Pull to refresh
22
0
Александр @AlexRed

Специалист по информационной безопасности

Send message

Обзор Simulator — платформы для обучения инженеров безопасности Kubernetes с помощью CTF-сценариев

Level of difficulty Easy
Reading time 17 min
Views 4K

Ранее мы делали обзор инструментов для оценки безопасности кластера Kubernetes. Но что, если нам нужно обучить инженеров основам безопасности Kubernetes на реальных примерах и автоматизировать этот процесс? Недавно компания ControlPlane, специализирующаяся на Cloud Native-решениях, помогла решить этот вопрос. Она выложила в открытый доступ Simulator — инструмент для обучения инженеров поиску уязвимостей в Kubernetes. Мы во «Фланте» решили протестировать этот симулятор и понять, насколько он перспективен и полезен.

В этой статье я расскажу, зачем нужен этот инструмент, как его настроить и установить, а также разберу его возможности. Для этого я решу один из сценариев, который предлагает Simulator. В конце обзора я оставлю своё мнение об инструменте и расскажу о ближайших планах его авторов.

Читать далее
Total votes 27: ↑27 and ↓0 +27
Comments 2

CVSS 4.0: аналитический обзор новой версии популярного стандарта

Level of difficulty Easy
Reading time 6 min
Views 1.9K

Всем привет! В эфире команда Cyber Analytics Positive Technologies. В компании мы занимаемся разработкой методологии результативной кибербезопасности и подготовкой консалтинговых отчетов по проектам, связанным с проведением тестирований на проникновение и анализом защищенности. Мы сделали обзор новой версии стандарта для оценки степени опасности уязвимостей Common Vulnerability Scoring System (CVSS). Под катом расскажем о некоторых нововведениях версии 4.0 (а их немало!) и сравним ее с предыдущей.

Подробности
Total votes 2: ↑2 and ↓0 +2
Comments 0

Xray на Keenetic / Xkeen

Level of difficulty Easy
Reading time 9 min
Views 37K

Утилиту для поддержки Xray на роутерах Keenetic — Xkeen.
Весь код написан на чистом shell и открыт на GitHub.

Собирает Xray под Ваш Keenetic на Entware.
Доступны GeoIP и GeoSite от AntiFilter, AntiZapret и v2fly.

Автоматически обновляет в указанное время Xray, GeoIP и GeoSite.

Ознакомиться с Xkeen
Total votes 32: ↑31 and ↓1 +30
Comments 31

Сравнение CVSS v.3.1 и v.4.0

Level of difficulty Easy
Reading time 7 min
Views 3.2K

Совсем недавно была выпущена четвертая версия системы оценки уязвимостей — CVSS v.4.0. Планируется, что окончательно стандарт будет формализован и опубликован 1 октября 2023 года.

Что ж, а мы пока давайте проанализируем основные отличия между CVSS версиями 3.1 и 4.0 и оценим: стоит ли переходить на новую версию, и как изменится оценка уязвимостей при расчете с использованием новых представленных метрик.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Comments 0

Keycloak. Админский фактор и запрет аутентификации

Level of difficulty Medium
Reading time 4 min
Views 8K
Привет, Хабр и его жители! Я, Максим Санджиев, представляю отдел, занимающийся развитием, поддержкой и безопасностью инфраструктуры в департаменте Security Services компании «Лаборатории Касперского». У нас в отделе накопилась «нестандартная» экспертиза по работе с vault, IAM (keycloak), rook-ceph, minio s3, prometheus, k8s и многими другими инструментами OPS/SecOps/SRE. Хотели бы с вами поделиться нашими ресерчами, идеями, самописными разработками и получить фидбэк на наши реализации. Начнем с кейсов по работе с IAM.



Эта статья рассчитана на людей, которые ранее были знакомы с IAM и, в частности, с keycloak-ом. Поэтому в этой части не будет «базы» по SAML2, OAuth2/OIDC и в целом по IAM (на Хабре есть хорошие статьи на эту тему).

Рассмотрим два кейса:
  • Есть учетная запись (УЗ) в keycloak с правами админа на какой-то веб-ресурс. Как, используя keycloak, сделать так, чтобы для входа админу требовался дополнительный фактор аутентификации?
  • Есть веб-ресурс (client в терминологии keycloak). Как дать доступ к этому веб-ресурсу средствами keycloak на этапе аутентификации определенной группе пользователей (в ситуации, когда это не реализовано самим приложением)?

Читать дальше →
Total votes 26: ↑26 and ↓0 +26
Comments 4

Компетентностная модель специалиста по специальности компьютерная безопасность

Reading time 55 min
Views 64K
image

Компетентностая модель — это попытка создания наиболее адекватной модели специалиста, которая бы учитывала потребности рынка в специалистах по компьютерной (информационной) безопасности, требования предъявляемые предприятиями к таким сотрудникам, а также возможности самого высшего учебного заведения по подготовке таких специалистов.

Предлагаю ознакомиться с идеей и внести конструктивные предложения.

Читать дальше →
Total votes 25: ↑10 and ↓15 -5
Comments 15

Бизнес-партнёр по информационной безопасности: взгляд изнутри

Level of difficulty Easy
Reading time 12 min
Views 4.9K

 

В этой статье описана роль бизнес-партнёра по информационной безопасности (БП ИБ) и мой опыт работы в этой роли. Сегодня она относительно непопулярна на рынке, но её значимость начинает расти, причём как в России, так и за границей (там это называется Business Information Security Officer (BISO)). Сразу подчеркну, что всё сказанное здесь основывается на моём видении и опыте, и может отличаться от практик, принятых в других компаниях.

В статье подняты такие вопросы как: функционал, польза для бизнеса, компетенции, отличия от других схожих ролей, взаимодействие с другими командами, карьерный путь, обзор рынка.

Читать далее
Total votes 30: ↑29 and ↓1 +28
Comments 7

Внедрение контроля над ИТ

Reading time 17 min
Views 6.9K

Добрый день!

Меня зовут Максим Торнов и я продолжительное время занимаюсь областью управления рисками, присущими ИТ. Данный материал является продолжением статьи «Управление риском ИТ» (https://habr.com/ru/post/599047/).

В этой статье хочу поделиться своим мнением, знаниями и опытом в части внедрения контроля над ИТ, а главное, тем, как можно убедить владельцев ИТ систем, автоматизированных сервисов и процессов в необходимости управления рисками, присущими ИТ (включая риски ИБ), и какие выгоды это может принести им и компании.

Читать далее
Total votes 8: ↑5 and ↓3 +2
Comments 7

DDoS-атаки «для самых маленьких»

Reading time 21 min
Views 52K

Привет читающим этот длиннопост. Давно ничего не писал на Хабре, но 2022 год выдался достаточно непростым в плане DDoS-атак. По роду деятельности, я столкнулся с большим количеством вопросов о том, что такое DDoS-атаки, нужно ли с ними бороться (WTF??? конечно, не нужно, пусть все лежит нужно). Зрелым матерым спецам здесь вряд ли будет интересно.

Пользуясь случаем, хочу поблагодарить Qrator Labs за большой вклад в оригинальный текст. Без них он бы не родился :)

Хочу сразу отметить, что некоторым читателям, погруженным в банковскую тематику, текст может показаться знакомым. И да, он в каком-то виде был выпущен для узкого круга лиц, но поскольку уже прошло достаточно времени, а данные не устарели и автор этого поста был, в основном, автором этого текста, то я решил выложить его на хабр в несколько сокращенном и подредактированном варианте, дабы давать ссылку на этот пост, когда опять начнут задавать вопросы.

Читать далее
Total votes 21: ↑19 and ↓2 +17
Comments 11

Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам

Reading time 6 min
Views 22K

Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку.


Чуть позже директор, а заодно и весь высший менеджмент компании получили письмо следующего содержания:



Директор поручил Марине заняться приготовлениями к мероприятию. Секретарь перезвонила, чтобы узнать, как сделать пригласительные для супруги директора, и уточнить дрескод. В ответ прозвучало, что форма одежды карнавальная. Только после этого один из сотрудников заподозрил неладное и позвонил напрямую в головную компанию. Там ответили, что карнавалов сроду не проводили и не планируют...

Читать дальше →
Total votes 68: ↑67 and ↓1 +66
Comments 20

Проект RISK: как мы управляем уязвимостями эффективно

Reading time 12 min
Views 5.3K

Мы серьёзно подходим к вопросам информационной безопасности наших продуктов: бережно относимся к пользовательским данным и разрабатываем сервисы с учётом требований информационной безопасности (ИБ) и публичных стандартов по разработке безопасных приложений. К сожалению, при этом всё равно могут встречаться уязвимости, создающие риски безопасности. Этого не нужно бояться, а лучше использовать эти знания для улучшения существующих контролей безопасности и построения новых. Для этого необходим видимый, эффективный и измеряемый процесс управления уязвимостями, который мы смогли построить в Ozon, и теперь хотим поделиться опытом, советами и граблями, на которые лучше не наступать. 

Читать далее
Total votes 17: ↑17 and ↓0 +17
Comments 2

Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process

Reading time 6 min
Views 6.8K

Мы продолжаем серию обзоров  методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).

Почему FRAP?

Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:

Существенное сокращение времени и усилий на проведение оценки.

Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.

Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.

Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Comments 0

Сегментация сети для самых маленьких

Level of difficulty Easy
Reading time 6 min
Views 72K

Цель статьи: показать базовый подход к сегментации сети компании при разработке новых либо модернизации текущих автоматизированных систем.

1. Основные уровни сетевой архитектуры: DMZ, APP, DB;

2. Правила межсервисного взаимодействия.

Читать далее
Total votes 11: ↑9 and ↓2 +7
Comments 17

Риски VS Угрозы

Reading time 6 min
Views 13K

Если вы занимаетесь информационной безопасностью, то живете в мире рисков, угроз и уязвимостей, используете эти понятия повседневно. Мы часто подменяем эти понятия, в результате чего не всегда видна грань между тем, что такое риск, а что угроза информационной безопасности.

С одной стороны мы строим модели угроз, следуя отечественной регуляторике, а с другой создаем реестры и планы обработки рисков, ориентируясь на международные стандарты по СМИБ.

Как риски связаны с угрозами, это разные вещи или одно и то же? - рассмотрим в статье.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Comments 6

Самый полный чек-лист для защиты от мошенников

Reading time 17 min
Views 155K

Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий, которые обезопасили бы меня от жуликов и их махинаций. Итогом изучения стал чек-лист, которым хочу поделиться со всеми. Его цель - сделать взлом цифровых активов сложным и бессмысленным.

Читать далее
Total votes 148: ↑146 and ↓2 +144
Comments 169

Cybersecurity Workforce Framework: как CISO распределить обязанности

Reading time 4 min
Views 3.5K

Cybersecurity Workforce Framework
[программа штатного расписания по кибербезопасности. — англ.].

Программа и, соответственно, эта статья предназначены для высшего руководства компаний, руководителей ИБ подразделений, педагогов и студентов.

Материал поможет руководителям разобраться или взглянуть с другой стороны на то, каким может быть штат подразделения ИБ, как могут распределяться обязанности между сотрудниками. Педагогам — узнать, чем можно дополнить преподаваемый материал, а студентам — понять, какую нишу занять и какие пробелы в знаниях нужно заполнить.

Также рекомендую статью HR-ам. Надеюсь, количество известных и неизвестных аббревиатур в требованиях к вакансиям уменьшится, а сами требования обретут конструктивную основу.

В статье:
> обзор фреймворка Cybersecurity Workforce Framework;
> пример профиля сотрудника ИБ подразделения.

Читать далее
Rating 0
Comments 0

DLP и Закон: как правильно оформить внедрение системы для защиты от утечек

Reading time 4 min
Views 25K


Сегодня хотелось бы еще раз поднять такую важную тему, как легитимность внедрения систем для защиты от утечек информации. Прекрасно, когда компания задумывается о сохранности своих информационных активов и внедряет DLP-решение. Но если этому внедрению не сопутствует юридическое оформление, часть функций DLP просто «отваливается». Компания не сможет использовать данные DLP в суде против сотрудника, виновного в разглашении конфиденциальной информации (а может и пострадать от иска самого сотрудника, например). Сегодняшний небольшой материал рассказывает, как этого избежать и где «подстелить солому».
Читать дальше →
Total votes 32: ↑29 and ↓3 +26
Comments 13

Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ

Reading time 10 min
Views 22K

Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает 😉

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Добро пожаловать под кат!

Смотреть подборку
Total votes 12: ↑10 and ↓2 +8
Comments 1

Security — как много в этом звуке для сердца девопсного слилось

Reading time 25 min
Views 6.7K


Чтобы понять безопасность, надо думать как безопасник, вести себя как безопасник, стать безопасником. Барух jbaruch Садогурский и Леонид Игольник в своих докладах много рассматривали DevOps с разных сторон — и очередь дошла до вопросов Security. На нашей конференции DevOops они поговорили об этом, и поскольку зрителям понравилось, теперь мы сделали текстовую версию доклада.


Как и в «предыдущих сериях», оформлено всё в формате приключений Васи с Омского мясокомбината. Теперь новый Chief Information Security Officer ставит Васе новые задачи, создает новые заботы и новые проблемы. Или, может быть, проблемы были и раньше, просто теперь они стали более заметны? Понимание мира, в котором живет CISO, поможет Васе и вам вместе с ним понять, какие проблемы безопасности стоят перед современной DevOps-организацией и как решить эти проблемы, не выкапывая новые колодцы и не создавая новые барьеры.


Под катом делимся и текстовой версией доклада, и видеозаписью. Экспертом на докладе выступил консультант по информационной безопасности Денис Якимов.

Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Comments 0

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity