Уязвимость OpenWRT: киберэксперт Полунин о мерах предосторожности
Специалист Flatt Security обнаружил критические уязвимости в системе обновления OpenWRT (Attended SysUpgrade — ASU), позволяющие злоумышленникам подменять легитимные образы прошивок вредоносными. Киберэксперт Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», подчеркнул необходимость превентивных мер для бизнеса для предотвращения подобных угроз безопасности.
Критическая уязвимость в функциональности ASU создаёт серьёзную киберугрозу для устройств, использующих OpenWRT. Она позволяет атакующим незаметно внедрять вредоносный код, получая полный контроль над скомпрометированными устройствами.
«Подобные уязвимости довольно часто возникают, когда в процесс создания программного продукта вовлечено большое количество разработчиков, однако на постоянной основе отсутствуют необходимые инструменты для контроля безопасной разработки на каждом из этапов. Динамические и статические сканеры кода, всевозможные системы контроля зависимостей и подключаемых библиотек как раз решают эту задачу при правильной настройке и эксплуатации. Ну а если речь идёт о разработке крупных коммерческих приложений, то процесс разработки должен быть выстроен должным образом. Если требования к безопасности высоки, то необходимо подключать специалистов по тестированию на проникновение для крупных релизов, а также решения класса BAS, имитирующие действия злоумышленников», — отметил Сергей Полунин.
Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности компании «Газинформсервис» Вадим Матвиенко предупреждает о растущей угрозе сложных кибератак с использованием социальной инженерии.
Богдан Мишко, менеджер по продуктам Litoria компании «Газинформсервис», выступил на бизнес-завтраке «Архивное хранение в ЭДО и бизнес-процессах», организованном компанией МТС и Ассоциацией «РОСЭУ» 18 декабря 2024 года.
Недавняя новость о масштабной фишинговой кампании с поддельными CAPTCHA для распространения стиллера Lumma подчёркивает актуальность защиты от мошенников. Киберэксперт «Газинформсервиса» отмечает, что продукты поведенческой аналитики, такие как Ankey ASAP, становятся незаменимыми для защиты компаний. Они позволяют выявлять подозрительные действия сотрудников-жертв социальной инженерии, предотвращая потенциальный ущерб.
В пятницу, 13 декабря, прошло занятие образовательного проекта Security Skills от компании «Газинформсервис». Никакие суеверия не страшны тем, кто готов противостоять реальным киберугрозам со студенческой скамьи: на мероприятии собрались десятки студентов из ведущих вузов Санкт-Петербурга: ИТМО, СПбГУТ, СПбПУ, СПбГМТУ, ПГУПС и других.
Компании «Газинформсервис» и Positive Technologies продолжают стратегическое партнёрство, сосредоточенное на подготовке квалифицированных кадров и обмене передовым опытом в области кибербезопасности.
Ксения Ахрамеева, руководитель лаборатории развития и продвижения компетенций кибербезопасности аналитического центра кибербезопасности компании «Газинформсервис», подчёркивает важность повышения киберграмотности среди студентов. После недавних сообщений о взломах портала СЦОС и многочисленных атаках на студентов Ахрамеева отмечает, что недостаток знаний в области кибербезопасности делает молодёжь легкой мишенью для мошенников.
Компании «Газинформсервис» и «Атом Безопасность» (бренд Staffcop) подвели итоги плодотворного сотрудничества в 2024 году, отмеченного совместными проектами и участием в отраслевых мероприятиях. Партнёрство укрепилось за счёт успешной интеграции продуктов и обмена опытом в области кибербезопасности.
