-
Похожий контент
-
Автор KL FC Bot
Далеко не все практикующие ИБ-специалисты считают целесообразным определять, кто именно стоит за вредоносным ПО, обнаруженном при атаке на их компанию. Типичный алгоритм действий при расследовании подобных инцидентов таков: нашли подозрительный файл → если антивирус его не заблокировал, проверили в «песочнице» → увидели вредоносную активность → добавили хеш в списки блокировки на средствах защиты информации (СЗИ) → пошли пить чай. Так поступают многие ИБ-специалисты, особенно когда у них нет достаточного времени на расследование инцидентов или не хватает знаний и навыков «раскрутить» по ниточке весь клубок хакерской атаки. Однако, когда речь идет о целевых атаках на компанию, это прямой путь к провалу, и вот почему.
Если злоумышленник настроен серьезно, он редко ограничивается единственным вектором атаки. Возможно, вредоносный файл, который вы обнаружили, к этому моменту уже сыграл свою роль в многоступенчатой атаке и более не представляет особой ценности для атакующего. А злоумышленник уже глубоко проник в вашу инфраструктуру и продолжает действовать при помощи других вредоносных инструментов. Для того чтобы гарантированно устранить угрозу, необходимо выявить всю цепь атаки и нейтрализовать ее.
Но как сделать это эффективно и быстро, пока злоумышленники не успели причинить реальный ущерб? Один из способов — погрузиться в контекст. По файлу определить, кто именно вас атакует; быстро выяснить, какие еще инструменты и тактики используются этими же злоумышленниками; проверить свою инфраструктуру на наличие связанных угроз. Для этих целей есть немало инструментов threat intelligence, но я покажу, как это работает, на примере нашего Kaspersky Threat Intelligence Portal.
Практический пример пользы от атрибуции
Допустим, вы загружаете на сайт найденный вами файл ВПО на портал Threat Intelligence и выясняете, что он используется, например, хакерской группировкой MysterySnail. Что вам дает это знание? Давайте посмотрим на доступную информацию:
View the full article
-
Автор KL FC Bot
Значительное количество современных инцидентов начинается с компрометации учетных записей. С тех пор как брокеры первоначального доступа стали отдельной преступной отраслью, атакующие могут значительно проще организовывать атаки на инфраструктуру компаний, просто закупая наборы из паролей и логинов сотрудников. А повсеместная практика использования различных методов организации удаленного доступа еще больше облегчила их задачу. При этом начальные этапы атаки часто выглядят как вполне легитимные действия сотрудников и долго остаются незамеченными классическими средствами защиты.
Надеяться исключительно на средства защиты учетных записей и парольные политики — не вариант. Всегда есть шанс, что злоумышленники доберутся до учетных данных ваших сотрудников при помощи разнообразных фишинговых атак, зловредов-инфостилеров или просто за счет небрежности сотрудников, которые используют один и тот же пароль для рабочих и личных аккаунтов и не особенно следят за утечками на сторонних сервисах, где у них имеются учетные записи.
В результате для выявления атак на инфраструктуру компании нужны инструменты, способные выявлять не только отдельные сигнатуры атаки, но и системы поведенческого анализа, способные детектировать отклонения от нормальных процессов пользователей и систем.
Использование ИИ в SIEM для выявления компрометации учетных записей
Как мы уже писали в предыдущем посте, для выявления атак, связанных с компрометацией учетных записей, мы оснастили нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA) пакетом правил UEBA, предназначенным для выявления аномалий в процессах аутентификации, в сетевой активности и при запуске процессов на рабочих станциях и серверах под управлением Windows. И в очередном обновлении мы продолжили развитие системы в том же направлении, добавив использование ИИ-подходов.
Система формирует модель нормального поведения пользователей при аутентификации и отслеживает отклонения от привычных сценариев: нетипичное время входа, необычные цепочки событий, аномальные попытки доступа. Такой подход позволяет выявлять как попытки аутентификации с украденными учетными данными, так и использование уже скомпрометированных аккаунтов, включая сложные сценарии, которые раньше могли оставаться незамеченными.
Вместо поиска отдельных индикаторов система анализирует отклонения от привычных паттернов. Это позволяет раньше обнаруживать сложные атаки и одновременно снижать количество ложных срабатываний. Это значительно снижает операционную нагрузку на SOC-команды.
Раньше при использовании UEBA-правил для выявления аномальности приходилось делать несколько правил, которые выполняют предварительную работу, а также формируют дополнительные листы, сохраняющие промежуточные данные. Сейчас же в новой версии SIEM c новым коррелятором появилась возможность реализовать детектирование угона учетной записи при помощи одного специализированного правила.
View the full article
-
Автор KL FC Bot
Какой взрослый не мечтал в детстве, чтобы с любимой игрушкой можно было поговорить по-настоящему? Если для нас подобные мечты были лишь невинными фантазиями, которые развивали воображение, то для современных детей они очень быстро становятся реальностью.
К примеру, в июне этого года один из крупнейших производителей детских игрушек — создавшая культовую куклу Барби компания Mattel — сообщила о начале сотрудничества с OpenAI для разработки ИИ-кукол. Однако Mattel станет не первой компанией, воплощающей в жизнь идею умных говорящих игрушек. Многие производители уже активно выпускают игрушечных ИИ-компаньонов для детей. В этом посте мы поговорим о том, как работают подобные игрушки, и изучим риски, связанные с их использованием.
Что представляют собой ИИ-игрушки
Под ИИ-игрушками в данном случае мы будем подразумевать настоящие физические игрушки, а не программы или приложения. На сегодняшний день искусственный интеллект чаще всего встраивают в мягкие игрушки или детских роботов. Такие игрушки способны вести с ребенком осмысленные развернутые беседы благодаря интеграции с большими языковыми моделями.
Многие пользователи современных чат-ботов знают, что ИИ можно попросить сыграть любую роль: от персонажа книги или фильма до диетолога или эксперта по кибербезопасности. Как отмечают авторы исследования ИИ приходит в детскую: искусственные компаньоны и реальные риски, подготовленного Образовательным фондом U.S. PIRG, в случае с ИИ-игрушками производители изначально задают для них роль лучшего друга для ребенка.
Примеры ИИ-игрушек, протестированных в исследовании: плюшевые компаньоны и детские роботы со встроенными языковыми моделями. Источник
Важно отметить, что в основе таких игрушек не лежит какой-то особенный специализированный «детский ИИ». На своих сайтах их создатели говорят об использовании популярных моделей, которые многим уже прекрасно знакомы: ChatGPT от OpenAI, Claude от Anthropic, DeepSeek от одноименного китайского разработчика и Gemini от Google. В этом месте обеспокоенные технологиями родители уже могут вспомнить о нашумевшем случае с ChatGPT, когда ИИ от OpenAI довел подростка до самоубийства.
View the full article
-
Автор Борис Звягинцев
Нашел вирус, с креком для виндоус 7 в почте.
Один раз показал - удалить с перезагрузкой, я решил попробовать без перезагрузки, он что-то там делал, предложил добавить в исключения и все на этом.
Больше лечение с перезагрузкой не предлагает.
И вылечить не может.
Что делать?
-
Автор KL FC Bot
Как защитить организацию от опасных действий внедренного ИИ? Вопрос уже не теоретический, учитывая что реальный ущерб от автономного ИИ в компании может варьироваться от плохого обслуживания клиентов до уничтожения основных баз данных. Ответить на него сейчас торопятся многие государственные и экспертные организации, которых спрашивают об этом лидеры бизнеса.
Для CIO и CISO ИИ-агенты создают масштабную проблему подконтрольности. ИИ-агенты принимают решения, вызывают инструменты и обрабатывают важные данные без прямого участия человека, и многие типичные инструменты ИТ и ИБ оказываются неприменимы для контроля действий ИИ.
Удобную методичку по этому вопросу выпустил некоммерческий проект OWASP, разрабатывающий рекомендации по безопасной разработке и внедрению ПО. Подробный топ-10 рисков приложений на базе агентского ИИ включает как привычные командам ИБ угрозы наподобие злоупотребления привилегиями, так и специфические ИИ-риски вроде отравления памяти агента. Каждый риск снабжен примерами, пояснениями об отличиях от «смежных» рисков и рекомендациями по снижению угрозы. В этой статье мы сократили описание рисков и свели воедино рекомендации по защите.
Топ-10 рисков, возникающих при внедрении автономных ИИ-агентов. Источник
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти