Bi zone сбербанк что это

Обновлено: 25.04.2024

From corporations to start-ups, we help organizations around the world to develop their business safely in the digital age.

Products and services

Expertise

A guide for a secure business development strategy to be used by digital transformation leaders, technical experts and IT specialists

A 2019 investigation into significant cyberthreats and guidance on basic measures to protect IT systems

A research study on the general state of the global economy in the context of digital threats: security threats, cybercriminal techniques, defence recommendations

We actively cooperate with international organizations.

Our experts are certified by globally renowned agencies.

As a member of the Global Advisory Board we share our expertise for protecting civilians from digital threats during conflict

We combat international cybercrime in cooperation with INTERPOL and help investigate cases

Being part of the C4C, we share expertise with the global community and work with partners to enhance cyber resilience worldwide

Его структура предоставит управляемые сервисы внешним заказчикам

«Дочка» Сбербанка BI.Zone начнет предоставлять сервисы в сфере кибербезопасности сторонним компаниям. Ранее в это направление уже инвестировала 1 млрд руб. «дочка» «Ростелекома», которой удалось привлечь «несколько сотен заказчиков». BI.Zone для конкуренции может потребоваться скорректировать бизнес-модель, полагают эксперты.

Фото: Анатолий Жданов, Коммерсантъ / купить фото

Дочерняя компания Сбербанка BI.Zone запускает новое направление бизнеса — управляемые сервисы кибербезопасности для внешних заказчиков, рассказали “Ъ” в компании. Среди них, например, облачные решения для защиты электронной почты, противодействия DDoS-атакам и атакам на веб-приложения, реагирование на киберинциденты. В компании рассчитывают, что услуги будут востребованы как среди крупного бизнеса, сталкивающегося с дефицитом кадров, так и среди малого и среднего бизнеса, у которого нет средств, чтобы содержать профильных экспертов.

96 процентов

крупных компаний в России планируют внедрять новые решения в сфере кибербезопасности в ближайшие три года (данные VMware)

В ноябре 2018 года на этот же рынок вышла «дочка» «Ростелекома» — «Ростелеком-Солар». По словам ее директора по развитию Валентина Крохина, основная часть инвестиций пришлась на создание платформы сервисов: за полтора года в нее инвестировали около 1 млрд руб. Расчетный срок окупаемости проекта — три года. С момента запуска к платформе подключились «несколько сотен заказчиков по всей России», из которых около 40% — малый и средний бизнес, утверждает господин Крохин. Компания предоставляет девять управляемых сервисов кибербезопасности, в том числе выявление уязвимостей и ошибок разработчиков, защиту от DDoS-атак, противодействие фишингу, контроль действий пользователей в интернете. Сервис по защите от сетевых угроз, например, стоит 21 тыс. руб. в месяц. В ближайшее время еще ряд компаний могут запустить подобные услуги, полагает Валентин Крохин.

Рынок управляемых услуг безопасности за 2018 год вырос примерно на 30%, оценивает менеджер по развитию бизнеса в области информационной безопасности «Orange Business Services Россия и СНГ» Андрей Прошин. «Многие уже несколько лет инвестируют в это направление. Этому способствуют недостаток специалистов на рынке труда, сложность развертывания решений, рост числа угроз, а также введение дополнительных законодательных требований к обеспечению информационной безопасности»,— поясняет он.

Подобные аутсорсинговые сервисы предоставляют многие российские компании, но у них пока мало клиентов: несмотря на перспективы, пока не все готовы отдать информационную безопасность в чужие руки, считает независимый эксперт по кибербезопасности Алексей Лукацкий. «BI.Zone в прошлом году уже заявляла о желании привлечь малый бизнес к своей платформе обмена данными об угрозах, что означает стремление выйти в этот сегмент и в части своих сервисов аутсорсинга. Это, однако, потребует внесения коррективов в бизнес-модель — например, в плане открытия офисов присутствия в регионах. "Ростелекому" впору развивать это направление для малого и среднего бизнеса и за счет массовости снизить цены и увеличить обороты, но пока с этим сложно — у малого бизнеса аутсорсинг сервисов кибербезопасности, как и вообще безопасность, сейчас не в приоритете»,— скептичен эксперт.

Его компания протестирует кибербезопасность внешних клиентов

«Дочка» Сбербанка BI.Zone выходит на рынок тестирования киберзащиты сторонних компаний — операторов связи, банков и IT-клиентов. Одним из первых ее клиентов станет входящий в МТС интернет-провайдер МГТС. Это почти не занятая ниша, но спрос в ней пока невелик, отмечают эксперты.

Фото: Антон Белицкий, Коммерсантъ / купить фото

Компания BI.Zone (принадлежит Сбербанку) открыла лабораторию нагрузочного тестирования и анализа средств защиты, сообщил “Ъ” ее представитель. Предполагается, что лаборатория будет работать со сторонними компаниями, включая операторов связи, банки и IT-клиентов, где будет тестировать применяемые в них решения по кибербезопасности, коммуникационное оборудование и IT-инфраструктуру. Одним из первых клиентов этого направления стал интернет-провайдер МГТС (контролируется МТС), уточнили в BI.Zone и подтвердили в МГТС. Также ХКФ-банк привлекал BI.Zone «для тестирования эффективности используемых банком решений по защите от DDoS-атак», рассказал начальник управления информационной безопасности ХКФ-банка Николай Клендар.

Сейчас тестирование и проведение сравнительного анализа средств защиты — задача, которую большинство компаний решают самостоятельно, отмечает технический эксперт группы по оказанию услуг в области кибербезопасности и цифровой криминалистики КПМГ в России и СНГ Сергей Белов. Например, аналогичные решения для внутреннего тестирования есть у Qrator Labs, того же МГТС и «Ростелекома», сообщили в этих компаниях. В «Ростелекоме» добавили, что также работают над созданием лаборатории кибербезопасности автоматизированных систем управления технологическим процессом, где будут тестировать и выявлять уязвимости в таких системах.

Аутсорсинг тестирования и выбора решений кибербезопасности — пока практически незанятая ниша, но непонятно, кто готов платить за такой сервис, рассуждает вице-президент ГК InfoWatch Рустэм Хайретдинов. Он не исключает, что проект BI.Zone создается в расчете на госзаказчиков. «Вряд ли такие серьезные инвестиции в экспертизу, инструменты и инфраструктуру делались просто для проверки рыночной гипотезы, что такая услуга будет востребована»,— поясняет он.

Как Сбербанк решил поторговать кибербезопасностью

По информации одного из источников “Ъ”, в выходе в этот сегмент российского рынка также заинтересована китайская Huawei, у которой уже есть технологическая база для услуг по нагрузочному тестированию систем кибербезопасности. В Huawei оперативно не ответили на запрос.

Проблема сервисов, которые уже есть на рынке, в их чрезмерной стоимости, отмечает технический директор Qrator Labs Артем Гавриченков. «По этой причине пока далеко не все заказчики могут себе позволить пользоваться такими услугами»,— поясняет он. В целом же крупный бизнес осознал важность репутационных рисков и потенциальные объемы финансовых потерь от киберинцидентов и больше не воспринимает информационную безопасность как помеху для развития IT, считает гендиректор компании Oberon Евгений Яшин.

Практика при этом показывает, что пока от силы 5% заказчиков занимаются такого рода тестированием, говорит эксперт по кибербезопасности Алексей Лукацкий. «Остальные либо доверяют рекламе производителя, либо проводят только функциональное тестирование»,— уточняет он. По его мнению, нагрузочное тестирование и анализ средств киберзащиты востребованы в России только «очень зрелыми» заказчиками, широкий же круг компаний пока не готов платить за это.

Masscan — быстрый сетевой сканер, который хорошо подходит для сканирования большого диапазона IP-адресов и портов. Мы немного доработали его, адаптировав под свои нужды.

Уязвимости в системе лицензирования J-Link, или Почему так важно исследовать безопасность устройств

Бреши в устройствах не всегда можно закрыть, в отличие от уязвимостей в софте. Однако это не повод для фрустрации! Исследовать безопасность IoT, телефонов, планшетов, блоков управления и т. д. все равно нужно. По крайней мере, можно предупредить пользователей об уязвимостях, а также устранить недостатки в новых версиях продуктов.

Мы с командой покопались в одном из самых популярных отладчиков для микроконтроллеров — J-Link. В результате нашли уязвимости в его системе лицензирования, которые позволяют за несколько секунд превратить бюджетную версию устройства в дорогую.

Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.

Чтобы защититься от атак с использованием Log4Shell, надо знать, какие приложения уязвимы — а это трудно выяснить. Мы упростили задачу: разработали и выложили на GitHub специальный сканер.

Качественные фиды на примере оценки OSINT-источников

Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных источниках, а также слишком большое число ложных срабатываний. Чтобы облегчить себе жизнь, мы решили подумать, как оценивать источники и выбирать из них наиболее качественные.

В статье я расскажу об OSINT-фидах, которые мы сравнивали с нашими и партнерскими данными. Всего на поиск и анализ источников, написание скриптов для загрузки данных, создание методики, тестирование данных, оценку по методике ушло около двух-трех месяцев. В результате исследования нам удалось найти несколько фишек, которые делают поиск данных более приятной процедурой. Табличку с критериями для оценки качества и наши выводы ищите в конце.

История одной кампании Business Email Compromise

Мы фиксируем всплеск атак типа Business Email Compromise (BEC). BEC-атаки — не новое и не редкое явление, но эта волна привлекла наше внимание масштабом.

С июня к нам обращаются множество пострадавших компаний, и всех жертв объединяют схожие признаки компрометации.

В статье расскажем, как действуют злоумышленники в рамках этой BEC-кампании и можно ли защититься от них.

Greybox-фаззинг: level up. Как улучшали фаззеры

В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы они стали еще более полезным инструментом.

Немного про современные технологии Greybox-фаззинга

Как найти баги, о которых вы и не догадывались, или что такое фаззинг

Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема: разработчик может защититься только от багов, которые он способен предугадать. Да и тестировщик вряд ли сможет перебрать все варианты входных данных, которые приводят к ошибке.

Taidoor: мультитул для хакера

Taidoor — крайне эффективная вредоносная программа класса RAT (remote access trojan), предназначенная для использования без закрепления в системе. Модульная система, реализованная в Taidoor, отличается от многих других RAT гибкостью: операторы программы могут отправлять на зараженную систему только те модули, которые нужны для достижения целей конкретной атаки.

Чтобы затруднить обнаружение, Taidoor использует несколько разных методов: манипуляции с временными метками, удаление файлов с модулями, обфускацию строк, поиск антивируса на атакуемой машине и др.

Мы изучили функциональные возможности и алгоритмы работы Taidoor, а также ее загрузчиков, и хотим поделиться своими наблюдениями.

Охота на атаки MS Exchange. Часть 2 (CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085)

Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы поговорим о методах обнаружения других нашумевших уязвимостей на сервере MS Exchange, а именно CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085.

Несмотря на то что эти уязвимости не такие свежие, как ProxyLogon, мы продолжаем обнаруживать следы их эксплуатации (в том числе успешной) у наших клиентов. А своевременное обнаружение попыток эксплуатации позволит минимизировать последствия атаки для организации или избежать их вовсе.

От пентеста до АРТ-атаки: группа киберпреступников FIN7 маскирует свою малварь под инструментарий этичного хакера

Статья подготовлена командой BI.ZONE Cyber Threat Research

Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организациями и маскируют свою малварь под инструменты для анализа защищенности. Сотрудники таких компаний могут даже не подозревать, что работают на злоумышленников и используют самый настоящий вредоносный пакет.

FIN7 (также именуемая как Carbanak и Navigator Group), одна из знаменитых АРТ-группировок, для разведки и закрепления на зараженных системах разработала Lizar — якобы инструмент для пентеста сетей Windows. Мы заинтересовались им и провели исследование, результатами которого поделимся в статье.

Раньше инструмент назывался Tirion, но дальше по тексту мы будем использовать только новое название Lizar

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.

С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.

Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.

Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

К чему приводят уязвимости протокола DICOM

Вы наверняка видели в медицинском сериале, как интерны бьются над рентгеновским снимком пациента, а потом приходит их наставник и ставит диагноз по едва заметному пятнышку. В реальности такими остроглазыми диагностами становятся модели машинного обучения, применяемые в технологии medical imaging. Благодаря таким штукам можно гораздо быстрее выявить болезнь, например, определить, являются ли клетки на снимках опухолевыми или неопухолевыми.

Но есть одна проблема — в медицинских технологиях используются DICOM-протоколы, безопасность которых оставляет желать лучшего. О них и пойдет речь в этой статье.

Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty

Автор: Иннокентий Сенновский (rumata888)

Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два года, в течение которых я общался с вендорами, боролся с недопониманием и стучался в MITRE.

Проблемы мотивации и целесообразности поиска уязвимостей в таких продуктах оставим за рамками этой статьи. Обсудим, что делать, если баг уже обнаружен. Если вам не терпится сразу почитать советы, переходите к последней части.

Пасхалка в APK-файлах: что такое Frosting

Структура файла — увлекательный мир со своими историей, тайнами и собственным цирком уродов, где выступают костыльные решения. Если в ней покопаться, можно найти много интересного.

Я наткнулся на одну особенность APK-файлов — специальную подпись с особым блоком метаданных, Frosting. Она позволяет однозначно определить, распространялся ли файл через Google Play. Эта подпись будет полезна для антивирусных вендоров и песочниц при анализе вредоносов. Кроме того, она может помочь криминалистам при поиске источника файла.

Информации об этом практически нет. Удалось найти только раздел Security metadata in early 2018 в Android Developers Blog и утилиту Avast, которая позволяет проверить данную подпись. Я решил изучить эту штуку, проверить корректность предположений разработчиков Avast о содержании Frosting-блока и поделиться своими выводами.

Охота на Zerologon

Авторы: Демьян Соколин (@_drd0c), Александр Большаков (@spacepatcher), Ильяс Игисинов (@ph7ntom), Хрыков Вадим (@BlackMatter23)

CVE-2020-1472, или Zerologon, уже получила звание одной из самых опасных уязвимостей, обнаруженных за последние годы. Она позволяет атакующему скомпрометировать учетную запись машинного аккаунта контроллера домена и получить доступ к содержимому всей базы Active Directory. Для эксплуатации достаточно наличия сетевой связности с контроллером домена организации.

Мы провели собственное исследование Zerologon и разработали различные методы обнаружения ее эксплуатации: по событиям журналов аудита Windows, по сетевому трафику и при помощи YARA-правил. В этой статье подробно остановимся на каждом из них.

Attack-defence для бизнеса: разбираем задания корпоративного тренинга Cyber Polygon

Типичный парадокс из жизни безопасника:

• инцидентов быть не должно (потому что инциденты = потери для бизнеса);

• но инцидентов должно быть много (потому что без опыта реагирования будет трудно сохранять квалификацию и оперативно отражать атаки).

Для выхода из этого порочного круга крупные компании заказывают услуги Red Team: нанимают сторонних специалистов, которые пытаются взломать компанию. Но, во-первых, это довольно дорого; во-вторых, развернуться здесь трудно: мало кто позволит всерьез ломать бизнес-критичные сервисы.

Мы решили попробовать другой подход — практические учения — и год назад впервые организовали бесплатный тренинг для корпоративных команд Cyber Polygon. В роли Red Team мы атаковали сразу нескольких команд-участниц, причем все происходило в специальной тренировочной инфраструктуре, которую не жалко.

В июле прошел Cyber Polygon 2.0. В нем участвовали уже 120 команд из 29 стран, а сценарии тренинга включали и защиту инфраструктуры от активной атаки (Defence), и реагирование и расследование инцидентов (Response).

В этом райтапе мы расскажем о заданиях сценария Defence: идеи для него мы черпали из опыта подготовки attack-defence CTF.

BI.ZONE — компания по управлению цифровыми рисками.
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху.

А еще вместе учимся, тусуемся на митапах и делаем крутые мероприятия по кибербезопасности.