Можно подобрать варианты, при которых финансовые вложения будут минимальными: наложенные средства защиты, организационные или компенсирующие мероприятия. Или, например, харденинг в широком смысле не будет стоить вам ничего, кроме времени затраченного специалистами, а это тоже деньги.
Без финансовых вложений, пожалуй, можно поднять уровень экспертизы за счет изучения подобного рода статей или иных профильных источников информации.
Далее, что мы подразумеваем под "отбить", если речь о получении результата или оценке эффективности? В таком случае на вопрос ответить можете только вы относительно своей СОИБ. Какие цели вы преследуете, какие используете метрики?
При высококачественном исполнении рекомендаций с учетом текущей ситуации и потребностей именно вашей организации эффект должен быть прямо противоположен результату каждой из приведенных проблем.
В настоящее время нет действующей судебной практики по данному вопросу. Для правильной квалификации деяния должны быть установлены нормативные акты, закрепляющие требование обязательной сертификации информационных систем, баз и банков данных, средств защиты информации, используемых в определенных целях.
Например, в соответствии с п.8 Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи представление налоговой декларации в электронном виде допускается при обязательном использовании сертифицированных средств электронной подписи. При нарушении гражданином данного требования, он может быть привлечен к административной ответственности по ч.2 ст.13.12 КоАП РФ.
Команда shell: cat нужна, чтобы получить текущее значение параметра ядра Linux прямо из файла /proc/sys/kernel/kptr_restrict.
В Ansible нет встроенного модуля для чтения значений из файлов в директории /proc. Модуль ansible.builtin.sysctl позволяет работать только с параметрами, установленными через /etc/sysctl.conf, или временно изменять их. Поэтому самый простой способ - это использовать shell: cat.
Можно было бы использовать:
модуль ansible.builtin.slurp (или просто slurp), но тогда пришлось бы дополнительно декодировать base64 и обрабатывать результат;
модуль ansible.builtin.command (или просто command), безопаснее с точки зрения инъекций, но суть осталась бы той же.
Использование именно shell в данном кейсе обусловлено следующими причинами:
Нужно быстро и просто прочитать однострочное значение из файла в /proc.
Нет простого встроенного модуля в Ansible, который отдаёт это значение "как есть" (например, sysctl - только для управления, slurp - неудобен, остальные не подходят).
Команда вводится явно, внешних данных нет - то есть риски с точки зрения безопасности минимальны.
При желании можно всегда заменить shell на command (если хочется ещё большей надёжности, или если политика безопасности запрещает shell).
В обоих случаях смысл шага плейбука абсолютна идентичен - просто получение значения параметра для дальнейшей логики.
Нет обязательного требования про “специальную версию Ansible”, прошедшую SAST/DAST/SCA/Fuzz с нулём критических уязвимостей. Однако, если компания внедряет СУИБ по требованиям ФСТЭК, обычно определяется порядок проверки ПО, и в ряде случаев сами организации проводят подобные тесты для используемых инструментов. Иногда, если есть такие внутренние правила или требования, используют “доверенные сборки” или доверенные репозитории. Главное — показать, что выбранное ПО контролируется на наличие уязвимостей, своевременно обновляется и не содержит известных эксплойтов или закладок.
Рекомендации, утвержденные Минобрнауки России, рассмотрены в разделе "Критическая информационная инфраструктура". Для удобства добавили гиперссылки в текст.
В решении Efros EDO модуль NAC выступает в качестве AAA-сервера. Главное, чтобы сетевое оборудование поддерживало работу по протоколу RADIUS (RFC 2865 и RFC 2866) и стандарт IEEE 802.1X. Не имеет значения, что это - коммутаторы, беспроводные точки доступа или беспроводные контроллеры точек доступа. Для организации контроля предоставления доступа к целевым ресурсам в рамках VPN – доступа VPN – шлюз также должен поддерживать работу по протоколу RADIUS (RFC 2865 и RFC 2866).
Да, все верно. На сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) представлен реестр операторов, осуществляющих обработку персональных данных (далее – ПДн). Также обращаем внимание, что в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», операторы ПДн должны информировать субъектов ПДн о том, кому и для каких целей передаются их данные. Для того, чтобы обеспечить соблюдение этих требований и минимизировать риски утечки или неправомерного использования ПДн, каждой организации необходимо вести и поддерживать в актуальном состоянии Перечень третьих лиц, которым может быть поручена обработка и могут быть переданы ПДн субъектов ПДн.
Спасибо за комментарий! Основные рекомендации для операторов с целью снижения рисков нарушения требований законодательства при обработке персональных данных (далее – ПДн) приведены в статье. За консультацией по услуге аудита процессов обработки ПДн можно обратиться: +7 (343) 379-98-34,info@ussc.ru.
Интеграция с pandoc возможна всего в одну строчку кода: добавьте его команду в crawl.sh под нужным mime-type. Но учитывайте, что pandoc ограничен типами файлов, он не сможет exe, elf, zip, tar, 7z, etc. Ограничения нам не нужны.
Спасибо за комментарий! Поисковая система ничего не разрушает, поэтому её создание — это созидание. Эта система 100% опенсорсна и у неё есть интерфейс. Но вас никто не обязывает искать именно пароли, это лишь самый наглядный пример. Эту систему можно использовать и простым людям, чтобы ориентироваться, где какие документы можно найти.
Видеозапись митинга содержит звуковую дорожку, которую можно извлечь с помощью ffmpeg и далее распознать текст с помощью vosk. Так, задача может быть решена в две команды. Вот если бы вы спросили как извлечь текст именно из видеоряда)
Спасибо за вопрос! Помимо sqlite есть ещё два варианта поиска. В самом начале вы имеете текстовые данные (csv) и можете искать по ним обычным grep, а его недооценивать не стоит. Наконец, elasticsearch, куда можно свалить хоть терабайт информации и это не предел. В любом случае, вы сами выбираете, в каком виде вам работать с данными. Если вы пентестер и у вас несколько дней на проект, просто grep по csv. Если вы админ и разворачиваете непрерывный краулинг, то elasticsearch/opensearch.
Спасибо за вопрос! Выявить работу SIEM возможно только при активном перехвате трафика между устройствами сети. При захвате широковещательного трафика Wi-Fi определить наличие SIEM не удастся. Также важно отметить, что IP-камеры ставят на мониторинг гораздо реже, чем серверы и АРМ. В случае, если камера не на мониторинге, обнаружение активности может произойти за счёт анализа трафика на межсетевых экранах или на системе обнаружения вторжений.
Согласны, проблема с повторяющимися паролями актуальна для многих компаний из разных сегментов. Что касается кассовых аппаратов, в нашей практике даже встречались ситуации, когда доступ к ним можно было получить без пароля. Спасибо за идею для публикации!
Проверьте настройки безопасности телефона. Убедитесь, что у вас включены функции безопасности, такие как блокировка экрана (PIN, пароль, отпечаток пальца). Дополнительно смените и установите более сложный пароль.
Убедитесь, что на вашем телефоне установлены последние обновления операционной системы и приложений.
Удалите из телефона любые подозрительные или ненужные приложения, особенно те, которые вы не устанавливали или не помните, зачем они вам нужны.
Просканируйте устройство на наличие вредоносного ПО антивирусной программой, например, от компании Лаборатория Касперского.
Проверьте права доступа приложений, которые могут получать доступ к вашим конфиденциальным данным, включая те, которые могут читать ваши контакты, просматривать ваши фотографии, получать доступ к вашим журналам чатов и другим частным данным.
Выйдите со всех устройств из мессенджеров и социальных сетей .
Смените пароли во всех мессенджерах, почтах, социальных сетях. Включите двухфакторную авторизацию или пин-код.
Проверьте подключенные услуги у сотового оператора.
Не подключайтесь к гостевым WI-FI сетям.
Проверьте список подключенных устройств и активных сессий в ваших учетных записях (например, Google, Apple ID).
Если вы продолжаете подозревать взлом, рассмотрите возможность сброса телефона до заводских настроек.
Если вы не уверены в своих действиях или ситуация кажется серьезной, обратитесь к специалисту по кибербезопасности или в службу поддержки вашего устройств.
Использование специализированного Proxy-сервера для управления безопасностью может быть удобным решением, но он не способен защитить от всех типов атак. Прокси-серверы обычно работают на сетевом уровне и хорошо справляются с защитой от таких угроз, как DDoS, шифрование трафика и базовая аутентификация. Однако этого недостаточно для защиты от множества других векторов атак, например, CSRF, XSS, SQL-инъекций или уязвимостей, связанных с обработкой данных внутри приложения.
Встроенные механизмы безопасности фреймворков, таких как Django или FastAPI, предоставляют защиту на уровне логики приложения. Эти инструменты интегрируются непосредственно с бизнес-логикой и данными, обеспечивая более глубокую проверку и защиту от сложных атак. Например, защита от XSS напрямую связана с рендерингом шаблонов, а противодействие CSRF встроено в управление сессиями.
Proxy-сервер может быть полезен как дополнительный уровень безопасности, но встроенные механизмы фреймворков незаменимы для полноценной защиты, особенно когда угрозы касаются внутренней логики и данных приложения.
При майнинге криптовалют выполняются криптографические операции: хеширование и цифровые подписи (асимметричные криптоалгоритмы), поэтому оборудование для майнинга относится к шифровальному оборудованию. На все ввозимые/вывозимые в/из РФ средства, которые реализуют криптографические функции, требуется нотификация ФСБ России.
Также исходя из ранее заданного вопроса, хотели бы обратить внимание, что сертификация СрЗИ и нотификация ФСБ России на ввоз/вывоз шифровальных средств – это разные процедуры. Сертификации подлежат СрЗИ (не только шифровальные) при использовании на территории РФ, без привязки к их импорту/экспорту. Нотификация ФСБ России – процедура, касающаяся разрешения на экспорт/импорт шифровальных средств.
Можно подобрать варианты, при которых финансовые вложения будут минимальными: наложенные средства защиты, организационные или компенсирующие мероприятия. Или, например, харденинг в широком смысле не будет стоить вам ничего, кроме времени затраченного специалистами, а это тоже деньги.
Без финансовых вложений, пожалуй, можно поднять уровень экспертизы за счет изучения подобного рода статей или иных профильных источников информации.
Далее, что мы подразумеваем под "отбить", если речь о получении результата или оценке эффективности? В таком случае на вопрос ответить можете только вы относительно своей СОИБ. Какие цели вы преследуете, какие используете метрики?
При высококачественном исполнении рекомендаций с учетом текущей ситуации и потребностей именно вашей организации эффект должен быть прямо противоположен результату каждой из приведенных проблем.
В настоящее время нет действующей судебной практики по данному вопросу. Для правильной квалификации деяния должны быть установлены нормативные акты, закрепляющие требование обязательной сертификации информационных систем, баз и банков данных, средств защиты информации, используемых в определенных целях.
Например, в соответствии с п.8 Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи представление налоговой декларации в электронном виде допускается при обязательном использовании сертифицированных средств электронной подписи. При нарушении гражданином данного требования, он может быть привлечен к административной ответственности по ч.2 ст.13.12 КоАП РФ.
Команда shell: cat нужна, чтобы получить текущее значение параметра ядра Linux прямо из файла /proc/sys/kernel/kptr_restrict.
В Ansible нет встроенного модуля для чтения значений из файлов в директории /proc. Модуль ansible.builtin.sysctl позволяет работать только с параметрами, установленными через /etc/sysctl.conf, или временно изменять их. Поэтому самый простой способ - это использовать shell: cat.
Можно было бы использовать:
модуль ansible.builtin.slurp (или просто slurp), но тогда пришлось бы дополнительно декодировать base64 и обрабатывать результат;
модуль ansible.builtin.command (или просто command), безопаснее с точки зрения инъекций, но суть осталась бы той же.
Использование именно shell в данном кейсе обусловлено следующими причинами:
Нужно быстро и просто прочитать однострочное значение из файла в /proc.
Нет простого встроенного модуля в Ansible, который отдаёт это значение "как есть" (например, sysctl - только для управления, slurp - неудобен, остальные не подходят).
Команда вводится явно, внешних данных нет - то есть риски с точки зрения безопасности минимальны.
При желании можно всегда заменить shell на command (если хочется ещё большей надёжности, или если политика безопасности запрещает shell).
В обоих случаях смысл шага плейбука абсолютна идентичен - просто получение значения параметра для дальнейшей логики.
Нет обязательного требования про “специальную версию Ansible”, прошедшую SAST/DAST/SCA/Fuzz с нулём критических уязвимостей.
Однако, если компания внедряет СУИБ по требованиям ФСТЭК, обычно определяется порядок проверки ПО, и в ряде случаев сами организации проводят подобные тесты для используемых инструментов.
Иногда, если есть такие внутренние правила или требования, используют “доверенные сборки” или доверенные репозитории.
Главное — показать, что выбранное ПО контролируется на наличие уязвимостей, своевременно обновляется и не содержит известных эксплойтов или закладок.
Рекомендации, утвержденные Минобрнауки России, рассмотрены в разделе "Критическая информационная инфраструктура". Для удобства добавили гиперссылки в текст.
В решении Efros EDO модуль NAC выступает в качестве AAA-сервера.
Главное, чтобы сетевое оборудование поддерживало работу по протоколу RADIUS (RFC 2865 и RFC 2866) и стандарт IEEE 802.1X. Не имеет значения, что это - коммутаторы, беспроводные точки доступа или беспроводные контроллеры точек доступа.
Для организации контроля предоставления доступа к целевым ресурсам в рамках VPN – доступа VPN – шлюз также должен поддерживать работу по протоколу RADIUS (RFC 2865 и RFC 2866).
Да, все верно. На сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) представлен реестр операторов, осуществляющих обработку персональных данных (далее – ПДн). Также обращаем внимание, что в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», операторы ПДн должны информировать субъектов ПДн о том, кому и для каких целей передаются их данные. Для того, чтобы обеспечить соблюдение этих требований и минимизировать риски утечки или неправомерного использования ПДн, каждой организации необходимо вести и поддерживать в актуальном состоянии Перечень третьих лиц, которым может быть поручена обработка и могут быть переданы ПДн субъектов ПДн.
Спасибо за комментарий!
Основные рекомендации для операторов с целью снижения рисков нарушения требований законодательства при обработке персональных данных (далее – ПДн) приведены в статье. За консультацией по услуге аудита процессов обработки ПДн можно обратиться: +7 (343) 379-98-34, info@ussc.ru.
Интеграция с pandoc возможна всего в одну строчку кода: добавьте его команду в crawl.sh под нужным mime-type.
Но учитывайте, что pandoc ограничен типами файлов, он не сможет exe, elf, zip, tar, 7z, etc. Ограничения нам не нужны.
Спасибо за комментарий!
Поисковая система ничего не разрушает, поэтому её создание — это созидание.
Эта система 100% опенсорсна и у неё есть интерфейс.
Но вас никто не обязывает искать именно пароли, это лишь самый наглядный пример. Эту систему можно использовать и простым людям, чтобы ориентироваться, где какие документы можно найти.
Видеозапись митинга содержит звуковую дорожку, которую можно извлечь с помощью ffmpeg и далее распознать текст с помощью vosk. Так, задача может быть решена в две команды.
Вот если бы вы спросили как извлечь текст именно из видеоряда)
Всё зависит от парсера. Большинство утилит сможет понять любые языки.
Спасибо за вопрос!
Помимо sqlite есть ещё два варианта поиска. В самом начале вы имеете текстовые данные (csv) и можете искать по ним обычным grep, а его недооценивать не стоит. Наконец, elasticsearch, куда можно свалить хоть терабайт информации и это не предел.
В любом случае, вы сами выбираете, в каком виде вам работать с данными. Если вы пентестер и у вас несколько дней на проект, просто grep по csv. Если вы админ и разворачиваете непрерывный краулинг, то elasticsearch/opensearch.
Спасибо за вопрос!
Выявить работу SIEM возможно только при активном перехвате трафика между устройствами сети. При захвате широковещательного трафика Wi-Fi определить наличие SIEM не удастся. Также важно отметить, что IP-камеры ставят на мониторинг гораздо реже, чем серверы и АРМ. В случае, если камера не на мониторинге, обнаружение активности может произойти за счёт анализа трафика на межсетевых экранах или на системе обнаружения вторжений.
Согласны, проблема с повторяющимися паролями актуальна для многих компаний из разных сегментов. Что касается кассовых аппаратов, в нашей практике даже встречались ситуации, когда доступ к ним можно было получить без пароля.
Спасибо за идею для публикации!
Спасибо за вопрос!
Попробуйте выполнить ряд рекомендаций:
Проверьте настройки безопасности телефона. Убедитесь, что у вас включены функции безопасности, такие как блокировка экрана (PIN, пароль, отпечаток пальца). Дополнительно смените и установите более сложный пароль.
Убедитесь, что на вашем телефоне установлены последние обновления операционной системы и приложений.
Удалите из телефона любые подозрительные или ненужные приложения, особенно те, которые вы не устанавливали или не помните, зачем они вам нужны.
Просканируйте устройство на наличие вредоносного ПО антивирусной программой, например, от компании Лаборатория Касперского.
Проверьте права доступа приложений, которые могут получать доступ к вашим конфиденциальным данным, включая те, которые могут читать ваши контакты, просматривать ваши фотографии, получать доступ к вашим журналам чатов и другим частным данным.
Выйдите со всех устройств из мессенджеров и социальных сетей .
Смените пароли во всех мессенджерах, почтах, социальных сетях. Включите двухфакторную авторизацию или пин-код.
Проверьте подключенные услуги у сотового оператора.
Не подключайтесь к гостевым WI-FI сетям.
Проверьте список подключенных устройств и активных сессий в ваших учетных записях (например, Google, Apple ID).
Если вы продолжаете подозревать взлом, рассмотрите возможность сброса телефона до заводских настроек.
Если вы не уверены в своих действиях или ситуация кажется серьезной, обратитесь к специалисту по кибербезопасности или в службу поддержки вашего устройств.
Коллеги, главное, что все поняли друг друга)
Спасибо за комментарий! Наши ребята пишут сами, поэтому и профессиональный сленг в материалах остается)
Спасибо за вопрос!
Использование специализированного Proxy-сервера для управления безопасностью может быть удобным решением, но он не способен защитить от всех типов атак. Прокси-серверы обычно работают на сетевом уровне и хорошо справляются с защитой от таких угроз, как DDoS, шифрование трафика и базовая аутентификация. Однако этого недостаточно для защиты от множества других векторов атак, например, CSRF, XSS, SQL-инъекций или уязвимостей, связанных с обработкой данных внутри приложения.
Встроенные механизмы безопасности фреймворков, таких как Django или FastAPI, предоставляют защиту на уровне логики приложения. Эти инструменты интегрируются непосредственно с бизнес-логикой и данными, обеспечивая более глубокую проверку и защиту от сложных атак. Например, защита от XSS напрямую связана с рендерингом шаблонов, а противодействие CSRF встроено в управление сессиями.
Proxy-сервер может быть полезен как дополнительный уровень безопасности, но встроенные механизмы фреймворков незаменимы для полноценной защиты, особенно когда угрозы касаются внутренней логики и данных приложения.
При майнинге криптовалют выполняются криптографические операции: хеширование и цифровые подписи (асимметричные криптоалгоритмы), поэтому оборудование для майнинга относится к шифровальному оборудованию. На все ввозимые/вывозимые в/из РФ средства, которые реализуют криптографические функции, требуется нотификация ФСБ России.
Также исходя из ранее заданного вопроса, хотели бы обратить внимание, что сертификация СрЗИ и нотификация ФСБ России на ввоз/вывоз шифровальных средств – это разные процедуры. Сертификации подлежат СрЗИ (не только шифровальные) при использовании на территории РФ, без привязки к их импорту/экспорту. Нотификация ФСБ России – процедура, касающаяся разрешения на экспорт/импорт шифровальных средств.