Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Далеко не все практикующие ИБ-специалисты считают целесообразным определять, кто именно стоит за вредоносным ПО, обнаруженном при атаке на их компанию. Типичный алгоритм действий при расследовании подобных инцидентов таков: нашли подозрительный файл → если антивирус его не заблокировал, проверили в «песочнице» → увидели вредоносную активность → добавили хеш в списки блокировки на средствах защиты информации (СЗИ) → пошли пить чай. Так поступают многие ИБ-специалисты, особенно когда у них нет достаточного времени на расследование инцидентов или не хватает знаний и навыков «раскрутить» по ниточке весь клубок хакерской атаки. Однако, когда речь идет о целевых атаках на компанию, это прямой путь к провалу, и вот почему.
Если злоумышленник настроен серьезно, он редко ограничивается единственным вектором атаки. Возможно, вредоносный файл, который вы обнаружили, к этому моменту уже сыграл свою роль в многоступенчатой атаке и более не представляет особой ценности для атакующего. А злоумышленник уже глубоко проник в вашу инфраструктуру и продолжает действовать при помощи других вредоносных инструментов. Для того чтобы гарантированно устранить угрозу, необходимо выявить всю цепь атаки и нейтрализовать ее.
Но как сделать это эффективно и быстро, пока злоумышленники не успели причинить реальный ущерб? Один из способов — погрузиться в контекст. По файлу определить, кто именно вас атакует; быстро выяснить, какие еще инструменты и тактики используются этими же злоумышленниками; проверить свою инфраструктуру на наличие связанных угроз. Для этих целей есть немало инструментов threat intelligence, но я покажу, как это работает, на примере нашего Kaspersky Threat Intelligence Portal.
Практический пример пользы от атрибуции
Допустим, вы загружаете на сайт найденный вами файл ВПО на портал Threat Intelligence и выясняете, что он используется, например, хакерской группировкой MysterySnail. Что вам дает это знание? Давайте посмотрим на доступную информацию:
View the full article
-
Автор KL FC Bot
Значительное количество современных инцидентов начинается с компрометации учетных записей. С тех пор как брокеры первоначального доступа стали отдельной преступной отраслью, атакующие могут значительно проще организовывать атаки на инфраструктуру компаний, просто закупая наборы из паролей и логинов сотрудников. А повсеместная практика использования различных методов организации удаленного доступа еще больше облегчила их задачу. При этом начальные этапы атаки часто выглядят как вполне легитимные действия сотрудников и долго остаются незамеченными классическими средствами защиты.
Надеяться исключительно на средства защиты учетных записей и парольные политики — не вариант. Всегда есть шанс, что злоумышленники доберутся до учетных данных ваших сотрудников при помощи разнообразных фишинговых атак, зловредов-инфостилеров или просто за счет небрежности сотрудников, которые используют один и тот же пароль для рабочих и личных аккаунтов и не особенно следят за утечками на сторонних сервисах, где у них имеются учетные записи.
В результате для выявления атак на инфраструктуру компании нужны инструменты, способные выявлять не только отдельные сигнатуры атаки, но и системы поведенческого анализа, способные детектировать отклонения от нормальных процессов пользователей и систем.
Использование ИИ в SIEM для выявления компрометации учетных записей
Как мы уже писали в предыдущем посте, для выявления атак, связанных с компрометацией учетных записей, мы оснастили нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA) пакетом правил UEBA, предназначенным для выявления аномалий в процессах аутентификации, в сетевой активности и при запуске процессов на рабочих станциях и серверах под управлением Windows. И в очередном обновлении мы продолжили развитие системы в том же направлении, добавив использование ИИ-подходов.
Система формирует модель нормального поведения пользователей при аутентификации и отслеживает отклонения от привычных сценариев: нетипичное время входа, необычные цепочки событий, аномальные попытки доступа. Такой подход позволяет выявлять как попытки аутентификации с украденными учетными данными, так и использование уже скомпрометированных аккаунтов, включая сложные сценарии, которые раньше могли оставаться незамеченными.
Вместо поиска отдельных индикаторов система анализирует отклонения от привычных паттернов. Это позволяет раньше обнаруживать сложные атаки и одновременно снижать количество ложных срабатываний. Это значительно снижает операционную нагрузку на SOC-команды.
Раньше при использовании UEBA-правил для выявления аномальности приходилось делать несколько правил, которые выполняют предварительную работу, а также формируют дополнительные листы, сохраняющие промежуточные данные. Сейчас же в новой версии SIEM c новым коррелятором появилась возможность реализовать детектирование угона учетной записи при помощи одного специализированного правила.
View the full article
-
Автор KL FC Bot
Какой взрослый не мечтал в детстве, чтобы с любимой игрушкой можно было поговорить по-настоящему? Если для нас подобные мечты были лишь невинными фантазиями, которые развивали воображение, то для современных детей они очень быстро становятся реальностью.
К примеру, в июне этого года один из крупнейших производителей детских игрушек — создавшая культовую куклу Барби компания Mattel — сообщила о начале сотрудничества с OpenAI для разработки ИИ-кукол. Однако Mattel станет не первой компанией, воплощающей в жизнь идею умных говорящих игрушек. Многие производители уже активно выпускают игрушечных ИИ-компаньонов для детей. В этом посте мы поговорим о том, как работают подобные игрушки, и изучим риски, связанные с их использованием.
Что представляют собой ИИ-игрушки
Под ИИ-игрушками в данном случае мы будем подразумевать настоящие физические игрушки, а не программы или приложения. На сегодняшний день искусственный интеллект чаще всего встраивают в мягкие игрушки или детских роботов. Такие игрушки способны вести с ребенком осмысленные развернутые беседы благодаря интеграции с большими языковыми моделями.
Многие пользователи современных чат-ботов знают, что ИИ можно попросить сыграть любую роль: от персонажа книги или фильма до диетолога или эксперта по кибербезопасности. Как отмечают авторы исследования ИИ приходит в детскую: искусственные компаньоны и реальные риски, подготовленного Образовательным фондом U.S. PIRG, в случае с ИИ-игрушками производители изначально задают для них роль лучшего друга для ребенка.
Примеры ИИ-игрушек, протестированных в исследовании: плюшевые компаньоны и детские роботы со встроенными языковыми моделями. Источник
Важно отметить, что в основе таких игрушек не лежит какой-то особенный специализированный «детский ИИ». На своих сайтах их создатели говорят об использовании популярных моделей, которые многим уже прекрасно знакомы: ChatGPT от OpenAI, Claude от Anthropic, DeepSeek от одноименного китайского разработчика и Gemini от Google. В этом месте обеспокоенные технологиями родители уже могут вспомнить о нашумевшем случае с ChatGPT, когда ИИ от OpenAI довел подростка до самоубийства.
View the full article
-
Автор KL FC Bot
Как защитить организацию от опасных действий внедренного ИИ? Вопрос уже не теоретический, учитывая что реальный ущерб от автономного ИИ в компании может варьироваться от плохого обслуживания клиентов до уничтожения основных баз данных. Ответить на него сейчас торопятся многие государственные и экспертные организации, которых спрашивают об этом лидеры бизнеса.
Для CIO и CISO ИИ-агенты создают масштабную проблему подконтрольности. ИИ-агенты принимают решения, вызывают инструменты и обрабатывают важные данные без прямого участия человека, и многие типичные инструменты ИТ и ИБ оказываются неприменимы для контроля действий ИИ.
Удобную методичку по этому вопросу выпустил некоммерческий проект OWASP, разрабатывающий рекомендации по безопасной разработке и внедрению ПО. Подробный топ-10 рисков приложений на базе агентского ИИ включает как привычные командам ИБ угрозы наподобие злоупотребления привилегиями, так и специфические ИИ-риски вроде отравления памяти агента. Каждый риск снабжен примерами, пояснениями об отличиях от «смежных» рисков и рекомендациями по снижению угрозы. В этой статье мы сократили описание рисков и свели воедино рекомендации по защите.
Топ-10 рисков, возникающих при внедрении автономных ИИ-агентов. Источник
View the full article
-
Автор KL FC Bot
Прошедший 2025 год стал рекордным по числу атак на Android-устройства. Мошенники эксплуатируют несколько горячих трендов: интерес пользователей к ИИ-приложениям, желание обойти блокировки доступа к сайтам или проверку возраста на входе, стремление сэкономить при покупке смартфона, повсеместное распространение банковских и платежных сервисов, а также популярность NFC. Разбираемся в основных угрозах 2025–2026 годов и выясняем, как защитить свой Android-смартфон в новых условиях.
Установка из посторонних источников
Вредоносные установочные пакеты (файлы APK) всегда были основной угрозой для Android-устройств, несмотря на многолетние усилия Google по укреплению защиты Android. Используя sideloading — установку нового приложения из APK-файла вместо загрузки из магазина приложений — можно установить любые приложения, включая откровенно вредоносные. Ни внедрение Google Play Protect, ни различные ограничения прав для установленных неизвестно откуда приложений не уменьшили масштаб проблемы.
По предварительным данным «Лаборатории Касперского» за 2025 год, число обнаруженных на Android мобильных угроз выросло почти вдвое. В третьем квартале их было на 38% больше, чем во втором. В некоторых нишах, таких как банковские трояны, рост еще серьезнее. В одной России опасный банковский троян Mamont атаковал в 36 раз больше пользователей, чем годом ранее, в целом по миру рост этой категории почти четырехкратный.
Сегодня злоумышленники в основном распространяют вредоносное ПО через мессенджеры, пересылая вредоносные файлы в личных чатах и группах. Установочный файл имеет привлекательное имя («фото вечеринки.jpg.apk», «все товары распродажи.apk» и подобные), а сопутствующее сообщение объясняет, как установить пакет, обойдя ограничения и предупреждения операционной системы.
После заражения нового устройства зловред нередко рассылает себя всем контактам жертвы.
Также популярен спам в поисковых системах и e-mail-рассылках, заманивающий пользователей на сайт, внешне похожий на магазин приложений, где предлагается скачать «новое полезное приложение» ؙ— например, ИИ-ассистента. На самом деле происходит не установка из магазина приложений, а загрузка приложения в пакете APK. Ярким примером этих техник является Android-троян ClayRat, комбинирующий все перечисленное для атак на российских пользователей. Он распространяется через группы и через фальшивые сайты, рассылает себя контактам очередной жертвы через SMS, а затем ворует у жертвы ее переписку и историю звонков и даже фотографирует владельца фронтальной камерой смартфона. Всего за три месяца появилось более 600 сборок трояна.
Масштаб беды таков, что в Google даже анонсировали запрет на распространение приложений от неизвестных разработчиков с 2026 года. Но спустя пару месяцев под давлением сообщества разработчиков сменили подход на более мягкий — вероятно, неподписанные приложения можно будет устанавливать только в каком-то «режиме суперпользователя». Поэтому можно ожидать, что инструкции от мошенников пополнятся описанием того, как в этот режим войти.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти