Привет, Хабр!

Вынужденная самоизоляция – не повод впадать в уныние или предаваться праздности, это время можно провести с пользой. В апреле и мае команда Fujitsu приготовила для вас целую серию вебинаров, посвященных серверным продуктам компании, гибридным решениям и клиентским устройствам. Стартуем со следующего вторника.

Эту неделю астрологи объявили неделей бэка: сразу несколько встреч и по .NET и по Java. А еще начали появляться неожиданные сочетания внутри одного мероприятия, например: JavaScript и DevOps или DevOps и ML. А еще много хардкорной практики — можно сделать своего робота или собрать руками микросервисы используя подход Java Enterprise.

Появляются новые форматы, например, обсуждение своего же доклада. Давайте их пробовать, чтобы понять чтож заходит лучше всего.

Привет, %username%!

Сегодня многие начинающие веб-разработчики делают большую ошибку, и не одну. Они что-нибудь сверстают, а потом покупают хостинг. Далее покупают домен. Регистрируют и подключают SSL-сертификат. Я, спасаясь от минус-кармы, просто расскажу как не тратить деньги на свои тестовые проекты.

Приветствую, друзья! Добро пожаловать на наш очередной новый курс! Как я и обещал, курс Getting Started был не последним. На этот раз мы будем обсуждать не менее важную тему — Remote Access VPN (т.е. удаленный доступ). С помощью этого курса вы сможете быстро познакомиться с технологиями Check Point в плане организации защищенного удаленного доступа сотрудников. В рамках курса мы, как обычно, будем совмещать теоретическую часть с практической в виде лабораторных работ. Кроме демонстрации настройки Check Point мы рассмотрим различные способы подключения удаленных пользователей.

Что такое киберфизические системы, почему они так актуальны сегодня, и какую роль в их развитии играет искусственный интеллект?

Изучение различных свойств информационно-технических систем с точки зрения взаимодействия их физической и цифровой составляющих — новое и актуальное направление современной науки о киберфизических системах [1].

Главными составными частями любой киберфизической системы являются (Рис.1):

• физический слой системы (различные объекты реального физического мира самой разнообразной природы);
• цифровой слой системы (множество данных о системе, хранимых в памяти компьютеров, алгоритмы управления физическими объектами, алгоритмы обработки информации и пр.);
• интерфейс взаимодействия цифрового и физического слоя (различные сенсоры, управляющие механизмы и пр.);
• интерфейс взаимодействия цифрового и физического слоя с человеком (различные XR технологии).

Текущая ситуация с распространением коронавируса (COVID-19) вынуждает многих сотрудников по всему миру работать удаленно. Хотя это и необходимо, этот новый уровень гибкости рабочих мест создает внезапную нагрузку на ИТ-отделы и подразделения информационной безопасности, особенно в отношении возможностей существующих средств защиты в условиях резкого увеличения спроса.

Чтобы помочь нашим заказчикам, как текущим, так и потенциальным, организовать защищенную работу возросшего количества удаленных пользователей, мы предлагаем бесплатные пробные лицензии с увеличенным сроком действия новым заказчикам и возможность превышения количества пользователей свыше приобретенного ранее пакета без дополнительной платы текущим заказчикам, которые используют уже эти решения, по трем основным линейкам продуктов:

Ура! Мы открыли регистрацию на ежегодное соревнование по кибербезопасности NeoQUEST-2020!

В этот раз индивидуальный CTF начнется 12 марта в 12:00 по Московскому времени и продлится до 12:00 по Московскому времени 26 марта! У тебя будет ровно 14 дней на спасение человечества от глобального похолодания и восстания машин. Добро пожаловать под кат: расскажем подробнее о заданиях и предстоящей «Очной ставке»!

Технический комитет «Кибер-физические системы» совместно со Всероссийским институтом сертификации при поддержке Министерства промышленности и торговли РФ в конце января 2020 г. вынесли на публичное обсуждение предварительные российские национальные стандарты (ПНСТ) в области умного производства, интернета вещей и оценки умного города.

Публичное обсуждение проектов стандартов продлится до 31 марта 2020 года. После этого они будут внесены на утверждение в Росстандарт.

26 февраля 2020 года (среда), с 19:00 и до 22:00, в Высшей школе бизнес-информатики НИУ ВШЭ (г. Москва) состоится бесплатный Лекционный вечер «Хочу в геймдев».



После каждой лекции можно будет получить ответы на Ваши вопросы, пообщаться с лекторами.

Роль геймдизайнера — одна из ключевых на проекте. Сделать игровой процесс по-настоящему увлекательным — это настоящая головоломка, решить которую поможет наш топ 5 книг, которые необходимо прочитать каждому геймдизайнеру. Сборник был бережно собран продюсерами Shadow Fight 2 и Shadow Fight 3. Благодаря этим книгам вы узнаете о том, как функционируют видеоигры и почему нам так сложно от них оторваться.

Как часто вам предлагают заткнуть пальцем пробоину в борту судна? Нам — постоянно!
Вот обычная заявка: составьте нам NDA с работником, чтобы защититься от разглашения конфиденциальной информации

Почему-то многие в ИТ уверены, что для защиты информации компании необходимо и достаточно подписать с работником NDA

Однако NDA с сотрудником — это совсем не тот документ, который необходимо использовать для защиты коммерческой тайны в трудовых отношениях. В результате требования к режиму коммерческой тайны грубо нарушены. Архитектура ПО, алгоритмы, расчеты, и иные ноу-хау, используемые в разработках, остаются без охраны.

Разберемся, что здесь не так.

Не смотря на то, что в последнем публиковавшемся перечне уязвимостей OWASP Top 10 2017 CSRF атаки отнесены к разряду “Удалены, но не забыты”, мы решили, что не будет лишним еще раз напомнить о том, как защититься от CSRF атак, опираясь на те же правила, предоставляемые OWASP.

Привет, Хабр! представляю вашему вниманию перевод статьи «How To Build A Great Technical Portfolio» автора Emma Wedekind.

Портфолио — это отображение вашей личности, обычно первое впечатление о вас и вашей работе складывается именно благодаря портфолио. Таким образом, крайне важно, чтобы вы создавали такое портфолио, которое раскрывает вас и вашу работу с лучшей стороны.

Предлагаю вам взглянуть на несколько моих советов по созданию идеального технического портфолио.

Заметьте: эти советы построены на моем личном опыте. Существует множество способов составить отличное портфолио, так что используйте их как рекомендации, а не как жесткие правила.

Привет, Хабр! Сегодня мы продолжаем серию статей, в которую войдет 5 подборок бесплатных обучающих курсов от компании Microsoft. Во второй части у нас самые крутые курсы для IT-Администраторов, которые сильнее всего нравятся коллегам.

Кстати!

• Все курсы бесплатные (вы даже сможете попробовать платные продукты бесплатно);
• 5/5 на русском языке;
• Начать обучение можно мгновенно;
• По окончании вы получите бейдж об успешном прохождении обучения.

Присоединяйтесь, подробности под катом!

Новая серия статей

• 8 самых новых курсов Microsoft Learn
• 10 бесплатных курсов для начинающих специалистов
• 10 бесплатных курсов для продвинутых специалистов

Следующая серия статей, начало 2020 года

• 5 бесплатных курсов для ИИ-инженеров
• 6 бесплатных курсов для безопасников
• 7 бесплатных курсов для специалистов по работе с данными (Data-Science и Data-Engineering)

Эта серия статей, 2019 год

• 7 бесплатных курсов для разработчиков
• 5 бесплатных курсов для IT-Администраторов
• 7 бесплатных курсов для архитекторов решений
• 6 самых свежих курсов по Azure
• 10 самых популярных курсов Microsoft на русском

Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом многие “безопасники” обнаруживают, что при выборе защитных мер они начинают не с самых эффективных мер. В документе выделяют 5 ключевых мер защиты, которые оказывают наибольший эффект на ИБ:

1. Инвентаризация всех устройств в сети. Трудно защищать сеть, когда не знаешь что в ней.
2. Инвентаризация всего программного обеспечения. Софт с уязвимостями чаще всего становится входной точкой для хакера.
3. Secure Configuration — или обязательное использование встроенных функций защиты ПО или устройств. В двух словах — меняйте дефолтные пароли и ограничивайте доступ.
4. Поиск и устранение уязвимостей. Большинство атак начинается именно с известной уязвимости.
5. Управление привилегированным доступом. Ваши пользователи должны иметь только действительно нужные права и выполнять только действительно необходимые действия.

В рамках этой статьи мы рассмотрим именно 5-й пункт на примере использования Fudo PAM. Точнее мы рассмотрим типичные кейсы и проблемы, которые удается обнаружить после внедрения или в рамках бесплатного тестирования Fudo PAM.

Рассказывая о том, как устроена работа центра мониторинга и реагирования на кибератаки (SOC) изнутри, мы уже говорили об инженерах первой и второй линии и об аналитиках. Тогда же мы вскользь упомянули о сервис-менеджерах. Это сотрудники SOC, которые отвечают перед заказчиком за качество оказываемых услуг. За этим коротким определением фактически скрывается следующее: сервис-менеджер определяет практическую реализацию сервиса на площадке заказчика, должен быть готов в любой момент дня и ночи ответить на звонок заказчика или уведомление инженера мониторинга о критичном инциденте, собрать команду реагирования или расследования и выехать на площадку.

В большинстве своем сервис-менеджеры Solar JSOC — это мужчины в возрасте за 30 видавшие виды с разносторонним опытом в ИБ: от проектирования систем защиты информации до аудита процессов. Обязательно владение навыками перевода с птичьего на человеческий технического на бизнесовый и обратно.

А вам слабо в свои 25-30-35-40-45 сесть за обучение? Не корпоративное, не оплаченное по тарифу «контора платит», не вынужденное и когда-то недополученное высшее, а самостоятельное? Сесть за свой стол с выбранными вами книгами и учебниками, перед лицом строгого самого себя и освоить то, что вам нужно или так хотелось освоить, что вот уже просто сил нет жить без этих знаний? Это, пожалуй, один из самых сложных интеллектуальных процессов взрослой жизни: мозги скрипят, времени мало, всё отвлекает, да и мотивация не всегда однозначная. Самообразование — важный элемент жизни абсолютно любого профессионала, но оно сопряжено с определёнными трудностями. Давайте разбираться, как лучше организовать этот процесс, чтобы не загнать себя и получить результат.



Это последняя часть цикла «Век живи — век учись»:

Часть 1. Школа и профориентация
Часть 2. Вуз
Часть 3. Дополнительное образование
Часть 4. Образование внутри работы
Часть 5. Самообразование

Делитесь своим опытом в комментариях — может быть, благодаря стараниям команды RUVDS и читателей Хабра обучение окажется немного осознаннее, правильнее и плодотворнее. 

Когда-то давно, когда деревья были высокими, а я был молодым и зеленым системным администратором, довелось мне внедрять терминальный сервер на Windows 2000. Я тогда думал, что хорошо бы, если бы для подключения к серверу не нужен был никакой отдельный клиент. Шло время, деревья выросли, олени на свитере отпустили рога, а я — бороду, на рынке начали появляться решения для работы в терминале через браузер. Но они были или нестабильные, или дорогие, и пробные внедрения ушли в долгий ящик.

Прошло еще немного времени, в бороде появилась седина, а решений на базе HTML5 стало куда больше. И мне захотелось сделать краткий обзор бесплатных вариантов — как для начинающих системных администраторов, так и для тех, кто пропустил этот момент, как я.

Итак, хотите пускать сотрудников на терминалки через браузер или админить серваки через него же? Добро пожаловать под кат.

По следам нашего общего обзора зарплат за первое полугодие 2019, продолжаем уточнять отдельные аспекты, либо не вошедшие в обзор, либо затронутые лишь поверхностно. Сегодня более подробно посмотрим на региональные особенности зарплат: 

1. Узнаем, сколько платят разработчикам, живущим в российских городах-миллионниках и городах поменьше.
2. Впервые разберёмся, насколько зарплаты региональных разработчиков отличаются от зарплат московских, если учесть также и стоимость жизни.

Данные по зарплатам мы берём из калькулятора зарплат «Моего круга», в котором пользователи указывают зарплаты, которые получают на руки после вычета всех налогов и могут также смотреть любые другие зарплаты в ИТ.

Добрый день, Хабровчане!

1. Вместо вступления

Недавно опубликованный перевод Ментальные модели ИБ заинтересовал меня не только общим посылом (в частности, применение моделей в обучении – острый для меня вопрос, ведь учёба – процесс непрерывный), но и списком ссылок на модели. Почему он так важен? Разберёмся по ходу статьи.

С некоторыми из перечисленных в тексте моделей приходится сталкиваться в рамках рабочего процесса (мониторинг и реагирование модно связывать с MITRE ATT&CK и Kill Chain). О других у меня было общее представление, но как их применять, или какие ключевые особенности позволяют повысить эффективность сего процесса, оставалось за кадром. Названия каких-то моделей, признаться честно, я слышал впервые.

Вооружившись ссылками и свободным временем, я приступил к изучению темы. Полагаю, что этот материал может быть полезным в качестве обзорной экскурсии или краткого конспекта по теме. Забегая вперёд, скажу, что описание некоторых моделей меня разочаровало. Но обо всём по порядку.