• Как мы внедряем ITSM. Четыре порока обслуживания


      Мы решили поделиться опытом от внедрения этой непростой методологии внутри нашей компании и планируем написать ряд статей о том, как внедряем ITSM, какие сложности преодолеваем, и какие решения у нас есть. Надеемся, что статьи будут интересны IT-менеджменту.
      Читать дальше →
      • +13
      • 7.7k
      • 8
    • Установка OTRS 5 на сервер с Nginx

      • Tutorial

      Устанавливая Helpdesk OTRS я столкнулся с тем, что работа официально поддерживается только с Apache HTTP Server, а мне нужен был Nginx. Как оказалось, подробного руководства по установке OTRS на WEB-сервер под управлением Nginx в интернете нет, попробуем это исправить. В этой статье будет описана только установка OTRS версии 5.0.13, а его настройка это отдельная тема. В качестве ОС, на которой будет развернут сервер, выступит CentOS 7.
      Читать дальше →
    • «Zero Security: A» — начальный уровень подготовки в области практической информационной безопасности

        image


        Одним из основных направлений деятельности Pentestit является разработка специализированных программ начальной (Zero Security: A) и профессиональной (Корпоративные лаборатории) подготовки в области информационной безопасности. Вне зависимости от программ обучения, их ключевыми особенностями являются актуальный материал и практическая подготовка в пентест-лабораториях, составляющая 80% от общей программы курса. В данной статье мы разберем базис команд и полезных трюков при проведении тестирования на проникновение внешнего периметра.

        Читать дальше →
        • +32
        • 26.3k
        • 3
      • Вас атакует искусственный интеллект



          В конце прошлого года “искусственный интеллект” многократно упоминали в итогах и прогнозах IT-индустрии. И в нашу компанию, которая занимается информационной безопасностью, всё чаще стали присылать из различных изданий вопросы про перспективы AI. Но эксперты по безопасности не любят комментировать эту тему: возможно, их отталкивает именно эффект “жёлтой прессы”. Легко заметить, как возникают такие вопросы: после очередной новости типа “Искусственный интеллект научился рисовать как Ван Гог” журналисты хватаются за горячую технологию и идут опрашивать по ней всех подряд – а чего может достичь AI в животноводстве? А в сфере образования? Где-то в этом списке автоматически оказывается и безопасность, без особого понимания её специфики.

          Кроме того, журналистика, щедро подкормленная IT-индустрией, обожает рассказывать о достижениях этой индустрии в рекламно-восхищенных тонах. Именно поэтому СМИ прожужжали вам все уши о победе машинного интеллекта в игре Го (хотя от этого нет никакой пользы в реальной жизни), но не особенно жужжали о том, что в прошлом году погибло уже как минимум два человека, которые доверили свою жизнь автопилоту автомобиля Tesla.

          В этой статье я собрал некоторые наблюдения об искусственном интеллекте с эволюционной точки зрения. Это необычный подход, но как мне кажется, именно он лучше всего позволяет оценить роль AI-агентов в безопасности, а также безопасность AI в других сферах.
          Читать дальше →
        • Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности

            В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:


            Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.


            Читать дальше →
          • Состоялся релиз OpenVAS 9



              OpenVAS (Open Vulnerability Assessment System, Открытая Система Оценки Уязвимости, первоначальное название GNessUs) фреймворк состоящий из нескольких сервисов и утилит, позволяющий производить сканирование узлов сети на наличие уязвимостей и управление уязвимостями.
              Читать дальше →
              • +26
              • 22.4k
              • 6
            • Что такое ITIL и с чем его едят?

              Сколько услуга существует, столько она и должна улучшаться, иначе она умрет. Методология ITIL помогает «увидеть все» недостатки услуги как на ладони: — как теряется информация при передаче, — где «дыры» в коммуникации, — как «то, что и так всем понятно» становится большой проблемой для разных групп людей: от ИT-команды до бизнес-руководства. Это часто становится причиной многих ИТ-факапов. Все «болезни» любых ИТ-сервисов видны здесь как на ладони. Технологичность решений ИТ не гарантирует правильной работы ИТ-услуги.

              ITIL – это методология управления, отладки и непрерывного улучшения бизнес-процессов, связанных с ИТ.

              Само время проверяет бизнес на прочность, непрерывность, безотказность, где постоянно требуется уменьшение затрат. Техника, управление, зрелость процессов – обо всем этом в ITIL. Зачем нужно изучение ITIL — об этом доклад (стенограмма) под катом.




              Светлана Степанова, HP service solution architect, с докладом «Управление IT-услугами — ITILITSM.Учебные программы от HP»
              Читать дальше →
              • –1
              • 125k
              • 3
            • Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

                А почему у тебя на визитке написано «КИСА»?
                Ты вроде серьезный человек…
                (из разговора с приятелем)

                Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

                В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


                Читать дальше →
              • Hack.me: Ещё одна площадка для оттачивания навыков в области ИБ

                • Tutorial


                Всем доброго времени суток, сегодня не будет VulnHub'a. Сегодня рассмотрим его альтернативу hack.me. На котором содержится не мало интересных площадок для взлома, на различные темы. В этой статье рассмотрим BeachResort. Как пишет автор, это не типичный CTF,
                Читать дальше →
              • 10 вопросов для осознанного выбора SIEM-системы

                • Translation
                выбор очевиден?

                Прим.переводчика: в оригинальном документе 2017 года также приводится краткий обзор 24 SIEM решений и смежных технологий. Дополнительно рекомендую отчет Gartner за 2014, 2015 и 2016 года.

                Security Information and Event Management является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации из лог-файлов всех ИТ-систем, однако и результаты ее работы при правильной эксплуатации являются выдающимися. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые, вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.
                Читать дальше →
              • Экзамен для будущих «русских хакеров» в Московском Политехе

                  И снова здравствуйте. Обычно я пишу статьи в качестве разработчика, но сегодня хочется поделиться опытом проведения экзамена по информационной безопасности в Московском Политехе. По-моему получилось довольно интересно. Задание даже может быть полезным начинающим тестировщикам и пентестерам. Но вначале я немного расскажу про то, как проходили занятия в течении семестра — чтобы было понятно, как мы дошли до жизни такой.


                  Читать дальше →
                • Правильный путь становления безопасника: от ламера до практического эксплойтинга

                    Приветствую, тебя %хабраюзер%. Прочитал я тут статью на хабре «Экзамен для будущих «русских хакеров» в Московском Политехе». И мой мозг вошел в бесконечный цикл непонимания происходящего. То ли я сейчас заглянул на школофорум «хакеров», то ли действительно на хабр. Уж извините, с таким подходом текущему поколению вайтов просто некому будет заменить.

                    В данной статье я хотел бы написать, как по моему скромному мнению (ранее багхантера на стороне блэков) стоило бы действительно начинать путь. И ни к в коем случае не с Kali linux ( как оказываются преподают в политехе столицы.

                    Если вам интересен отчасти и мой путь, добро пожаловать под кат.
                    Читать дальше →
                  • VulnHub: Погружаемся в хакинг в стиле сериала Mr. Robot

                    • Tutorial


                    Я думаю многие смотрели сериал Mr. Robot, с каждым сезоном, о нем узнаёт всё больше народу, вот и VulnHub не остался в стороне. И не так уж давно там появилась Boot2Root виртуальная машина Mr-Robot: 1. Её решение, мы сегодня и рассмотрим.

                    Реверса тут не будет, но будет несколько примеров демонстрирующих, то как из-за не верного назначения прав на критически важные файлы, ваша система может быть взломана. И так, начнём, нужно добыть 3 ключа.
                    Читать дальше →
                  • VulnHub: USV 2016. CTF в Румынии, какие они?

                    • Tutorial


                    Всем доброго времени суток, в этой статье рассмотрим решение Румынского CTF-USV 2016, на тему: «Игра престолов». Скачать образ виртуальной машины можно по ссылке с VulnHub.

                    Если вам интересно как проходят межвузовские CTF в Румынии, прошу под кат
                    Читать дальше →
                  • Exploit Exercises или ещё один сайт для любителей VulnHub

                    • Tutorial


                    Всем доброго времени суток, спасибо, что читаете мои райтапы. Сегодня речь пойдёт ещё об одном сайте, который похож на VulnHub. Это Exploit Exercises. Несмотря на небольшое количество виртуалок, и их относительно давнюю публикацию, почерпнуть что-то новое можно и там. Тем более это компенсируется разнообразием и количеством уровней.

                    Начать предлагается с виртуальной машины под названием Nebula. Её мы сегодня и разберём.
                    Читать дальше →
                    • +17
                    • 12.9k
                    • 1
                  • Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU

                    Я независимый исследователь безопасности securityrise.com, первое место в bug bounty ПриватБанка.

                    Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку.
                    Читать дальше →
                  • Методы защиты от CSRF-атаки

                    Что такое CSRF атака?


                    Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах:



                    Выдержка из ответа на SO:

                    Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (как, скажем, нажатие кнопки на форме или переход по ссылке) или пользователь неумышленно выполнил это действие (например, при посещении bad.com, ресурсом был отправлен запрос на good.com/some_action, в то время как пользователь уже был залогинен на good.com).


                    Как от нее защититься?


                    Эффективным и общепринятым на сегодня способом защиты от CSRF-Атаки является токен. Под токеном имеется в виду случайный набор байт, который сервер передает клиенту, а клиент возвращает серверу.


                    Защита сводится к проверке токена, который сгенерировал сервер, и токена, который прислал пользователь.

                    Читать дальше →
                  • Антивирусная защита предприятия

                      В статье Как ответить на вопрос — что такое «компьютерный вирус» мы рассмотрели эволюцию данного понятия. В этот раз рассмотрим вариант построения эшелонированной антивирусной защиты.

                      Сразу отметим, что в статье вы не найдёте:

                      • сравнения существующих на рынке решений с целью «найти самый-самый лучший антивирус». Такими сравнениями успешно занимаются маркетологи, найти подобные «исследования» не сложно;
                      • инструкций по настройкам конкретного программного продукта, которые обеспечат 100% (или 99.999… %) защиту от всех угроз.
                      Попробуем сделать это
                    • Личный опыт: как мы выбирали DLP-систему

                      Добрый день всем! В статье расскажу, как тестировали 5 систем, что в них понравилось, а что нет. Мнение субъективное, зато на практике, а этого в сети мало (anti-malware приводит сравнение и подчеркивает, что оно базисное + на Хабре об этом писали, но получилась сравнительная таблица, что у кого есть/нет). Мы же пробовали функционал и меряли под себя, потратили почти полгода и можем поделиться опытом. Заранее приношу извинения разработчикам – по минусам продуктов пройдусь как есть (о плюсах они и сами хорошо рассказывают).


                      image


                      Читать дальше →