Pull to refresh
26
0
Александр Дорофеев @alexdorofeeff

генеральный директор

Send message

Создание СМИБ по новому ГОСТу: разбираемся в ключевых понятиях и новшествах за 5 минут

Reading time 10 min
Views 17K

Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.

К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.

Читать далее
Total votes 3: ↑3 and ↓0 +3
Comments 0

Тестирование альтернативных гипотез – эффективная методика структурированного анализа информации

Reading time 5 min
Views 2.9K

Когда мы пытаемся разобраться с какой-либо ситуацией и найти ответ на один из извечных вопросов «Кто виноват?», наш мозг любит выбирать первый понравившийся ответ и все факты уже рассматривать через его призму. Для того, чтобы ленивое серое вещество обмануть и заставить выйти из энергосберегающего режима, аналитики разведывательных служб придумали техники структурированного анализа (Structured Analytic Techniques), которые заставляют нас принять во внимание не только симпатичные нам варианты развития событий. Одной из самых распространенных техник является техника тестирования альтернативных гипотез, которую мы рассмотрим на небольшом шуточном кейсе.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Comments 2

Киберучения: полезная информация для защитников критической информационной инфраструктуры

Reading time 4 min
Views 5.3K

В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.

Читать далее
Rating 0
Comments 1

Использование SIEM в ходе подготовки этичных хакеров: открываем цикл практических лабораторных работ

Reading time 7 min
Views 9.1K
Как мы готовим в наших университетах и учебных центрах этичных хакеров? Как правило, предоставляем им Kali Linux или «Сканер-ВС», включающие набор инструментов для тестирования защищенности и машину со множеством уязвимостей. В результате слушатели могут получить довольно поверхностное представление о том, как проводится тестирование на проникновение на самом деле, так как в реальных проектах пентестеры имеют дело с инфраструктурами, включающими средства защиты информации и системы мониторинга событий информационной безопасности (SIEM). Чтобы исправить ситуацию и предоставить начинающим специалистам возможность изучать методы тестирования защищенности и инструменты мониторинга событий информационной безопасности в комплексе, мы начинаем этой статьей публикацию практических лабораторных работ.


Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Comments 2

Путь к идеалу: краткое руководство для программистов и их руководителей

Reading time 9 min
Views 5.3K
Никколо Макиавелли в руководстве для эффективного менеджера написал: «Как художнику, когда он рисует пейзаж, надо спуститься в долину, чтобы охватить взглядом холмы и горы, и подняться в гору, чтобы охватить взглядом долину, так и здесь: чтобы постигнуть сущность народа, надо быть государем, а чтобы постигнуть природу государей, надо принадлежать к народу». Думаю, что в соответствии с наблюдением итальянского мыслителя, любой, кто проходит путь от программиста до руководителя компании, собирает целую коллекцию типичных проблем менеджеров и разработчиков. В этой статье хочу поделиться своими наблюдениями. Сразу отмечу, что все приведенные ошибки были совершены мною лично, а некоторые даже по несколько раз. Любые совпадения неслучайны: все мы люди.


Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Comments 1

Искусство подбирать чужие пароли

Reading time 8 min
Views 39K

В культовом фильме начала двухтысячных «Пароль «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В этом ему помогает приятель, который заботливо держит пистолет у виска и темпераментная блондинка, прячущаяся под столом. Что делать, если таких друзей поблизости нет, а пароль подобрать необходимо? Например, в ходе тестирования на проникновение…



Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).

Читать дальше →
Total votes 31: ↑27 and ↓4 +23
Comments 65

Тест на проникновение с помощью Metasploit Framework: базовое руководство для системного администратора

Reading time 13 min
Views 98K

Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.


Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Comments 12

Отчет по пентесту: краткое руководство и шаблон

Reading time 4 min
Views 19K

Во вчерашней статье мы подробно разобрали методологию комплексного тестирования защищенности и соответствующий инструментарий этичного хакера. Даже если мы с вами в совершенстве овладеем методикой взлома и проведем тестирование на самом высоком уровне, но не сможем грамотно представить результаты заказчику, то проект будет «так себе». Как написать грамотный отчет по тестированию защищенности – об этом мы и поговорим сегодня.


Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Comments 4

Профессиональное тестирование на проникновение: удел настоящих гиков-фанатов командной строки или уже нет?

Reading time 9 min
Views 47K

Когда речь заходит о хакинге, неважно, об этичном или не очень, многие из нас представляют темное помещение с мониторами и очкастым профессионалом с красными от постоянного недосыпания глазами. Действительно ли систему может взломать только гик-профессионал и действительно ли для того, чтобы протестировать защищенность своих систем необходимо привлекать только таких экспертов? А нельзя ли вооружить грамотного ИТ-специалиста хакерскими инструментами и логичной методологией и получить качественный результат? Попробуем разобраться.


Читать дальше →
Total votes 22: ↑12 and ↓10 +2
Comments 10

Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности

Reading time 16 min
Views 44K

В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:


Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.


Читать дальше →
Total votes 48: ↑42 and ↓6 +36
Comments 52

Как «пробить» человека в Интернет: используем операторы Google и логику

Reading time 9 min
Views 927K

В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.


В комментариях к первой нашей статье, читатели просили побольше практических примеров и скриншотов, поэтому в этой статье практики и графики будем много. Для демонстрации возможностей «продвинутого» поиска Google в качестве целей были выбраны личные аккаунты автора. Сделано это, чтобы никого не обидеть излишним интересом к его частной жизни. Хочу сразу предупредить, что никогда не задавался целью скрыть свое присутствие в интернете, поэтому описанные методы подойдут для сбора данных об обычных людях, и могут быть не очень эффективны для деанонимизации фэйковых аккаунтов, созданных для разовых акций. Интересующимся читателям предлагаю повторить приведенные примеры запросов в отношении своих аккаунтов и оценить насколько легко собирать информацию по ним.


Читать дальше →
Total votes 122: ↑105 and ↓17 +88
Comments 108

Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

Reading time 10 min
Views 96K
А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Comments 28

Интернет-разведка в действии: who is Mr./Ms. Habraman?

Reading time 8 min
Views 49K
В прошлой статье, посвященной интернет-разведке, был кратко рассмотрен процесс сбора и анализа данных по конкретному человеку. Так как тема вызвала большой интерес, продолжаем начатое дело и в этой статье рассмотрим, как можно собирать информацию о целой группе пользователей.

Рассмотрим следующую ситуацию: новый пользователь Хабра, получив «минус в карму» еще до первого своего поста/комментария на ресурсе, решает узнать, а кто же скрывается за изощренно придуманными никами пользователей Хабра и задается вопросом: who is Mr./Ms. Habraman?
Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Comments 25

Что в имени тебе моем: как качественно «пробить» человека в сети Интернет?

Reading time 5 min
Views 196K
Мы постоянно встречаемся в своей жизни с новыми людьми, и стоит констатировать, что помимо хороших друзей нам попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан оставить свой след в интернете и старания наших ИТ-компаний по автоматизации всего и вся позволяют нам довольно оперативно собирать интересующую информацию о конкретных персонах по открытым источникам. Чтобы это делать быстро и качественно, нам нужно владеть простой методологией разведывательной работы и знать, где и какую информацию о человеке можно добыть в интернете.
Читать дальше →
Total votes 90: ↑70 and ↓20 +50
Comments 56

Information

Rating
Does not participate
Registered
Activity