Наши представительства: 

Заказать обратный звонок
btn

Итоги мероприятия "Экосистема безупречности: От инноваций в сфере безопасности к успеху в продажах"

Релиз

7 марта команда iIT Distribution стала организатором партнерского ивента в конгрессно-выставочном центре "Парковый". На мероприятии обсуждали кибервызовы с которыми сталкиваются украинские компании и охватили широкий спектр возможностей для удовлетворения потребностей заказчиков в защите информационных активов с помощью уникальных инструментов и сервисов от ведущих вендоров.


Встречу начали со вступительного слова от Сергея Кулика, руководителя украинского офиса iIT Distribution. Сергей рассказал об условиях современного киберпространства и какие зоны риска представляют наибольшую угрозу для безопасности данных и инфраструктуры организаций.

Специально приглашенные гости, Егор Аушев, СЕО компании Cyber Unit Technologies и Ростислав Кондрик, СОО Cyber Unit Technologies, представили первый украинский киберполигон Unit Range. Во время выступления спикеры подробно раскрыли возможности платформы Unit Range для тренировки специалистов и развития киберустойчивости, подчеркнув значение практических навыков в противостоянии киберугрозам.

Согласно статистике World Economic Forum, 95% киберинцидентов происходят из-за человеческой ошибки. Поэтому обучение, оценка навыков и практика по кибербезопасности является одной из самых больших потребностей украинских компаний.

Далее, Алексей МаркуцCrowdstrike Lead at iIT Distribution – выступил с презентацией на тему: "CrowdStrike: как побеждать конкурентов", где рассказал технологическое лидерство CrowdStrike широкий спектр функций платформы CrowdStrike Falcon, опыт внедрения решений и возможности CrowdStrike для удовлетворения потребностей заказчиков в Украине.

Следующий доклад был посвящен платформе SIEM от LogRhythm. Спикер Дмитрий Долинный раскрыл важность адаптации к изменяющимся условиям кибербезопасности и как современные технологии SIEM могут помочь в идентификации, анализе и реагировании на киберугрозы эффективнее, чем когда-либо. Особое внимание уделялось потенциалу LogRhythm в повышении уровня защиты организаций, оптимизации процессов выявления угроз и обеспечении соответствия нормативным требованиям.

Выступление Андрея Левченко, Fastly Presale at iIT Distribution , раскрыло потенциал нового игрока на украинском рынке WAF - Fastly. Главной темой доклада стало обсуждение Fastly в контексте ее инновационных подходов к обеспечению безопасности в цифровом пространстве и определение потенциальных заказчиков этой технологии.

В следующем блоке, Дмитрий Долинный открыл глаза участникам на важность мониторинга даркнета с помощью функционала платформы SOCRadar. Присутствующие имели уникальную возможность увидеть, какие конфиденциальные корпоративные данные крупных украинских компаний попали в руки злоумышленников и потенциально могут быть использованы против них. Спикер отметил критическую роль, которую SOCRadar играет в выявлении и предупреждении таких утечек информации, благодаря мощным инструментам для разведки киберугроз.

В завершение участников мероприятия ждала панельная дискуссия с CISO крупной украинской компании. В рамках дискуссии обсуждали вызовы кибербезопасности, которые стоят перед бизнесом сегодня. Посетители мероприятия имели возможность задать вопросы гостю дискуссии и получить важные ответы, которые станут полезными для дальнейшей работы и налаживания коммуникации с заказчиками.

После официальной части мероприятия участников ждал вкусный ужин и плодотворный нетвокинг. Гости мероприятия получили положительные впечатления от ивента, подчеркивая высокий уровень организации, актуальность тем и ценность для профессионалов отрасли.

Спасибо всем, кто был с нами и разделил эти незабываемые моменты!

iIT Distribution - компания-дистрибьютор, которая специализируется на поставке и внедрении комплексных и гибких решений от лучших мировых вендоров. Наши специалисты проведут предварительную экспертизу проекта и оценят наличие условий для его реализации на предприятии.

Назад

Отчет CrowdStrike 2024: анализ глобальных киберугроз и стратегии защиты

Новость

Отчет о глобальных угрозах CrowdStrike 2024 содержит подробную информацию о ключевых угрозах и тенденциях, определивших ландшафт угроз в 2023 году, злоумышленниках, которые управляют этой деятельностью, и предлагает стратегии защиты, которые ваша организация может использовать для усиления безопасности в следующем году.

В десятом отчете CrowdStrike исследуется, как поведение злоумышленников увеличивает постоянно растущий риск для безопасности данных и инфраструктуры организаций.
Благодаря этой информации, организации становятся более осведомленными и готовыми к эффективному противостоянию новым угрозам.

Как скорость и незаметность повышают шансы на успех кибератак

Злоумышленники действуют беспрецедентно незаметно и осуществляют атаки за считанные минуты.

В течение последнего года подразделение CrowdStrike Counter Adversary Operations (CAO) наблюдало за eCrime группами, субъектами государственных угроз и хактивистами, которые работали над тем, чтобы максимизировать скорость, незаметность и влияние своих атак.

Среднее время eCrime прорыва составило всего 62 минуты в 2023 году по сравнению с 84 минутами в предыдущем году. Самое быстрое время прорыва составляло всего 2 минуты и 7 секунд.

Персональные данные все чаще становятся мишенью

За большинством современных атак стоит человек. В 2023 году количество интерактивных вторжений выросло на 60%. Кроме того, 75% атак использовались для получения начального доступа и не содержали вредоносного программного обеспечения. Злоумышленники применяют более эффективные методы, такие как фишинг учетных данных, распыления паролей и социальная инженерия. С помощью похищенных идентификационных данных злоумышленники могут войти в систему с учетными данными. Сейчас это является одним из самых быстрых и распространенных способов получения доступа.

Рынок похищенных идентификационных данных продолжает расти. Только в 2023 году количество рекламных объявлений от брокеров выросло на 20%, которые продают действительные учетные данные.

Облачные среды под угрозой

Поскольку организации продолжают переносить операции в облачные среды, злоумышленники быстро улучшают свои навыки и используют недостатки в защите. Зафиксирован 75% рост количества вторжений в облачные среды. Злоумышленники используют идентификационные данные для получения доступа.

Это все свидетельствует о том, что идентификационные данные являются самым уязвимым фактором в системе безопасности организаций.Поэтому их защита становится еще более важной.

В 2023 году CAO начала отслеживать 34 новых субъекта, увеличив общее количество - до более 230. Для того, чтобы остановить нарушения, нужно понимать мотивацию и методы, которые злоумышленники используют для борьбы с организациями.

Ниже приведены тенденции и выводы, которые мы рассматриваем более подробно в отчете за этот год:

  • Отношения с третьими сторонами. Злоумышленники последовательно работали над использованием отношений между поставщиком и клиентом. Получая доступ к ИТ-услугам поставщиков, они скомпрометировали цепочку поставки программного обеспечения и использовали ее для распространения вредоносных инструментов. 
  • Использование генеративного искусственного интеллекта будет расти. В 2023 году мы наблюдали, как государства и хактивисты экспериментировали с генеративным ИИ, чтобы демократизировать атаки и снизить барьер для более сложных операций. Скорее всего, генеративный ИИ будет использоваться в кибератаках и в 2024 году, поскольку его популярность только продолжает расти.
  • Срыв глобальных выборов.В 2024 году запланировано более 40 демократических выборов. Поэтому государственные и eCrime злоумышленники будут иметь многочисленные возможности, чтобы вмешаться в избирательный процесс или повлиять на мнение избирателей. Очень вероятно, что такие государства как Китай, Россия и Иран проведут операции по дезинформации и сеянию раздора на фоне геоконфликтов.

Не упустите возможность усилить защиту вашей организации от современных киберугроз. ЗагрузитеОтчет CrowdStrike 2024о глобальных угрозах сейчас, чтобы получить детальный анализ ландшафта угроз.

iIT Distribution является ведущим экспертом в сфере кибербезопасности и официальным дистрибьютором современных решений CrowdStrike. Мы предлагаем комплексную поддержку организациям в укреплении ИТ-безопасности и оптимизации инфраструктуры. Наш подход охватывает не только предоставление необходимого программного обеспечения и оборудования, но и включает комплексные услуги по интеграции и поддержке для того, чтобы обеспечить эффективное внедрение решений по киберзащите.

Назад

Взлом Microsoft российскими хакерами и его значение в сфере кибербезопасности

Релиз

После того, как связанная с Россией хакерская группа получила доступ к электронным почтовым ящикам высшего руководства Microsoft, генеральный директор CrowdStrike Джордж Курц заявил в телевизионном интервью, что разоблачение содержит "скудные" детали, которые не объясняют, что произошло на самом деле.


Генеральный директор CrowdStrike Джордж Курц (George Kurtz) раскритиковал Microsoft за предоставление "скудных" деталей о взломе, который повлиял на высших руководителей Microsoft, и предположил, что раскрытие информации не является содержательным объяснением того, как произошел инцидент.

Курц, чья компания является главным конкурентом Microsoft во многих сегментах рынка кибербезопасности, сделал эти комментарии в понедельник во время интервью на CNBC.

Посмотреть полную версию интервью можно по ссылке

В пятницу, 19 января, компания Microsoft сообщила, что связанный с Россией субъект угроз смог похитить электронные письма членов ее команды высшего руководства, а также сотрудников отделов кибербезопасности и юридических отделов.

Технологический гигант приписывает атаку группе, которую он отслеживает как Midnight Blizzardа раньше отслеживал как Nobelium, и которую Microsoft считает ответственной за широкомасштабный взлом SolarWinds в 2020 году.

Имена руководителей Microsoft, чьи аккаунты пострадали, не разглашаются.

В своем сообщении в пятницу Microsoft заявила, что инцидент начался с атаки password spray в конце ноября 2023 года, которая скомпрометировала "учетная запись устаревшего, непроизводственного тестового тенанта".

В рамках интервью CNBC, Курц отметил, что это объяснение взлома Microsoft не совсем соответствует действительности.

"Я смущен, потому что Microsoft говорит о том, что это была непроизводственная тестовая среда. Так как непроизводственная тестовая среда привела к компрометации высших должностных лиц Microsoft [и] их электронных писем?", - сказал он. "Я думаю, что это еще не все, что может выйти наружу".

В своей критике Курц также ссылался на время публикации раскрытия информации о Microsoft, которое было обнародовано в пятницу после закрытия фондового рынка на выходные.

В дополнение к публикации в блоге, Microsoft обсудила инцидент в представлении в Комиссию по ценным бумагам и биржам США в пятницу, в рамках соблюдения недавно введенных правил раскрытия информации о кибератаках для публичных компаний.

"Когда вы публикуете это в пятницу в пять часов вечера, с минимальными деталями, я думаю, что информации будет больше," - сказал Куртц во время интервью CNBC.

Во вторник Microsoft отказалась от дополнительных комментариев для CRN.

В своем сообщении в пятницу Microsoft заявила, что злоумышленники использовали разрешения от изначально скомпрометированной учетной записи, "получить доступ к очень небольшому проценту корпоративных учетных записей электронной почты Microsoft, включая членов нашей команды высшего руководства и сотрудников по кибербезопасности, юридических и других функций, и похитили некоторые электронные письма и прикрепленные к ним документы". Взлом также повлиял на учетные записи, принадлежащие сотрудникам кибербезопасности и юридического отдела компании, а также на "другие функции", заявили в Microsoft.

Microsoft заявила, что ее команда безопасности узнала о компрометации после того, как 12 января 2024 года обнаружила "атаку государственного актора на наши корпоративные системы".

Инициатива безопасного будущего

В своей заметке Microsoft также дважды упомянула о своей Инициативе безопасного будущего (Secure Future Initiative) - набор основных изменений, анонсированных в начале ноября 2023 года, направленных на улучшение безопасности Microsoft, а также безопасности ее широко используемых платформ.

"В рамках нашего постоянного стремления к обеспечению прозрачности, недавно утвержденного в нашей Инициативе безопасного будущего (SFI), мы делимся последними новостями", - говорится в сообщении Microsoft, опубликованном в пятницу.

Во время интервью CNBC в понедельник Курц поставил под сомнение акцент на этой инициативе, который Microsoft сделала в своем раскрытии.

"Когда вы внимательно посмотрите на некоторые вещи, о которых говорит Microsoft [в своем сообщении], то увидите эти безопасные инициативы и маркетинг вокруг них", - сказал он. "Если бы они тратили больше времени на раскрытие информации о том, что здесь произошло, и меньше на маркетинг и сокрытие этого, я думаю, это было бы лучше для индустрии".

Серия хакерских атак

Инцидент произошел после прошлогоднего громкого взлома облачных почтовых аккаунтов Microsoft, принадлежавших нескольким правительственным учреждениям США.

Считается, что атака, обнаруженная в июне 2023 года, задела электронную почту министра торговли Джины Раймондо, а также посла США в Китае Николаса Бернса и чиновников министерства торговли. Согласно сообщениям, всего с 10 аккаунтов Государственного департамента США было похищено 60 000 электронных писем во время компрометации, связанной с Китаем.

Частый критик безопасности Microsoft, Курц заявил в интервью CRN в 2023 году, что взлом облачной почты является примером того, как "провалы" Microsoft в сфере безопасности поставили под угрозу правительство и бизнес США.

В конце концов, проблемы с безопасностью Microsoft "ставят под угрозу миллионы и миллионы - десятки миллионов - клиентов", - сказал он в интервью CRN ранее.

Курц, который также является соучредителем CrowdStrike, повторил эти комментарии в интервью CNBC в понедельник. "Я думаю, что вы видите здесь системные сбои в работе Microsoft, которые ставят под угрозу не только своих клиентов, но и правительство США, которое является их крупным клиентом", - сказал он.

Парадокс Microsoft в контексте кибербезопасности

Корпорация Майкрософт всегда была популярной мишенью для злоумышленников. Когда у вас есть доминирующая в мире операционная система и значительная доля рынка почтовых платформ, программного обеспечения для повышения производительности, облачных сервисов и приложений, злоумышленники будут пытаться найти слабые места, которые можно будет эксплуатировать.

Ситуация осложняется тем, что Microsoft является не только поставщиком программного обеспечения и операционных систем, но и одним из лидеров на рынке кибербезопасности. Они предлагают инструменты и услуги для защиты от кибератак, которые часто нацелены на уязвимости, имеющиеся в их собственных продуктах.

В цифровом мире, где количество угроз постоянно растет, а злоумышленники находят новые методы для достижения своих целей, важно быть на шаг впереди злоумышленников и обеспечить свою инфраструктуру надежными решениями для защиты от киберинцидентов.

В портфеле iIT Distribution представлены решения от признанных в отрасли поставщиков. Наши партнеры, клиенты и организации любого масштаба могут сделать запрос на получение пробной версии решений любого поставщика через форму обратной связи на нашем сайте. Оставайтесь в безопасности!

Назад

Безоговорочное лидерство CrowdStrike и признание Gartner

Новость

CrowdStrike назван лидером в магическом квадранте Gartner® Magic Quadrant™ для платформ защиты конечных точек в 2023 году


Если одна картинка стоит тысячи слов, то Магический квадрант Gartner® 2023 для платформ защиты конечных устройств говорит сам за себя.

Сегодня мы с гордостью объявляем, что CrowdStrike стала лидером в Gartner® Magic Quadrant™ для платформ защиты конечных точек в 2023 году. Компания заняла первое место в категории "Полнота видения" и первое место в категории "Способность к реализации" среди 16 поставщиков, участвовавших в исследовании.

Платформа расширенного выявления и реагирования (XDR) CrowdStrike Falcon на основе искусственного интеллекта является самой мощной, эффективной и инновационной платформой кибербезопасности на современном рынке. И единственная платформа, которая обеспечивает лучшую на рынке безопасность для конечных точек и не только, для организаций любого размера.


Определение будущего кибербезопасности с ИИ

Это уже четвертый раз подряд, когда Gartner размещает CrowdStrike выше всех в категории "Полнота видения", что, по нашему мнению, позиционирует компанию как надежного инновационного партнера в сфере безопасности конечных точек.

С момента основания CrowdStrike компания использует возможности искусственного интеллекта, чтобы внедрять инновации в сфере обнаружения и оптимизировать работу аналитиков. CrowdStrike стала пионером на рынке обнаружения и реагирования на угрозы для конечных точек, разработав платформу на основе искусственного интеллекта, предназначенную для ежедневного централизованного анализа триллионов событий, а также обогащения этой информации с помощью аналитических данных мирового класса для выявления шаблонов враждебных действий и остановки кибератак. С тех пор компания продолжает внедрять инновации в области защиты конечных точек и является лидером в сфере ИИ, о чем свидетельствуют недавние анонсы CrowdStrike Charlotte AI, индикаторов атак (IOA) на основе ИИ для расширенного поведенческого анализа и непрерывного совершенствования передового механизма обнаружения на основе ИИ.

Эти инновации в области искусственного интеллекта помогают организациям быстрее выявлять угрозы, реагировать на них и предотвращать их. Платформа на базе искусственного интеллекта с единым легким агентом и позволяет клиентам упростить свои операции и консолидировать разрозненные точечные продукты для достижения единой защиты от все более изощренных атак, направленных на конечные точки, идентификационные данные, облачные рабочие нагрузки и тому подобное.

Консолидация кибербезопасности является ключевым фактором для организаций, которые стремятся улучшить результаты безопасности, уменьшить разрастание технологий и минимизировать затраты и сложность. Клиенты используют CrowdStrike для консолидации, поскольку платформа Falcon позволяет легко расширить защиту за пределы конечных точек, чтобы защитить облако, идентификационные данные и данные, используя один и тот же легкий агент и командную консоль.

И в то время, как внедрение решения XDR стремительно возросло, компания удвоила инвестиции в исследования и разработки. Недавно анонсированная версия Raptor платформы Falcon представляет более инновационные возможности XDR, которые радикально меняют скорость и эффективность расследований благодаря генеративному ИИ и полностью переосмысленному опыту аналитика.

Кибербезопасность, разработанная для каждой организации

Gartner присвоил CrowdStrike наивысшую оценку в категории "Способность к исполнению", что, по нашему мнению, является подтверждением надежного сочетания унифицированной инновационной платформы и профессиональных услуг для защиты организаций любого размера.

Облачные решения для защиты конечных точек были разработаны для защиты широкого круга организаций. CrowdStrike доверяют ведущие мировые предприятия и государственные учреждения, а недавно мы упростили для малого и среднего бизнеса (МСБ) возможность воспользоваться преимуществами ведущей на рынке системы кибербезопасности. CrowdStrike Falcon® Go предлагает отмеченную наградами кибербезопасность на основе искусственного интеллекта для защиты малого и среднего бизнеса от программ-вымогателей, утечки данных и других угроз. Всего за несколько кликов пользователи с любым уровнем квалификации могут быстро и легко развернуть систему защиты конечных точек CrowdStrike.

Для организаций, которые нуждаются в дополнительной поддержке, компания CrowdStrike предлагает круглосуточное экспертное управление, мониторинг, проактивное выявление угроз и комплексное устранение последствий. В мае компания Gartner оценила CrowdStrike как компанию №1 в рейтинге "Доля рынка: Managed Security Services, Worldwide, 2022" по показателю "Доля рынка управляемого обнаружения и реагирования" (MDR) второй год подряд. Мы считаем, что это, а также признание в "Gartner® Magic Quadrant™ для платформ защиты конечных точек" 2023 года, подтверждает способность CrowdStrike предоставлять инновационные и мощные решения для защиты конечных точек для каждой организации.


Познакомьтесь поближе с компонентами решения CrowdStrike и оцените их эффективность лично.


Компания iIT Distribution – официальный дистрибьютор решений CrowdStrike. Мы помогаем организациям обеспечить всестороннюю защиту и повысить эффективность их ИТ-инфраструктур. За счет нашего подхода клиент получает необходимое программное обеспечение, техническое оборудование, а также услуги по внедрению и сопровождению.

Назад

Сравнение безопасности кастомного и коммерческого программного обеспечения

Новость

Современные приложения разработаны для обработки, использования и хранения больших объемов конфиденциальных данных. Поскольку злоумышленники пытаются проникнуть в эти приложения, ИТ-специалисты и службы безопасности должны обеспечить максимально возможную защиту программного обеспечения, которое они используют. Первым шагом к внедрению надежной защиты приложений является понимание типа приложений, которые вам нужно защитить.

Два типа приложений, с которыми должны быть знакомы команды безопасности, - это программное обеспечение, разработанное по заказу, и коммерческое программное обеспечение (commercial off-the-shelf, COTS). Предлагаем рассмотреть различия между приложениями, разработанными на заказ, и COTS-приложениями, а также способы защиты каждого типа приложений.

Что такое кастомное программное обеспечение?

Ключевое различие между этими двумя типами приложений заключается в том, кому принадлежит исходный код ─ набор компьютерных инструкций, который выполняет определенную задачу. Каждое приложение построено на основе исходного кода, и этот код создается разработчиками программного обеспечения. Современные языки программирования, которые вы, скорее всего, встретите в исходном коде, включают Java, Python, .NET, Node.js и Go.

Кастомное программное обеспечение состоит из собственного исходного кода, который обычно принадлежит разработчику или компании, которая его создала. Если вы взаимодействуете с проприетарным исходным кодом, то вы управляете программным обеспечением, разработанным на заказ – программным обеспечением, которое встроено для выполнения конкретных бизнес-требований. Компании либо продают разработанные на заказ программы, либо используют их для внутренних бизнес-потребностей.

Вот пример. Предположим, вы работаете в отделе безопасности компании под названием "Math Tutors". Разработчики компании создали код Python, показанный ниже.

Клиенты приобрели версию 1.0.0 вашего программного обеспечения, и вы несете ответственность за то, что код пользовательской разработки безопасен.

Однажды вы осознаете, что ваша функция "сумма" осуществляет утечку конфиденциальных данных, когда пользователь вводит нецелое число. Ваши разработчики добавляют обработку ошибок в функцию суммы, чтобы обеспечить ее безопасность. Ниже показан обновленный исходный код.

После обеспечения безопасности вашего кастомного программного обеспечения, вы выпускаете версию 1.1.0 вашего продукта. Когда клиенты покупают ваше программное обеспечение, они несут ответственность за обновление до последней версии, что означает, что теперь они должны использовать версию 1.1.0, чтобы убедиться, что они используют наиболее безопасную версию вашего программного обеспечения.

Как обеспечивается защита кастомных разработок?

Обеспечение защиты кастомного программного обеспечения начинается еще до написания первой строки кода. После определения функциональных требований архитекторы разрабатывают начальный дизайн. Затем архитектура должна пройти через модель угроз, где анализируются вероятные векторы атак. После завершения начальной модели угроз и внедрения изменений в дизайн, начинается разработка программного обеспечения.

Большинство современных команд программистов используют одну из форм Agile для разработки программного обеспечения. С технологией разработки Agile программное обеспечение постепенно улучшается с течением времени, а обновления происходят регулярно. Объем работы разбивается на спринты, которые обычно включают небольшие реализации функций (создание новых возможностей) или исправление ошибок (исправление проблем в существующем коде). Спринты, над которыми не работают активно, размещаются в бэклоге. Когда команде безопасности нужно, чтобы разработчики исправили проблему безопасности, они создают спринт, который остается в бэклоге до тех пор, пока команда разработчиков не сможет решить проблему.

С shift left подходом к безопасности, обнаружение уязвимого кода начинается во время разработки через анализ композиции программного обеспечения (SCA), статическое тестирование безопасности программ (SAST) и динамическое тестирование безопасности программ (DAST). Эти инструменты эффективны для изоляции уникальных случаев уязвимого кода.

Наиболее сложным аспектом обеспечения безопасности кастомного программного обеспечения является нахождение слабых мест, которые скрываются в производстве. Обычные проблемы, которые беспокоят безопасность приложений, включают:

  • Неаутентифицированные API;
  • Неизвестные чувствительные данные или потоки данных;
  • Микросервисы, ориентированные на Интернет;
  • Коммуникация с третьими сторонами.

То, что делает этот набор проблем особенно сложным, это то, что они часто отклоняются от первоначального дизайна. Именно поэтому важно иметь представление о том, что развернуто в производстве. Когда истинная архитектура неизвестна, известна не полностью или устарела, трудно выявить и приоритизировать слабые места в безопасности. Это может заставить команды полагаться исключительно на инструменты сканирования безопасности, которые обычно предоставляют список уязвимостей.

Самым эффективным решением этой проблемы является управление безопасностью приложений (ASPM). ASPM предоставляет конкретные рекомендации по исправлению на основе реального состояния архитектуры вашего программного обеспечения. Вы получаете не только конкретный перечень самых приоритетных слабых мест безопасности, но также можете четко говорить с инженерными командами о бизнес-влиянии уязвимостей.

Figure 1. With its powerful ASPM capabilities, CrowdStrike Falcon® Cloud Security shows a list of all internet-facing microservices that access personally identifiable information (PII) data and contain critical vulnerabilitiesРисунок 1. Благодаря мощным возможностям ASPM, CrowdStrike Falcon® Cloud Security показывает список всех микросервисов, работающих в Интернете, которые получают доступ к персональным данным и содержат критические уязвимости.

CrowdStrike Falcon Cloud Security предоставляет мощные возможности ASPM как часть единой облачной платформы защиты приложений (CNAPP) для полной защиты ваших приложений. Чтобы узнать больше о возможностях защиты кастомных разработок, заполняйте форму обратной связи на нашем сайте.

Что такое коммерческое программное обеспечение?

Программное обеспечение COTS разработано для коммерческого использования и доступно для приобретения. Если вы платите за доступ к программе, но не можете увидеть исходный код, вы работаете с коммерческим программным обеспечением.

Когда программа оплачивается на повторяющейся основе, вы покупаете программное обеспечение как услугу (SaaS). SaaS – это модель дохода, но термины COTS и SaaS часто используются как синонимы.

Теперь вернемся к примеру с Math Tutors, но на этот раз представьте, что вы работаете в сфере безопасности в другой компании под названием Math Learners и используете программное обеспечение, разработанное Math Tutors. С вашей точки зрения, приложение является COTS-приложением. Вместо того, чтобы видеть исходный код, вы будете видеть приложение, как показано на экране ниже.

Когда выпускается версия 1.1.0 приложения, ваша команда в Math Learners несет ответственность за обновление ваших систем, чтобы обеспечить исправление уязвимости и использование безопасной версии. Даже если вы не замечаете видимых изменений, обновление версии добавляет исправления безопасности в программное обеспечение.

Распространенными примерами COTS-приложений, которые покупают организации, являются Google Workspace, Microsoft Outlook и многие другие. Каждая из этих программ считается "разработанной на заказ" организациями, которые их продают.

Как обеспечивается безопасность программ COTS?

Приобретение программного обеспечения COTS накладывает определенные обязанности по безопасности. Ниже приведены шаги для начальной настройки и постоянного мониторинга:

  1. Провести обзор безопасности поставщика и приложения COTS.
  2. Предоставить доступ необходимым членам вашей организации.
  3. Постоянно мониторить:
    • Интерфейс программирования приложений (API) между внутренними кастомными разработками и приложением COTS.
    • Индивидуальные разрешения доступа и конфигурацию.
    • Данные, передаваемые в (и от) программы COTS.

С точки зрения безопасности, первый шаг к введению нового программного обеспечения COTS в организацию - это понимание рисков. Поставщики обычно не делятся исходным кодом, поэтому клиенты должны полагаться на ограниченный объем информации. Вы можете рассмотреть возможность запроса:

  • Недавний тест на проникновение
  • Перечень материалов для программного обеспечения (SBOM)
  • Документация о жизненном цикле разработки программного обеспечения поставщика (SDLC)
  • Сертификаты, такие как SOC 2 или ISO
  • Отзывы клиентов
  • Права доступа к данным в условиях и положениях.

Каждый из этих пунктов может дать более глубокое понимание состояния безопасности программного обеспечения COTS, но всегда будет существовать неотъемлемый риск при использовании программного обеспечения другой компании.

Как только программное обеспечение утверждено, следующим шагом является предоставление доступа соответствующим пользователям. Это может быть сделано через контроль доступа на основе ролей, если целые отделы будут использовать программное обеспечение, или дискреционный контроль доступа, если только определенные пользователи нуждаются в программе.

С предоставленным доступом, важно постоянно мониторить приложения COTS. Первая область управления - это межпрограммный доступ. Такой тип доступа происходит через API, которые создают разработчики программного обеспечения.

Успешное внедрение управления API включает в себя инвентаризацию всех API-вызовов к приложениям COTS. Описание API должно быть обновлено, когда разработчики программного обеспечения создают и удаляют API, и отмечать все API, передающие чувствительные данные. Инструменты ASPM автоматически генерируют полный список API-вызовов к сторонним приложениям.

Figure 2. A graphical representation of COTS APIs shown in Falcon Cloud SecurityРисунок 2. Графическое представление COTS API в Falcon Cloud Security

Второй областью для управления является распределение пользователей. Команды безопасности должны регулярно проверять и обновлять доступ пользователей к приложениям COTS. Кроме того, команды безопасности несут ответственность за управление конфигурацией приложений COTS. Управление доступом к идентификации (IAM) и управление позицией безопасности программного обеспечения как услуги (SSPM) помогают обеспечить правильные конфигурации COTS.

Третьей областью для управления является передача чувствительных данных. Выявление и предотвращение несанкционированной утечки данных требует решения для защиты данных. Решение для защиты данных должно сочетать контент с контекстом, чтобы обеспечить глубокое реальное отслеживание того, что происходит с вашими чувствительными данными, включая артефакты данных, когда они перемещаются от источника к месту назначения, которое может быть приложениями COTS.

Рассмотрим, например, следующий сценарий:

  1. Загружается конфиденциальный файл.
  2. Содержимое копируется в электронную таблицу.
  3. Меньшие фрагменты данных копируются на другой лист и переносятся на личный диск Google.

Решения для защиты данных предоставляют полный поток вместе с тем, кто выполнял действия и куда эти данные попали.

Как CrowdStrike помогает обеспечить безопасность пользовательских и программных COTS?

Как кастомные программы, так и программы COTS сталкиваются с уникальными вызовами, но в обоих случаях важна прозрачность. С CrowdStrike Falcon вы можете отслеживать использование вашей организацией программного обеспечения COTS и предотвратить потерю данных.

Платформа CrowdStrike Falcon предоставляет информацию как о ваших пользовательских разработанных приложениях, так и об использовании стороннего программного обеспечения. Чтобы узнать больше, отправляйте запрос на демонстрацию.


iIT Distribution – официальный дистрибьютор решений компании CrowdStrike. Наши партнеры, клиенты и организации любого масштаба могут получить доступ к высокоэффективным продуктам CrowdStrike, запросив пробную версию на нашем сайте. Оставайтесь в безопасности!

Назад

CrowdStrike обеспечивает 100% покрытие по результатам MITRE Engenuity ATT&CK Evaluations: Раунд 5

Релиз

CrowdStrike получил самый высокий результат по результатам двух последних оценок MITRE Engenuity ATT&CK® Evaluations подряд. Компания достигла 100% защиты, 100% видимости и 100% анализа обнаружения в оценке Enterprise Round 5 - что равно 100% предотвращению и остановке нарушений. CrowdStrike также достигла самого высокого уровня обнаружения в тестировании для поставщиков услуг управляемой безопасности.

Однако интерпретация результатов теста Round 5 может быстро стать очень запутанной из-за различных представлений результатов теста от каждого поставщика. В отличие от других сторонних аналитических компаний, MITRE не размещает поставщиков в квадранте или на графике, а также не предоставляет сравнительную оценку. Он оставляет интерпретацию на усмотрение каждого поставщика и самих клиентов, а это означает, что вы будете завалены новостями о "победе" в оценке.

У MITRE нет победителей или лидеров, есть только необработанные данные о возможностях защиты поставщика от известных или еще не известных угроз. Без более четких инструкций и контроля со стороны MITRE, результаты продолжат сбивать заказчиков с толку, учитывая различия между тестируемыми решениями и подходами к оценке.

Компания CrowdStrike использует результаты оценивания для дальнейшего совершенствования возможностей платформы CrowdStrike Falcon, а также для того, чтобы клиенты лучше понимали позицию компании в отношении кибербезопасности: Остановка нарушений требует полной видимости, обнаружения и защиты, которые действительно можно использовать в реальном сценарии.


Как следует интерпретировать результаты?

Во-первых, важно понимать нюансы двух типов оценивания, которые проводит MITRE: тестов с открытой и закрытой книгой.

Тестирование с открытой книгой для известных злоумышленников: Оценки предприятий MITRE ATT&CK, такие как недавний Round 5, предоставляют поставщикам за несколько месяцев до начала тестирования сведения об имитируемом злоумышленнике и его тактике, методах и процедурах (TTPs), а затем измеряют уровень защиты в тихой лабораторной среде.

Рисунок 1. CrowdStrike обнаруживает 143 (100%) шага при оценивании MITRE Engenuity ATT&CK Evaluation: Enterprise Round 5 с высококачественной аналитикой (Тактика и техника)

Не все результаты одинаковы, что трудно увидеть на сравнительной диаграмме, поскольку поставщики имеют возможность настраивать свои системы заранее и вносить изменения в конфигурацию "на лету" с помощью команд экспертов, которые могут работать за кулисами 24/7 в течение всего периода тестирования. Например, было зафиксировано, как производители обновляли операционные системы во время тестирования, тогда как другие вручную исправляли результаты или добавляли новый контекст и обнаружения.

Round 5 имитировал Turla, которую CrowdStrike классифицирует как VENOMOUS BEAR, изощренного злоумышленника, базирующегося в России. Учитывая их сложную тактику, лишь немногие поставщики смогли обнаружить все их хитрости, а средний показатель распознавания составил 83%. Качественное аналитическое обнаружение тактики и техники было еще меньше, средний показатель снизился до 66% - при этом CrowdStrike достиг полного 100% покрытия аналитическим обнаружением.

Высококачественная аналитика чрезвычайно важна, поскольку она дает представление о том, чего пытается достичь злоумышленник и как он пытается этого достичь. Качественное аналитическое обнаружение обеспечивает необходимый аналитикам контекст, что позволяет им тратить меньше времени на определение того, является ли оповещение истинным или ложным, а также дает представление о том, что пытается сделать злоумышленник. Благодаря выявлению тактик и методов, аналитики безопасности могут тратить время на то, что действительно важно: остановку нарушений.

На сравнительной диаграмме, подобной приведенной выше, невозможно понять, является ли предоставленная функция телеметрией с большим количеством шума или важным контекстом, добавленным к высокоточному оповещению.

Тестирование по закрытой книге для неизвестных злоумышленников: Тест MITRE для поставщиков услуг управляемой безопасности - это точный показатель того, как они будут защищать клиента в реальных условиях, без повторных проверок и без возможности искать дополнительные доказательства. Единственное сообщение, которое поставщики получают заранее, - это дата начала, без какой-либо информации об имитируемом оппоненте или его TTP. MITRE запускает тест, и вы получаете оценку покрытия.

Рисунок 2. CrowdStrike обнаружил 99% методов злоумышленника во время оценки MITRE ATT&CK для поставщиков услуг управляемой безопасности.

Чтобы найти партнера по кибербезопасности, стоит проанализировать и соотнести результаты многих различных тестов, которые используют различные TTP и заставляют продукты вести себя по-разному, чтобы выявить истинный результат работы платформы. Убедитесь, что вы проанализировали результаты как открытых, так и закрытых тестов, включая те, которые измеряют ложные срабатывания и производительность, и точно знаете, что делали поставщики, чтобы достичь своих результатов. Самое главное, убедитесь, что вы можете достичь таких же результатов в своем предприятии. Опытные злоумышленники не могут позволить себе такую роскошь, как предупреждение, а клиенты не имеют десятков людей, которые будут работать за кулисами над развертыванием их решений.


Остановить нарушения - это важно

Далее важно оценить, насколько эффективно поставщик может остановить злоумышленников без ручного вмешательства. В тесте с открытой книгой Round 5 средний показатель блокировки составил 86%, в то время как CrowdStrike защитил 100%. Еще важнее, чем покрытие, является понимание того, как были достигнуты такие результаты.

  1. Использовали ли они легко обходные сигнатуры или специальные средства обнаружения, требующие специальных знаний?
  2. Являются ли аналитические средства обнаружения и защиты высокоточными и пригодными для использования в масштабах предприятия?
  3. Как мы можем воспроизвести этот результат в своей среде?

Для сравнения, платформа CrowdStrike Falcon остановила 13 из 13 сценариев без каких-либо специальных знаний, используя продвинутый ИИ и поведенческий анализ. Это говорит о том, что профилактика на основе искусственного интеллекта будет такой же эффективной в вашей среде, как и в тестировании MITRE.


Как это все сочетается?

В конце концов, то, как платформа достигла своих результатов, имеет не меньшее значение, чем само покрытие. С помощью тестов с открытым исходным кодом, таких как Enterprise Evaluation Round 5, вы можете нанять достаточное количество экспертов, чтобы вручную добавить собственные теги, обнаружения и контекст для достижения идеального покрытия. Вот почему вы увидите, как поставщики кричат о своем покрытии из всех рупоров - ведь, на первый взгляд, многие из них добились успеха.

Все сравнительные диаграммы, включая те, что приведены выше, показывают лишь часть картины. Важно обратить внимание на детали: то, как вы это делаете, имеет такое же значение, как и то, что вы делаете. Если вы не можете достичь результатов в вашей среде, это просто цифра на сравнительной диаграмме. Это не может остановить злоумышленников и не может предотвратить нарушения.

Спросите своего поставщика, в том числе CrowdStrike, как они достигли своих результатов - и убедитесь, что они не применяли титанических ручных усилий, которые никогда не сработают в реальном мире. Также важно точно понимать, как выглядит полная спецификация материалов для воспроизведения результатов. Некоторые поставщики требуют сложного точечного развертывания продуктов, другие - дорогостоящего сочетания программного обеспечения и оборудования для сетевой безопасности, а третьи - значительных инвестиций в персонал.

Особенно тщательно следует рассматривать поставщиков, которые используют специальные тестовые конфигурации, которые невозможно воспроизвести в реальной производственной среде. Платформа CrowdStrike Falcon всегда поставляется с помощью единого легкого агента, который легко развертывается, легко управляется и никогда не требует перезагрузки. Мы укрепляем кибербезопасность, достигая лучших результатов с гораздо лучшей окупаемостью инвестиций.

Компания гарантирует качество своей платформы и превосходный охват как открытого, так и закрытого тестирования MITRE для известных и неизвестных противников, обеспечивая настоящее предотвращение взломов в реальном мире.


iIT Distribution является официальным партнером CrowdStrike, который отвечает за распространение и продвижение их продуктов на территориях Украины, Казахстана, Узбекистана, Грузии, Польши, Азербайджана, Эстонии, Литвы, Латвии, Кыргызстана, Молдовы и Таджикистана. Мы также оказываем профессиональную поддержку при проектировании и внедрении этих решений. Наша команда всегда готова предоставить нашим партнерам и клиентам всю необходимую информационную поддержку, касающуюся каждого продукта и решения. Мы также готовы ответить на все ваши вопросы и консультировать вас по всем вопросам, касающимся повышения эффективности работы вашей IT-инфраструктуры и обеспечения ее безопасности.

Назад

Злоумышленники могут "Log in with Microsoft" в Azure Active Directory из-за уязвимости nOAuth

Статьи и обзоры

20 июня 2023 года компания Descope опубликовала исследование, в котором подробно описано, как сочетание недостатков в Azure Active Directory и плохо интегрированных сторонних приложений под названием "nOAuth" может привести к полному захвату учетных записей. nOAuth – это последняя из большого количества уязвимостей и архитектурных недостатков в программном обеспечении и системах Microsoft, таких как Active Directory, которые могут создавать опасность для организаций.

Хотя Microsoft уже отреагировала на уязвимость, пока разработчики не внесут изменений в код своих приложений, единственный способ избежать уязвимости зависит от наличия у организаций мощных средств защиты идентификационных данных и защиты привилегированных учетных записей от злоупотреблений со стороны недобросовестных администраторов.


Архитектурные ограничения экосистемы идентификации Microsoft продолжают существовать


Архитектурные недостатки Active Directory и Azure Active Directory (Azure AD) были хорошо задокументированы на протяжении многих лет. Эти структурные слабости и уязвимости стали современной поверхностью для атак злоумышленников. Тем не менее Active Directory и Azure Active Directory продолжают служить инфраструктурой идентификации для многих организаций. Согласно отчету Frost & Sullivan, 90% компаний из списка Fortune 1000 используют Active Directory.

Azure AD – это возможность для Microsoft начать с чистого листа и создать современное, безопасное решение для управления идентификацией и доступом (IAM). Однако постоянные уязвимости в его инфраструктуре идентификации могут сделать организации уязвимыми для взломов. Несмотря на то, что Microsoft недавно изменила название Azure AD на Entra ID, проблемы с безопасностью остаются.

nOAuth показывает, что обнаруженные недостатки интеграции Azure AD с Active Directory и уязвимости, связанные с кражей сеансов, переносят проблему безопасности идентификационных данных в облако. Следует отметить, что ответ Microsoft на nOAuth от 20 июня был предоставлен более чем через два месяца после того, как компания узнала об уязвимости. Это вызывает два основных вопроса, которые организации должны рассмотреть:

  • Сколько еще существует подобных уязвимостей, которые еще предстоит обнаружить?
  • Действительно ли вы можете позволить себе ждать два месяца, чтобы уменьшить риск полного захвата учетных записей?

Такое последовательное обнаружение уязвимостей в сочетании с архитектурными ограничениями Active Directory и Azure AD требует комплексной защиты идентификационных данных, которая должна быть:

  • Абстрагированной от поставщика идентификационных данных: У человека или рабочей нагрузки может быть много учетных записей, распределенных между различными поставщиками идентификационных данных. Поэтому централизованная видимость, обнаружение и предотвращение – единственный способ остановить атаки на основе учетных данных.
  • Корреляция и контекстуализация с остальными событиями в стеке безопасности: Только объединяя данные конечных точек, идентификационных данных и телеметрии третьих сторон, вы сможете понять всю цепочку атак и обнаружить всю активность злоумышленника, снизив при этом сложность и количество инструментов.
  • Независимой от обнаружения "известных уязвимостей": Защита идентификационных данных должна объединять обнаружение уязвимостей на основе CVE с поведенческим анализом в реальном времени для выявления активности злоумышленника.
  • Распространять гибридную защиту идентификационных данных от локальной сети до облака: Это включает в себя проверку прав доступа к учетным данным для смягчения последствий нарушения, если оно произойдет.
  • Мониторинг приложений на предмет неправильных конфигураций: Типичные подходы к безопасности идентификационных данных сосредоточены на анализе поставщиков идентификационных данных на предмет уязвимостей. Хотя поставщики идентификационных данных должны предоставлять советы по внедрению лучших практик, неправильная настройка приложения может оставить вас уязвимыми.


Что такое nOAuth?


Descope детально описывает уязвимость в доверии между поставщиком идентификационных данных (в данном случае Azure AD) и доверяющей стороной (приложением). Название "nOAuth" намекает на протокол аутентификации "OAuth", в соответствии с которым поставщик идентификационных данных выдает приложению токен, содержащий информацию о пользователе и данные, которые он желает предоставить приложению. Эти данные называются "запросами".

Независимо от того, знакомы ли вы с OAuth или нет, есть большая вероятность, что вы его использовали ранее! Вспомните все случаи, когда вы регистрировались на сервисе, где у вас была возможность "Войти с помощью Google", "Войти с помощью Microsoft" или "Войти с помощью Facebook". Вы видели такой экран?

После нажатия на одну из этих опций вы аутентифицируетесь у поставщика идентификационных данных, а затем вас спрашивают, какие данные вы хотите предоставить приложению: имя, адрес, пол и так далее. После выбора настроек поставщик идентификационных данных выдает токен, который приложение считывает и получает ваши данные:

  • Кто вы, что важно для создания профиля в приложении. Например, если вы создаете учетную запись в магазине, вам нужно, чтобы он помнил ваши любимые товары, чтобы предоставлять рекомендации и т. д.
  • Какие данные приложение может запросить у поставщика идентификационных данных. Например, вы можете хотеть, чтобы магазин знал ваш адрес (чтобы отправлять ваши покупки), но не знал вашу дату рождения.

Возвращаясь к nOAuth, именно манипуляция запросом "кто вы" используется злоумышленниками. Множество приложений, реализующих OAuth, неправильно используют "email" как идентификатор пользователя, вместо уникального значения, такого как идентификатор объекта (OID). Это означает, что если злоумышленник может создать запрос с email-адресом жертвы, он получает полный доступ к ее учетной записи, не зная пароль или не проходя многофакторную аутентификацию (MFA).

В сценарии Azure AD это гораздо более важно, так как кто угодно может создать такой запрос:

Команда Descope создала мощную демонстрацию эффективности этого метода.

Давайте четко определим, в чем заключается проблема с nOAuth и Microsoft:

  • Корпорация Microsoft позволяет любому, у кого есть учетная запись Azure AD, изменять атрибут электронной почты учетной записи на любой адрес электронной почты - независимо от того, подтвердил ли этот пользователь, что он "владеет" доменом или нет. Например, даже если вы являетесь владельцем домена mycompany.com, злоумышленник может изменить учетную запись пользователя в своем клиенте Azure AD на адрес mycompany.com.
  • Когда разработчики создавали интеграцию OAuth с Azure AD, они решили использовать электронную почту в качестве идентификатора пользователя, вместо постоянного значения, такого как OID.

Ответ Microsoft на nOAuth

20 июня компания Microsoft выпустила инструкцию о том, как управлять уязвимостью nOAuth:

  • Чтобы уменьшить риск для существующих приложений, вы можете модифицировать API authenticationBehaviors (который в настоящее время находится в бета-версии), чтобы отклонять непроверенные запросы на подтверждение электронной почты.
  • Когда разработчики будут готовы обновить свой код и перевести пользователей на постоянный идентификатор, например, OID, они могут использовать требование "xms_edov", чтобы убедиться, что адрес электронной почты проверен в Azure AD перед изменением идентификатора пользователя.


Осведомленность разработчиков относительно безопасности

Разработчики должны придерживаться лучших практик и рекомендаций по защите современных протоколов идентификации, таких как OAuth. Это напоминание о том, что обучение по безопасности, проводимое организациями, должно охватывать не только нетехнический персонал. Разработчики, инженеры инфраструктуры, архитекторы и сотрудники службы поддержки несут ответственность за создание и поддержку критически важных для бизнеса приложений следующего поколения. Они должны осознавать последствия того, как слабая реализация маршрута аутентификации в приложении может подорвать значительную часть работы, которую команды IAM, возможно, выполнили для обеспечения защиты самого поставщика идентификационных данных.


Несмотря на ответ, проблема остается

На 13 июля все еще можно создать бесплатную учетную запись Azure AD и привязать любой адрес электронной почты к учетной записи пользователя без подтверждения права собственности на домен. Поэтому, пока разработчики не обновят свой код, чтобы использовать постоянные значения в качестве основного идентификатора пользователя, все, что могут сделать организации, — это снизить риск.

Этап смягчения последствий, который предполагает использование бета-версии Microsoft Graph API, уязвим к модификации злоумышленником из Azure AD.

Поэтому решением этой проблемы является безопасное переключение приложений с идентификатора, основанного на электронной почте, что требует от разработчиков обновления кода в их собственных приложениях. То же самое касается разработчиков, работающих с третьими сторонами, предоставляющими критически важные для бизнеса современные программы. Внести эти изменения также не так просто, как может показаться, - они могут повлиять на дальнейшую работу приложений, что может увеличить время, необходимое для внедрения изменений.

Теперь возникает вопрос: "Какие меры вы можете временно принять, чтобы уменьшить риск несанкционированных администраторов и проактивно защититься от будущих уязвимостей в вашей гибридной экосистеме идентификации?".


Меры по противодействию атакам на основе идентификационных данных в AD и Azure AD


CrowdStrike Falcon Identity Threat Protection, полностью интегрированный с платформой CrowdStrike Falcon, предоставляет организациям комплексную защиту от атак на основе идентификационных данных. Он выявляет атаки и предотвращает боковое перемещение, останавливая нарушения, связанные с уязвимостями в Active Directory и Azure AD. В контексте nOAuth это позволяет выявлять действия несанкционированных администраторов, которые могут свидетельствовать о намерениях использовать nOAuth.


Проактивное выявление приложений Azure AD, допускающих непроверенные запросы на электронную почту

Microsoft предлагает решить эту проблему, установив значение "removeUnverifiedEmailClaim" в true с помощью GraphAPI. Falcon Cloud Security имеет сотни индикаторов неправильных конфигураций (IOM), включая один, который может проактивно выявлять программы с значением false, что позволяет клиентам быстро выявлять и снижать риск эксплуатации.


Соотношение событий аудита и доступа

Изменение адреса электронной почты является совершенно законной операцией. Однако, если оно связано с другими телеметрическими данными, происходящими в то же время, такими как повышение привилегий и аномальный доступ к ресурсам, это может указывать на действия несанкционированного администратора. CrowdStrike предоставляет вам такую видимость, преобразуя опыт охоты на угрозы для команд SOC и IAM, объединяя все события в цепочке атак в единое представление инцидента:


Обнаруживайте и предотвращайте гибридное боковое перемещение

Несмотря на то, что многие организации используют Azure AD для условного доступа и единого входа (SSO), Active Directory часто является "настоящим" поставщиком идентификационных данных. Объекты пользователей создаются и изменяются в локальном Active Directory, а затем синхронизируются с облаком через Azure AD Connect. Таким образом, злоумышленник в вашей сети с достаточными разрешениями в Active Directory может создавать учетные записи и изменять адреса электронной почты, которые реплицируются в Azure AD, и все это без административного доступа к порталу Azure AD. Они также могут использовать известные уязвимости в AD, такие как атаки Overpass-the-Hash, чтобы перемещаться в Azure AD без проверки подлинности.


Отслеживайте необычную активность

Построение базовых линий поведения для всех ваших учетных записей является критически важным, но анализ этих отдельных событий изолированно часто приводит к ложным срабатываниям. Например, если пользователь, который долгое время работает в организации, получает доступ к приложению после изменения роли, как вы можете определить разницу между аномальной и злонамеренной активностью?

Поэтому важно сочетать аномальные события с другой телеметрией, которую вы имеете о пользователе, чтобы определить, является ли действие злонамеренным, а не просто аномальным. В этом примере мы показываем географические аномалии, происходящие параллельно с аномальным доступом к приложениям:


Определение и мониторинг привилегированных учетных записей

Привилегированные учетные записи часто определяются как те, которые имеют административные привилегии в хранилище учетных данных, например, администратор домена в Active Directory или глобальный администратор в Azure AD. Однако пользователь, который является глобальным администратором в вашей CRM, также является привилегированным, и воздействие на ваш бизнес, если эту учетную запись скомпрометировали, может быть разрушительным. CrowdStrike позволяет вам сопоставить бизнес-привилегии с потенциальными последствиями для бизнеса, если определенная учетная запись будет скомпрометирована. Это повышает оценку риска, связанную с этими учетными записями, что означает, что обнаружение получает более высокий приоритет, стимулируя команды SOC и IAM определить порядок проверки и устранения нарушений.


Сопоставление журналов аудита приложения и хранилища учетных данных

Сопоставление журналов аудита между поставщиком идентификационных данных и приложением может быть эффективным способом обнаружения злонамеренной активности. Например, событие аутентификации в поставщике идентификационных данных, которое не совпадает с событием доступа в журналах приложения, может свидетельствовать о том, что учетная запись пользователя была скомпрометирована.

Сочетая возможности CrowdStrike Falcon Identity Threat Protection и Falcon LogScale, вы можете создать запланированный запрос, который будет сопоставлять события входа между поставщиком идентификационных данных и журналами аудита приложений, чтобы выявлять аномалии.


Проактивное обнаружение уязвимых программ

Выявление слабых мест и активов, которые нужно защищать, является критически важным шагом в обеспечении безопасности вашей организации. Однако процесс обнаружения уязвимых программ может быть сложным. Внешние инструменты мониторинга поверхности атаки, такие как CrowdStrike Falcon® Surface, имеют возможность идентифицировать программы, такие как те, которые используют OAuth или OIDC, чтобы вы знали, какие программы нужно проверить.


Узнать больше о CrowdStrike

Решения Falcon Identity Protection от CrowdStrike идентифицирует риски, а также обнаруживает и предотвращает боковое перемещение злоумышленников из Active Directory в Azure AD.

Внедрение надежных и комплексных решений по безопасности IT-инфраструктуры способствует эффективной защите от известных и неизвестных уязвимостей в программном обеспечении. iIT Distribution является официальным дистрибьютором решений компании CrowdStrike и предоставляет квалифицированную поддержку и надежное сопровождение при внедрении решений в инфраструктуру заказчиков.

Назад

Риски безопасности Microsoft. Рекомендации для организаций и оценка безопасности Microsoft от CrowdStrike

Статьи и обзоры

Корпорация Microsoft - один из ведущих производителей программного обеспечения в мире, и его продукты используются миллионами пользователей, в том числе и в корпоративных целях. Microsoft стала пионером в создании операционной системы для предприятий, выпустив Microsoft Windows. В течение четырех десятилетий она создала программные продукты для бизнеса, охватывающие электронную почту, производительность, CRM и базы данных. Для обеспечения киберзащиты своих клиентов, корпорация предлагает бесплатную защиту Microsoft Security, которая включена в лицензию Microsoft E5.


Но действительно ли Microsoft Security является бесплатным?

В современной макросреде экономия и повышение эффективности - это вопрос, стоящий на повестке дня у каждой организации. Лицензия Microsoft E5 для электронной почты, коммуникаций, производительности, а теперь и безопасности, пропагандирует комплексное предложение. Хотя идея комплексного решения и "бесплатный антивирус" изначально кажется экономически привлекательным предложением, важно оценить стоимость и понять, насколько дороже на самом деле стоит защита от Microsoft до, во время и после развертывания.

Лицензирование Microsoft удивительно сложное и может запутать как технарей, так и бизнес-менеджеров, принимающих решения. Защита Microsoft предусматривает использование различных продуктов и агентов, а управление осуществляется с нескольких консолей, что требует больше человеческого ресурса. Также не учитывается количественная оценка дополнительной стоимости риска нарушений.

Мировой лидер в сфере кибербезопасности, который специализируется на решениях для защиты конечных точек, рабочих нагрузок и разведке угроз – CrowdStrike, подготовил аналитическую записку с подробным обзором рисков, которые вызывает Microsoft в сфере кибербезопасности.

Как поставщик программного обеспечения, Microsoft имеет большую популярность и пользуется доверием, но способен ли этот поставщик обеспечить высокий и действительно бесплатный уровень киберзащиты в современных условиях?Ответ на этот и другие вопросы ищите в отчете.


iIT Distribution специализируется на лучших решениях в области киберзащиты. Мы являемся официальным дистрибьютором решений CrowdStrike и помогаем организациям обеспечить всестороннюю защиту и повысить эффективность их ИТ-инфраструктур. Мы практикуем комплексный подход, при котором клиент получает необходимое программное обеспечение, техническое оборудование, а также услуги по внедрению и продвижению.


Узнать больше о решении CrowdStrike

Назад

Скачать отчёт

Заполняйте форму, чтобы получить полный обзор рисков безопасности Microsoft от CrowdStrike на украинском языке!

loader

Falcon Insight для ChromeOS: первое в отрасли нативное предложение XDR для ChromeOS

Новость

В последние годы использование корпоративных устройств на ChromeOS значительно возросло во всех вертикалях - от школ до крупных предприятий. Согласно недавнему исследованию IDC, 16% только североамериканских организаций имеют устройства на ChromeOS, и ожидается, что этот процент будет только расти. Успех устройств на ChromeOS, таких как Chromebook, можно объяснить встроенной системой безопасности, простым управлением и высокой производительностью.

Устройства на ChromeOS по умолчанию защищены и одинаково привлекательны как для ИТ-специалистов, так и специалистов по безопасности. Однако, как и для остального оборудования, командам безопасности нужен контроль над этими устройствами и возможность внедрять единые политики безопасности. Это особенно важно, если учесть популярность ChromeOS для удаленной или гибридной работы благодаря таким функциям развертывания, как ZTE (zero-touch enrollment). Независимо от того, в какой точке мира находится устройство, командам безопасности все равно нужна унифицированная видимость на всех устройствах в одном месте.

CrowdStrike недавно представила первое в отрасли предложение EDR/XDR, которое обеспечивает видимость и обнаружение угроз для устройств на базе ChromeOS без необходимости использования решения для управления мобильными устройствами (MDM). С CrowdStrike Falcon Insight для ChromeOS организации смогут воспользоваться ведущими в отрасли возможностями обнаружения и реагирования Falcon Insight XDR, чтобы остановить злоумышленников на устройствах ChromeOS, Linux, macOS и Windows, и все это из единой консоли Falcon, обеспечивающей самое широкое кросс-платформенное покрытие в отрасли.

CrowdStrike Falcon, разработанный в тесном сотрудничестве с командой ChromeOS, является первой платформой безопасности, которая интегрирует события XDR, собираемые непосредственно в ChromeOS. Это означает, что для мониторинга не нужно развертывать новые агенты на устройствах с ChromeOS. Запустите систему за считанные минуты и обеспечьте широкую видимость на различных устройствах в унифицированной консоли Falcon. С платформой Falcon управление разнообразной средой становится максимально простым.

Нативный ChromeOS XDR

Встроенная телеметрия событий, полученная непосредственно из ChromeOS, помогает устранить пробелы в видимости между операционными системами. Благодаря встроенной в платформу Falcon функции визуализации для устройств ChromeOS аналитики могут быстро видеть общую картину и легко обнаруживать подозрительную активность из единой командной консоли. Отказ от дополнительных консолей для мониторинга упрощает рабочие процессы и минимизирует время, необходимое для сортировки и реагирования на потенциальную угрозу.

Ускоренная сортировка и реагирование на инциденты

Клиенты могут использовать возможности CrowdStrike Falcon® Insight XDR, поскольку Falcon Insight для ChromeOS использует расширенную технологию обнаружения и реагирования, лежащую в основе платформы Falcon. Разблокируйте критические инструменты оркестровки и автоматизации, которые уже встроены в платформу и доступны для всех клиентов Falcon. Команды безопасности могут ускорить сортировку и реагирование с помощью автоматизированных рабочих процессов и уведомлений, полученных на основе контекстной информации и обнаруженных угроз, благодаря интегрированной функции автоматизации и реагирования на угрозы (SOAR) CrowdStrike Falcon® Fusion.

Запуск за считанные минуты

Falcon Insight для ChromeOS не требует развертывания на уровне устройств на всех конечных точках организации и может легко масштабироваться по мере роста организации, что делает его отличным выбором для крупных предприятий и быстро развивающихся организаций. Благодаря Falcon Insight для ChromeOS, CrowdStrike устраняет необходимость развертывания дополнительных агентов или сторонних решений для управления мобильными устройствами (MDM) для защиты устройств ChromeOS. Поскольку нет необходимости развертывать агента на всех устройствах, это не оказывает негативного влияния на производительность устройств ChromeOS. Это не влияет на работу конечных пользователей, в то же время обеспечивая необходимые меры безопасности для защиты организации.

Поскольку современные требования к рабочим местам продолжают развиваться, растут и потребности в безопасности, связанные с гибридной работой и удаленным доступом. Отсутствие централизованной видимости значительного количества ваших конечных точек может быть открытым приглашением для злоумышленников - встроенная интеграция CrowdStrike с ChromeOS без использования агентов помогает отменить это приглашение.


Узнать больше о всех компонентах платформы CrowdStrike Falcon


iIT Distribution обеспечивает продвижение и дистрибуцию решений компании CrowdStrike в Украине. Мы стремимся, чтобы наши клиенты были вооружены лучшими мировыми решениями по киберзащите.

Назад

Пострелиз: CrowdStrike и Picus Security офлайн-ивент для заказчиков

Релиз

26 июня компания iIT Distribution совместно с партнером CS Consulting выступили организатором офлайн-ивента для заказчиков, посвященного решениям CrowdStrike и Picus Security.

В рамках мероприятия состоялись интересные и информативные презентации от специалистов в сфере кибербезопасности. Алексей Маркуц - Crowdstrike Lead at iIT Distribution, выступил с презентацией на тему:"CrowdStrike: today, tomorrow, forever"в которой был освещен опыт внедрения и работы решений компании в Украине.

Облачная платформа CrowdStrike Falcon является главным решением компании. Это уникальный продукт, который обеспечивает защиту критически важных сфер корпоративных рисков - конечных точек и облачных рабочих нагрузок, идентификации и данных. Специально разработанный в облаке с единой легкой архитектурой агентов, Falcon обеспечивает быстрое и масштабируемое развертывание, превосходную защиту и производительность, сниженную сложность и мгновенную окупаемость инвестиций. Все это доступно через один агент на клиентском устройстве.

Узнать больше о решении CrowdStrike.

Далее, Алексей Зайончковский - Head of Technical Teamat iIT Distribution, представил презентацию на тему"Непрерывная валидация безопасности"с фокусом на решения компании Picus.

Picus Security является пионером отрасли моделирования взломов и атак (BAS). Решения компании помогают командам безопасности постоянно проверять и повышать киберустойчивость организаций путем имитации киберугроз. Это помогает автоматически оценивать эффективность средств контроля безопасности, выявлять пути атак на критические активы и оптимизировать функции предотвращения и обнаружения угроз.

Больше о возможностях решений Picus.

После выступлений спикеров гости имели возможность обсудить новую информацию и поделиться впечатлениями в непринужденной обстановке. Мы уверены, что каждый участник мероприятия получил исчерпывающие ответы на свои вопросы и выяснил дальнейшие шаги для укрепления своих позиций в сфере безопасности. С нетерпением ждем дальнейшего плодотворного сотрудничества.


Компания iIT Distribution помогает компаниям обеспечивать всестороннюю защиту своих ИТ-инфраструктур и проверять ее эффективность с помощью передовых мировых решений в области кибербезопасности. Подобные мероприятия демонстрируют, насколько мы ценим наших заказчиков. Личное общение позволяет нам лучше понять их потребности и более эффективно удовлетворять их требования!

Назад

Mobile Marketing
+