PacketSentry для контроля виртуальных и облачных сред

PacketSentry для контроля виртуальных и облачных сред

Компания SafeLine сообщает сегодня о выходе виртуального сенсора PacketSentry Virtual Probe, который призван расширить комплексное решение безопасности PacketMotion на виртуальные и облачные среды. Виртуальный сенсор PacketSentry отслеживает и позволяет обезопасить доступ к чувствительной информации в кластерах VMware®, предоставляя полноценный функционал решения PacketSentry в виде виртуальной машины (VM), с минимальной нагрузкой на ресурсы. Контролируемые приложения включают в себя базы данных, файловые хранилища, web приложения, управление документами и многое другое.

Группа Gartner считает отсутствие прозрачности и средств контроля при передаче данных между виртуальными машинами VM-to-VM одной из самой серьёзных проблем безопасности для организаций. Это может привести к несанкционированным коммуникациям между виртуальными машинами, сложностям с контролем прав доступа внутри виртуального хоста и неспособности обнаружить незаконный доступ к ключевым информационным активам. А также к неспособности проведения внутренних аудитов и выполнения требований регуляторов, включая PCI, HIPAA и SOX.

«Организации озабочены отсутствием видимости внутренних виртуальных сетей и угрозам безопасности вследствие не отслеживаемых коммуникаций между виртуальными машинами, – говорит Нейл Макдоналдс, вице-президент и член Gartner. – Компаниям необходима видимость в физических и виртуальных средах без необходимости внедрения различных решений для каждой из них, и которая обеспечила бы такой же уровень проверок и безопасного управления виртуальным центром обработки данных, какой существует сегодня в традиционных физических центрах обработки данных».

Архитектура и модель лицензирования обеспечивает эффективный мониторинг действий в виртуальных хостах.

Решение PacketSentry Virtual Probe коренным образом меняет уровень контроля безопасности в виртуальной среде. Оно является комплексным виртуальным устройством (virtual appliance), которое:

  • Реализует несколько элементов контроля в одном приложении.
  • Запускается в качестве гостевой виртуальной машины, потребляющей всего 3-5 процентов ресурсов процессора хост-компьютера.
  • Реагирует на транзакции без привязки к IP-адресам.
  • Лицензируется по количеству контролируемых виртуальных машин, вне зависимости от архитектуры реализации VMware.
  • Автоматизирует развертывание политик информационной безопасности на основании учётных данных пользователей в виртуальном центре данных.

«Мы были впечатлены инновационной технологией виртуального сенсора PacketMotion и тем, как легко его было установить, – сказал Эндрю Гам (Andrew Gahm), системный инженер и специалист по защите информации медицинского центра South Jersey Healthcare. – Мы достаточно интенсивно используем новый виртуальный сенсор, особенно для того, чтобы увидеть данные, которых мы не видели раньше. Это помогает нам проводить расследования и устранять проблемы, а также даёт нам расширенные данные, необходимые для расследования инцидентов. Мы поражены тем, что он действительно использует мельчайшую подробную информацию о каждой транзакции и связывает её с Active Directory, так что мы можем видеть, что делает каждый пользователь. Многие продукты перехватывают данные, но в большинстве случаев он выдают только IP-адрес, и нужно сильно потрудиться, чтобы определить пользователя».

Виртуальный сенсор PacketSentry был создан как простое в установке и эффективное дополнение к виртуальной среде. Поскольку виртуальный сенсор потребляет мало ресурсов процессора и оперативной памяти сервера, он может быть развернут повсеместно на обычных и блейд-серверах в виртуальных центрах обработки данных для их полной защиты. Расширенный механизм декодирования протоколов и приложений PacketSentry предоставляет беспрецедентный инструмент для проверки и контроля действий пользователей в приложениях в виртуальных средах.

«Организации разочарованы отсутствием прозрачности и контроля в виртуальных центрах обработки данных, что по их сведениям подвергает их риску, – говорит Пол Смит (Paul Smith), президент компании PacketMotion. – С PacketSentry у компаний появляется единое решение, защищающее их данные в физических, виртуальных и облачных средах. Виртуальный сенсор однозначно обеспечивает прозрачность и контроль действий при переходе на виртуализованные ЦОДы".

Виртуальный сенсор PacketSentry Virtual Probe поддерживает разделение ответственности, предоставляя отделам безопасности и группам IT, которые несут ответственность за соблюдение требований регуляторов и политик защиты интеллектуальной собственности, решения для аудита и контроля в виртуальных центрах обработки данных, что обычно приходится делать серверным группам. Теперь отдел безопасности может контролировать административную активность и контролировать политику безопасности в виртуальной среде без привлечения дополнительных ресурсов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru