Фонд развития результативной кибербезопасности «Сайберус», созданный основателем Positive Technologies Юрием Максимовым, и ведущий разработчик в сфере информационной безопасности F.A.C.C.T. (бывшая Group-IB) объявили 29 ноября о заключении сделки с целью создания новой компании в сфере кибербезопасности на основе решений и сервисов F.A.C.C.T. Разрешение ФАС на проведение сделки имеется. Новая компания уже получила ИТ-аккредитацию в Минцифры, а с лета этого года даже ведётся разработка продуктовой линейки.

Сумма сделки не разглашается. По оценкам экспертов она может составить 4–5 млрд руб. Возглавит новую компанию, название которой пока не раскрывается, генеральный директор F.A.C.C.T. Валерий Баулин. В состав её акционеров войдут фонд результативной кибербезопасности «Сайберус» с долей в 47 % и частные инвесторы. Вхождение акционеров F.A.C.C.T. в акционерную структуру новой компании сделкой не предусмотрено. Предполагается, что юридические процедуры по сделке будут завершены в I квартале 2025 года.

Источник изображения: facct.ru

В рамках сделки акционеры F.A.C.C.T., включая основателя Илью Сачкова, который сейчас находится в заключении, передадут новой компании часть активов: технологии, экспертизу, интеллектуальную собственность и текущие контракты. Команда F.A.C.C.T. перейдёт в новую компанию. Баулин заявил о поставленной задаче сделать новую компанию одной из сильнейших в сфере информационной безопасности в стране с фокусом на борьбу с киберпреступностью. Он отметил, что инвесторы делают ставку на формирование новой продуктовой линейки и увеличение клиентского портфеля, в том числе с привлечением крупных госзаказчиков.

Также сообщается, что решения новой компании будут представлены в экспортном предложении российской индустрии кибербезопасности, формированием и продвижением которого на межгосударственном уровне занимается «Сайберус».

Исследователи ESET сообщили о первом UEFI-бутките, нацеленном на Linux-системы. До этого злоумышленники использовали такого рода вредоносное ПО только для атак на компьютеры под управлением Windows, пишет BleepingComputer.

Буткит Bootkitty (IranuKit) был загружен на платформу VirusTotal 5 ноября 2024 года в виде файла bootkit.efi. Как утверждают в ESET, по ряду признаков Bootkitty представляет собой подтверждение осуществимости атаки (proof-of-concept), которое работает только на некоторых версиях и конфигурациях Ubuntu и не является полноценной угрозой, используемой в реальных атаках.

«Независимо от того, является ли это проверкой концепции или нет, Bootkitty знаменует собой интересный шаг вперед в ландшафте угроз UEFI, разрушая убеждение, что современные буткиты UEFI являются угрозами, эксклюзивными для Windows», — заявили исследователи, добавив, что появление буткита «подчеркивает необходимость быть готовым к потенциальным будущим угрозам».

Источник изображений: ESET

Как сообщили в ESET, основная цель буткита — отключить функцию проверки подписи ядра и предварительно загрузить два пока не известных двоичных файла ELF в процессе инициализации ядра. Bootkitty использует самоподписанный сертификат, поэтому он не будет выполняться в системах с включенной функцией Secure Boot, если только контролируемый злоумышленником сертификат уже не был прописан ранее.

Во время загрузки компьютера буткит перехватывает функции в протоколах аутентификации безопасности UEFI, чтобы обойти проверки целостности Secure Boot, гарантируя загрузку буткита независимо от политик безопасности. После этого он подменяет функции проверки целостности и наличия подписи в загрузчике GRUB, в том числе для образа ядра. Затем Bootkitty перехватывает процесс распаковки ядра Linux и подменяет функцию проверки модулей ядра. Наконец, он позволяет прописать в LD_PRELOAD любую библиотеку, которая будет первой загружаться при запуске системы.

Индикаторы компрометации (IoC), связанные с Bootkitty, были опубликованы в репозитории GitHub.

Американская Федеральная комиссия по связи (FCC) впервые за 22 года пересмотрит правила лицензирования подводных кабелей. Ведомство одобрило т.н. «Уведомление о предложении регулирования» (Notice of Proposed Rulemaking) для того, чтобы повысить уровень безопасности и защиты подводной инфраструктуры, а также упростить процесс лицензирования, сообщает Datacenter Dynamics.

Сейчас процесс регулирования деятельности в соответствующей сфере весьма сложен — для получения лицензий необходимо подавать заявки сразу нескольким федеральным регуляторам США. FCC намерена упростить этот процесс, но вместе с тем ужесточить правила отчётности. Так, предлагается ввести обязательные отчёты для прокладчиков кабелей каждые три года или же сократить срок действия их лицензий с 25 лет до более короткого периода.

Американский регулятор делает акцент на обеспечении национальной безопасности. Например, FCC также предложила обязать операторов, имеющих право на ведение международного телеком-бизнеса, подавать заявки на продление соответствующих разрешений в FCC. Дополнительно FCC работает над механизмом устранения из американских сетей связи телеком-оборудования, которое регулятор сочтёт опасным или хотя бы «рискованным».

Источник изображения: Drew Beamer/unsplash.com

Речь идёт о первом пересмотре правил работы с подводными кабелями с 2001 года. На сегодня функционируют 84 кабельные системы, получившие лицензии FCC. Текущая суммарная ёмкость кабелей лицензиатов превышает 5,3 Пбит/с, к ним планируется добавить ещё 6,8 Пбит/с.

Безопасность кабелей по разным причинам стала весьма актуальной темой. Помимо инцидентов в Красном море, из-за которых пострадала связь Азии с Европой, были и другие случаи, в частности — обрыв кабелей у берегов Вьетнама и Тайваня и недавний инцидент в Балтийском море.

Axoft в партнёрстве с компанией «Гравитон», «Лабораторией Касперского» и «Группой Астра» анонсировала программно-аппаратный комплекс (ПАК) под названием «Алькор», предназначенный для мониторинга вторжений и обеспечения защиты от комплексных угроз и целевых атак.

В основу новинки положены серверы «Гравитон» С2122И типоразмера 2U. Они могут нести на борту два процессора Intel Xeon поколения Cascade Lake-SP с показателем TDP до 205 Вт и до 2 Тбайт оперативной памяти DDR4 (в конфигурации 16 × 128 Гбайт). Предусмотрены 12 фронтальных отсеков для накопителей LFF/SFF с интерфейсом SATA/SAS, а также два тыльных отсека SFF. Есть контроллер Aspeed AST2500, четыре сетевых порта 1GbE (Marvell 88E1543) и выделенный порт управления 1GbE, пять слотов PCIe 3.0 x16 и один слот PCIe 3.0 x8. Кроме того, присутствуют разъём М.2 E-key 2230/2242/2260/2280, четыре порта USB 3.0, последовательный порт и аналоговый разъём D-Sub. Питание обеспечивают два блока мощностью до 1600 Вт с сертификатом 80 Plus Platinum.

В состав платформы «Алькор» входит софт Kaspersky Anti Targeted Attack (KATA) и Kaspersky EDR Expert (KEDR), который обеспечивает защиту от сложных целевых атак на всех уровнях. Благодаря этому ПО заказчики получают необходимые инструменты для многостороннего выявления угроз, эффективного расследования инцидентов в рамках всей инфраструктуры и быстрого централизованного реагирования. Система KATA интегрируется с любыми сетевыми устройствами, которые поддерживают передачу трафика для его дальнейшего анализа.

Источник изображения: «Гравитон»

По заявлениям Axoft, новый ПАК подходит для клиентов из любой отрасли государственного и промышленного секторов, которым нужно эффективно распределить бюджет между сегментами IT, информационной безопасностью и оборудованием при соответствии требованиям 187-ФЗ «О безопасности критической информационной инфраструктуры».

«Алькор» предлагается в двух основных вариантах. Версия с софтом «Лаборатории Касперского» предназначена для обеспечения защиты от сложных целевых атак. Для развёртывания инфраструктуры в облаке опционально к платформе прилагается программный комплекс «Средства виртуализации «Брест» и операционная система Astra Linux, разработчиком которых является «Группа Астра».

«Программно-аппаратный комплекс позволит надёжно защитить IT-инфраструктуру предприятия. В нём используются передовые решения, способные противостоять даже самым сложным и ранее неизвестным угрозам. ПАК создан отечественными компаниями, что важно в контексте замещения ПО на российские аналоги, и отвечает всем требованиям регуляторов», — отмечает «Лаборатория Касперского».

Национальный координационный центр по компьютерным инцидентам (НКЦКИ), сформированный ФСБ России, по сообщению газеты «Коммерсантъ», расторг соглашение о сотрудничестве с компанией Positive Technologies. Речь идёт о взаимодействии в рамках центра ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

В официальном уведомлении сказано, что договор разорван по инициативе НКЦКИ. Причина заключается в отсутствии «взаимодействия по предусмотренным соглашением направлениям». Какие именно аспекты деятельности имеет в виду координационный центр, не уточняется.

Вместе с тем в самой компании Positive Technologies сообщили газете «Ведомости», что расторжение договора — «это плановая активность». Утверждается, что НКЦКИ пересматривает требования к обязанностям корпоративных центров ГосСОПКА, в связи с чем требуется перезаключение соглашений. Positive Technologies подчёркивает, что находится в диалоге с регулятором по вопросу подписания договора на обновлённых условиях.

Источник изображения: unsplash.com

НКЦКИ выполняет ряд функций, нацеленных на противодействие кибервторжениям. Это, в частности, координация мероприятий по реагированию на компьютерные инциденты, а также участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак. Кроме того, центр осуществляет сбор, хранение и анализ информации об инцидентах, а также оценку эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий хакерских атак.

Стоит добавить, что ранее Positive Technologies объявила о присоединении к консорциуму исследований технологий доверенного и защищённого ИИ. Соответствующее соглашение подписано компанией с АНО «Национальный технологический центр цифровой криптографии» и «Фондом содействия развитию безопасных информационных технологий».

Компания Positive Technologies, по сообщению газеты «Ведомости», первой среди отечественных разработчиков межсетевых экранов получила новый сертификат ФСТЭК России — «многофункциональный межсетевой экран уровня сети». Документ подтверждает соответствие требованиям ФСТЭК по четвёртому уровню доверия.

Речь идёт о межсетевом экране нового поколения PT NGFW. Positive Technologies объявила о выпуске данного продукта несколько дней назад. Решение обеспечивает защиту корпоративной сети от атак и вредоносного ПО, а также предоставляет средства управления доступом к веб-ресурсам.

PT NGFW предлагается в виртуальном исполнении, а также в составе программно-аппаратных комплексов на платформе Intel Xeon Sapphire Rapids. По заявлениям Positive Technologies, межсетевой экран позволяет закрыть потребности бизнеса по защите от актуальных угроз без потерь в производительности. В состав PT NGFW входят различные модули безопасности — IPS-система, потоковый антивирус, фильтрация URL и обогащение данными об угрозах.

Источник изображения: Positive Technologies

Четвёртый уровень доверия ФСТЭК означает, что PT NGFW может использоваться для защиты значимых объектов критической информационной инфраструктуры (ЗО КИИ), государственных информационных систем (ГИС), автоматизированных систем управления технологическими процессами (АСУ ТП) и информационных систем персональных данных (ИСПДн).

PT NGFW может применяться в различных сценариях, таких как защита периметра, корпоративных сетей, дата-центров или облачных сервисов. Система определяет более 1500 приложений и подприложений, включая популярные российские решения, такие как «1С», «Госуслуги», «Яндекс», «VK» и «Битрикс».

Компания Positive Technologies объявила о выпуске брандмауэра PT NGFW.

Программный комплекс обеспечивает защиту корпоративной сети от сетевых атак и вредоносного ПО, а также управление доступом к веб‑ресурсам. В решение встроены модули контроля пользователей и приложений, система предотвращения вторжений (IPS), средства инспекции (расшифровки) TLS-трафика, механизмы URL-фильтрации и инструменты централизованного управления с поддержкой до 10 тысяч конечных устройств. PT NGFW поддерживает маршрутизацию трафика, виртуальные контексты, иерархию объектов и правил, поиск, журналирование и работу в составе отказоустойчивых кластеров. Также сообщается о возможностях интеграции с Microsoft Active Directory и экосистемой продуктов Positive Technologies.

Пользовательский интерфейс PT NGFW (источник изображения: ptsecurity.com)

PT NGFW доступен для приобретения как в виртуальном исполнении, так и в составе программно-аппаратных комплексов с архитектурой х86, разнящихся форм-фактором, аппаратной начинкой, набором поддерживаемых сетевых интерфейсов и производительностью в различных режимах межсетевого экрана. Самая младшая модель в линейке устройств — PT NGFW 1010 — обеспечивает производительность до 5,6 Гбит/c (режим Firewall), до 900 Мбит/с (IPS и «Инспекция приложений»), до 100 Мбит/с (NGFW) и до 100 Мбит/с (TLS Forward Proxy). Самый старший вариант — PT NGFW 3040 — позволяет обрабатывать трафик со скоростью до 300 Гбит/c (режим Firewall), до 60 Гбит/с (IPS и «Инспекция приложений»), до 10 Гбит/с (NGFW) и до 25 Гбит/с (TLS Forward Proxy).

Межсетевой экран PT NGFW может применяться в организациях различного размера, в том числе в крупных со сложной сетевой инфраструктурой, а также для защиты центров обработки данных.

По данным аналитиков, в 2025 году объём российского рынка сетевой безопасности достигнет 100 млрд рублей, при этом около 60 % защитных продуктов придётся на решения класса NGFW. Такие прогнозы игроки рынка связывают с требованиями правительства РФ по переводу к упомянутому сроку критической информационной инфраструктуры на преимущественное использование отечественных разработок в сфере ИБ.

Microsoft представила на конференции Microsoft Ignite новые специализированные чипы Azure Boost DPU и Azure integrated Hardware Security Module (HSM), предназначенные для использования в ЦОД с целью поддержки рабочих нагрузок в облаке Azure и повышения безопасности.

Источник изображений: Microsoft

Чтобы снизить зависимость от поставок чипов сторонних компаний, Microsoft занимается разработкой собственных решений для ЦОД. Например, на прошлогодней конференции Microsoft Ignite компания представила Arm-процессор Azure Cobalt 100 и ИИ-ускоритель Azure Maia 100 собственной разработки. Azure Boost DPU включает специализированные ускорители для работы с сетью и хранилищем, а также предлагает функции безопасности. Так, скорость работы с хранилищем у будущих инстансов Azure будет вчетверо выше, чем у нынешних, а энергоэффективность при этом вырастет втрое.

Не вызывает сомнений, что в разработке Azure Boost DPU участвовали инженеры Fungible, производителя DPU, который Microsoft приобрела в декабре прошлого года. Как отмечает TechCrunch, в последние годы популярность DPU резко увеличилась. AWS разработала уже несколько поколений Nitro, Google совместно с Intel создала IPU, AMD предлагает DPU Pensando, а NVIDIA — BlueField. Есть и другие нишевые игроки. Согласно оценкам Allied Analytics, рынок чипов DPU может составить к 2031 году $5,5 млрд.

Ещё один кастомный чип — Azure integrated Hardware Security Module (HSM) — отвечает за хранение цифровых криптографических подписей и ключей шифрования в защищённом модуле «без ущерба для производительности или увеличения задержки». «Azure Integrated HSM будет устанавливаться на каждом новом сервере в ЦОД Microsoft, начиная со следующего года, чтобы повысить защиту всего парка оборудования Azure как для конфиденциальных, так и для общих рабочих нагрузок», — заявила Microsoft. Azure Integrated HSM работает со всем стеком Azure, обеспечивая сквозную безопасность и защиту.

Microsoft также объявила, что задействует ускорители NVIDIA Blackwell и кастомные серверные процессоры AMD EPYC. Так, инстансы Azure ND GB200 v6 будут использовать суперускорители NVIDIA GB200 NVL 72 в собственном исполнении Microsoft, а интерконнект Quantum InfiniBand позволит объединить десятки тысяч ускорителей Blackwell. Компания стремительно наращивает закупки этих систем. А инстансы Azure HBv5 получат уникальные 88-ядерные AMD EPYC 9V64H с памятью HBM, которые будут доступны только в облаке Azure. Каждый инстанс включает четыре таких CPU и до 450 Гбайт памяти с агрегированной пропускной способностью 6,9 Тбайт/с.

Кроме того, Microsoft анонсировала новое решение Azure Local, которое заменит семейство Azure Stack. Azure Local — это облачная гибридная инфраструктурная платформа, поддерживаемая Azure Arc, которая объединяет локальные среды с «большим» облаком Azure. По словам компании, клиенты получат обновление до Azure Local в автоматическом режиме.

Наконец, Microsoft анонсировала новые возможности в Azure AI Foundry, новой «унифицированной» платформе приложений ИИ, где организации смогут проектировать, настраивать и управлять своими приложениями и агентами ИИ. В числе новых опций — Azure AI Foundry SDK (пока в виде превью).

Компания «Интеллектуальная безопасность» сообщила о выпуске новой версии программного комплекса Security Vision Vulnerability Management (VM), предназначенного для анализа защищённости корпоративных IT-систем и оперативного устранения обнаруженных уязвимостей.

Security Vision VM позволяет выстраивать процессы обнаружения и устранения уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений. Продукт обеспечивает сбор полной картины уязвимостей, их взаимосвязей и рекомендаций из различных источников, формируя постоянный циклический процесс с автоматизацией оповещений, отчётов и других необходимых действий.

Схема работы и взаимодействия Security Vision Vulnerability Management с IT-инфраструктурой предприятия (источник изображения: securityvision.ru/products/vm)

В обновлённом Security Vision VM доработаны механизмы поиска уязвимостей в контейнерных средах, отдельно реализованные для запущенных, остановленных контейнеров и образов, в том числе в окружениях под управлением Kubernetes. Также в программный комплекс добавлены новые режимы сканирования: Pentest (обнаружение и проверка возможности эксплуатации сетевых уязвимостей, применения наиболее серьёзных эксплойтов, подбор слабых паролей, проверка устаревших/уязвимых алгоритмов шифрования и др.), «Сканирование веб-приложений» (проводится проверка на XSS-, CSRF-уязвимости, SQL-инъекции, RFI, Сode injection, раскрытие внутренней информации и настроек сайтов, подбор слабых паролей, перебор учётных записей, проверка эксплуатации специфичных веб-уязвимостей и др.) и «Ретро-скан» (поиск уязвимостей по полученным ранее данным из активов, без подключения к ним и ожидания окон сканирования).

Немало в новой версии Security Vision VM реализовано прочих доработок. В частности, сообщается о расширении списка скриптов для взаимодействия с IT-активами, которые позволяют выполнять типовые действия по получению информации, администрированию и изменению конфигураций на Windows- и Linux-хостах, различных видах сетевого оборудования и базах данных. В дополнение к этому доработан механизм белых/черных списков, контроля разрешённого и запрещённого ПО, а также выполнения сложных скриптов при автоматическом патчинге, включая возможность отмены внесённых изменений. В рамках регулярных обновлений баз уязвимостей со стороны компании «Интеллектуальная безопасность» предоставляются сведения об актуальных уязвимостях и выполнение дополнительных проверок по обнаружению наиболее критичных уязвимостей.

Медиагигант ByteDance начал перенос данных европейских пользователей TikTok в новый дата-центр в Норвегии. По данным Datacenter Dynamics, инициатива стоимостью €12 млрд реализуется в рамках т.н. Project Clover — проекта, призванного обеспечить размещение европейских данных на территории Евросоюза. TikTok сообщает, что первое здание норвежского кампуса ЦОД уже функционирует. А самый первый ЦОД для Project Clover заработал в Ирландии в 2023 году.

Норвежский кампус OSL2-Hamar предоставлен компанией Green Mountain — соответствующее партнёрство анонсировали в марте 2023 года. Изначально заключался контракт на 90 МВт, распределённые на три здания, с возможностью масштабирования до 150 МВт к 2025 году. Первые 30-МВт объект передали TikTok в декабре 2023 года. Планировалось, что ЦОД заработает уже во II квартале 2024 года, но реализация проекта замедлилась из-за задержек в получении разрешений на новую подстанцию. Впрочем, само подключение к энергосети было получено не без проблем.

Поскольку TikTok принадлежит китайской ByteDance, несколько стран выразили озабоченность возможной утечкой данных своих граждан, наиболее сильное давление на социальную сеть оказывается в США, там же чаще всего выступают и с разоблачениями вероятных угроз национальной безопасности — не исключена продажа местного подразделения Oracle или Microsoft.

Источник изображения: TikTok

Пытаясь сохранить бизнес в Европе, ByteDance анонсировала инициативу Project Clover. Помимо передачи данных в Норвегию, компания сообщила, что независимый провайдер решений в сфере кибербезопасности NCC Group занялся мониторингом движения данных социальной сети и обеспечил дополнительную защиту сведениям о европейцах.

Ранее в этом месяце появилась информация о том, что TikTok якобы намеревается открыть ЦОД в Таиланде. В июне компания сообщила, что создаст ИИ-хаб в Малайзии за RM10 млрд ($2,13 млрд). Также, по слухам, компания рассматривала открытие ЦОД в Австралии для поддержки выполнения задач по всему Азиатско-Тихоокеанскому региону. Также у компании имеется ЦОД в Техасе, управляемый Oracle.