9 ответов в этой теме

[News Robot]

17 сентября 2024 года

Ситуация с атакой на ресурсы "Доктор Веб" успешно разрешена, и мы делимся оперативными новостями и хронологией событий.

Атака на наши ресурсы началась в субботу 14 сентября 2024 года. Мы внимательно за ней наблюдали и держали происходящее под контролем.

16 сентября 2024 года наша компания зафиксировала признаки внешнего неправомерного воздействия на IT-инфраструктуру.

Согласно действующим протоколам безопасности мы оперативно отключили серверы и запустили процесс всесторонней диагностики. Для анализа и устранения последствий инцидента был использован комплекс мер, включавший использование сервиса Dr.Web FixIt! для Linux. На основании полученных данных мы успешно локализовали угрозу и убедились, что она не затронула клиентов компании.

16 сентября, 09:30. В рамках соблюдения протоколов безопасности часть ресурсов компании временно отключена от сети для проведения дополнительной проверки. В связи с этим приостановлен выпуск обновлений вирусных баз Dr.Web.

17 сентября, 16:20. Обновление вирусных баз Dr.Web возобновлено в полном объеме. Никто из пользователей Dr.Web не пострадал.

Мы продолжаем следовать самым высоким стандартам безопасности и оперативно принимаем меры для восстановления стабильной работы всех систем.

Читать оригинал

[Dolmatov]

С успешной защитой ресурсов!

Надеюсь, что из этого будет извлечена польза и будет создан оперативный план действий, чтобы пользователи оперативно получали информацию, а, желательно, была резервная структура для работы с обновлениями и лицензиями. Текущая ситуация отключения "всего" имела некоторое негативное мнение среди пользователей продуктов, хоть и не назвать это массовой ситуацией.

Немного огорчает, что нет более точных данных об источнике атак (бот-сеть, какая-то страна и т.п.), наверно, есть причины не разглашать такие сведения.

[Alexander007]

Если бы у них сервис специальная Dr.Web Anti-Ddos Protection , давно бы блокировала с помощью баз IPS/IDS/DDoS , специальная функция , которая отвечает за анализ трафик . Мог остановить 60 минут. Потом спокойно работает в нормальном режиме . Я эту тему говорил очень давно , предложил в техническом поддержке . Надо было делать заранее …

Сообщение было изменено Alexander007: Вчера, 18:19

[Lvenok]

Интересно все же узнать подробности. Кому-то здорово помешали, или это так очередная атака на Российский софт и компании?

А какое тут может быть негативное мнение то от пользователей? Я вот, например, даже не заметил собственно какого-то влияния на себя. Да и такие атаки на наши ресурсы (РФ) сейчас могут быть в любой момент и на любые компании и предприятия.

Необходимо быть на чеку, даже самым простым пользователям, т.к. через вас могут взломать и вашу компанию, а также ваш ПК\телефон могут в темную использовать для атак.

[mike 1]

Из всего вышеперечисленного возникает вопрос, а чем специалисты Dr.Web занимались 14 и 15 числа? Спустя только 2 дня была замечена подозрительная активность, а отключение такого большого количества серверов говорит косвенно о том, что было проникновение в инфраструктуру Dr.Web. В идеале бы Dr.Web опубликовать публично результаты расследования и перечень мер по результатам проведенного расследования. От этих двух новостей вопросов больше чем ответов. 

[ant76]

Из всего вышеперечисленного возникает вопрос, а чем специалисты Dr.Web занимались 14 и 15 числа? Спустя только 2 дня была замечена подозрительная активность, а отключение такого большого количества серверов говорит косвенно о том, что было проникновение в инфраструктуру Dr.Web. В идеале бы Dr.Web опубликовать публично результаты расследования и перечень мер по результатам проведенного расследования. От этих двух новостей вопросов больше чем ответов. 

Никто этого делать не будет с их стороны.

[Dolmatov]

А какое тут может быть негативное мнение то от пользователей? Я вот, например, даже не заметил собственно какого-то влияния на себя. 

Детально ответить не в моих силах, лично не имею недовольства. Читал комментарии, пользователи были недовольны запоздалой информацией о постоянных уведомления устаревших баз, кто-то планировал отказать от продукта (в пользу конкурента?), перегруженность службы поддержки. При массовых сбоях принято включать автоответчик, если это технически не ограничено. Тут получилось, что был непродолжительное время информационный вакуум. 

Конечно, это могут спонтанные эмоции, а потом такие пользователи успокоятся. Однако, событие всё равно будет иметь эффект памяти, как было с крупными сбоями других продуктов (в т.ч. антивирусными вендорами).

[Dolmatov]

отключение такого большого количества серверов говорит косвенно о том, что было проникновение в инфраструктуру Dr.Web.

Не обязательно. Допустим, отключение было для снижения нагрузки и затрат в обеспечении защиты. Легче выключить, чем тратить ресурсы (пропускной трафик, нагрузка на оборудование от DDOS). В дальнейшем изучение логов, какие виды атак были предприняты, выяснить "защита пробита" или нет, с потенциальной утечкой данных. Особенно, если это целевая проплаченная атака, имеющая большую мощность и геолокацию. Даже защита у крупных дата-центров под мощной нагрузкой создаст недоступность ресурса (частичную или полную). 

Учитывая, что отключение было плановое, а не после жалоб пользователей, думаю защита выстояла. Тем более, что у меня был недоступен только домен com, а на ru сайт заходил. Значит не всё было отключено.

[mike 1]

 

Из всего вышеперечисленного возникает вопрос, а чем специалисты Dr.Web занимались 14 и 15 числа? Спустя только 2 дня была замечена подозрительная активность, а отключение такого большого количества серверов говорит косвенно о том, что было проникновение в инфраструктуру Dr.Web. В идеале бы Dr.Web опубликовать публично результаты расследования и перечень мер по результатам проведенного расследования. От этих двух новостей вопросов больше чем ответов. 

Никто этого делать не будет с их стороны.

 

А по хорошему это нужно сделать. Иначе непонятно что делали 14 и 15 числа. 

[mike 1]

Не обязательно. Допустим, отключение было для снижения нагрузки и затрат в обеспечении защиты.

Из официальных комментариев непонятно какой тип атаки был совершен на ресурсы Dr.Web. Можно только строить предположения.