Как стать автором
Обновить
169.69
Инфосистемы Джет
российская ИТ-компания
Сначала показывать

Кейс NSX, или Ожидаемые неприятности

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров868

Хабр, привет!

Сегодня рассказываем об еще одном нашем кейсе с NSX-T. В прошлый раз мы написали о проблеме долгой реализации портов. Технические вводные остались те же: NSX используется для построения микросегментированной сети в кластерах Kubernetes + Kyverno. Взаимодействие K8s и NSX реализовано при помощи плагина VMware NCP. Что случилось в этот раз? Команда этого заказчика обновила продукт до версии 4.1., после чего обратилась к нам с проблемой перехода IP pool в состояние Failed.

Читать далее
Всего голосов 11: ↑11 и ↓0+23
Комментарии1

25 000 зрителей, 6 000 соло-участников и 138 команд в киберучениях — как прошел CyberCamp 2024

Время на прочтение7 мин
Количество просмотров1.3K

Несколько дней назад мы в третий раз провели главный онлайн-кэмп по практической кибербезопасности — CyberCamp 2024. Он проходил с 3 по 5 октября онлайн. В течение трех дней более 6 000 соло-участников проходили задания на платформе мероприятия и 138 команд соревновались в киберучениях.

Тема CyberCamp 2024 — цепочка атаки, Cyber Kill Chain, поэтому параллельно участники слушали доклады ИБ-специалистов о том, как выстроить эффективную защиту от кибератак. Ежедневно к прямому эфиру мероприятия подключались 25 000 зрителей.

Рассказываем, как прошли самые масштабные киберучения в России.

Читать далее
Всего голосов 14: ↑12 и ↓2+18
Комментарии0

Настройка кластера высокой доступности: PostgreSQL + (Patroni и etcd)

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров6.4K

Хабр, привет!

В этом материале будем настраивать кластер PostgreSQL с Patroni и etcd. Видели множество статей на эту тему, но наше отличие в том, что мы устанавливаем кластер в виртуальной среде, используя новые компоненты.

Немного теории. Patroni — это инструмент для управления высокодоступными кластерами PostgreSQL. Он упрощает настройку и управление репликацией благодаря автоматическому переключению на резервные узлы и восстановлению после сбоев.

В нашем материале мы рассмотрим настройку такого кластера с использованием etcd для координации, а еще будем использовать только пакеты для ручной установки. Потому что частенько в локальных репозиториях преобладают старые пакеты, в которых есть уязвимости. В таких случаях лучше устанавливать пакеты вручную.

Зачем мы это делаем?

Во-первых, интересно. Во-вторых, это нам позволит установить последние версии пакетов без открытого доступа в интернет с серверов. Во многих компаниях изолированная сетевая среда — поэтому вот вам памятка по такой задаче.:)

Итак, приступим.

Читать далее
Всего голосов 13: ↑12 и ↓1+19
Комментарии12

Запастись кофе и таблетками от головной боли — как подготовиться к киберучениям и победить

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров1.3K

Держаться на кофе и обезболах, глобально пересматривать тактику в процессе и отстаивать свою позицию до конца. Ребята из Jet CSIRT рассказывают, как их команде SuperJet удалось занять первое место на международном онлайн-тренинге для повышения глобальной киберустойчивости Cyber Polygon 2024.

Опыт ребят пригодится участникам главного онлайн-кэмпа по практической кибербезопасности CyberCamp 2024, который пройдет с 3 по 5 октября. Представители команды SuperJet принимали участие в разработке сценариев заданий CyberCamp 2024, так что ловите лайфхаки из первых рук.

Читать далее
Всего голосов 5: ↑4 и ↓1+7
Комментарии0

AD CS Web Enrollment. Relay меня полностью

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров2.1K

В последнее время часто можно услышать, что атаки на ADCS стали чем-то тривиальным: после выхода информативной статьи Certified Pre-Owned от Specter Ops почти каждый пентестер знает, что такое ESC1 и ESC8, и, увидев в Cert Publishers компьютеры, сразу бежит туда. Однако Web Enrollment помимо атак может чейнить уязвимости и служить отличным вариантом для Initial Access. Разберемся, как его применять, на примере нашего проекта по инфраструктурному пентесту.

Читать далее
Всего голосов 14: ↑14 и ↓0+19
Комментарии2

MBA в Сколково. Обзор программы через призму личного опыта

Уровень сложностиПростой
Время на прочтение15 мин
Количество просмотров2.3K

Недавно я закончила свое 1,5-годовое путешествие под названием MBA в Сколково. Это был интересный и непростой период, но стал одним из ценнейших опытов в моей жизни.

О том, как это было, что принесло, как повлияло на меня, расскажу в этой статье.

Читать далее
Всего голосов 14: ↑6 и ↓8+4
Комментарии11

Из первых уст: что нового в релизе zVirt 4.2?

Время на прочтение9 мин
Количество просмотров3.5K

На связи команда «Инфосистемы Джет». Мы постоянно тестируем ПО и железо в нашей лаборатории Jet RuLab, чтобы предлагать заказчикам только проверенные решения и помогать вендорам улучшать свои продукты.

Недавно к нам в руки попала свежая версия платформы виртуализации zVirt 4.2 от российского разработчика Orion soft. Продуктовая команда недавно анонсировала новый релиз, и мы уже успели протестировать его основные фичи. Все подробности под катом.

Читать далее
Всего голосов 13: ↑13 и ↓0+21
Комментарии3

Capacity Planning: от прогнозов к действиям — с помощью автоматизации

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров1.8K

«Каждый охотник желает знать, где сидит фазан»

«Сколько килограммов железа мне нужно через год? Как снизить нагрузку на главного инженера и при этом подстелить соломки?» — спрашивал я себя в процессе работы по Capacity Planning. Прогнозирование временных рядов — одна из типовых аналитических задач, решив которую, мы можем спрогнозировать, что нас ждет в будущем. В ИТ это всегда актуально, поскольку ресурсы не резиновые, а застраховать себя от ошибки хочется всегда.

Однажды такая задача появилась и у меня — в виде автоматизированных отчетов по Capacity Planing одной из систем нашего заказчика. В данной статье я расскажу, как простой инженер, не погруженный в тонкости аналитики и сложного матаппарата, может автоматизировать данную задачу с приемлемым результатом. Почему приемлемым? Мне нужно точно знать значение вот этой вундервафли через три поколения! Об этом мы поговорим ближе к концу статьи.

Читать далее
Всего голосов 11: ↑10 и ↓1+18
Комментарии0

MLSecOps: почему, зачем и кому это нужно?

Время на прочтение13 мин
Количество просмотров2.9K

Всем привет! Меня зовут Никита, я работаю в центре машинного обучения «Инфосистемы Джет». Сейчас я учусь в своей второй магистратуре в ВШЭ ФКН на программе «Современные компьютерные науки» и в Школе анализа данных (ШАД). Сегодня я хочу рассказать о сравнительно новой концепции, которая становится все более актуальной и использование которой совершенно точно необходимо в больших промышленных ML-проектах, — MLSecOps.

Узри MLSecOps!
Всего голосов 12: ↑10 и ↓2+13
Комментарии3

СУБДиариум современного инфраструктурщика

Время на прочтение5 мин
Количество просмотров3.8K

Еще относительно недавно (каких‑то лет 10–15 назад) выбор СУБД для приложения в среднестатистической корпоративной среде ограничивался всего тремя вариантами: Microsoft SQL, Oracle и MySQL. При этом каждое решение имело свою нишу. Нужно что‑то серьезное под большую нагрузку — вот вам Oracle, что‑то попроще — MS SQL, а если какое‑то веб‑приложение — то MySQL.

Но все чаще в корпоративной инфраструктуре появляются задачи, требующие нового подхода к выбору СУБД. Речь про потребности, которые смогут закрыть СУБД на основе искусственного интеллекта, или такие решения, как Big Data и NoSQL. При подборе новых решений традиционный способ выбора только ограничивает поиск и не дает нужной производительности и гибкости. При этом часто выбор СУБД сводится к «поставим PostgreSQL, на нем точно заработает». Да, в большинстве случаев заработает, так как сама по себе PostgreSQL модульная и из нее, как из конструктора, можно много чего сделать, но какими усилиями и ресурсами? Быть может, уже на этапе выбора платформы стоит задуматься о том, что подойдет лучше?

В этой статье я расскажу, какие сейчас бывают СУБД и как их можно систематизировать под конкретную задачу. Сразу оговорюсь: я не претендую на истину в последней инстанции, и вполне возможно, что кто‑то смотрит на структурирование СУБД по‑своему.

Читать далее
Всего голосов 15: ↑11 и ↓4+15
Комментарии2

Как не надо готовиться к CISSP. Опыт и ошибки выжившего

Время на прочтение9 мин
Количество просмотров2.9K

Моя подготовка к экзамену была достаточно экстремальной, так как осуществлялась в очень сжатые сроки. Такое легкомыслие было связано с тем, что я являюсь действующим консультантом по ИБ и этим самым ИБ целыми днями и занимаюсь. Я наивно полагал, что обучение мне особо и не потребуется, достаточно просто освежить в памяти.

Узнать все
Всего голосов 14: ↑13 и ↓1+21
Комментарии1

Закулисье Due Diligence: опыт консультанта по ИБ в инвестиционных кругах Великобритании

Время на прочтение9 мин
Количество просмотров1.5K

Вы знаете, как можно проверить кибербезопасность компании за час и на основе результатов вынести вердикт — подходит бизнес для многомилионных инвестиций или нет? Речь идет о сделках, которые могут стоить сотни миллионов долларов и меняют судьбу владельцев навсегда. Около двух лет я работала консультантом по кибербезопасности в компании, предлагающей Due Diligence таким частным инвестиционным фондам, как Rothschild, BlackStone, Houlikan Lokey, Silver Lake и Bridgepoint, на территории Великобритании.

Представьте себе мир, где деньги говорят громче слов, а репутация — это все. Добро пожаловать в закулисье Due Diligence — процесса, который определяет судьбу многомиллионных сделок в элитных инвестиционных кругах Великобритании. Due Diligence, или комплексная оценка, является важным процессом при совершении инвестиционных сделок. Это тщательное исследование потенциальной инвестиции, включающее в себя анализ финансового состояния компании, ее операций, юридического и налогового статуса и, что становится все более актуальным, состояния кибербезопасности.

Читать далее
Всего голосов 11: ↑10 и ↓1+12
Комментарии10

Карты, шлейфы, два чипа, или Аппаратный менеджер паролей для особых случаев

Время на прочтение8 мин
Количество просмотров4.3K

Менеджер паролей — штука удобная, а иногда и незаменимая, ведь количество комбинаций, которые приходится помнить среднестатистическому ИТ-специалисту, не позволяет ему рассчитывать только на собственную память. Подобные менеджеры давно научились генерировать не только пароли требуемой сложности, но и автоматически вводить их в типовые экранные формы. Наиболее продвинутые решения умеют входить в аккаунт в сложных, заранее настроенных сценариях. Вот только в ситуациях, когда парольный менеджер недоступен (например, при локальном входе в систему), пароль приходится вводить «по старинке». Кроме того, существуют специфические риски: при компрометации мастер-пароля (что нередко происходит при взломе пользовательского устройства) все пароли пользователя считаются украденными. Это значительный риск, в особенности для ИТ-администраторов.

Пароли уже давно должны были уйти в историю, но им не находится подходящей замены. Даже такие технологии, как PassKey, все еще не получили широкого распространения, поскольку их внедрение требует доработки существующих приложений. С биометрией все еще сложнее: отрасль значительно зарегулирована, что существенно ограничивает сценарии применения. Поэтому с паролями нам точно придется жить еще какое-то время.

Если пароли администратора не могут храниться в программном менеджере паролей, то, возможно, проблему решит программно-аппаратное устройство, подключаемое к нужному хосту лишь на время использования. Такое устройство обладало бы основными возможностями обычных программных менеджеров паролей, но при этом было бы более устойчивым к атакам. Энтузиасты уже создали множество подобных решений для личного использования, и было бы странно создавать еще одно. Однако у всех них наблюдаются проблемы с безопасностью, от которых я решил попробовать избавиться. Тем более что это техническое творчество помогло мне скоротать несколько холодных вечеров :) Рассказываю, что из этого получилось.

Читать далее
Всего голосов 15: ↑14 и ↓1+20
Комментарии15

Я у мамы инженер, или Образ Windows своими руками

Уровень сложностиСредний
Время на прочтение18 мин
Количество просмотров13K

Привет, Хабр!

Представляем подробный гайд по пересборке образа Windows Server 2019, заточенный для установки новых серверов и обновления старых (Windows Server 2012-16) в среде VMware. В принципе, гайд должен подходить к любой версии Windows на основе *.wim- или *.esd-файлов. Писался текст как внутренняя инструкция для коллег. По итогу он охватывает все необходимые возможности DISM для работы с образами, поэтому материал стал частью нашей базы знаний и блога здесь.

Рекомендации от автора: прочтите наш текст хотя бы один раз до конца, прежде чем делать образ самостоятельно, — некоторые вещи можно будет выполнить разными способами, и лучше о них узнать заранее.

Читать далее
Всего голосов 16: ↑15 и ↓1+26
Комментарии12

Дефейс jetcsirt.su: разбираем причины и восстанавливаем хронологию

Время на прочтение7 мин
Количество просмотров4.1K

У Jet CSIRT есть свой лендинг — мини-сайт, на котором мы рассказываем о наших продуктах и услугах. В нашем коммерческом сервисе SOC он никак не задействован, а поэтому лежит в отдельной инфраструктуре и администрируется подрядчиком через локальные учетные записи. 28 июня специалисты нашей внутренней службы информационной безопасности обнаружили инцидент — подмену главной страницы сайта на другую. В этом посте рассказываем о том, что мы делали, и о предварительных результатах расследования.

Узнать больше про результаты расследования
Всего голосов 17: ↑16 и ↓1+19
Комментарии5

От студента-новичка до инженера ИБ за 8 месяцев. Мой опыт старта в направлении, которое нравится всем

Уровень сложностиПростой
Время на прочтение10 мин
Количество просмотров5.9K

На дворе лето, и для многих студентов стал насущным вопрос: а куда мне пойти на практику? Хорошая новость в том, что в это же время у большинства работодателей начинаются стажерские программы.

В прошлом году я сам искал компанию для старта в карьере, не понимал, с чего начинать, и совсем не ожидал, что смогу так быстро вырасти. Итак, под катом — мой опыт быстрого и комфортного старта в ИБ в крупной компании!

Читать далее
Всего голосов 16: ↑15 и ↓1+25
Комментарии2

Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре

Время на прочтение8 мин
Количество просмотров3.9K

Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.

Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype Pollution. Если вы еще не знакомы с этими уязвимостями, стоит обратить внимание на лабораторные PortSwigger и теорию и только потом приступать к изучению DOM Invader. А если знакомы, то быстро вспомним основные понятия и объясним, а в чем же, собственно, состоит опасность.

Читать далее
Всего голосов 18: ↑18 и ↓0+26
Комментарии0

Машинное обучение в ЦОД: Можно ли доверить ИИ управление инфраструктурой?

Время на прочтение7 мин
Количество просмотров1.7K

Привет, Хабр! Меня зовут Кирилл, и я — архитектор инженерных систем в «Инфосистемы Джет». «При чем тут машинное обучение?» — спросите вы. Действительно, применимость ML к инженерной инфраструктуре — направление более чем свежее, и на Хабре еще никто эту тему не поднимал (кажется!).

Но сначала я расскажу предысторию. Инженерная инфраструктура в большинстве случаев является критически важной для функционирования дата‑центра. Ее безотказная работа — основной критерий при разработке проекта будущего ЦОД. Повышение энергоэффективности и надежности эксплуатации — не менее важная проблема, будоражащая умы инженеров на протяжении последних лет.

В своей практике проектирования и строительства мы стараемся применять самые современные, но при этом проверенные и надежные решения. Не так давно к нам пришли два производителя решений для управления и мониторинга работы инженерной инфраструктуры с применением машинного обучения. Мы изучили техническую документацию, совместно со специалистами производителей проанализировали подходы, технологии, применяемые в решениях, алгоритмы и модели, лежащие в основе. В этой статье я расскажу о нашем опыте исследования этих продуктов, их применимости и потенциале для внедрения на реальных площадках.

Читать и бояцца
Всего голосов 4: ↑4 и ↓0+6
Комментарии6

Под капотом загрузчика

Уровень сложностиСредний
Время на прочтение18 мин
Количество просмотров11K

Привет, Хабр!

Мы, сервисные инженеры, сталкиваемся с GRUB2 ежедневно. А вот когда стало любопытно посмотреть на загрузчик комплексно, то в интернете и в учебнике Linux нашли лишь несколько команд: как заново проинсталлировать загрузчик и обновить текущую конфигурацию. «А почему так мало?», — была наша первая мысль.  Решили восполнить пробел — так появилась эта статья. А для иллюстрации попросили нейросетку изобразить, «как выглядят эпичные проблемы с GRUB» -- вот что вышло.

Читать далее
Всего голосов 26: ↑26 и ↓0+39
Комментарии21

Фишки и «грабли» использования машинного обучения от спикеров ML2Business

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров1.9K

В среду 29 мая мы провели ML2Business — первую конференцию от Yandex Cloud, посвящённую кейсам применения GenAI, NLP, CV и других технологий ML в бизнесе.

Реальный опыт внедрения машинного обучения был представлен в двух треках: GenAI&NLP и GenAI&CV. Их программа была полностью посвящена историям использования ML в разных компаниях. В этой статье мы собрали инсайты спикеров из компаний «Инфосистемы Джет», «ВкусВилл» и Банки.ру, которые могут быть интересны техническим специалистам.

Читать далее
Всего голосов 6: ↑6 и ↓0+8
Комментарии0
1
23 ...

Информация

Сайт
jet.su
Дата регистрации
Дата основания
1991
Численность
1 001–5 000 человек
Местоположение
Россия