©
P-Reliz.ru - агрегатор пресс-релизов
ООО "Газинформсервис" ООО "Газинформсервис"
| ООО "Газинформсервис" | ·

Взлом через NPM: как защититься от критической уязвимости?

В популярном пакете Node.js Systeminformation обнаружена критическая уязвимость (RCE — удалённое выполнение кода), что ставит под угрозу безопасность систем, использующих эту библиотеку.

Киберэксперт компании «Газинформсервис» Сергей Полунин рекомендует компаниям пересмотреть свои стратегии информационной безопасности и внедрить системы мониторинга безопасности, такие как Security Operations Center (SOC), для обнаружения угроз и реагирования на них в реальном времени.

«Уязвимость в популярном NPM-пакете — это всегда серьёзная проблема. Дело в том, что сегодня почти ничего не пишется с нуля, а разработчики используют огромное количество сторонних библиотек и модулей, зачастую даже не задумываясь об их безопасности. Их тоже можно понять: их в большей степени интересует функционал. Поэтому, когда появляется информация об уязвимости, особенно класса RCE, в библиотеке, которую вы используете, то это повод задуматься о том, как вы вообще проектируете своё программное обеспечение. Я не говорю, что всё нужно делать самому. Это как раз, скорее всего, сделает ваше ПО ещё более уязвимым, а вот использовать наложенные средства при тестировании и развёртывании ваших приложений — это хорошая идея. Подключив своё приложение к тому же SOC, выявлять атаки на эксплуатацию уязвимостей будет довольно просто. А ещё правильнее не допускать их в принципе. Для этого существует методология DevSecOps, которая позволяет на каждом этапе разработки ПО контролировать различные аспекты безопасности», — комментирует руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Напомним, в мае этого года «Газинформсервис» запустил коммерческий SOC, предоставляющий круглосуточный мониторинг и реагирование на инциденты безопасности. В основе решения лежат SIEM-, VM-, XDR- и UEBA-системы, позволяющие эффективно выявлять и нейтрализовывать угрозы, подобные внедрению команд в популярном пакете NPM Systeminformation. Состав решения может быть адаптирован под потребности конкретного заказчика.

ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности и комплексной инженерно-технической охраны. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.

P-Reliz.ru - аггрегатор пресс-релизов

Другие пресс-релизы ООО "Газинформсервис"

| ООО "Газинформсервис" | ·

«Газинформсервис» занял 2-ое место в списке поставщиков решений для защиты информации в РФ

CNews опубликовал рейтинг крупнейших поставщиков решений для защиты информации в России по итогам 2023 года. Он включил в рейтинг 100 лидеров рынка, в котором компания «Газинформсервис» заняла 2-ую строчку.

| ООО "Газинформсервис" | ·

Зафиксирован рост смишинговых атак: киберпреступники научились обходить защиту от фишинга

Злоумышленники начали использовать уловку, позволяющую отключить встроенную защиту от фишинга в Apple iMessage. Эксперт «Газинформсервиса» рассказала, как защитить личные данные пользователей и организации.

| ООО "Газинформсервис" | ·

Киберэксперт Полунин назвал топ-5 угроз в 2025 году

Наступивший год уже ознаменовался несколькими крупными утечками и взломами. Киберэксперт Сергей Полунин рассказал о пяти трендах, которые наметились ещё в прошлом году и получат своё продолжение в 2025-ом.

| ООО "Газинформсервис" | ·

Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой

Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем.

| ООО "Газинформсервис" | ·

«Газинформсервис» строит мост трансграничного доверия в цифровой торговле ЕАЭС

На 17-м заседании Консультативного совета торгово-промышленных палат Евразийского экономического союза (ЕАЭС) компания «Газинформсервис» представила доклад о развитии механизмов взаимного признания электронной подписи. Советник генерального директора – начальник удостоверяющего центра Сергей Кирюшкин подчеркнул критическую важность этой работы для улучшения бизнес-климата внутри ЕАЭС.

| ООО "Газинформсервис" | ·

Компании «Газинформсервис» и «АйТи Бастион» подвели итоги года

Разработчики систем защиты информации в 2024 году успешно интегрировали несколько своих программных комплексов, что позволило повысить безопасность самых сложных инфраструктур, в том числе КИИ.