Как стать автором
Обновить

Компания Акрибия временно не ведёт блог на Хабре

Сначала показывать
  • Новые
  • Лучшие

Получаем полную версию Microsoft Exchange. Исследуем, как мир ставит обновления

Блог компании АкрибияИнформационная безопасность

Перед тем, как я расскажу о своем исследовании, объясню, чем оно было обусловлено. В мае мы запустили альфа-версию сканера интернета – Netlas.io. Этот сервис – наша собственная разработка, которой мы занимались последние месяцы.  

В двух словах о том, что это. Netlas.io — это своеобразный технический атлас всей сети Интернет, который включает сертификаты, данные по доменам и поддоменам, ответы серверов по популярным портам и много другой полезной информации для исследователей безопасности. Иными словами — это российский аналог Shodan или Censys.

Альфа-тестирование продлится еще несколько месяцев, поэтому, кому интересно – ждем. На этот период сервис полностью бесплатный, но уже содержит много «плюшек» для тех, кто решит продолжить его использовать после альфы. Например, доступ к платному аккаунту на несколько месяцев.

 На этой ноте вступительную часть объявляю закрытой, переходим к исследованию.

Читать далее
Всего голосов 6: ↑6 и ↓0+6
Просмотры3.1K
Комментарии 2

Использование TLS fingerprinting для выявления угроз

Блог компании АкрибияИнформационная безопасность

В статье хотим рассказать про технологию TLS fingerprinting, про которую недостаточно материалов в русскоязычном сегменте. Попробуем это исправить. Статья частично переводит тематические материалы авторов описываемых методов (тут и тут), а также содержит описание практической реализации от Акрибии.

Не будем глубоко погружаться в детали работы SSL/TLS (далее будем говорить TLS), но кратко поясним детали.

Использование TLS само по себе благо, так как с его помощью шифруются данные. Но с обратной стороны создатели вредоносов используют его же, чтобы скрываться в шифрованном трафике (в данной статье как раз будет уклон в эту сторону) и затруднять их обнаружение и нейтрализацию.

Чтобы инициировать сеанс TLS, клиент отправляет «пакет» приветствия серверу после трёхстороннего установления связи TCP. Этот «пакет» и способ его создания зависят от пакетов и методов шифрования, используемых при создании клиентского приложения. Если сервер принимает соединение TLS, он ответит пакетом приветствия, тем самым продолжая согласование шифрования.

Читать далее
Всего голосов 18: ↑18 и ↓0+18
Просмотры3.7K
Комментарии 8

Обзор решения: Proget MDM

Блог компании АкрибияИнформационная безопасность

Прошло время, когда контроль сетевой активности пользователей ограничивался только на уровне конечных рабочих станций, с помощью корпоративного прокси-сервера и межсетевого экрана. Сейчас у каждого сотрудника есть как минимум смартфон с мобильным интернетом (если не брать в расчет специализированные рабочие места, где это запрещено), которым он успешно может пользоваться на территории компании, как в безобидной форме, так и с менее доброжелательным умыслом — этого мы исключать не можем :) Также мобильные устройства сотрудники повсеместно используют и для работы, не ограничиваясь только звонками. Современные смартфоны позволяют обмениваться любым типом файлов с информацией, содержащей корпоративную тайну в том числе. В связи с этим, у руководителей давно встаёт вопрос о том, как с этим жить и что возможно предпринять.

Сегодня речь пойдёт о прогрессивном решении под названием Proget MDM, задача которого состоит не в ограничении сотрудников в пользовании их личными мобильными устройствами, а в расширении функционала и возможностей устройств, с выгодой для компании, заинтересованной в информационной безопасности.

Система Proget MDM предназначена для централизованного управления мобильными устройствами и предоставления защищенного соединения, для передачи данных между серверами компании и устройствами пользователей. В системе возможно активировать как персональные смартфоны или планшеты сотрудников, так и корпоративные устройства. В первом и во втором случаях схема подключения в систему может быть разной. Например, в личные смартфоны сотрудников возможна мягкая интеграция продукта на уровне приложения, без искажения персонализации, когда как в корпоративные есть возможность встраиваться на уровне системы, с возможностью полного контроля над устройством.

Читать далее
Рейтинг0
Просмотры549
Комментарии 4

Google's Certificate Transparency как источник данных для предотвращения атак

Блог компании АкрибияИнформационная безопасность
Перевод

Мы подготовили перевод статьи Райана Сирса об обработке логов Google’s Certificate Transparency, состоящей из двух частей. В первой части дается общее представление о структуре логов и приводится пример кода на Python для парсинга записей из этих логов. Вторая часть посвящена получению всех сертификатов из доступных логов и настройке системы Google BigQuery для хранения и организации поиска по полученным данным.

С момента написания оригинала прошло уже три года и с тех пор количество доступных логов и, соответственно, записей в них возросло многократно. Тем более важно правильно подойти к обработке логов, если целью является максимизация количества получаемых данных.

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Просмотры824
Комментарии 1

Шпаргалки по безопасности: сброс пароля

Блог компании OWASPБлог компании АкрибияИнформационная безопасность
Перевод

Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru.

Читать далее
Всего голосов 2: ↑2 и ↓0+2
Просмотры3.7K
Комментарии 2

Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?

Блог компании АкрибияИнформационная безопасность

Вопрос о необходимости использования сертифицированных средств защиты информации, включая и криптографические, не теряет своей актуальности для коммерческих организаций уже очень долгое время. Он неустанно обсуждается в рамках выполнения требований по обеспечению безопасности персональных данных, критической информационной инфраструктуры, информационной инфраструктуры финансовых организаций и даже государственных информационных систем.

Сейчас же на авансцену выходит ГОСТ Р 57580.1-2017, соответствовать которому уже с начала следующего года должны информационные системы многих компаний финансового сектора. Документ дает весомый повод в очередной раз погрузиться в чтение многостраничного текста, чтобы понять, а требуются ли сертифицированные СЗИ и СКЗИ?

Получая большое количество аналогичных вопросов, мы решили рассмотреть эту тему комплексно, как в рамках ГОСТа, так и иных применимых правовых документов. И, конечно же, поделиться полученным результатом с вами.

Несмотря на то, что выводы, представленные в данной статье, подаются как применимые для финансовых организаций, они абсолютно свободно могут быть распространены и на любые иные компании. В конце концов, кто из нас не оператор персональных данных?

Читать далее
Всего голосов 11: ↑7 и ↓4+3
Просмотры5.1K
Комментарии 7

Перевод стандарта ASVS 4.0. Часть 1

Блог компании OWASPБлог компании АкрибияИнформационная безопасность
Перевод

Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для основных функций ПО, таких как, аутентификация, управления сеансами, контроль доступа и др. Последующие группы расширяют список требований для каждой из функций.

В статье описывается концепция стандарта ASVS, способы его применения, также переведена первая группа требований к архитектуре и моделированию угроз.

Читать далее
Всего голосов 1: ↑1 и ↓0+1
Просмотры2.9K
Комментарии 0

Обзор проекта новой методики моделирования угроз безопасности информации

Блог компании АкрибияИнформационная безопасность


9 апреля на сайте ФСТЭК России был опубликован проект «Методики определения угроз безопасности информации в информационных системах». Методика может стать первым за последние 12 лет официально принятым документом, описывающим порядок моделирования и определения актуальности угроз безопасности информации. С учетом того, что определение угроз безопасности является основополагающим мероприятием при построении любой системы защиты, важность Методики переоценить сложно.

В своей статье мы хотим рассмотреть и оценить новый подход регулятора к моделированию угроз, а также ответить на следующий вопрос – насколько такой подход отвечает текущим реалиям в области информационной безопасности.
Читать дальше →
Всего голосов 6: ↑4 и ↓2+2
Просмотры7.3K
Комментарии 0

Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?

Блог компании АкрибияИнформационная безопасность


Cookie-файлы как персональные данные


Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.
Читать дальше →
Всего голосов 5: ↑5 и ↓0+5
Просмотры4.5K
Комментарии 7

Spear phishing: опыт создания условно вредоносных исполняемых файлов для фишинговых рассылок

Блог компании АкрибияИнформационная безопасность


Введение


Мы уже писали о целевом фишинге (Spear Phishing) в одной из статей, в которой разобрали общие аспекты целевых рассылок электронных писем. В этой статье мы предлагаем подробнее ознакомиться с нашим опытом в тренировочных целевых рассылках, содержащих в себе условно вредоносные вложения.
Читать дальше →
Всего голосов 4: ↑4 и ↓0+4
Просмотры1.4K
Комментарии 3

Как я сдавал OSCP

Блог компании АкрибияИнформационная безопасность


Мы с коллегами прошли курс OSCP и сдали экзамен. В этой статье я подробно расскажу, как проходит экзамен, какие подводные камни и стоит ли игра свеч вообще.
Читать дальше →
Всего голосов 14: ↑13 и ↓1+12
Просмотры6.5K
Комментарии 5

Шпаргалки по безопасности: Nodejs

Блог компании АкрибияИнформационная безопасностьРазработка веб-сайтовNode.JS


Довольно много уже было сказано о популярности NodeJS. Рост количества приложений очевиден – NodeJS довольно прост в освоении, имеет огромное количество библиотек, а также динамично развивающуюся экосистему.

Мы подготовили рекомендации для NodeJS разработчиков, основываясь на OWASP Cheat Sheets, которые помогут вам предусмотреть проблемы с безопасностью при разработке приложений.

Рекомендации к безопасности NodeJS приложений можно разделить на следующие категории:

  • Безопасность при разработке приложения;
  • Безопасность сервера;
  • Безопасность платформы;

Читать дальше →
Всего голосов 21: ↑18 и ↓3+15
Просмотры10K
Комментарии 2

Управление уязвимостями (Vulnerability Management) — чего больше: управления или уязвимостей?

Блог компании АкрибияИнформационная безопасность


В этой статье мы хотим поделиться с вами случаями, которые происходили у наших заказчиков, и рассказать/показать/ответить на вопрос, почему управление уязвимостями – это почти всегда не про уязвимости, и простого — «мы за вас отфильтруем из 1 000 000 уязвимостей до реально важного минимума» недостаточно.
Читать дальше →
Всего голосов 8: ↑7 и ↓1+6
Просмотры3.5K
Комментарии 0

Шпаргалки по безопасности: Virtual Patching

Блог компании АкрибияИнформационная безопасность
Темой нашей сегодняшней статьи будет Virtual Patching.

Virtual Patching — это слой политики безопасности, предназначенный для обнаружения и предотвращения эксплуатации эксплойта для известной уязвимости.
Читать дальше →
Всего голосов 6: ↑6 и ↓0+6
Просмотры3.9K
Комментарии 0

Шпаргалки по безопасности: CSRF

Блог компании АкрибияИнформационная безопасность
image

Не смотря на то, что в последнем публиковавшемся перечне уязвимостей OWASP Top 10 2017 CSRF атаки отнесены к разряду “Удалены, но не забыты”, мы решили, что не будет лишним еще раз напомнить о том, как защититься от CSRF атак, опираясь на те же правила, предоставляемые OWASP.
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Просмотры8.9K
Комментарии 2

Спирфишинг: разбираем методы атак и способы защиты от них

Блог компании АкрибияИнформационная безопасность

image


Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.


Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:


  • заполучить конфиденциальные данные (данные банковской карты в целях кражи денег);
  • установить ВПО на целевое устройство;
  • заполучить секреты и конфиденциальные данные организации в целях шантажа или перепродажи конкурентам;
  • заполучить военные данные.

Различия между фишингом и целевым фишингом

Читать дальше →
Всего голосов 12: ↑10 и ↓2+8
Просмотры5.4K
Комментарии 2

Анализ механизмов локализации интерфейса приложений в Splunk

Блог компании АкрибияИнформационная безопасность

В данной статье мы рассмотрим основной механизм локализации интерфейса приложений Splunk (в т.ч. стандартных элементов приложения Search) — gettext internationalization and localization (i18n).
Читать дальше →
Всего голосов 11: ↑10 и ↓1+9
Просмотры2.3K
Комментарии 0

Сеть компании и MitM. Часть 2

Блог компании АкрибияИнформационная безопасность


Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle.

Сегодня мы продолжаем цикл статей, посвященный атакам «человек посередине» (и ряду сопутствующих) на типичные протоколы и каналы передачи, встречающиеся практически в любой компании. Рассмотрим представляющие куда больший интерес для злоумышленника уровни: с сетевого по прикладной.

Заинтересовались? Добро пожаловать под кат.
Читать дальше →
Всего голосов 26: ↑25 и ↓1+24
Просмотры11K
Комментарии 3

Как мы управление уязвимостями построили

Блог компании АкрибияИнформационная безопасность


Введение в проблематику


В своей практике работы с разными типами заказчиков – от крупных международных компаний до небольших фирм или даже ИП – мы наблюдаем схожие проблемы при попытке системно работать с уязвимостями.

Пока компания относительно небольшая, достаточно иметь один или несколько сканеров уязвимостей и одного специалиста, который будет проводить периодическую проверку всей инфраструктуры, закрывая наиболее очевидные или простые в устранении проблемы.
Читать дальше →
Всего голосов 11: ↑10 и ↓1+9
Просмотры4.8K
Комментарии 7

Шпаргалки по безопасности: JWT

Блог компании АкрибияИнформационная безопасность


Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации.

JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON.
Читать дальше →
Всего голосов 21: ↑19 и ↓2+17
Просмотры32K
Комментарии 39
1