Pull to refresh
12
0
Уляхин Александр @AlexUl

Инженер информационной безопасности

Send message

Как мы Zabbix с MaxPatrol подружили

Level of difficultyMedium
Reading time16 min
Views5K

Здравствуйте! Меня зовут Игорь, и я руковожу несколькими направлениями в команде DevOps-инженеров, включая направление мониторинга.

Сегодня я хочу рассказать вам о нашем уникальном решении для Zabbix. Это решение позволяет быстро уведомлять о найденных уязвимостях, формировать список этих уязвимостей и предоставлять дополнительную информацию о них.

Возьмите вкусняшек, чайку и присаживайтесь поудобнее.

Читать далее

Строим свой PAM на основе Teleport

Level of difficultyHard
Reading time18 min
Views6.1K

На связи команда Безопасности Wildberries — сегодня расскажем, как построить PAM на основе Teleport. Эту статью по мотивам нашего доклада на PHDays для вас подготовили руководитель департамента информационной безопасности и противодействия мошенничеству Wildberries Антон Жаболенко и руководитель направления безопасности инфраструктуры Павел Пархомец. В материале рассмотрим критерии идеального PAM, опыт его внедрения в Wildberries, разные подходы и наши результаты.

Читать далее

Что мы делаем в сети: подведение ежегодных итогов тестирования компаний-клиентов

Level of difficultyEasy
Reading time5 min
Views1.5K

Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.

Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.

Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, в этой же статье хочу остановиться на ключевых моментах, в частности на уязвимостях.

Подробности

26 техник, которыми геймдизайнеры манипулируют игроком в видеоиграх

Reading time13 min
Views21K

В области геймдизайна наджи (англ. nudge) или "подталкивания" — это такие тонкие элементы дизайна, стимулы, которые направляют игроков по намеченному геймдизайнером пути, улучшая их игровой опыт, но не навязывая им каких-либо действий напрямую. Ниже вашему вниманию представлен список таких техник подталкивания игрока с их описанием, применением и реальными примерами использования в видеоиграх.

Дисклеймер:

Я старался абстрагироваться от исследования перечисленных здесь наджей с точки зрения маркетинга. Я уверен, что в сети достаточно документации о том, как продавать больше, а вот таких обширных списков наджей именно для игровых механик я толком не нашел.

Надж сам по себе не несет никакой моральной окраски. Именно вы решаете, использовать ли его во благо или во вред игрока.

Читать далее

Мечтают ли безопасники о профильном образовании?

Level of difficultyEasy
Reading time12 min
Views5.9K

На Хабре и других профильных ресурсах все чаще появляются шпаргалки по прохождению собеседования на должность специалиста по информационной безопасности. Из той же серии разборы резюме, отчеты со стажировок, построение индивидуальных планов развития, и много чего ещё. А ведь стоит копнуть поглубже и обнаружим, что начать карьеру безопасника, прокачать теорию и попрактиковаться в сфере ИБ… проще всего в вузе. Должно быть проще.

По нашим наблюдениям, базовых университетских знаний для старта карьеры в ИБ недостаточно. Но не стоит сдаваться. А что ещё стоит делать студенту, который хочет в ИБ? Каковы реалии трудоустройства? В статье поделимся нашим мнением о том, как может выглядеть путь выпускника-кибербезопасника и почему оффер — это только начало.

Читать далее

Как задеплоить сайт в облако. Инструкция для новичков

Level of difficultyEasy
Reading time6 min
Views10K

Опубликовать сайт можно разными способами. Например, если проект лежит в репозитории на GitHub, можно воспользоваться GitHub Pages. Но если вы не боитесь трудностей, советуем попробовать кое-что поинтересней — разместить сайт на облачном сервере.

Новичкам этот способ может показаться сложным. Но на самом деле он очень удобен, потому что вы сможете легко масштабировать архитектуру проекта и гибко управлять мощностями сервера.
Читать дальше →

Безопасная разработка, управление рисками и внутренний контроль

Level of difficultyHard
Reading time50 min
Views4.9K

В настоящее время все больше компаний перестраивают свои процессы с учетом выгод от цифровизации. Потребность рынка России в цифровых продуктах растет. А с учетом текущих реалий и уходом основных производителей программного обеспечения с российского рынка возрастает проблема эффективности и надежности отечественного программного обеспечения.

Для компаний малого или среднего бизнеса инвестиции в покупку, внедрение и развитие отечественных программных продуктов могут выражаться в существенных финансовых издержках, связанных с созданием, внедрением, последующей эксплуатацией и развитием цифровых продуктов. Существенная часть таких издержек может быть связана с управлением рисками информационной безопасности.

В условиях существенно ограниченной доступности программных решений от зарубежных производителей неизбежно формируется запрос рынка и, как следствие, предложение от отечественных производителей ПО.

При этом компании малого или среднего бизнеса, например, занимающиеся разработкой или внедряющие у себя ПО, могут не обладать достаточными ресурсами и не иметь выстроенные процессы для обеспечения необходимого контроля над качеством, надежностью и безопасностью разрабатываемого и вводимого в эксплуатацию ПО.

Цель статьи – дать рекомендации по снижению риска незапланированных издержек в ходе автоматизации процессов и/или цифровой трансформации компаний.

Читать далее

Как я из специалиста по защите информации стал аналитиком данных. Моя история

Level of difficultyEasy
Reading time3 min
Views2.5K

Привет, хабр! Меня зовут Алексей, я работаю аналитиком данных в компании "Мегапьютер", но я не сразу стал им. Чтобы понять, кем я действительно хочу работать, потребовалось время.

В 2017 я закончил ЧГУ (Чебоксарский Государственный Университет) по специальности защита информации, но и начал свой трудовой путь в телекоммуникационной компании специалистом по защите информации.

И пошло-поехало первое, что я делал, приходя на работу изо дня в день - проверял свой почтовый ящик на наличие уведомлений о событиях информационной безопасности (ИБ). Данные уведомления поступали из различных источников, включая системы обнаружения вторжений, брандмауэры и антивирусное программное обеспечение. Специалист по ИТ-безопасности, то есть я, должен знать эти предупреждения, чтобы определить, представляют ли они реальную угрозу или ложное срабатывание.

Читать далее

Специалисты в дефиците — какие кадры нужны в информационной безопасности

Reading time9 min
Views4.7K

Привет, Хабр! Одна цифра вместо тысячи слов: специалистов по информационной безопасности в 4 раза меньше, чем требуется отрасли.

Меня зовут Дмитрий Васильев, я директор департамента информационной безопасности Softline. В этой статье я расскажу, какова сейчас ситуация на кадровом рынке ИБ и каких специалистов так долго и тщательно ищут компании.

Читать далее

Тестируем Web Application Firewall

Reading time5 min
Views9.7K

Итак, вы купили компьютер Web Application Firewall. В каком количестве предстоит ловить ложно-положительные срабатывания (False Positive), вы, как счастливый обладатель коммерческого продукта, вскоре узнаете. Если повезет - их будет мало, если нет - готовьтесь каждые 10 минут составлять правила исключения. Но как вы собираетесь проверять пропуски атак? Сканеры веб-уязвимостей будут не лучшим выбором.

Как проверить WAF на пропуски атак, пока за вас это не сделал злоумышленник?

__main__

Compliance-дайджест: что изменилось в ИБ-законодательстве в декабре 2022

Reading time15 min
Views4.5K

На связи Катя из центра «Solar Интеграция» с подборкой новостей из мира комплаенса ИБ за минувший декабрь. Как изменились формы уведомлений в области обработки персональных данных, которые необходимо направлять в Роскомнадзор? Какие новшества появились в области защиты критической информационной инфраструктуры? Что должны уметь ИБ-специалисты в кредитно-финансовой сфере, согласно новому профстандарту? Какие нормативные правовые акты планирует разработать ФСТЭК России в 2023 году? Об этом и не только расскажу в новом выпуске дайджеста.

Узнать, что нового

Вы НЕ сошли с ума (о режиме сна в Windows)

Reading time8 min
Views147K

Вы сталкивались с тем, что ноутбук случайно включается, хотя вы уверены, что отправляли его в сон?

Бывало, что батарея оказывалась пустой, хотя вы точно-точно помните, как убирали в сумку заряженный на 100% ноутбук?

Тогда вам сюда:

Мне сюда

Кибербезопасность и маркетинг: как мы в Positive Technologies запускали продукты в онлайне

Reading time4 min
Views1.9K

Привет, Хабр! Меня зовут Герман Холмов, недавно я публиковал статью, посвященную нюансам проведения крупных мероприятий по информационной безопасности. Ну а сегодня расскажу о еще одном проекте Positive Technologies, который я помогал реализовывать. Речь идет о маркетинговой платформе, которую мы с командой создали для запуска продуктов компании - прежде всего, в онлайне. Забегая наперед - все получилось. Если вашей компании нужно анонсировать/продвигать запуски новых продуктов, то статья может оказаться интересной. Как водится, все подробности - под катом.

Читать далее

Как пустить игроков по кругу

Reading time3 min
Views5.3K

…мономифа.

Возможно вы уже слышали о мономифе, но не знали, что это он. Или не думали, что его структуру можно и нужно применять для разработки ваших незабываемых игр. В любом случае сегодня мы разберёмся как с помощью этого нехитрого инструмента упростить создание квеста или сцены и сделать их такими, чтобы игроки ещё долго рассказывали о них. И начнём мы с истории.

Читать далее

Кибербезопасность в массы: как мы в Positive Technologies проводили крупнейшие мероприятия по инфобезу

Reading time8 min
Views3.2K

Привет, Хабр! Меня зовут Герман Холмов, долгое время я работал в Positive Technologies в должности Digital Marketing Director. На Хабре многие знают эту компанию, а если нет - то вот ее блог. Но речь сейчас не о компании, а об организации двух онлайн-ивентов для специалистов по кибербезопасности. Я вместе с командой отвечал за запуск. В ходе реализации проекта пришлось решать немало проблем, которые возникали как до организации мероприятий, так и во время. Думаю, что мой опыт будет полезен, поэтому и решил написать статью. О подробностях - под катом.

Читать далее

Как собрать коллег в братство

Reading time16 min
Views4.7K

Привет, Хабр! Меня зовут Мария, работаю в ISPmanager QA-инженером и сегодня хочу рассказать, как мы замутили эпический ДНД-квест. По сути, история о том, как мы заморочились с подарком мужской половине коллектива на соответствующий праздник. В итоге вместо носков мы продумали собственный игровой мир и организовали мегасессию в дискорде. Что из этого вышло — читайте под катом.

Читать далее

Объединённые возможности Fuchsia и Linux: релиз dahliaOS год спустя

Reading time4 min
Views11K

Прошел целый год, и разработчики новой операционной системы, которая базируется на Fuchsia и Linux, представили новый релиз. Операционная система написана на языке Dart и распространяется под лицензией Apache 2.0. Команда разработки сформировала два варианта сборки новой версии операционной системы — для систем с UEFI (675 МБ) и старых систем/виртуальных машин (437 МБ).

Основной дистрибутив собирается на основе ядра Linux и типового системного окружения GNU. Вот ссылка на этот дистрибутив. Что касается второй версии, то как раз о ней и упоминается в заголовке. Она базируется на микроядре Zircon и окружения из ОС Fuchsia. Эта версия предназначается для Raspberry Pi 4 и некоторых других систем. Подробности — в продолжении.
Читать дальше →

Новая (бесплатная) схема сертификации по продуктам Oracle

Reading time2 min
Views9.2K

Привет, Хабр! Вчера мне в очередной раз попалась на глаза публикация о нехватке квалифицированных специалистов и проблемах найма персонала. Поэтому сегодня мне захотелось рассказать об изменениях в программе сертификации и обучения по продуктам Oracle. Если у вас закрадывалась мысль в голову бесплатно повысить квалификацию или отправить на этот подвиг своих сотрудников, прошу под кат.

Читать далее

Полезные мелочи Windows администратора, поиск компьютеров пользователей и не только

Reading time18 min
Views29K

Как-то давно на хабре публиковалась статья Опытные мелочи Windows-админа. В ней рассказывалось как быстро и достаточно эффективно находить компьютеры на которых залогинился тот или иной пользователь.

Мне эта идея понравилась, т.к. всё делается достаточно просто, быстро и без модификации схемы Active Directory. Я постепенно улучшал изложенные в статье подходы и в итоге появились три скрипта, которыми я и хочу поделится с вами.

Читать далее

Дизайн без дизайнера

Reading time12 min
Views8.8K

Плохой дизайн может убить хороший продукт. Поэтому хороший дизайнер — ваш друг, боевой товарищ и средство первой необходимости. Но всё же, иногда вы остаётесь со своим продуктом один на один, и его дизайн становится вашей головной болью.

Чтобы всё не запороть с самого начала, можно попробовать воспользоваться рекомендациями, которые изложены в этой статье. Они относятся к трём основным аспектам хорошего дизайна: работа с формами, типографика, композиция. Воспользовавшись этими рекомендациями вы не станете отличным дизайнером, но сможете избежать неприятных ошибок, способных свести продукт в могилу. А заодно узнаете немного нового про дизайн и просто начнёте немного лучше разбираться в UI/UX.

Немедленно прочесть

Information

Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Date of birth
Registered
Activity