Как стать автором
Обновить

Компания Газинформсервис временно не ведёт блог на Хабре

Сначала показывать
  • Новые
  • Лучшие

DevSecOps «за 5 копеек»

Блог компании Газинформсервис Информационная безопасность *
image
В этой статье один из сотрудников нашей компании Сергей Полунин Belowzero273 расскажет, как с помощью бесплатных инструментов можно построить простой CI/CD-пайплайн с инструментами контроля безопасности. И сделает это настолько просто, чтобы если даже вы никогда не слышали о подобном подходе, то вам захочется начать экспериментировать в этом направлении, как только появится свободное время.
— Самый популярный вопрос, который я слышу последние несколько лет от заказчиков, звучит так: «А что, так можно было?». Звучит он почти каждый раз, когда мы внедряем новый инструмент, технологию или процесс. В этом, безусловно, нет ничего удивительного – ИТ и информационная безопасность стали слишком необъятной областью даже для крупных команд специалистов. Давно прошли времена, когда можно было нанять одного крутого сисадмина, который будет во всем разбираться и быть в курсе всех трендов. Эти времена ушли, судя по всему, навсегда. Но сегодня даже для узкого специалиста сложно быть «в теме» – постоянно читать профильные блоги, телеграм-каналы, форумы, смотреть записи выступлений гуру на ютубе и тому подобное. Мы привыкаем решать проблемы определенным образом и выход за пределы «пузыря» может происходить долго и порой весьма болезненно.
А уж если заходит речь о том, что какая-то непонятная и вряд ли нужная по мнению бизнеса вещь будет стоить каких-то дополнительных денег, то желание отложить изучение появляется само собой.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 2.8K
Комментарии 2

Универсальный подход к контролю сетевого оборудования

Блог компании Газинформсервис Информационная безопасность *
Всем привет! Сегодня мы расскажем вам, как прошли путь от разработки более пятидесяти различных модулей для контроля устройств в составе программного комплекса Efros Config Inspector к созданию одного универсального, и объясним, почему это хорошо для пользователей.
image

Intro


Необходимость учета изменений в конфигурациях, хранения их бекапов, а также анализа безопасности отмечается всеми экспертными сообществами – российским ФСТЭК, зарубежными институтами типа Center for Internet Security, авторами библиотеки ITIL.
Решения, позволяющие автоматизировать этот процесс, широко представлены на рынке, и одно из них – российская разработка Efros Config Inspector. Efros CI является средством, созданным для работы с конфигурациями: контроль целостности файлов и анализ изменений, обнаружение небезопасных конструкций (например, использование открытых протоколов типа telnet для управления устройствами, слабых паролей и т. п.), а также известных уязвимостей по каталогам CVE и др.
Читать дальше →
Рейтинг 0
Просмотры 3.2K
Комментарии 4

Встречаемся на GIS DAYS 2021

Блог компании Газинформсервис Информационная безопасность *Конференции
image

Привет, Хабр. Спешим поделиться отличной новостью. С 6 по 8 октября 2021 года мы проводим форум Global Information Security Days и приглашаем всех, интересующихся информационной безопасностью и IT принять участие в нем.

В этом году форум впервые будет проходить на двух площадках одновременно в Санкт-Петербурге и Москве. Проект объединит более 3 000 профессионалов в области IT и информационной безопасности. Профильные спикеры, почетные гости, звезды сферы IT и ИБ – сделают это событие незабываемым.
Читать дальше →
Всего голосов 1: ↑0 и ↓1 -1
Просмотры 890
Комментарии 0

Как подготовить информационные системы к аттестации: делать самим или привлекать подрядчика. Взгляд лицензиата

Блог компании Газинформсервис Информационная безопасность *
Если вы готовитесь к аттестации объектов информатизации компании и не знаете, с чего начать, то наша статья будет вам полезна. Материал содержит рекомендации по подготовке к этому непростому процессу, взятые из практики работы сотрудников компании «Газинформсервис», которая более 17 лет оказывает услуги по подготовке и аттестации таких систем.

image

Почему все так сложно?


Этим вопросом задаётся каждый, кто впервые пытается на практике пройти квест под названием «аттестация». Сложностей здесь достаточно, и одна из них связана с тем, что сегодня в Российской Федерации принято большое количество норм и требований, предъявляемых к защите различных информационных ресурсов. Можно считать, что информационное право окончательно выделено в отдельную ветвь, и для того, чтобы разобраться во всех тонкостях и особенностях этих законов, необходим узкопрофильный юрист, работающий именно с этим направлением. Однако далеко не каждая компания может позволить себе иметь в штате такого специалиста.
Читать дальше →
Всего голосов 2: ↑0 и ↓2 -2
Просмотры 1.4K
Комментарии 2

Криптография за облаками

Блог компании Газинформсервис Криптография *
image

Все шутки об облачных провайдерах условно делятся на две категории: как мы переезжали в облако и как мы возвращались обратно в свой дата-центр. На самом деле не всё так печально. Даже самые консервативные специалисты начали понимать, что переезд в облако – это не просто запуск виртуальных машин где-то далеко, но и перемена многих подходов к тому, как должны быть устроены ИТ-инфраструктура и безопасность.

Облако – это не набор самостоятельных решений, собранных под одним брендом хитрыми маркетологами. Напротив, большинство сервисов интегрированы друг с другом, взаимно дополняют функционал и, можно сказать, приобретают таким образом дополнительную ценность. Сегодня мы посмотрим, как устроена криптография в облаке, которая может быть интегрирована практически в любое современное решение.

Amazon Web Services


Изучать криптографические сервисы мы будем на примере Amazon Web Services (AWS). Другие облачные провайдеры предлагают примерно то же самое, поэтому разобраться с другими терминами не составит особого труда.

Сервисов, реализующих криптографию, в AWS несколько:

  1. Инструмент управления сертификатами AWS Certificate Manager — аналог того, что вы развёртываете у себя в компании, чтобы выписывать сертификаты пользователям и серверам.
  2. Сервис управления секретами AWS Secrets Manager – сервис, предназначенный для хранения и извлечения различных данных для доступа к базам данных, API-ключам и т. п. Спросите у ваших DevOps, они расскажут подробнее.
  3. AWS Cloud HSM – облачный аппаратный модуль безопасности, с помощью которого можно генерировать и использовать в облаке AWS собственные ключи шифрования. Такой же, как у вас в серверной, только где-то в ЦОДе за океаном.
  4. AWS Key Management Service – служба, предназначенная для создания криптографических ключей, которые потом можно использовать в приложениях или сервисах AWS.

Про последний сервис AWS Key Management Service (или просто KMS) мы поговорим подробнее.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.6K
Комментарии 0

Применение BPMN и Activiti для автоматизации ГЛОНАСС/GPS мониторинга транспорта

Блог компании Газинформсервис *
Всем привет!

Вы работаете с системами мониторинга транспорта, отрабатываете и согласуете заявки или являетесь частью команды разработки таких продуктов? Тогда этот материал будет вам интересен.

В статье на примере продукта Monitor3S мы расскажем, как оптимальным образом организовать работу с заявками на транспорт, если компании трудно подобрать коробочное решение мониторинга с использованием GPS и ГЛОНАСС. Кому интересно – добро пожаловать под кат.
Читать дальше →
Всего голосов 1: ↑0 и ↓1 -1
Просмотры 1.4K
Комментарии 2

Conan.io – неварварские методы работы

Блог компании Газинформсервис Информационная безопасность *C++ *C *Промышленное программирование *
image

Всем привет!

Сегодня мы хотим поговорить о нашем опыте работы с пакетным менеджером Conan.io. Если вы так же, как и наша команда разработки Efros Config Inspector столкнулись с вопросами сборки под различные операционные системы, включая отечественные, и используете сторонние библиотеки, возможно, этот материал будет вам интересен.

Conan.io или…?


Efros Config Inspector был разработан как Windows приложение, но впоследствии было принято решение обеспечить совместимость и с отечественными ОС, такими как Astra Linux и РЕДОС. В процессе реализации этой задачи мы столкнулись с рядом трудностей, решить которые могли, во-первых, смена системы сборки программного обеспечения, во-вторых, подключение пакетного менеджера.

Разработка продукта велась на основе технологий Microsoft (Visual Studio и Team Foundation Server), но, как известно, это не самое удобное решение для сборки проекта под *.nix-системы, поэтому появились инструменты CMake. Тема выбора CMake достойна отдельной статьи. Если она вам интересна, напишите в комментариях, и мы обязательно вернемся к обсуждению данного вопроса в следующих публикациях.
Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 2.9K
Комментарии 6

Нам мало CAP. Да здравствует PACELC

Блог компании Газинформсервис Информационная безопасность *Администрирование баз данных *
image
Если вы когда-нибудь сталкивались с распределёнными СУБД или системами обработки данных, то слышали о двух теоремах: CAP и PACELC, определяющих грани возможных конфигураций этих систем. Споры об их универсальности не утихают до сих пор, однако альтернативы, способные полностью заместить данные научные изыскания, ещё не сформулированы и вряд ли в ближайшее время появятся. Поэтому всем, кто работает с распределёнными системами, необходимо учитывать эти теории. Мы, команда разработки СУБД Jatoba, также столкнулись с противоречивостью теорем, детально разобрались и готовы помочь всем, кто только начинает работу с ними.

Введение


В 2000 году Эрик Брюер выдвинул гипотезу, суть которой можно описать так: в распределённой системе невозможно обеспечить одновременное выполнение всех трёх условий: корректности, доступности и устойчивости к разделению узлов CAP (Consistency-Availability-Partition tolerance). За 20 лет применения теорема действительно доказала свою состоятельность, однако показалась недостаточной. Так в 2010 году появилась PACELC как расширение CAP, которое гласит, что в случае разделения сети в распределённой компьютерной системе необходимо выбирать между доступностью и согласованностью, но даже если система работает нормально в отсутствии разделения, нужно выбирать между задержками и согласованностью.
Как это работает, рассмотрим далее.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 4.9K
Комментарии 2

GIS DAYS 2020, обзор сессии PRO3

Блог компании Газинформсервис Информационная безопасность *Криптография *
Мы продолжаем обзор докладов конференции GIS DAYS. Сегодня представляем вам ревью профессиональной секции PRO3, посвященной электронной подписи и цифровым сервисам доверия.

Использование электронной подписи (ЭП) сегодня вызвано целым рядом факторов, вот лишь некоторые из них: необходимость ускорения процессов подписания документации, удаленный формат работы, обеспечение юридической значимости электронных документов, а также необходимость контроля целостности информационных потоков и авторства документов организаций.

Чтобы реализовывать эту технологию на практике компаниям необходимы корректно используемые средства электронной подписи, взаимодействие с удостоверяющими центрами и провайдерами услуг доверия, нормативное и организационное обеспечение. Как это сделать, расскажем в нашем материале.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 362
Комментарии 0

GIS DAYS 2020, краткий обзор сессии PRO2

Блог компании Газинформсервис Информационная безопасность *
Мы продолжаем обзор докладов конференции GIS DAYS. Профессиональная секция PRO2 была посвящена мониторингу критической информационной инфраструктуры (КИИ), а также способам обнаружения аномалий в сетях автоматизированных систем управления технологическими процессами (АСУ ТП). Коллеги представили 11 докладов, их ревью в нашем материале.

Ведущий инженер группы интегрированных систем операционного контроля компании «Газинформсервис» Евгений Гришин рассказал о подходах к применению SOC для АСУ ТП в топливно-энергетическом комплексе.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 519
Комментарии 0

GIS DAYS 2020, краткий обзор сессии PRO1

Блог компании Газинформсервис Информационная безопасность *
Главным событием осени 2020 года в нашей компании стала конференция GIS DAYS. Мы уже рассказывали вам о содержании ее пленарной сессии – здесь, а теперь готовы познакомить с обзором профессиональной секции PRO1. Наш материал кратко раскроет темы докладов специалистов, выступивших в рамках секции PRO1 и расскажет о тенденциях в аудите информационной безопасности, тестировании на проникновение и организации защищенных удаленных доступов в компании.

Сессия длилась без малого 3 часа, но специально для читателей Хабра мы уместили все самое интересное в 15 минут.

Начнем с занимательной статистики от Positive Technologies.

image
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 572
Комментарии 1

Онлайн-марафон информационной безопасности

Блог компании Газинформсервис Информационная безопасность *
22 октября прошла конференция «Global Information Security Days 2020», организатором которой ежегодно выступает компания «Газинформсервис». Ключевая тема этого года — «Кибербезопасность новой реальности».

Онлайн-трансляция продлилась более 11 часов — за это время успели выступить 42 спикера. Часть из них участвовала в обсуждениях из студии на «Ленфильме», а другие присоединились к дискуссиям дистанционно по видеоконференцсвязи.

Конференция была разделена на пленарную и три тематические сессии. В этой статье мы подробнее расскажем про пленарную часть. Ее модераторами стали главный редактор изданий группы компаний Comnews Леонид Коник и телеведущая Ника Стрижак.


Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 1.2K
Комментарии 0

Безопасность и СУБД: о чём надо помнить, подбирая средства защиты

Блог компании VK Блог компании Газинформсервис Информационная безопасность *Администрирование баз данных *


Меня зовут Денис Рожков, я руководитель разработки ПО в компании «Газинформсервис», в команде продукта Jatoba. Законодательство и корпоративные нормы накладывают определенные требования к безопасности хранения данных. Никто не хочет, чтобы третьи лица получили доступ к конфиденциальной информации, поэтому для любого проекта важны следующие вопросы: идентификация и аутентификация, управление доступами к данным, обеспечение целостности информации в системе, регистрация событий безопасности. Поэтому я хочу рассказать о некоторых интересных моментах, касающихся безопасности СУБД.
Читать дальше →
Всего голосов 33: ↑32 и ↓1 +31
Просмотры 8.7K
Комментарии 0

Технологическое и нормативное обеспечение цифровых сервисов доверия в Российской Федерации

Блог компании Газинформсервис Информационная безопасность *Криптография *
Целью цикла статьей является обзор нормативно-технических и нормативно-правовых условий для организации процессов обеспечения доверия в цифровой среде.
Вопросы обеспечения и развития цифрового пространства доверия актуальны во всём мире. Они стоят на повестке дня и решаются в той или иной степени с 1980-х годов, а в Российской Федерации, по крайней мере с начала 2000-х годов, когда был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи». Наиболее обсуждаемым вопросом на уровне регуляторов (Минкомсвязи России, ФСБ России, ФНС России), пользователей и операторов, при реализации процессов обеспечения доверия в цифровой среде, является нормативная база обеспечения применения аналогов собственноручной подписи — электронной подписи (ЭП), электронной цифровой подписи (ЭЦП), как средства обеспечения юридической силы трансграничного электронного документооборота. В 2018-2020 годах это обсуждение привело к значительной модернизации федерального законодательства в области доверия в цифровой среде, а именно к появлению Федерального закона №476-ФЗ от 27.12.2019, внесшего значительные поправки в Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи». Здесь и далее, главным образом будут рассмотрены поправки, касающиеся сервисов доверия, объединённых в 476-ФЗ понятием «доверенная третья сторона» (ДТС).
Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1.3K
Комментарии 0

Проблематика и особенности реализации UEFI на различных платформах

Блог компании Газинформсервис Информационная безопасность *Компьютерное железо Настольные компьютеры UEFI *
С момента выпуска первой спецификации EFI в двухтысячном году прошло около девятнадцати лет. Десять лет понадобилось интерфейсу, чтобы выйти на пользовательский рынок и закрепиться на нем. На текущий момент редко где можно увидеть современный компьютер без UEFI в прошивке материнской платы. Стандарт интерфейса нарастил «мясо» и несколько тысяч страниц в официальной документации. Для обычного пользователя ничего не поменялось, кроме эпизодических столкновений с включённым Secure Boot. Но если плоскость работы смещается в разработку, всё становится интереснее.


Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 5.7K
Комментарии 14

Как наладить юридически значимый электронный документооборот контрагентов России и Казахстана?

Блог компании Газинформсервис Информационная безопасность *Криптография *
Работы по расширению трансграничного пространства доверия на базе использования Сервиса валидации электронной подписи (СВЭП) и услуг Доверенной третьей стороны (ДТС) активно продолжаются. На этот раз мы поговорим о пилотном проекте в рамках которого создан сервис по проверке иностранной электронной подписи в России и Казахстане.

Участниками проекта являются: со стороны России – СВЭП ООО «УЦ ГИС», со стороны республики Казахстан (РК) – ДТС РК в лице доверенного оператора ДТС РК АО «Национальные информационные технологии» и представитель российского бизнеса – биржа вагонов «Рэйл Коммерс».
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 2K
Комментарии 0

Способы обновления криптографии на оборудовании Check Point до ГОСТ 2012

Блог компании Газинформсервис Информационная безопасность *Криптография *
Recovery mode
Tutorial
В соответствии с требованиями ФСБ России использование схемы подписи ГОСТ Р 34.10-2001 для формирования электронной подписи после 31 декабря 2018 года не допускается. Однако, соответствующий патч для Check Point с криптографией КриптоПро, поддерживающей новые алгоритмы, выпущен в 2018 году не был. Чтобы соответствовать требованиям регулятора и внезапно не остаться без защищенных каналов связи, многие компании, использующие оборудование Check Point с поддержкой ГОСТового шифрования, не дожидаясь нового патча выпустили сертификаты для шлюзов по алгоритмам ГОСТ Р 34.10/11-2001.

В данной публикации рассматривается ситуация, когда межсетевые экраны (МЭ) Check Point уже обновлены до версии R77.30, и на них установлен дистрибутив КриптоПро CSP 3.9 для Check Point SPLAT/GAiA. В данном случае можно сохранить сертификат узла выпущенного при использовании алгоритмов ГОСТ Р 34.10/11-2012, что при кластерном исполнении инсталляции МЭ Check Point (Distributed/Standalone Full HA deployments) позволяет без перерывов связи обновить криптографию на оборудовании. На практике достаточно часто встречается ситуация, когда множество географически удаленных площадок строят VPN-туннели с центральным кластером. Соответственно, чтобы не обновлять большое количество площадок единовременно, новый патч позволяет использовать на оборудовании как алгоритмы ГОСТ Р 34.10/11-2001, так и новые алгоритмы ГОСТ Р 34.10/11-2012.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.9K
Комментарии 0

Современные технологии аналитики в кибербезопасности

Блог компании Газинформсервис Информационная безопасность *
Приветствую, Хабровчане! Хотел бы поделиться с вами историей создания инновационного продукта. Речь пойдет о продукте класса расширенной аналитики событий информационной безопасности c функциями поведенческого анализа. Мы создали уже более полутора десятков продуктов по информационной безопасности. Почему мы решили создать еще один продукт? Давайте обо всем по порядку.

Ни для кого не секрет, что современная защита предприятий строится на основе комплексных систем безопасности, которые интегрируют средства защиты различного назначения. Это и антивирусные программы, межсетевые экраны, системы обнаружения вторжений, защиты от утечек и т.п. Однако, несмотря на несколько уровней в такой системе, выстроенной по периметру корпоративной инфраструктуры, сегодня она не гарантирует защиту от целевых компьютерных атак и злонамеренных действий персонала.
Читать дальше →
Всего голосов 6: ↑3 и ↓3 0
Просмотры 2.6K
Комментарии 1

Видос и насекомые

Блог компании Газинформсервис Информационная безопасность *
Многие заказчики задаются вопросом, а зачем проводить техническое обслуживание Комплекса инженерно-технических средств охраны (КИТСО)? Ну максимум камеры протереть. Все же само работает! Все корпусы уличного оборудования герметичные, а с оборудованием, находящимся в помещении ничего случиться не может.

При этом заказчики забывают, что КИТСО это КОМПЛЕКС средств и, если перестает работать хотя бы один его элемент, перестает работать весь комплекс.

Классический КИТСО на сегодняшний момент состоит из следующих компонентов: охранной сигнализации (ОС), охранного видеонаблюдения (ОВ) и системы контроля управления доступом (СКУД). Допустим погасло видеонаблюдение. Какой тогда толк от охранной сигнализации и СКУДа если злоумышленник может делать что угодно в это время на объекте не боясь последствий. В тоже время Видео без работающей ОС так же не эффективно т.к. охрана просто не узнает, что есть инцидент. Охватить мониторами все видеокамеры более-менее крупного объекта невозможно.

Ну и какой толк от СКУДа, если в случаем физического взлома замка или окна не сработает охранная сигнализация?
Читать дальше →
Всего голосов 9: ↑4 и ↓5 -1
Просмотры 1.2K
Комментарии 4

Efros Config Inspector приносит пользу даже тем, кто им не пользуется

Блог компании Газинформсервис Информационная безопасность *Open source *Управление продуктом *
Программный комплекс Efros Config Inspector, предназначенный для контроля безопасности конфигураций активного сетевого оборудования, сред виртуализации, операционных систем – а с недавнего времени и средств роботизации бизнес-процессов (подробнее – здесь), с успехом используется самыми разными пользователями уже более восьми лет. Учитывая тренды развития информационных технологий и средств киберзащиты, разработчики уделяют особое внимание кроссплатформенности решения.

Для реализации функций управления конфигурациями, которые пользователи смогут оценить в нашем ближайшем зимнем релизе, был выбран кроссплатформенный пакет OpenSSH. Он поддерживается большинством дистрибутивов Linux, а с недавнего времени – и операционными системами семейства Windows.

В ходе анализа возможностей пакета была выявлена ошибка: клиент, в качестве которого выступал маршрутизатор Cisco, обрывал соединение с сервером. В коде сервера из пакета OpenSSH существует так называемая поддержка совместимости с различными устройствами, в частности — с устройствами Cisco. Она позволяет уточнять протокол взаимодействия между клиентом и сервером в зависимости от используемых типов устройств. После детального исследования стало ясно, что в процессе портирования пакета OpenSSH на Windows эта поддержка совместимости была отключена из-за особенностей портирования.
Читать дальше →
Всего голосов 5: ↑3 и ↓2 +1
Просмотры 1.9K
Комментарии 1
1