Как стать автором
Обновить
Сначала показывать

Свой Google в локалке. Ищем иголку в стоге сена

Уровень сложностиСредний
Время на прочтение17 мин
Количество просмотров9.2K

В статье мы разработаем свой собственный Google, который можно будет запустить в любой локальной сети как атакующим, что ищут пароли, так и защитникам, которым небезразлична безопасность их родной локалки. И что примечательно, наш Google будет состоять на 99% из готовых компонентов, практически без дополнительного программирования. А внедрение такой системы потребует ввода всего пары команд.

Читать далее

Ужесточение ответственности за нарушение 152-ФЗ: разбор изменений в области защиты персональных данных

Время на прочтение14 мин
Количество просмотров2.8K

Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.

За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов. В статье мы рассмотрим ответственность за нарушение требований 152-ФЗ и 572-ФЗ.

Читать далее

От пары «древних» уязвимостей в IP-камере до пробива инфраструктуры

Время на прочтение3 мин
Количество просмотров3.1K

Никто не ожидает, что принтер, беспроводная мышь или IP‑камера могут таить в себе угрозу, оттого вдвойне обидно получить удар в спину от, казалось бы, безобидных девайсов. Тем не менее, уязвимости, обнаруженные в IP‑камере в одном из наших проектов, позволили пентестерам УЦСБ беспрепятственно осуществить атаку, оставаясь при этом незамеченными службой безопасности.

В третьем кейсе из цикла публикаций о победителях премии Pentest Awards мы расскажем о том, как несколько уязвимостей в полезном устройстве, созданном для обеспечения безопасности, могут стать для хакеров окном в инфраструктуру компании.

Читать далее

Безопасность облачных вычислений

Время на прочтение11 мин
Количество просмотров855

В последние годы наблюдается тренд на использование облачных вычислений, все чаще компании отдают предпочтение именно им при развитии своей информационной инфраструктуры.

Стремительное увеличение сферы облачных услуг приводит и к росту числа атак на облачные ресурсы. По данным из открытых источников прогнозируется рост числа кибератак на облачные ресурсы до конца 2024 года на 30% относительно 2023 года. В связи с этим, вопросы информационной безопасности облачных вычислений остаются одними из самых острых при принятии бизнесом решений о переносе части инфраструктуры или хранении данных в облаках.

Читать далее

Сообщники хакеров поневоле: как сотрудники влияют на информационную безопасность и что с этим делать

Время на прочтение6 мин
Количество просмотров1.4K

В условиях стремительного развития технологий и постоянного увеличения числа киберугроз, киберграмотность становится не просто желательной, а необходимой компетенцией для всех сотрудников в компаниях. Киберугрозы, такие как фишинг, вредоносные программы и утечки данных, могут нанести серьезный ущерб не только финансовому состоянию компании, но и её деловой репутации.

В  данной статье покажем, насколько важна роль сотрудника в кибератаках и почему развитие киберграмотности в организации — необходимость, продиктованная прогрессом.

Читать далее

Как некорректная разработка API может привести к удалению пользователей

Время на прочтение3 мин
Количество просмотров1.3K

В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ  и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера.

Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы.

Читать далее

Разоблачение привилегий: как PAM помогает выявить скрытые риски

Время на прочтение5 мин
Количество просмотров920

В статье расскажем о решении класса PAM (Privilege Access Management), а также рассмотрим, кто такие привилегированные пользователи и какую ключевую роль они играют в управлении доступом к критически важным системам и данным. Понимание особенностей этой роли и рисков, связанных с действиями привилегированных пользователей, является основой для разработки эффективных стратегий управления доступом и защиты информации.

Читать далее

Встроенные механизмы безопасности фреймворков Python

Время на прочтение10 мин
Количество просмотров3.1K

Проводя аудиты процессов разработки ПО, мы часто слышим, что функционал реализован во фреймворке, и это может вызывать вопросы со стороны специалистов по информационной безопасности. 

Python, будучи одним из популярных языков программирования, предлагает множество фреймворков, каждый из которых должен быть защищен и иметь встроенные механизмы безопасности либо возможности для встраивания этих механизмов. В этой статье попробуем разобраться, какие возможности действительно предоставляют фреймворки, рассмотрим механизмы безопасности и способы их настройки на примере распространенных фреймворков: Django, FastAPI и Flask.

Читать далее

История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть

Время на прочтение5 мин
Количество просмотров5.3K

Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры.

В этой статье поделимся, как у одного из наших заказчиков пентестеры вовремя обнаружили уязвимость, которую потенциальные злоумышленники могли использовать для закрепления во внутренней корпоративной сети.

На примере этого кейса вы сможете узнать о новых векторах атак, оценить риски для своей инфраструктуры и найти советы, как устранить подобные уязвимости и повысить уровень защищенности.

Читать далее

Как я внедрял SOAR: в чем разница In-house- и Outsourced-подходов

Время на прочтение9 мин
Количество просмотров887

Мне повезло получить опыт работы с SOAR с совершенно разных сторон: быть и на стороне Заказчика, который только внедряет SOAR и учится использовать его в ежедневных задачах, и на стороне компании-интегратора с богатым опытом внедрения решений автоматизации ИБ. Расскажу о преодолении трудностей, с которыми мне пришлось столкнуться, о поиске уникальных решений для успешной интеграции SOAR, а также о том, как эти испытания преобразили мое видение и подход к работе. Побывав в каждой из двух ролей, я на практике убедился в том, насколько важна адаптация подходов внедрения SOAR к уникальным требованиям каждой организации и как полезен обмен опытом реализации разных проектов.

Хочу поделиться не только  личным опытом, но и дать практические рекомендации специалистам, которые стоят на пороге внедрения SOAR в своих организациях. Надеюсь, что эта статья поможет избежать типичных ошибок и усилить эффективность внедрения новых решений.

Читать далее

Что такое социальная инженерия и как противостоять атакам мошенников?

Время на прочтение8 мин
Количество просмотров2.8K

«Неужели ты сразу не понял, что тебе звонят мошенники? Я вот сразу догадался» — слышали ли вы подобные фразы? В эру цифровых технологий мы часто сталкиваемся с тем, что наши персональные данные «утекают». И часто бывает, что даже самые бдительные и образованные люди поддаются на уловки. А все потому, что методы социальной инженерии становятся искуснее, прицельнее, а технологии — совершеннее. Звонок от сына, попавшего в аварию, или письмо от работодателя с просьбой заполнить данные для получения премии — злоумышленники знают наши слабые места и активно используют психологические приемы для получения желаемого.

В этой статье, предназначенной для широкого круга читателей, доступно рассказываем об основных принципах и методах социальной инженерии, ее видах, а также о способах защиты от мошеннических схем.  

Читать далее

Фаззинг на пальцах. Часть 2: автоматизация фаззинг-тестирования на примере ClusterFuzz

Время на прочтение11 мин
Количество просмотров2.2K

Это вторая часть цикла статей, посвященных фаззинг-тестированию, от сотрудников направления безопасной разработки Центра кибербезопасности УЦСБ. У нас есть практический опыт проверки программ, и мы готовы делиться знаниями.

Первая часть цикла статей доступна по ссылке.

Читать далее

Поиск уязвимостей в исходном коде с помощью ручного статического анализа

Время на прочтение7 мин
Количество просмотров3.7K

Ручной анализ исходного кода – это проверка кода на наличие уязвимостей и проблем, связанных с бизнес-логикой, которую выполняет квалифицированный специалист. Выполнять анализа кода вручную можно «в лоб», просматривая весь код от начала и до конца, или придерживаться определенного подхода — например, определив сначала поверхность атаки.

Поверхность атаки программного обеспечения (ПО) — совокупность интерфейсов и реализующих их модулей ПО, посредством прямого или косвенного использования которых могут реализовываться угрозы безопасному функционированию ПО. Для определения поверхности атаки обычно используются статические анализаторы исходного кода.

Однако обнаружить уязвимости можно с помощью ручного статического анализа. В статье рассмотрим, какие есть основные этапы обнаружения уязвимостей при ручном статическом анализе, на что обязательно стоит обратить внимание.

Читать далее

Анализ Приказа ФСТЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации»

Время на прочтение15 мин
Количество просмотров15K

Рассмотрим требования к безопасности информации в средствах контейнеризации, указанные в Выписке из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации», приведем разъяснения к каждому требованию. Также в статье проанализируем техническую реализацию требований Приказа ФСТЭК России № 118 на примере ОС Astra Linux Special Edition и программные механизмы реализации в среде ОС.

Читать далее

Ближайшие события

Передача данных по радиоканалу

Время на прочтение4 мин
Количество просмотров21K

Идея для этой статьи зародилась, когда мы проводили анализ защищенности в удаленном районе в условиях отсутствия Интернета и любых средств связи. У нас были только рации, через которые мы переговаривались. Но нам также нужно было удаленно обмениваться небольшими файлами. Так у нас появилась идея проверить, возможно ли передавать информацию с одного ноутбука на второй, используя рации.

Важно! Здесь не будет информации о юридических особенностях использования радиосвязи, а также о частотах, мощности передачи, позывных и т. п. Применение радиосвязи имеет ограничения и регулируется Федеральным законом N 126-ФЗ «О связи».

Читать далее

Когда SIEM бесполезна: что важно учесть до внедрения системы

Время на прочтение4 мин
Количество просмотров4.1K

Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать внимание нужно на три составляющие. Какие — рассказываем в этом материале.

Читать далее

Что общего между PetitPotam, NTLM Relay и PrintNighmare? Рассказываем, к чему может привести отсутствие обновлений

Время на прочтение4 мин
Количество просмотров2.5K

Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.

В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!

Читать далее

ML SAST. Часть 1: как работают инструменты SAST и какие проблемы может решить применение машинного обучения?

Время на прочтение13 мин
Количество просмотров3.1K

Машинное обучение (ML) в сфере анализа безопасности приложений SAST (Static Application Security Testing) — это область, которая с каждым годом становится все более актуальной в мире разработки ПО. Многие компании активно исследуют ее, а некоторые уже внедряют машинное обучение в продукты для анализа кода. УЦСБ разрабатывает собственную платформу по непрерывному анализу защищенности приложений и занимается внедрением моделей машинного обучения в качестве рекомендательной системы при поиске и верификации проблем безопасности. В серии статей, посвященной этой теме, планируем рассказать о потенциале внедрения машинного обучения в инструменты SAST и пошагово разработать модель анализа кода.

Читать далее

Как за одну неделю захватить контроллер домена, или Пивотинг за 300

Время на прочтение4 мин
Количество просмотров11K

У этичных хакеров не принято держать при себе то, что поможет кому-то найти брешь в системе защиты до того, как наступит недопустимое событие. А семь лет практики в анализе защищенности ИТ-инфраструктур дают свои плоды. Например, нетривиальные кейсы, о которых хочется рассказать. По этим причинам мы решили поделиться своим опытом и выпустить серию публикаций о необычных пентестах нашей команды.

Предупреждаем заранее: все данные, которые могли бы указывать на конкретных людей или компании, изменены, а любые совпадения — случайны. Конфиденциальность — это то, что мы гарантируем по умолчанию.

Итак, начнем с истории о том, как за одну неделю удалось захватить контроллер домена ИТ-инфраструктуры промышленного предприятия.

Читать далее

Фаззинг на пальцах. Часть 1: идея, техника и мера

Время на прочтение7 мин
Количество просмотров5.7K

О чем вы думаете, когда слышите слово «фаззинг»? Одни вспоминают о приказе ФСТЭК России № 239, другие — об утилитах с пугающими отчетами, а кто-то и вовсе озадаченно пожимает плечами. Рассказываем, для чего нужен фаззинг, зачем его применять и каким он бывает.

Навигация по статье:

• Ввод понятия

• Подходы к тестированию (White/Black/Grey Box)

• Необходимость проведения

• Ограничения в выборе

• Международные практики

• Вместо заключения

• Для статистики 

Ввод понятия 

В ГОСТ 58142 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» есть следующее определение: «фаззинг — это тестирование, использующее как корректные, так и случайные (включая некорректные) входные данные для проверки, устанавливающей, обрабатываются ли должным образом интерфейсом случайные входные данные или возникает ошибочная ситуация (ошибочное условие), указывающая (указывающее) на наличие недостатков при разработке (ошибки исходного кода) или при эксплуатации».

Если проще, то фаззинг — это проверка на то, могут ли при обработке случайных, в том числе некорректных, входных данных некоторыми частями софта возникнуть «странности» в поведении ПО, которые разработчики не закладывали в его функционал.

Из определений ясно, что фаззинг позволяет обнаружить ошибки сразу на нескольких стадиях жизненного цикла программного средства: разработки и применения. Неужели этот метод настолько универсален?

Читать далее

Информация

Сайт
www.ussc.ru
Дата регистрации
Дата основания
Численность
501–1 000 человек
Местоположение
Россия