Знай Своего Врага в Лицо – Фишинг Или Что Скрывается за Атаками Фишинга, часть 1, Методы Фишинга home depot cvv number, ferum shop forum
Фишинг представляет собой рассылку спама, причем написанного так, как будто его прислал какой-либо банк или другая серьезная организация с целью выудить у получателя чувствительную информацию (имена пользователей, пароли, акаунты IDs, ATM PIN’ы или информацию о кредитках). Обычно, фишинговые атаки направляют получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. В добывании такой информации больше всего заинтересованы blackhat’ы, т.к. она позволит им установить личности своих жертв и произвести мошеннические финансовые транзакции. Чаще всего жертвы терпят огромные финансовые потери или кражу личных данных в криминальных целях. В этой KYE (Know Your Enemy – Знай Своего Врага) статье будет предоставлена практическая информация о фишинге, основанная на данных, собранных German Honeynet Project (Германия) и UK Honeynet Project (Великобритания). В статье заостряется внимание на реальные мировые события, которые Honeynet Project наблюдал в живых условиях, однако здесь не будут указаны все возможные методы фишинга. Атакующие постоянно занимаются исследованиями, поэтому новые методы фишинга уже сейчас находятся в стадии разработки, если не используются.
The
Honeynet Project & Research Alliance
Фишинг представляет собой рассылку спама, причем написанного так, как будто
его прислал какой-либо банк или другая серьезная организация с целью выудить у
получателя чувствительную информацию (имена пользователей, пароли, акаунты IDs,
ATM PIN’ы или информацию о кредитках). Обычно, фишинговые атаки направляют
получателя на веб-страницу, спроектированную так, что она имитирует настоящий
сайт организации и собирает личную информацию, причем чаще всего пользователь
даже не подозревает, что на него производилась атака такого рода. В добывании
такой информации больше всего заинтересованы blackhat’ы, т.к. она позволит им
установить личности своих жертв и произвести мошеннические финансовые
транзакции. Чаще всего жертвы терпят огромные финансовые потери или кражу личных
данных в криминальных целях. В этой KYE (Know Your Enemy – Знай Своего Врага)
статье будет предоставлена практическая информация о фишинге, основанная на
данных, собранных
German Honeynet
Project (Германия) и UK Honeynet
Project (Великобритания). В статье заостряется внимание на реальные мировые
события, которые Honeynet Project наблюдал в живых условиях, однако здесь не
будут указаны все возможные методы фишинга. Атакующие постоянно занимаются
исследованиями, поэтому новые методы фишинга уже сейчас находятся в стадии
разработки, если не используются.
После короткого введения мы просмотрим актуальные методы и инструменты,
используемые фишерами, включая примеры имперического поиска, при котором
реальные фишинговые атаки были зарегистрированы при помощи honeynets. Эти
инциденты будут подробно описаны, включая вторжение, подготовку фишерного сайта,
рассылку сообщений и сбор данных. Далее будут проанализированы основные методы и
направления, включая растущую интеграцию фишинга, спама и ботнэтов. В статье
рассмотрены примеры использования сборщиков почтовых адресов и
программ-рассыльщиков, кроме того мы предоставим наши наблюдения за
сканированием сети и как фейковые машины (наши же honeypots) используются для
распространения фишинговых писем и другого спама. В конце, мы завершим эту
статью обзором знаний, полученных в последние шесть месяцев и предложим новые
идеи для исследований.
Здесь вы найдете много дополнительной информации с большим количеством ссылок
на более подробные ресурсы отдельных тем. Никаких личных данных в процессе
исследования не собиралось. В некоторых случаях мы связывались с организациями,
замешанными в атаках или сообщали об инцидентах в местные
CERT .
Введение
Выуживание чужих паролей или другой чувствительной информации имеет долгую
историю среди общества взломщиков. Традиционно такие действия осуществлялись при
помощи социальной инженерии. В 1990-ых, с ростом числа компьютеров, подключенных
к сети, и популярностью Интернета, атакующие научились автоматизировать этот
процесс и атаковать рынок массового потребления. Первое систематизированное
исследование было проведено в 1998 году (Sarah Gordon, David M. Chess:
Where
There’s Smoke, There’s Mirrors: The Truth about Trojan Horses on the Internet ,
представленные в Virus Bulletin Conference в Германии г.Мюнхен, в Октябре
1998). Гордон и Чес исследовали почтовые программы на AOL, однако столкнулись с
фишингом вместо ожидаемых атак троянами. Сам термин фишинг (“password harvesting
fishing” – ловля и сбор паролей) описывает мошенническое овладение
чувствительной информацией, когда жертве сообщают совсем другую причину, по
которой она должна сообщить эти данные, а о настоящей цели она даже не
догадывается. Вот фишинговое сообщение, описанное Гордоном и Чесом:
Сектор 4G9E нашей базы данных перестал выполнять функции ввода/вывода. Когда
вы выполнили вход в систему под вашим акаунтом, мы смогли вас идентифицировать
как зарегистрированного пользователя. Примерно 94 секунды назад ваша верификация
была аннулирована из-за потери данных сектора 4G9E. Сейчас, по протоколу
верификации AOL, мы обязаны создать для вас акаунт заново. Пожалуйста, нажмите
«Ответить» и введите ваш пароль. В случае неполучения ответа мы полностью удалим
ваш акаунт.
Сначала такие атаки были главным образом нацелены на получение доступа к
акаунту AOL жертвы, реже для получения данных о кредитной карте в целях
мошенничества (к примеру, для нелегальных махинаций с этой информацией). Часто
фишерные сообщения содержали элементарные хитрости, в результате чего компьютер
жертвы оказывался под контролем третьих лиц. Происходило это потому, что
неопытный пользователь клевал на «автоматизированные» функции формы ввода личных
данных или (явных) признаков того, что письмо пришло от авторитетного источника.
Как показано в предыдущем примере, это могла быть история о нарушении работы
оборудования или ошибка базы данных, и большинство пользователей верили в
значимость официально оформленного сообщения или неотложной технической просьбы,
в которой требовалась помощь пользователя. Пользователям обычно напоминали, что
запрошенная информация должна быть введена немедленно, дабы избежать серьезную
проблему: «…и введите ваш пароль. В случае неполучения ответа мы полностью
удалим ваш акаунт.» Выглядит как старый анекдот, однако это происходило на самом
деле, а преступники работали в одиночку или в малых, непрофессиональных группах.
В литературе часто рассказывается о начинающих фишерах, как о подростках,
желающих получить чужой акаунт в целях нанесения ущерба или для звонков на
дальние расстояния, чаще всего с малым уровнем организации.
Сегодня фишеры выбирают стратегию рассылки почты стольким количествам
пользователей, скольким возможно, маскируясь под доверенный брэнд – обычно тот,
которому жертва скорее всего уже доверяет. Запрос на срочные действия уже
послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в
безопасности, в спуфное сообщение вписывают линк к удаленной веб-странице,
дизайн которой подобран так, что почти полностью имитирует сайт реальной
компании. Примеры компаний, брэнды которых использовались фишерами, включают в
себя много известных банков, компаний, предоставляющих услуги кредитования или
известных платежных систем Интернет. Множество
примеров фишерных
сообщений находится на сайте
Anti-Phishing Working Group , в которых показаны лучшие трюки, используемые
фишерами для создания уверенности пользователя в том, что он действительно зашел
на законный веб-интерфейс.
После короткого введения в принципы фишинга мы покажем существующие методы и
инструменты, добытые в процессе исследования реальных фишинговых атак. Если вы
заинтересованы в большем количестве вводной информации, мы подготовили
другую статью .
Фишинговые атаки обычно осуществляются несколькими простыми инструментами и
методами, позволяющими обмануть не о чем не подозревающих пользователей.
Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML
страница, скопированная на недавно порутанный сервер и серверная часть скриптов
для обработки всех данных, введенных пользователем. Могут вовлекаться и более
комплексные веб-сайты и перенаправление содержания, но в большинстве случаев
цель всегда одна – поднять фейковый сервер, имитирующий работу реального брэнда,
который предоставит все данные, введенные пользователем в руки злоумышленника.
Используя современные утилиты редактирования HTML, создание фейкового веб-сайта
не займет много времени, и плохо защищенные веб-серверы могут быть легко
запущены и взломаны в случае, если атакующий возьмется за сканирование
диапазонов IP адресов в поисках уязвимых хостов. Однажды порутанные, даже
домашние компьютеры могут стать эффективными хостами для фишерных сайтов,
поэтому под прицелом находятся не только корпоративные или академические
системы. Атакующие часто не делают различий между целевыми компьютерами, тупо
выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной
уязвимости.
С момента создания фейкового сайта главной задачей фишера становится
перенаправление пользователей с легального сайта компании на фейковый сайт. Пока
фишер имеет возможность подменять DNS на целевой сайт ( DNS
poisoning ) или каким-либо другим способом перенаправлять сетевой трафик
(метод, часто называемый
pharming ), они все равно должны полагаться на некоторую форму хорошего
уровня содержимого, чтобы заманить несчастного пользователя на фейковый сайт.
Чем лучше качество приманки, тем большая сеть может быть раскинута и тем больше
шанс невинного пользователя посетить фейковый сайт (и ввести данные, запрошенные
фишером).
Однако для атакующего есть одна проблема – когда он выбрал конкретную
организацию (банк или др.), у него возможно не будет никакой информации о том,
кто является реальным покупателем в Интернете, что может быть особенно заметно
для определенных ловушек. Если даже фишер запостит пару линков, ведущих на
фейковый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт
технической поддержки или группы по связям с общественностью), велика
вероятность что реальная организация будет быстро информирована, а неправильные
ссылки будут удалены или подвергнуты сомнению до того, как достаточное число
пользователей посетят фейковый контент и пришлют личные данные. Также существует
существенный риск, что реальная организация может зафиксировать и отключить
фейковый сайт. Следовательно, фишеру требуется метод достижения максимального
количества потенциальных жертв с минимумом риска, плюс идеальный партнер в целях
спама по email.
У спамеров имеются в наличии базы данных с миллионами рабочих email адресов,
таким образом, массовые методы рассылки могут быть использованы фишером для
рассылки приманок очень многим юзерам с малым риском. Спамные сообщения чаще
всего посылаются через хакнутые серверы в забугорных странах, или через
глобальные сети PC-зомби ( ботнэты ),
таким образом, реальное местоположение фишера определить в принципе невозможно.
Если не о чем не подозревающий юзер получает официально оформленное сообщение,
причем, похоже, что его отправил банк и просит пользователя перейти по ссылке,
содержимое которой будет максимально походить на реальный сайт банка. Далее
юзера просят поменять пароль для онлайновых операций в целях безопасности, и
вероятность, что он сделает это, велика, если у него в почтовом ящике находится
приличная куча другого спама с предложениями купить какой-либо новый товар и
ссылками на неизвестные сайты. Для увеличения видимости того, что сообщение
подлинное, фишер может воспользоваться некоторыми методами для улучшения
изощренности попыток жульничества:
Благодаря комплексной природе многих приложений электронной коммерции или
онлайновых банков, которые чаще всего используют HTML фреймы и саб-фреймы или
другие структуры комплексных страниц, пользователю будет трудно определить
является ли определенная страница законной. Использование методов, указанных
выше, может скрыть исходник страницы, а пользователь будет легко обманут. С
этого момента фишер сможет свободно использовать акаунты пользователя или другие
электронные идентификаторы, а пользователь становится другой жертвой успешной
фишерной атаки.
Чаще всего пользователи Интернет узнают о фишинговых атаках после получения
спуфного почтового сообщения или просмотра копии фейкового веб-сайта под
заголовками сайта новостей. Причем публикация в новостях появилась далеко не
сразу после ликвидации левого хоста. Эти события очень редко разглашают, поэтому
информация об атаках врядли дойдет до жертвы. Одно из основных преимуществ
honeynets состоит в том, что мы можем наблюдать за атакой с ракурса самого
атакующего, а не жертвы, что позволяет составить четкое представление о технике
атаки. Участникам Honeynet Project’s
Research Alliance удалось собрать достаточно информации, иллюстрирующей
этапы фишинговых атак, начиная от начального взлома и поднятия фейковго сайта до
массовой рассылки почты и захват данных пользователя. Ниже будут представлены
несколько примеров типичных реальных фишинговых методов.
Большинство фишинговых атак, рассмотренных нами в реальных условиях, были
осуществелны злоумышленниками, которые вторгались на уязвимые серверы, а затем
устанавливали фейковый веб-контент. Нам удалось установить примерную
последовательность действий фишера:
Часто время, затрачиваемое на все эти процессы занимает пару часов или дней с
момента первого подключения системы к Интернет, и мы догадываемся что такие
действия разворачиваются на нескольких серверах и нацелены на несколько
организаций сразу. Мы продемонстрируем эти теории на практике, основываясь на
одном из инцидентов, наблюдаемых в German Honeynet Project (Проект Honeynet –
Германия) и еще одном, замеченным в UK Honeynet Project (Проект Honeynet –
Великобритания). В каждом случае были развернуты уязвимые Linux honeypots.
Последующий анализ обоих honeypot показала похожие принципы действий: уязвимые
honeypots были обнаружены в процессе сканирования и довольно быстро взломаны,
включая заливку заранее спроектированных фейковых сайтов и закачку утилит
массовой рассылки. Также во время атак были подняты руткиты и IRC серверы.
Порутанные honeypots также использовались для целей, отличных от фишинга: IRC
бот Румынских хакеров и сканер для развертывания и атаки дополнительных уязвимых
компьютеров (как бы то ни было, архитектура honeynet не позволяла атакующим
эксплуатировать другие серверы из уже захваченных honeypot). Были обнаружены
некоторые интересные различия, но анализ получился слишком запутанный, так как в
инциденте в Великобритании honeypot’ом пользовались сразу несколько групп. Чтобы
сократить объем этой статьи мы не стали включать в неё тонкости специфических
атак, а только охватили полученные знания и то, как они используются в фишинге.
Для более подробного изучения специфических атак доступна следующая информация:
Эта таблица содержит сводку ключевых факторов и различий инцидентов:
Из наблюдения нажатий клавиш фишера в обоих инцидентах (перехвачено с помощью
Sebek ), ясно, что нападающие
подключались к заранее подготовленным бэкдорам и немедленно приступали к
развертыванию фишерных сайтов. Атакующие оказались знакомы со средой сервера,
что наводит на мысль о том, что они состояли в группе тех, кто взламывал
honeypot’ы и что попытка фишинга была организована на уровне. Так как залитый
веб контент часто ссылался на другие веб серверы и IP адреса, вполне вероятно,
что действия были направлены сразу на несколько серверов.
Анализ контента фишерного сайта показал, что злоумышленники нацеливались
сразу на несколько известных онлайновых фирм. Хорошо построенные и официально
оформленные, фейковые сайты повседневно заливаются на порутанные серверы – часто
нацеленные на несколько организаций через отдельные «микро сайты», с разными
рутами веб-сервера и необходимыми утилитами посылки спама потенциальным жертвам.
И так, фейковый сайт поднят и находится в боевой готовности. Листинги директорий
просматривались в процессе FTP сессий, что также подтверждает что атакующие
сильно увлеклись спамом и фишингом. Осмотр веб контента и средств доставки
сообщений, хранящихся на центральном сервере, показал, что злоумышленники
намеревались атаковать eBay, AOL и несколько известных банков США (в случае
инцидента в Великобритании ). Такие индивидуальные атаки наврядли остаются
изолированными событиями, ведь спам, посылавшийся во время инцидентов, направлял
жертв не только на взломанный honeypot. Это показывает, что фишеры применяют
множество фейковых веб-серверов и посылают спам сразу с нескольких систем.
Параллельные фишинговые операции были замечены по времени первого входящего HTTP
запроса на фишинговый контент после того, как honeypot Великобритании был
порутан:
Этот входящий HTTP запрос к honeypot появился до того, как атакующие
закончили установку фейкового онлайнового банка на honeypot, и подтверждает
предположение о том, что атакующий прекрасно знал что этот сервер можно было
использовать для фишинга. Спам с рекламой фейкового сайта уже был в процессе
рассылки с другого хоста, в тот момент, когда злоумышленник поднимал веб-сайт.
Мы были удивлены, когда увидели количество IP адресов, с которых шли входящие
HTTP запросы. Диаграмма, представленная ниже, показывает число одиночных и
повторяющихся HTTP запросов с индивидуальных IP адресов на фишерный сайт в
Великобритании до того, как honeypot был отключен в целях защиты пользователей
(а детали инцидента были сообщены банку, на который производилась атака):
Список DNS доменов, стран и операционных систем, посещающих фишинговый
контент honeypot Великобритании можно посмотреть
здесь . Отметим, что до того как honeypot уронили, ни один запрос вида HTTP
POST к PHP скрипту, обрабатывающему пользовательские данные, не был разрешен, и
никакие пользовательские данные не были раскрыты. Во всех инцидентах,
рассмотренных в этой статье, были информированы как организация, на которую
нацеливалась атака, так и местные CERT. Во всех случаях никакие данные, за
которыми охотились фишеры, не были получены участниками Honeynet Project или
Research Alliance.
Данные, полученные в ходе анализа этих двух инцидентов, показали, что фишеры
активны и хорошо организованы, быстро ориентируются в порутанных компьютерных
системах и одновременно атакуют несколько известных организаций. Постоянно
происходит так, что в число пользователей email входят банки и олайн магазины,
поэтому они тоже рискуют стать жертвами фишинга.
В ноябре 2004 года Honeynet Project в Германии запустил классическую
GenII honeynet с
honeypot Redhat Linux 7.3. Несмотря на то, что это довольно старый релиз системы
и вляется легкой добычей для взломщиков, прошло 2,5 месяца, прежде чем honeypot
был взломан – ощутимая разница по сравнению с инцидентами, рассмотренными выше.
Больше информации об этой тенденции доступно в предыдущей KYE статье « Know
your Enemy: Trends »
11 января 2005 года злоумышленнику удалось захватить honeypot, используя
сплойт OpenSSL SSLv2 Malformed
Client Key Remote Buffer Overflow Vulnerability . Этот инцидент необычен тем,
что никакого фишингового контента не было залито напрямую. Вместо этого хакер
установил и настроил службу перенаправления.
Эта служба выполняла перенаправление HTTP запросов, посланных на веб сервер
honeypot, на другой удаленный сервер в открытом виде, что усложняло поиск
настоящего расположения контента. Перенаправление осуществлялось на веб сервер в
Китае. Занимательно то, что злоумышленник не потрудился поставить руткит, чтобы
скрыть своё присутствие в honeypot, что наводит на мысль о том, что атакующий
особо не ценил порутанный сервер, а команда особа не боялась быть разоблаченной.
Команда, использовавшаяся атакующим для перенаправления была следующего вида:
К тому же, фишер модифицировал файл автозагрузки Linux /etc/rc.d/rc.local
для подстраховки, того что служба перенаправления будет запущена в случае
перезагрузки системы honeypot, тем самым изменив шансы службы остаться на
системе. Далее они начали спамить, примеры сообщений можно найти
здесь (значимая информация была исключена).
Для дальнейшего расследования действий фишера участники Honeynet Project
Германии вмешались и скрытно изменили настройки службы перенаправления,
установленной на honeypot, сделав доступной запись логов, чтобы проще узнать
сколько пользователей получили спам и кликнули по ссылке, в последствии
перенаправляющей их «в Китай». В течение примерно 36 часов 721 IP адрес был
перенаправлен, и мы снова были удивлены количеством пользователей, поддавшихся
обману. Анализ IP адресов, посетивших перенаправленный порт можно увидеть
здесь (в процессе собирания логов были записаны только IP адерса. Никаких
личных данных не собиралось).
Ниже представлено краткое описание атаки по времени:
Ботнэт – сеть хакнутых компьютеров, управляемая удаленным
узлом атакующего. В связи с их огрмными размерами (десятки тысяч систем могут
быть взаимосвязаны), ботнэты представляют серьезную угрозу для общества, когда
применяется атака типа «Отказ в обслуживании» (Denial-of-Service – DoS).
Поверхностное исследование этой области показало, что ботнэты могут
использоваться для массовой рассылки спама, то есть в целях фишинга. Во время
обучения в октябре 2004 года компания по защите почтовых сообщений
CipherTrust выдвинула теорию, что
70%
промониторенного фишерного спама посылалось с одного из пяти активных ботнэтов,
но мы уверенны, что на самом деле «живых» ботнэтов для спама используется
намного больше. Как бы то ни было, мы представляем наши аналитические данные не
на основе одного инцидента, а основываясь на инструментах и методах,
использовавшимися злоумышленниками в процессе фишинга через ботнэты.
В период между сентябрем 2004 года и январем 2005 Honeynet Project Германии
поднял несколько honeypot на базе Microsoft
Windows для наблюдения за активностью ботнэта. Также была запущена служба,
позволяющая honeypot’ам поочередно выходить в он-лайн, быть взломанными и
отключенными для ведения экспертизы. За это время было исследовано более 100
отдельных ботнэтов и тысячи файлов были перехвачены для офф-лайн анализа.
Некоторые версии бот-софта, перехваченные во время исследования, обеспечивали
возможность использовать прокс на SOCKS v4/v5 на взломанной машине. SOCKS’ы –
настраиваемый механизм для приложений на базе стека протоколов TCP/IP ( RFC
1928 ) и могут быть использованы для прокса популярного трафика Интернет,
например HTTP и SMTP. Получается, что если атакующий заюзает SOCKS’ы в ботнете,
то он сможет послать кучу спама, причем использоваться широкие диапазоны IP
адресов, используемых не о чем не подозревающими пользователями.
Отсутствие центральной точки контакта и ряда интернациональных границ может
сделать очень трудным или невозможным остановку такой деятельности. При этом
сами спамеры и фишеры рискуют совсем мало, а прибыль имеют очень даже ощктимую.
Неудивительно, что владельцы больших ботнэтов уже начали криминальную активность
– сейчас возможно сдать
ботнэт в аренду ! За определенную плату оператор ботнэта предоставит
покупателю список хостов и портов с запущенными SOCKS v4. Имеются документальные
подтверждения таких случаев: ” Uncovered:
Trojans as Spam Robots ” («В открытую: Трояны как роботы для спама»).
Некоторые перехваченные софтины также осуществляли функцию добывания почтовых
адресов или посылки спама через ботов. Следующий листинг показывает некоторые
команды, относящиеся к посылке спама, осуществленной в Agobot, популярном боте,
использующимся взломщиками (и частенько перехвачиваемый нами):
Более подробная информация о том, как эти команды могут быть использованы,
может быть
найдена здесь в разделе комментариев исходника ботов. С помощью drone,
модифицированного IRC клиента, разработанного Honeynet Project Германии,
нам удалось получить больше данных о том, как боты используются для спама/фишинга
при помощи впаривания фейкового IRC клиента в ботнет с использованием данных
соединения, собранных при атаке на наши honeynet. Несколько типичных примеров
такой активности показано ниже.
В пределах одного ботнэта мы наблюдали как атакующий применял следующую
команду (ссылки были изменены):
Команда .mm (“mass emailing” – массовая рассылка)
это модернизированная версия команды spam.start. Они принимает четыре параметра:
В этом случае скрипт fetch.php возвращал 30 разных почтовых адресов
каждый раз, когда шел запрос. Каждому из этих получателей было отправлено
сообщение, в котором предлагалось перейти по ссылке, указанной во втором
параметре команды. В данном примере ссылка вела на веб-страницу, которая
пыталась установть элемент управления
ActiveX на машину жертвы.
В другом ботнэте мы наблюдали установку Browser Helper Objects на ПК жертвы:
Команды .open дают команду каждому боту открыть
запрошенную веб страницу и вывести её на первый план. В этом случае веб страница
содержала
Browser
Helper Object (BHO), который мог попытаться установить себя на компьютер
жертвы. Судя по названию канала, этот ботнэт также использовался для посылки
спама.
В другом ботнэте мы наблюдали примеры впаривания шпионских закладок:
Эта ссылка была найдена в процессе анализа перехваченного malware. Она
направляет жертву на веб страницу компании, которая предлагает “свободное
программное обеспечение рекламной поставки, которое обеспечивает нацеленную
рекламу предложений”. Сайт содержит несколько страниц, пытающихся установить
клиенту компонент ActiveX, по-видимому adware or spyware.
Продолжение следует…
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
home depot cvv number ferum shop forum