ГК Солар запустила сервис поставки данных об угрозах — Solar TI Feeds

ГК Солар запустила сервис поставки данных об угрозах — Solar TI Feeds

ГК Солар запустила сервис поставки данных об угрозах — Solar TI Feeds

Группа компаний «Солар» объявила о запуске нового сервиса — Solar Threat Intelligence Feeds (Solar TI Feeds), который обеспечивает непрерывную поставку информации об актуальных киберугрозах. В основе сервиса лежит база знаний ПАО «Ростелеком», а также телеметрия сервисов и продуктов компании.

Сервис предназначен для крупных организаций, стремящихся к постоянному обогащению своих центров мониторинга безопасности (SOC) актуальной информацией о потенциальных инцидентах.

Это позволяет оперативно выявлять и предотвращать кибератаки, минимизируя риски для бизнеса. Solar TI Feeds уже успешно прошёл апробацию в рамках ряда пилотных проектов.

Solar TI Feeds помогает организациям своевременно обнаруживать и реагировать на инциденты информационной безопасности, что особенно важно для компаний, заинтересованных в бесперебойной работе бизнес-процессов и снижении как репутационных, так и финансовых потерь. Сервис особенно актуален для стратегически значимых отраслей экономики России — финансовой, нефтегазовой, государственной, промышленной, телекоммуникационной и ИТ-сферы — которые находятся под постоянным давлением со стороны злоумышленников с различной мотивацией.

Сервис включает более 20 типов фидов, содержащих индикаторы компрометации (IP-адреса, хеш-суммы), а также правила обнаружения атак. В состав потоков данных входят:

  • информация с телекоммуникационных сенсоров «Ростелекома»;
  • телеметрия сервисов Solar JSOC и решений центра технологий и кибербезопасности ГК «Солар»;
  • результаты автоматизированного анализа более 200 миллиардов событий, зафиксированных сенсорами;
  • правила обнаружения атак, выработанные по итогам свыше 200 расследований и постоянного мониторинга деятельности более 60 хакерских группировок экспертами центра Solar 4RAYS.

Передача фидов осуществляется круглосуточно через API или с помощью локального агента. Для максимального удобства сервис поддерживает интеграцию не только с платформами Threat Intelligence, но и с другими системами: SIEM, SOAR, NGFW, EDR, XDR и др. Все данные проходят ручную верификацию, что значительно снижает риск ложных срабатываний.

«Информационные подразделения крупных компаний сталкиваются с огромным количеством событий ИБ, которые невозможно обработать оперативно и в полном объёме. Это мешает эффективно реагировать на реальные угрозы. Solar TI Feeds помогает приоритизировать срабатывания средств защиты и экономить ресурсы при реагировании на инциденты. Экспертиза Solar 4RAYS в области киберразведки и расследования атак, данные JSOC и информация с сенсоров "Ростелекома" обеспечивают высокую релевантность фидов и позволяют использовать их в самых разных сценариях, вплоть до автоматической блокировки угроз», — прокомментировал Алексей Вишняков, технический директор центра исследования киберугроз Solar 4RAYS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в УЦ SSL.com позволяет получить сертификат для чужого домена

Воспользовавшись уязвимостью в сервисе SSL.com, исследователь незаконно получил сертификат для aliyun.com, официального сайта Alibaba Cloud. Специалисты УЦ поставлены в известность и готовят патч.

Неправильно выданный сертификат уже аннулирован. Обнаружены и отозваны еще 10 сертификатов, также по ошибке выданные для семи легитимных доменов.

Уязвимость, о которой идет речь, появилась из-за некорректной реализации проверки прав на домен (domain control validation, DCV) с подтверждением по имейл. В рамках этой процедуры заявитель должен создать для целевого домена соответствующую запись DNS TXT (_validation-contactemail).

В ходе проверки на указанный контактный адрес высылается случайное DCV-значение. Его ввод служит основанием для удовлетворения заявки.

Как выяснилось, система SSL.com при этом ошибочно маркирует имя хоста имейл как верифицированный домен, что позволяет получить сертификат для чужого ресурса.

УЦ поблагодарил исследователя за находку и пообещал решить проблему в приоритетном порядке, а также опубликовать подробный отчет об инциденте к началу мая.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru