Информационная безопасность

Привет, Хабр! Меня зовут Александр, я лидер команды DevSup (это как DevOps, только с функцией поддержки больших клиентов которым Saas не подходит) в IT-компании ПравоТех.  Мы создаем ИТ-решения для автоматизации юридической функции. 

Будучи разработчиком таких систем, мы понимаем, что наши клиенты предъявляют высокие требования к информационной безопасности. Это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.

Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.

Как эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список «что нельзя делать», а глубокое понимание тактик злоумышленников, их уловок и масок?

Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Эти истории легли в основу нашего курса по информационной безопасности.

Сегодня публикуем вторую историю из серии — «Уволившийся сотрудник». О буднях техподдержки для крупных клиентов которые ведут себя порой очень противоречиво.

Друзья, всем привет! Сегодня в эфире Яков Филёвский, эксперт по социотехническому тестированию Angara Security, и мы хотим поговорить о тревожном тренде, который уже успел навредить многим семьям.

МВД предупреждает о новом виде мошенничества в России: преступники звонят или пишут подросткам, выдавая себя за школьных или вузовских психологов. 

Схема многоступенчатая и продуманная. Сначала злоумышленники под предлогом психологического тестирования присылают фишинговые ссылки. Затем жертве сообщают, что её персональные данные похищены, и в дело вступают «сотрудники полиции». Под мощным психологическим давлением подростков вынуждают снимать и переводить деньги со счетов родителей, передавать наличные и даже вовлекают в преступные махинации. 

Обман по нарастающей

Преступники мастерски используют методы социальной инженерии: выдают себя за других людей и отыгрывают роли. В работе с подростками они выбирают персонажей, которым жертва охотно поверит. Одна из самых распространённых сейчас схем — «звонок психолога». 

Образ психолога предполагает безусловное доверие и авторитет, а также создает ощущение безопасности, ведь к такому специалисту мы обращаемся за помощью, считаем его надёжным человеком. Особенно велика вероятность, что подросток поверит мошеннику под такой маской, если он недавно обращался к психологу или в его учебном заведении проводили опросы и анкетирование. В качестве второго этапа преступники подключают следующую, более весомую роль «сотрудника правоохранительных органов» или «следователя». Этот переход создает эффект эмоциональных качелей: спокойное и доверительное общение с «психологом» переходит к стрессовому общению с «правоохранителем» в угрожающем тоне. Иногда «психолог» используется для постепенного погружения в тревогу, где жертву уже подхватывает следующий персонаж.

Сегодня я бы хотел рассказать о моем самом недооцененном кейсе за почти 5 лет работы. За это время мне удалось поработать со многими гигантами IT-рынка, которые платили достойные вознаграждения.

Однако случай, о котором пойдет речь, оставил после себя крайне неприятный осадок. Несмотря на то, что найденная мной уязвимость имела критический характер и могла привести к серьёзным финансовым последствиям для компании, её оценили в совершенно несоответствующую реальной угрозе сумму.

Именно поэтому я решил рассказать эту историю подробно, чтобы подчеркнуть важность адекватного отношения компаний к вопросам информационной безопасности и справедливой оценки труда специалистов.

Мало кто знает, но есть ряд биткойн-кошельков с ослабленной защитой. Их владелец хочет, чтобы вы их взломали и взяли деньги себе. Общая сумма ~1000 BTC. Это удивительная история началась в 2015 году....

22 июля Госдума приняла в третьем чтении поправки о штрафах за умышленный поиск экстремистских материалов в интернете. Закон одобрен Советом Федерации и уже подписан президентом.

Разбираемся, что это означает на практике.

В стремительно меняющемся цифровом мире управление уязвимостями — уже не просто техническая задача, а жизненно важный аспект успеха любой организации. Компаниям, которые хотят оставаться на шаг впереди потенциальных киберугроз, нужны спецы, которые могут не только выявлять слабые места в системе, но и устранять их с продуманностью шахматного мастера.

Вместе с этим, по результатам исследования «Солара» и hh.ru, половина ИБ‑специалистов начального и среднего уровня не проходит технические собеседования, и VM‑эксперты среди них — увы, не исключение. Это происходит отчасти и потому, что порой собеседования на позиции в VM превращаются в настоящие интеллектуальные испытания, где важно показать не только свои знания, но и способность мыслить на опережение.

В этой статье мы погрузимся в ключевые аспекты подготовки к собеседованию на позицию технического специалиста по устранению уязвимостей: разберем наиболее популярные вопросы «на засыпку», которые, по нашему опыту, вводят в ступор большинство профессиональных кандидатов (даже если на первый взгляд они кажутся очень простыми).

Также мы предложим не готовые шпаргалки или шаблоны, а подходы к решению задач и навыки, которыми должен обладать собеседник, и которые положительно выделят его на фоне других кандидатов.

Разберёмся, что именно скрывается под терминами "резидентский", "мобильный", "ISP" и "дата-центровый" прокси, в чём их технические отличия, как реализована маршрутизация и авторизация.

Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform. 

Привет, Хабр! На связи Дима Пичугин, тимлид в направлении комплаенса и безопасности данных. В статье рассказываю о пользе, которую подразделение информационной безопасности Т-Банка получило от каталога данных Data Detective и процессов вокруг него. 

Как человек, который стоял у истоков появления каталога данных в Т-Банке и выстраивал процессы защиты чувствительных данных, я надеюсь, что статья поможет кому-то избежать некоторых наших ошибок. При желании можно творчески позаимствовать некоторые из наших наработок для решения своих задач.

Целевые кибератаки сегодня представляют одну из наиболее сложных и длительных угроз для корпоративной ИТ‑инфраструктуры. Практически во всех таких инцидентах одна из ключевых целей злоумышленников — это получение или эскалация привилегированного доступа. Злоумышленники действуют не силой, а путем эксплуатации привилегий: выявляют неактивные или плохо защищенные учетные записи, проникают через уязвимые DevOps‑процессы, перемещаются по сети через незащищенные соединения и незаметно присваивают права доступа.

Как вы уже, наверное, знаете, Innostage не только интегратор, но также мы разрабатываем собственные продукты.

И в какой‑то момент мы с командой задали себе вопрос:

«Здравствуйте это служба безопасности банка. Вам срочно необходимо подтвердить ваши операции. Вот прям завтра до 18:00 необходимо собрать полный комплект документов и предоставить нам. Вы под подозрением в отмывании денег! Отправили письмо на почту, срочно ответьте!.»

Чем заканчиваются подобные звонки — знает, наверное, каждый.

«Взлом сновидений» — не фантастика, а реальность. Умные устройства уже следят за вашим сном, эмоциями и мыслями. Без защиты они превращаются в инструмент кражи данных, манипуляций и даже внушения ложных воспоминаний.

Спам-рассылки через SMS раздражают почти всех. Однако проблема не только в их назойливости, но и в том, что они часто являются инструментом мошенников. Фишинг якобы от имени крупных брендов остается действенным инструментом киберпреступников, с помощью которого они похищают персональные данные и деньги пользователей, параллельно нанося репутационный ущерб самим брендам.

Существует ряд методов противодействия таким атакам, но в этой «борьбе брони и снаряда» пока выигрывают киберпреступники. Я Никита Котиков, руководитель направления пресейла в компании CICADA8, и в этой небольшой статье я опишу, в чем проблема традиционных методов защиты, и расскажу, как можно было бы эффективнее блокировать мошеннические ресурсы.

Что нужно, чтобы скомпрометировать данные 27 миллионов абонентов, обрушить акции телеком-гиганта и поставить под угрозу национальную безопасность одной из самых технологически развитых стран мира? Свежий zero-day? Квантовый компьютер? Гениальная социальная инженерия?

Всего лишь веб-шелл, почти три года преступной халатности и один хитрый бэкдор.

Неизвестные злоумышленники с июня 2022 года хозяйничали в критической инфраструктуре крупнейшего корейского сотового оператора. Под катом мы разберем эту громкую историю.

Проверка ФСТЭК это не поиск нарушений ради наказания. Это формализованный аудит, цель которого определить, является ли ваша система безопасности действующим механизмом или просто набором документов и оборудования. Инспектор последовательно проверяет три слоя вашей защиты. Сначала он изучает заявленную на бумаге архитектуру. Затем он сверяет ее с фактической технической реализацией. В конце он оценивает способность персонала эту архитектуру поддерживать. Провал на любом из уровней ставит под сомнение всю систему.

Хабр, привет!

На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в июле 2025 года. В нем собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.

Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies.

С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом.

В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей.

Pix – это национальная система мгновенных платежей Бразилии, запущенная Центральным банком (Banco Central do Brasil, BCB) в ноябре 2020 года. Всего за несколько лет она совершила революцию в финансовой сфере страны, став повсеместно используемым способом переводов и платежей.

Pix позволяет физическим лицам, компаниям и государственным учреждениям переводить средства между любыми банками 24/7, практически мгновенно и с минимальными издержками. К 2024 году около 153 млн бразильцев (примерно 75% населения) и 15 млн компаний воспользовались Pix, а объем транзакций достиг 42 млрд в год – поразительные показатели, свидетельствующие о масштабном успехе системы. В этом обзоре мы рассмотрим архитектуру Pix, взаимодействие пользователей, банков и регулятора, вопросы безопасности и API-интерфейсов, роли участников (банки, финтехи, торговые предприятия), управление данными и отказоустойчивость системы. Отдельно постараюсь рассказать об интеграции Pix в контексте Open Banking/Open Finance и сравню Pix с другими системами быстрых платежей (индийской UPI, европейской SEPA Instant и российским СБП).

В данном цикле статей я опишу реализацию дашбордов по уязвимостям на no-code решении Budibase, разберу собственную систему приоритизации уязвимостей, покажу, как повысить эффективность устранения угроз с помощью EPSS, и как объединить данные из разных решений в области кибербезопасности.

Основная задача - создать внутреннее приложение, способное предоставить всем участникам процесса (SOC, системным администраторам и руководству задействованных подразделений) доступ к актуальной статистике и понимание текущей ситуации по уязвимостям. Вторая задача - реализовать приоритизацию уязвимостей более эффективным способом.

А задумывались ли вы, что некоторые сотрудники, которых мы обучаем правилам кибербезопасности, на самом деле не понимают буквально ничего из того, что мы им рассказываем? Не потому, что они глупы — а потому что их мышление и восприятие технологий, и уж тем более угроз в цифровом пространстве, находится совсем в другой плоскости.

Я специалист по информационной безопасности. Конкретно развитием киберкультуры сотрудников занимаюсь последние 2 года. На настоящий момент я провела около 100 индивидуальных консультаций с пользователями разного технического уровня (сотрудников офиса продаж, бухгалтерии, колл‑центров и даже врачей), организовала и провела около 40 обучающих вебинаров и очных встреч. И у меня накопился определённый опыт, которым я хочу с вами поделиться, если вы тоже занимаетесь развитием киберкультуры и заинтересованы повышением осведомленности своих сотрудников.

Небольшая оговорка: в данной статье я буду рассказывать об опыте обучения пользователей технологиям личной кибербезопасности. Вроде бы тема не совсем «корпоративная», но, думаю, объяснять, насколько всё взаимосвязано, не нужно. Если человек не понимает, что нельзя открывать фишинговые письма или переходить по подозрительным ссылкам на своем устройстве, то что он сделает на рабочем? Уязвимость человека — это уязвимость компании.

Мем и реальность

Однажды у меня с моей бабушкой состоялся разговор:

« -А ты кем вообще работаешь‑ то?

-Бабушка, я работаю специалистом по защите информации.

-Ну расскажи мне вкратце, что ты делаешь на работе?