• Трудности пентеста — 2020: как компании повысить пользу от пентеста, проблемы «этичных» хакеров и что делать начинающим



      Шёл 2020 год, люди с восхищением читали очередную статью о том, как плохо открывать письма от незнакомцев, особенно с вложением, как опасно вставлять сомнительные флешки в компьютер, как в далёкой стране хакеры по щелчку пальцев переводили миллионы долларов со счёта на счёт. Аналитика, в которой говорилось, что 7 из 10 банков можно взломать усилиями двух хакеров за пару вечеров, казалась людям в 2020-ом обыденностью. Что до рядовых пользователей, то им даже не было страшно: они просто воспринимали такие новости как отдельную вселенную Marvel и изредка просили знакомых компьютерщиков взломать VK. И только специалисты по безопасности понимали, что всё не так просто, как кажется…

      В 2020 году слово «пентест» уже многим знакомо, и все зрелые компании проводят такие работы регулярно. Некоторые даже сформировали у себя штат специалистов и самотестируются ежедневно. Количество средств защиты информации (СЗИ) постоянно увеличивается, лучшие ИБ-практики раздаются в интернете бесплатно, ИБ-процессы выстраиваются по лучшим методологиям. Вместе с тем в головах людей всё ещё сидит мысль о том, что хакерам ничто не помеха: если им что-то нужно, они этого добьются. Об этом феномене мне как непосредственному специалисту по тестированию на проникновение и хочется поговорить сегодня.
      Читать дальше →
    • Искусственный интеллект для анализа изображений и видео. Вебинар от «Инфосистемы Джет»


        Интересуетесь темой ML? Тогда вам сюда → Зарегистрироваться
        26 июня в 15:00 в прямом эфире ведущий эксперт Центра машинного обучения расскажет об опыте разработки собственных решений в компании, а также о применении IBM Visual Insights и возможностях по совмещению обоих подходов.
        Читать дальше →
      • Я есть root. Получаем стабильный shell

        • Tutorial
        Давайте представим, что мы получили бэк-коннект в результате эксплуатации RCE-уязвимости в условном PHP-приложении. Но едва ли это соединение можно назвать полноценным. Сегодня разберемся в том, как прокачать полученный доступ и сделать его более стабильным.

        Это третья часть из цикла статей по повышению привилегий в ОС Linux, я есть root. Первая статья была обзорной, во второй статье я разбирал вектор повышения через SUID/SGID.

        image
        Читать дальше →
      • Я есть root. Повышение привилегий в ОС Linux через SUID/SGID

        • Tutorial
        В прошлом посте я провел «обзорную экскурсию» по методам повышения привилегий в ОС Linux. Сегодня разбираю вектор повышения привилегий через небезопасные разрешения SUID/SGID. Поэтому больше консоли и меньше слов.

        main
        Читать дальше →
        • +20
        • 8,7k
        • 9
      • Я есть root. Разбираемся в повышении привилегий ОS Linux

        • Tutorial

        Первый квартал 2020 года я провел за подготовкой к экзамену OSCP. Поиск информации в Google и множество «слепых» попыток отнимали у меня все свободное время. Особенно непросто оказалось разобраться в механизмах повышения привилегий. Курс PWK уделяет этой теме большое внимание, однако методических материалов всегда недостаточно. В Интернете есть куча мануалов с полезными командами, но я не сторонник слепого следования рекомендациям без понимания, к чему это приведет.


        Мне хочется поделиться с вами тем, что удалось узнать за время подготовки и успешной сдачи экзамена (включая периодические набеги на Hack The Box). Я испытывал сильнейшее ощущение благодарности к каждой крупице информации, которая помогала мне пройти путь Try Harder более осознанно, сейчас мое время отдать должное комьюнити.


        Я хочу дать вам мануал по повышению привилегий в OS Linux, включающий в себя разбор наиболее частых векторов и смежных фишек, которые вам обязательно пригодятся. Зачастую сами механизмы повышения привилегий достаточно несложные, трудности возникают при структурировании и анализе информации. Поэтому я решил начать с «обзорной экскурсии» и далее рассматривать каждый вектор в отдельной статье. Надеюсь, я сэкономлю вам время на изучение темы.


        Читать дальше →
      • Как Sec примерил сбрую Ops, или deploy Red Hat OKD 3.11 for dummies

          Привет, друзья!

          Прошлой осенью мне по работе понадобилось протестировать решения для защиты сред контейнеризации (я работаю ИБ-инженером), но готового стенда с микросервисной архитектурой для этого не оказалось. Мотор-то мы купили, да трактор… у нас украли. Почувствовался резкий дефицит систем оркестрации контейнеров, и в воздухе запахло приключением!

          image

          Так как мои Ops коллеги всегда на острие интеграций и внедрений, денно и нощно разворачивают сложнейшие системы и вычислительные комплексы, просить их «по-быстренькому запилить кластер OpenShift» совсем не укладывалось в концепт инженерной солидарности. Поэтому я принял волевое решение — делать самому! Не без советов коллег, разумеется, ибо с Sec’ом да прибудет мудрость Ops’а.

          Забегая вперед, скажу, что в итоге стенд удался и даже вполне себе работает по сей день, а мне хочется поделиться с вами полученным опытом.
          Читать дальше →
          • +11
          • 1,6k
          • 7
        • Окружим цифрой пользователя

            Удаленная работа с нами останется надолго и за пределами бушующей сегодня пандемии. 74% компаний из 317, опрошенных Gartner, продолжат использовать дистанционный формат работы. ИТ-инструменты для ее организации будут активно востребованы в будущем. Представляем обзор продукта Citrix Workspace Environment Manager – неотъемлемого элемента для создания цифрового рабочего пространства. В этом материале рассмотрим архитектуру и основные возможности продукта.


            Читать дальше →
          • Ускорение реализации ИИ-проектов в лесном холдинге Segezha



              На нашем форуме по искусственному интеллекту RAIF прозвучал интересный кейс от Дмитрия Бочарова, вице-президента по внутреннему контролю и аудиту в Segezha Group. Дмитрий рассказал, как используются инструменты машинного обучения в крупнейшем деревообрабатывающем холдинге России и как преодолеваются препятствия на пути внедрений. Передаем ему слово.
              Читать дальше →
              • +18
              • 2,5k
              • 7
            • Как в Morpheus развернуть кластер Kubernetes за 30 минут

              • Tutorial
              Во многих компаниях стоит задача быстрого развертывания кластеров Kubernetes. Хорошо, когда создание кластера происходит автоматически. Но ещё лучше, когда пользователь, например, разработчик может создать кластер и потом управлять им «по кнопке», не привлекая для этого devops’ов. В своей облачной лаборатории мы посмотрели, как с созданием кластера Kubernetes справляется платформа управления гибридным облаком Morpheus: автоматизировали развертывание и оценили возможности управления и масштабирования кластера.


              Читать дальше →
              • +12
              • 1,6k
              • 4
            • Месяц удалёнки. Подводим итоги и делимся лайфхаками от руководителей рабочих групп «Инфосистемы Джет»



                Мы начали переходить на удаленную работу в середине марта, – в техническом плане для нашей компании это не было трудно: в частности, мы занимаемся организацией виртуальных рабочих мест (VDI) и помогали оборудовать удаленный доступ многим крупным российским компаниям. В то время оставался открытым другой важный вопрос: сможем ли мы работать так же эффективно из домов и дач, в окружении любимых детей, прочих родственников и жаждущих внимания домашних животных.
                Читать дальше →
                • +11
                • 3,1k
                • 4
              • Ликбез по Compliance: разбираемся в требованиях регуляторов в области ИБ

                  Привет, Хабр!

                  И у карантина есть плюсы — у нас появилось время подготовить еще несколько учебных вебинаров по информационной безопасности (вебинары по основам ИБ смотрите тут). Хакеры и сетевые атаки — это, конечно, захватывающе, но почти любой безопасник сталкивается и с другой стороной ИБ — требованиями регуляторов. Поэтому этот цикл вебинаров мы сделали по теме Compliance ИБ. Полезно будет и студенту, и опытному безопаснику, который хочет освежить память и узнать о последних изменениях в нормативке.

                  Мы уже провели два ликбеза и планируем еще как минимум два онлайн-мероприятия. Под катом — подробности предстоящих онлайн-встреч и записи прошедших вебинаров.


                  Читать дальше →
                • Прокачай скиллы в DevSecOps: 5 вебинаров с теорией и практикой + бонус

                    Привет, Хабр!

                    Наступила эпоха онлайн-мероприятий, и мы не стоим в стороне, тоже проводим разные вебинары и онлайн-встречи.

                    Мы думаем, что тема DevSecOps требует отдельного внимания. Почему? Все просто:

                    • Она сейчас крайне популярна (кто еще не успел поучаствовать в холиваре на тему «Чем DevOps-инженер отличается от обычного администратора?»).
                    • Так или иначе DevSecOps просто ЗАСТАВЛЯЕТ тесно общаться тех, кто раньше взаимодействовал по электронной почте. Да и то не всегда.
                    • Тема-обман! В ней все похоже на классические администрирование, разработку и безопасность. Похоже, но «по-другому». Как только начинаешь вникать – понимаешь, что тут работают свои законы и правила.

                    Поначалу даже в базовых аспектах разобраться непросто. Информации по теме так много, что не сразу понятно, как к ней подступиться. Мы решили всё структурировать и помочь всем желающим понять, что к чему, с помощью цикла DevSecOps-вебинаров.


                    Читать дальше →
                  • Красная таблетка Morpheus для управления облачной реальностью

                      Экономика стагнирует, в магазинах дефицит гречки, компании вынуждены сокращать закупки оборудования… Однако вычислительные мощности все равно нужны. Вот он, тот самый момент, когда нужно по максимуму использовать облачные ресурсы. Мы протестировали в нашей лаборатории множество систем для управления гибридными облаками и выбрали лучшее. Им оказался лидер квадранта Gartner в сфере CPM – платформа Morpheus. Аргументируем ниже.

                      Читать дальше →
                    • Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора

                        Привет, Хабр! Спустя 9 лет на проектах по аудитам ИБ за спиной мне нестерпимо хочется взять и написать книгу «1000 и 1 попытка обмануть аудитора». Начну, пожалуй, с первой главы — поделюсь вредными советами, как можно «успешно» пройти аудит, получив минимальное количество замечаний от аудитора.

                        Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:

                        • чтобы получить объективную оценку состояния ИБ (для себя);
                        • потому что аудит является обязательным (для регуляторов);
                        • потому что аудит требуют партнеры или головная организация (для других).

                        Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ. Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.

                        • Аудит «навязан» вышестоящей организацией.
                        • Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
                        • ИБ-служба боится получить «по шапке» от руководства.

                        Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.

                        P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.

                        Читать дальше →
                      • Object Detection. Распознавай и властвуй. Часть 2


                          В прошлом посте я начал разбираться в двухступенчатых Object Detection моделях и рассказал о самой базовой и, соответственно, первою из них – R-CNN. Сегодня мы рассмотрим другие модели этого семейства: Fast R-CNN и Faster R-CNN. Поехали!
                          Читать дальше →
                        • Object Detection. Распознавай и властвуй. Часть 1



                            Технологии компьютерного зрения позволяют в сегодняшних реалиях сделать жизнь и бизнес проще, дешевле, безопаснее. По оценкам разных экспертов этот рынок будет двигаться в ближайшие годы только в сторону роста, что и позволяет развиваться соответствующим технологиям как в сторону производительности, так и качества. Одним из наиболее востребованных разделов является Object Detection (обнаружение объектов) – определение объекта на изображении или в видео потоке.

                            Времена, когда обнаружение объектов решалось исключительно путем классического машинного обучения (каскады, SVM...) уже прошли – сейчас в этой сфере царят подходы, основанные на Deep Learning. В 2014 году был предложен подход, существенно повлиявший на последующие исследования и разработки в этой области – R-CNN модель. Последующие его улучшения (в виде Fast R-CNN и Faster R-CNN) сделали его одним из самых точных, что и стало причиной его использования по сей день.

                            Помимо R-CNN есть еще много подходов реализующих поиск объектов: семейство Yolo, SSD, RetinaNet, CenterNet… Кто-то из них предлагает альтернативный подход, а кто-то развивает текущий в сторону увеличения показателя производительности. Обсуждение почти каждого из них можно вынести в отдельную статью, по причине обилия фишек и ухищрений :)

                            К изучению предлагаю набор статей с разбором двухступенчатых Object Detection моделей. Умение разбираться в их устройстве приносит понимание базовых идей, применяемых и в других реализациях. В этом посте рассмотрим самую базовую и, соответственно, первую из них – R-CNN.
                            Читать дальше →
                          • Zabbix 5.0, или Что нового нас ждет с шаблоном Template Server by IPMI



                              Нужно поставить оборудование на мониторинг, а в любимой системе Zabbix нет готового шаблона под этот тип оборудования. Знакомая ситуация? Каждый выкручивается из нее по-своему. Один администратор ищет решение на просторах интернета. Второй — разрабатывает свое. А некоторые махнут на эту задачу рукой. Сейчас команда Zabbix с каждым новым релизом расширяет набор предустановленных в системе шаблонов. Например, в готовящейся к выходу версии 5.0 появится новый универсальный шаблон для мониторинга серверов через IPMI — Template Server by IPMI. Коллеги попросили помочь в отладке его работы на оборудовании различных производителей. Для нас это еще уникальная возможность устроить тест-драйв новому функционалу. Делимся результатами.
                              Читать дальше →
                              • +19
                              • 7,6k
                              • 9
                            • Data Scientist: воспоминания о жизни до карантина и надежды на будущее



                                Привет, Хабр! Сидеть в самоизоляции немного грустновато, хотя у нас работа и не прекращалась. Из дома работается неплохо: всегда под рукой печеньки, кот и безлимитный доступ к холодильнику. Но всё же иногда накатывает тоска по старым добрым временам.

                                Вы спросите, о чем вообще может тосковать Data Scientist? Что за старые добрые времена? Неужели кто-то скучает по опенспейсу и втыканию в монитор с 10 до 19?

                                Погодите-погодите, далеко не везде и не всегда Data Science – это статистика, запросы, R, Python, MapReduce и прогулки на обед и обратно. У наших специалистов найдётся, что рассказать о жизни до карантина.
                                Читать дальше →
                                • +12
                                • 4,1k
                                • 6
                              • Обеспечить удалёнку и не облажаться. Советы ИТ-директору



                                  Сегодня главная проблема компаний, особенно крупных, заключается в том, что отправка нескольких тысяч сотрудников на удалённую работу — это трудная задача как для ИБ, так и для ИТ-службы в целом. Вы можете отправить людей домой, сделать VPN, но подключение к корпоративной сети большого количества не очень контролируемых вами устройств — действительно непростая работа. Очевидно, что не получится каждому удалённому сотруднику выдать антивирус и систему предотвращения утечек.

                                  Еще одна проблема — как обеспечить работу всего набора корпоративных приложений из дома на разношерстном парке оборудования: от старенького ПК на Windows 7 до iPad’а.

                                  В этом посте мы расскажем о нескольких прикладных задачах и проблемах, которые возникли у огромного количества компаний в связи с переводом сотрудников на удалёнку.
                                  Читать дальше →
                                  • +27
                                  • 9,8k
                                  • 8
                                • Как организовать удаленный доступ и не пострадать от хакеров

                                  • Tutorial
                                  Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.


                                  Так что же нужно и что нельзя делать при организации безопасного удаленного доступа к корпоративным ресурсам? Подробно об этом расскажем под катом.
                                  Читать дальше →
                                  • +23
                                  • 21,2k
                                  • 9

                                Самое читаемое