на вищезгадані прогнози, команда Labirynth рекомендує всім українським юридичним особам переоформити свій цифровий підпис (ЄЦП) або хоча б змінити пароль до нього, а також відстежувати зміни у державних реєстрах.


У сьогоднішніх реаліях дуже важливо зберігати пильність, не нехтуючи питаннями забезпечення захисту своїх систем. iIT Distribution допомагає компаніям уникнути ризиків, пропонуючи передові та ефективні рішення безпеки. Ми не тільки забезпечуємо постачання ПЗ та технічного обладнання, але й надаємо повний комплекс послуг із супроводу та консультації. Наша компанія пропонує початкову експертизу та оцінку стану ІБ вашого підприємства від кваліфікованих фахівців, підбір обладнання та ПЗ, а також впровадження комплексних рішень кібербезпеки в наявну інфраструктуру.

Звертайтесь до нас через форму зворотного зв'язку на сайті та отримайте консультацію від професіоналів!

Back

Головна

Release

15 січня стало відомо, що проти низки українських організацій було розгорнуто набір шкідливих програм, що отримав назву WhisperGate. За численними даними, інцидент був викликаний трьома окремими компонентами, розгорнутими одним і тим самим зловмисником: шкідливий завантажувач, що пошкоджує виявлені локальні диски, Discord-завантажувач і File Wiper.

Back

Технічний аналіз шкідливого завантажувача WhisperGate, націленого на українські організації

News

15 січня стало відомо, що проти низки українських організацій було розгорнуто набір шкідливих програм, що отримав назву WhisperGate. За численними даними, інцидент був викликаний трьома окремими компонентами, розгорнутими одним і тим самим зловмисником: шкідливий завантажувач, що пошкоджує виявлені локальні диски, Discord-завантажувач and File Wiper.

Активність відбулася приблизно в той же час, коли кілька веб-сайтів, що належать уряду України, були атаковані.

Розглянемо цей шкідливий завантажувач детальніше.


Деталі


Компонент інсталятора для завантажувача має наступний хеш SHA256:

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

і містить часову мітку 2022-01-10 10:37:18 UTC. Він був зібраний за допомогою MinGW, аналогічного компоненту file-wiper. Цей компонент перезаписує головний завантажувальний запис (MBR) зараженого хоста шкідливим 16-бітним завантажувачем з хешем SHA256

44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8

який при завантаженні хоста відображає повідомлення про викуп (Рис. 1) та одночасно виконує деструктивні операції на жорстких дисках зараженого хоста.


Рис. 1: Підроблене повідомлення про викуп


Операція деструктивного видалення даних має такий псевдокод:


Періодично завантажувач перезаписує сектори всього жорсткого диска зараженого хоста з повідомленням, схожим на записку про викуп, з додатковими байтами (Рисунок 2).


Рис. 2: Шістнадцятковий дамп шаблону, записаного на диски зараженого хоста


Дані складаються з рядка AAAAA, індексу зараженого диска, повідомлення про викуп і магічного значення 55 AA в колонтитулі MBR, за яким слідують два нульові байти.

Завантажувач отримує доступ до диска через переривання BIOS 13h в режимі логічної адресації блоків (LBA) і перезаписує кожен 199 сектор, поки не буде досягнутий кінець диска. Після його пошкодження, шкідлива програма перезаписує наступний диск зі списку виявлених.

Цей процес не відрізняється складністю, але нагадує більш сучасну реалізацію шкідливого MBR вірусу NotPetya, який маскувався під легітимну утиліту відновлення диска chkdsk, а насправді пошкоджував файлову систему зараженого вузла.

Програма встановлення завантажувача не ініціює перезавантаження зараженої системи, як це спостерігалося у минулих вторгненнях, таких як BadRabbit and NotPetya. Відсутність примусового перезавантаження дозволяє припустити, що нападник зробив інші кроки для його ініціювання (наприклад, за допомогою іншого Implant) або вирішив дозволити користувачам виконати перезавантаження самостійно. Відкладене перезавантаження може дозволити запустити інші компоненти вторгнення WhisperGate (наприклад, File Wiper).


Оцінка


Шкідлива програма-завантажувач WhisperGate доповнює свого "напарника" File Wiper. Обидві програми спрямовані на безповоротне пошкодження даних заражених вузлів і намагаються маскуватися під сучасні операції з вимагання. Однак завантажувач WhisperGate не має в собі механізму розшифровки або відновлення даних, а також відрізняється від шкідливих програм, які зазвичай використовуються під час ransomware.

Хоча повідомлення про викуп передбачає, що жертви можуть розраховувати на відновлення своїх даних, це технічно неможливо. Ці невідповідності з великою ймовірністю вказують на те, що діяльність WhisperGate спрямована на знищення даних на уражених ресурсах. Хоча ця оцінка зроблена з часткою припущення, оскільки технічний аналіз WhisperGate все ще продовжується.

Ця активність нагадує руйнівну шкідливу програму NotPetya від VOODOO BEAR, яка включала компонент, що видавав себе за легітимну утиліту chkdsk і ушкоджував Master File Table (MFT) зараженого вузла – критично важливий компонент файлової системи NTFS від Microsoft. Однак завантажувач WhisperGate менш складний, і на сьогодні в ньому не вдалося виявити технічних збігів з операціями VOODOO BEAR.


Актуальні розвіддані про WhisperGate, представлені командою CrowdStrike products, є інформацією, що базується на високоякісних даних з кількох джерел. І хоча високий ступінь якості вихідної інформації не означає, що ця оцінка є незаперечним судженням, кіберрозвідка CrowdStrike здатна дати розуміння мотивів, цілей та планів зловмисника. Саме це дозволяє приймати більш швидкі та обґрунтовані рішення у сфері безпеки та змінювати свою реактивну поведінку на проактивну.

Дізнатися більше про рішення від CrowdStrike products.


iIT Distribution – офіційний дистриб'ютор рішень компанії CrowdStrike. Наші партнери, клієнти та організації будь-якого масштабу можуть отримати доступ до високоефективних продуктів CrowdStrike, зробивши запит пробної версії на нашому сайті.

Back

Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди

News

Що сталося?

Нещодавно компанія Microsoft оприлюднила два критичні CVE, пов'язані з Active Directory (CVE-2021-42278 і CVE-2021-42287), які при їх комбінованому використанні зловмисником можуть призвести до підвищення привілеїв і, як наслідок, — до компрометації домену.

У середині грудня 2021 року був виявлений експлойт, що поєднує ці два дефекти в Microsoft Active Directory (його також називають "noPac"). Він дозволяв зловмисникам підвищувати привілеї звичайного користувача домену до адміністратора, що давало можливість здійснити безліч атак, таких як заволодіння доменом або ransomware.

Це викликає серйозне занепокоєння, оскільки цей експлойт був підтверджений багатьма дослідниками як експлойт, який не потребує значних зусиль для його експлуатації і несе в собі дійсно критичний вплив на безпеку інфраструктури. Дослідники з Secureworks продемонстрували, як можна використовувати ці вразливості Active Directory для отримання привілейованих прав доступу до домену лише за 16 секунд. Так, ви все правильно зрозуміли – зламаний домен за чверть хвилини!


Наслідки та реакція Microsoft

До цих уразливостей не можна ставитися несерйозно, оскільки тепер існує загальнодоступний експлойт, що дозволяє захопити домен без особливих зусиль (з використанням стандартного налаштування). Захоплення привілеїв домену дозволяє суб'єктам загроз отримати контроль над ним і використовувати його як відправну точку для розгортання шкідливого ПЗ, включаючи ransomware. Це один із найсерйозніших експлойтів, виявлених за останні 12 місяців, але він був менш обговорюваним, частково через підвищену увагу до вразливості Log4j. Microsoft схарактеризувала останню CVE як "менш ймовірну" загрозу безпеці, хоча експлойти на той момент вже були оприлюднені.

Проте, у зв'язку з критичністю виявлених помилок Microsoft опублікувала посібник для користувачів, який містить інструкції про те, що необхідно зробити, щоб знизити ймовірність компрометації за допомогою цього публічного експлойту.


Серед рекомендацій:

  • Переконатись, що всі контролери домену (DCs) "пропатчені". Якщо хоча б один з них залишиться невиправленим, це означатиме, що весь домен, як і раніше, вразливий. Виправлення контролера домену не є тривіальним завданням з огляду на його критично важливі властивості.
  • Виконати ручний пошук підозрілих подій, а потім використовувати ці події як відправну точку для подальшого ручного розслідування. Щобільше, потрібно буде не лише виконати ручний пошук, а й вручну вказати всі назви контролера домену. Знову ж таки, будь-яка допущена помилка може призвести до упущення зачіпок у пошуку.


Що це означає для користувачів Falcon?

Користувачі CrowdStrike Falcon Identity Protection можуть автоматично виявляти спроби використання цих вразливостей — навіть якщо вони не мали можливості застосувати виправлення до контролера домену Active Directory. Це стало можливим завдяки нещодавно випущеному розширенню від CrowdStrike products, яке дозволяє автоматично детектувати використання CVE-2021-42278 та CVE-2021-42287 (також відомих як "noPac"), сповіщаючи про будь-які спроби їх використання. CrowdStrike розуміє, що командам безпеки і без цього доводиться нелегко, тому виробники подбали про те, щоб процес виявлення не вимагав додаткового ручного налаштування з боку клієнтів.

На додаток до вищезгаданої функції виявлення, Falcon Identity Protection може блокувати noPac за допомогою простої політики, що забезпечує багатофакторну автентифікацію (MFA) для користувачів, незалежно від факту виявлення. Таким чином, юзери, захищені політиками Falcon Identity Protection знаходяться в безпеці.


Це не перший випадок, коли користувачі Falcon Identity Protection отримують надійний захист від виявлених вразливостей Microsoft Active Directory.

У січні 2021 року було виявлено вразливість MSRPC Printer Spooler Relay (CVE-2021-1678), що вимагає від користувачів негайного внесення виправлень. І в цьому випадку недостатньо було просто "пропатчити" свою інфраструктуру — потребувалося додаткове налаштування. Falcon Identity Protection також покрив цю вразливість, виявивши аномалії NTLM and атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) – ще один приклад уразливості, яку помітили понад рік тому. Розв'язання цієї проблеми з боку Microsoft полягало в тому, щоб попросити користувачів негайно "пропатчити" контролери домену. І в той час, як користувачі Falcon Identity Protection вже мали всі необхідні засоби для виявлення, Microsoft досі зволікають із запланованим випуском інструментів виявлення CVE-2020-17049.

Існують інші вразливості, такі як Zerologon (CVE-2020-1472), які щорічно знаходять у Microsoft Active Directory, а також постійні проблеми з компрометацією supply chain Microsoft AD.


Ймовірно, у майбутньому ми не перестанемо спостерігати нові вразливості. Питання лише в тому, наскільки добре захищена ваша організація, перш ніж ви зможете створити патч у своєму середовищі і переконатися, що при цьому більше нічого не порушено. Як видно з наведених вище прикладів, користувачі Falcon Identity Protection захищені не лише спеціальними засобами виявлення, але й можливістю застосування політики Zero Trust для запобігання крадіжці облікових даних та експлуатації в домені.


Висновок

Ця вразливість ще раз демонструє прямий взаємозв'язок між ідентифікацією (identity) та програмами-вимагачами. Встановлення патчів та зміна конфігурації може забрати багато часу, особливо за наявності декількох вразливостей одночасно (наприклад, Log4j). CrowdStrike products на постійній основі забезпечує безперебійну безпеку та захист своїх клієнтів для того, щоб вони мали змогу вільно пріоритизувати свою роботу відповідно до бізнес-плану.

Learn more about solutions from CrowdStrike products.


iIT Distribution пропонує компаніям найкращі рішення для захисту та підвищення ефективності своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.

Back

Витік секретних IP-адрес Pfizer не є рідкістю. Захистіть свої хмарні дані за допомогою проактивного шифрування

News

Нещодавно фармацевтична компанія Pfizer підтвердила факт витоку тисяч внутрішніх документів, включно з комерційними секретними даними, пов'язаними з вакциною від COVID-19. У судовому позові Pfizer заявили, що їхній колишній співробітник, ще працюючи в компанії, переніс конфіденційні дані на свої особисті хмарні облікові записи та пристрої.


Ми часто асоціюємо кіберпорушення з корпоративним шпигунством або діяльністю просунутих угруповань. Але чи маємо ми рацію? Цей інцидент є прикладом досить типового порушення, що важко виявляється завдяки хмарним технологіям. Йтиметься про витік даних. Це може бути випадковий "fat fingering" (безглузда помилка, спровокована людським фактором), навмисна крадіжка даних — як у випадку з Pfizer — або злом облікового запису, сьогодні дані переміщуються швидше, ніж будь-коли, через наростальну потребу компаній у хмарних додатках для підтримки продуктивності.


Інцидент із Pfizer не є чимось надприродним. Тому для боротьби з подібними проблемами організаціям необхідно виходити з того, що їхні конфіденційні дані в кінцевому підсумку можуть бути передані неавторизованим сторонам. Це означає одне: ніщо і ніхто не заслуговує на довіру, поки не буде проведена перевірка в рамках системи Zero Trust.


Для того, щоб скористатися перевагами хмарної продуктивності й при цьому захистити конфіденційні дані, необхідно мати продукт безпеки, здатний приймати інтелектуальні рішення про доступ на основі поведінки користувачів, ступеня ризику кінцевих точок, додатків, що використовуються, і рівня чутливості даних, до яких здійснюється доступ.


Як саме стався витік секретних IP-адрес компанії Pfizer?

Імовірно, обвинувачений мав привілейований доступ до конфіденційних та захищених від сторонніх очей даних завдяки своїй посаді у глобальній команді з розробки продуктів компанії. Перед тим як залишити Pfizer, він продублював дані на кілька особистих пристроїв та хмарних сховищ. Внутрішні системи Pfizer, як з'ясувалося, зафіксували ці аномальні дії, але після того, як файли вже були скопійовані. Згідно з заявою Pfizer, 12 000 вкрадених внутрішніх документів включають інформацію про розробку препарату COVID-19 та нові ліки для лікування меланоми.

Це типовий приклад інсайдерської загрози – шкідливої для організації діяльності, що походить від людей усередині неї, таких як співробітники, колишні співробітники, підрядники або ділові партнери, які мають внутрішню інформацію про методи забезпечення безпеки організації, її дані та комп'ютерні системи.


Три функції, необхідні вашому рішенню для захисту хмарних даних

Раніше була зазначена одна деталь: Pfizer мала можливість виявити аномальну поведінку. Але чого компанії насправді не вистачало — це функції проактивного шифрування даних.

І хоча підключення до хмари посилює прогалини в безпеці, інтегровані cloud-based рішення здатні допомогти організаціям не відставати від загроз, що розвиваються.


Існує три функції, які необхідні вашому інтегрованому рішенню безпеки для захисту організації від витоків:

1) Забезпечення видимості поведінки користувачів

Аналітика поведінки користувачів та суб'єктів (UEBA) має вирішальне значення в розумінні того, як саме користувачі взаємодіють з вашими додатками та даними. Найчастіше загрози безпеці не пов'язані зі шкідливим ПЗ. Натомість для заподіяння шкоди може використовуватися привілейований обліковий запис, який має доступ до конфіденційних даних.


2) Розуміння того, якими програмами користуються ваші співробітники

Крім поведінки користувачів, ваше рішення для кібербезпеки має розуміти, які програми використовують ваші співробітники, незалежно від того, санкціоновані вони ІТ-відділом чи ні. Тіньові ІТ стали великою проблемою зараз, коли хмарні програми такі легкі в розгортанні, і багато співробітників мають версії корпоративних додатків (таких, як Google Workspace і Microsoft Office 365).

За даними Bloomberg Law, у жовтні 2021 року компанія Pfizer впровадила інструмент, що дозволяє виявити завантаження файлів співробітниками у хмарні програми. Але знову ж таки, лише виявлення не змогло запобігти витоку інформації.


3) Автоматизоване шифрування

Автоматизовані дії, спрямовані на захист даних – це ключовий аспект забезпечення безпеки. У вас можуть бути інструменти для виявлення аномальної поведінки користувачів, але без інтелектуального механізму впровадження політик ви, на жаль, нічого не зможете зробити, щоб зупинити витік даних.


Таким чином, ваше передове рішення для захисту даних повинно включати дві технології: перша — запобігання втраті даних (DLP), здатна класифікувати і визначати ступінь конфіденційності інформації, а також застосовувати різні обмеження, такі як маркування слів або редагування ключових слів; друга — управління цифровими правами підприємства (E-DRM), яке може шифрувати секретні дані під час їх завантаження.


Четвертий елемент пазлу: телеметрія кінцевих точок та інтегрована платформа

Цей інцидент доводить, що навіть за наявності найкращих у світі систем класифікації даних та виявлення аномалій просто необхідно забезпечити можливість вживання активних захисних заходів. Щоб убезпечити свої хмарні дані, компанії переходять на модель Zero Trust, за якої ніхто не вважається надійним і не отримує доступу, поки не буде перевірений рівень потенційних загроз. Але для прийняття ефективних рішень щодо політики доступу, які не знижують продуктивність, потрібні саме інтегровані відомості.


Lookout Security Platform пропонує не тільки телеметрію про користувачів, додатки та дані, але й захист кінцевих точок. Оскільки співробітники тепер використовують для роботи будь-які пристрої, які є в їхньому розпорядженні, організації постійно наражаються на ризики та загрози, що знаходяться на цих кінцевих точках. Аналізуючи рівень чутливості ваших даних, а також коливання рівня ризику для користувачів, додатків і кінцевих точок, Lookout дозволяє організаціям приймати розумні рішення в питаннях доступу.


Щоб дізнатися докладніше про те, як можна захистити дані організації в «хмарному» середовищі, читайте більше про платформу безпеки Lookout.


iIT Distribution є офіційним дистриб'ютором продуктів компанії Lookout, що забезпечує дистрибуцію та просування рішень на територіях України, Казахстану, Узбекистану та Грузії, а також професійну підтримку для їх проєктування та впровадження.

Back

Mobile Marketing
+