Информационная безопасность *

Современные веб-приложения требуют не только высокой производительности, но и надёжной защиты — от классических SQL-инъекций до сложных атак, включая перегрузку API. В условиях растущих киберугроз и ограничений на использование западного программного обеспечения особенно важно выбрать эффективную архитектуру, отвечающую требованиям российского рынка.
В этой статье мы делимся практическим опытом построения системы безопасности с использованием аппаратного балансировщика DS Proxima и решения SolidWall WAF для защиты веб-приложений и API. Рассматриваем архитектурные особенности, результаты тестирования и ключевые преимущества подхода, который объединяет безопасность, масштабируемость и предсказуемую производительность.

Даннаяпубликация является переводом статьи Matt Maloney — «Security risks in AI supply chains».

Компании всё чаще вынуждены внедрять передовые технологии ИИ, чтобы не отставать от конкурентов. Однако спешка в этом деле может привести к ошибкам и угрозам безопасности. Новый отчёт Коалиции безопасного ИИ описывает неожиданные угрозы, которые могут возникнуть из‑за данных, моделей и технической инфраструктуры, лежащих в основе искусственного интеллекта. Также в отчёте рассказывается, как компании могут защититься от этих рисков.

Среди главных выводов отчёта:

Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве идеи для тех, кто сталкивается с подобными задачами.

Доброго времени суток!

Продолжаем цикл статей по Starting Point платформы HTB Labs. Тут мы поговорим про такую базу данных, как Redis.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Всем привет! Время для разбора ключевых CVE июня. В прошлом месяце прогремела уязвимость в Linux на получение root-прав через UDisks. Также засветилась критическая уязвимость под RCE в Secure Boot.

Критическими CVE отметились Cisco ISE, HPE StoreOnce Software, драйверы GPU Adreno от Qualcomm и RoundCube Webmail — последние две под произвольный код. У Asus очередной неловкий момент с кривым ПО: на этот раз захардкоженный ключ в Armoury Crate и возможность повышения привилегий до System. А в WinRar под Windows уязвимость под запись за пределы целевой директории — например, в папку автозагрузки. Обо всём этом и других интересных CVE первого летнего месяца читайте под катом!

С момента смены лицензирования Hashicorp Vault утекло много времени и с момента появления проекта OpenBao, мы регулярно следили за его судьбой. Несколько дней назад завезли enterprise-функционал, который доступен безвозмездно. И хотелось бы поделиться этой информацией с сообществом

Всем привет!

Опен-сорс и почему в российских ПО появляется код из библиотек, расположенных на серверах из недружественных юрисдикций – самая модная тема сезона.

Поэтому Владимир Высоцкий, руководитель по развитию бизнеса продукта Solar appScreener, в этом материале решил напомнить об основных рисках открытого кода и как их можно избежать на этапе разработки вашего продукта.

Построить Rate Limiter — легко. Сделать его быстрым, отказоустойчивым и работающим в нескольких дата-центрах — сложнее. Делюсь опытом реализации нашего облачного Rate Limiter в DDoS-Guard: принцип работы, анализ правил и реальные примеры из практики.

Мечта собственника — сильная команда и высокая производительность. Но риски для компании мало кто осознает. Рассказываем, как предпринимателю понять мотивы сотрудников, есть ли угроза мошеннических схем, подделок документов, утечек информации и финансов.

На первый взгляд может показаться, что между разработкой и кулинарией нет ничего общего, но на самом деле сегодня создание приложений похоже на приготовление салата: берутся овощи, мясо, масла и приправы, все смешивается ― и получается блюдо. Если хоть один ингредиент окажется плохим, то весь салат будет испорчен.

Разработчики не все пишут сами, при подходе DevOps из общедоступных репозиториев могут браться готовые библиотеки, их соединяют, и в результате получается приложение (тот самый салат). Если хоть одна из библиотек окажется плохой или дописанный разработчиком код для объединения библиотек будет некачественным, то есть такой салат вы вряд ли захотите.

Мы как шеф-повара рекомендуем приправить DevOps опцией Sec. Эта специя поможет минимизировать стоимость и повысить скорость исправления ошибок. О DevSecOps-разработке мы и расскажем в статье. 

Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows‑хостах.

С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic).

Злоумышленники получали доступ к сети жертвы через перебор паролей RDP, после чего эксплуатировали уязвимость CVE-2020-1472 (Zerologon) для повышения привилегий и полного контроля над сервером.

В этом посте я расскажу, как обнаружил уязвимость, которая позволяет злоумышленнику менять пароли других пользователей, что может привести к захвату аккаунтов. Также я обнаружил, что токен восстановления пароля не аннулируется после использования.

Привет, Хабр!

Это команда Eppie. Мы разрабатываем p2p почту, в которой пользователи владеют своими адресами и данными. Про данные мы уже говорили, сегодня остановимся на адресах.

Атаки социальной инженерии являются одной из самых опасных форм кибератак, поскольку они эксплуатируют человеческий фактор, а не технические уязвимости. В прошлом году стратегии злоумышленников усложнились и стали еще хитроумнее. В этой статье мы рассмотрим основные текущие тренды социальной инженерии и предложим способы защиты от них.

Документы с грифом «Для служебного пользования» (ДСП) содержат сведения ограниченного распространения. Это информация, не подпадающая под государственную тайну, но доступ к которой ограничен по служебной необходимости или в соответствии с законами.

На бумаге такие документы пересылают в плотных непрозрачных пакетах через фельдъегерскую службу, курьером или заказным письмом. Но можно ли передавать такие данные по электронной почте — и если да, чем заменить этот самый «плотный пакет» в цифровом виде?

Всем привет! Меня зовут Данила Лопатин, я системный инженер в К2 Кибербезопасность.

В этой статье мой коллега Алексей Ломакин, инженер сетевой безопасности, опишет свой опыт командировок по России — от Таганрога до Хабаровска. Он расскажет, что необходимо инженеру помимо технических знаний и оборудования и поделится советами для успешных командировок.

Я Алексей Ломакин, инженер сетевой безопасности в К2 Кибербезопасность. Примерно половина моей работы — это выезды и командировки. 

За эти поездки я понял, что инженер должен не только разбираться в технических вопросах, но и уметь выстраивать контакт с людьми. Часто приходится не просто настраивать оборудование, а договариваться, разруливать организационные моменты и терпеливо объяснять заказчику нюансы подключения. Все это оказалось сложнее, но и в разы интереснее, чем я думал в начале карьеры. Теперь точно знаю, что коммуникация порой важнее, чем отвертка или ноутбук (хотя без них тоже никуда).

Недавно мне прислали фотографию c айфоном в режиме пропажи и ссылкой на телеграм-аккаунт для восстановления доступа. Владелец устройства находится в процессе поиска работы. При размещении резюме в интернете ему написали в Telegram и назначили собеседование. Во время разговора пострадавшему сообщили, что он подходит на должность и для прохождения испытательного срока ему потребуется использовать приложение, разработанное организацией для мониторинга рабочего процесса. Поскольку у соискателя имеется iPhone, для установки потребуется зайти в учетную запись их организации.

Подобные схемы использовались мошенниками еще в 2014 году, и они по-прежнему продолжают быть актуальными.

Привет, Хабр! Мы продолжаем цикл статей о нововведениях СУБД Tantor Postgres 17.5.0, и сегодня поговорим о поддержке авторизации через OAuth 2.0 Device Authorization Flow — это современный и безопасный способ предоставления доступа, который позволяет приложениям запрашивать доступ к PostgreSQL от имени пользователя через внешнего провайдера идентификации и управления доступом, например Keycloak, что особенно удобно для облачных сред и микросервисных архитектур (функция будет также доступна в PostgreSQL 18). В статье пошагово разберём настройку OAuth-авторизации в PostgreSQL с использованием Keycloak: настроим Keycloak, подготовим PostgreSQL, напишем валидатор токенов OAuth в PostgreSQL и проверим успешную авторизацию через psql с использованием Device Flow.

Автор - Степан Панфилов, команда UserGate uFactor

Привет, Хабр! На связи команда UserGate. Мы запускаем новую серию материалов, посвященных исследованию кибератак. Да, мы не только разрабатываем NGFW, но и, как положено серьезной ИБ-компании, анализируем актуальные угрозы. Сегодня мы рассмотрим два сценария загрузки основных вредоносных модулей на компьютерную систему атакуемого. Первый сценарий — атака при помощи LNK-файлов, в которых применяются криптографические методы, второй — атака через BAT-файлы.

Основным вектором атаки в обоих сценариях выступает фишинговая рассылка. Файлы, приложенные к фишинговым электронным письмам, обычно упакованы в ZIP-архив. Иногда архивы защищают паролем для обхода СЗИ, сам пароль указывается в тексте сообщения.

Сценарий 1: криптография в LNK-файле

В качестве промежуточного звена для загрузки основного вредоносного модуля могут быть применены файлы MS-SHLLINK. Для выполнения сценария в LNK-файлах используются командные интерпретаторы CMD или PowerShell, но также есть и другие методы. К сценарию зачастую применяются методы сокрытия вредоносных команд, такие как кодирование, обфускация или шифрование, что затрудняет детектирование угрозы средствами защиты информации.

Рассмотрим на примере вредоносного LNK-файла один из способов сокрытия ключевой информации с помощью шифрования.

Для просмотра содержимого LNK-файлов можно воспользоваться hex-редактором, утилитами xxd или cat в UNIX-подобных системах. Стоит обратить внимание, что некоторые hex-редакторы могут отображать не сам LNK-файл, а содержимое файла, на который ссылается ярлык, — будьте внимательны.

 Всем привет! У нас новый автор - Виктор Дрынов, руководитель отдела безопасной разработки Angara Security. Сегодня он расскажет, как стандарты могут помочь минимизировать риски и повысить качество разработки

Немного о требованиях регуляторов

С чего стоит начать подход к безопасной разработке? С изучения требований национальных стандартов и иных нормативно-правовых документов (НПА), разработанных регуляторами.

В России разработаны и приняты национальные стандарты по разработке безопасного программного обеспечения (РБПО), а именно: