Как стать автором
Обновить
1093.44

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Security Gate (DevSecOps cicd)

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров638

Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps.

Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!

Читать далее

Новости

Топ российских мессенджеров для работы в команде. Чем заменить WhatsApp и Telegram

Уровень сложностиПростой
Время на прочтение12 мин
Количество просмотров7.6K

Вероятность блокировки Telegram и WhatsApp только становится только выше. 10 июня Госдума приняла закон о создании российского национального мессенджера. Мы собрали топ корпоративных мессенджеров, которые могут стать достойной заменой WhatsApp и Telegram. 

Читать далее

От хаоса к порядку: как ML помогает искать и защищать конфиденциальную информацию

Время на прочтение11 мин
Количество просмотров685

В современном мире объемы данных растут экспоненциально: компании ежедневно генерируют и обрабатывают огромные массивы информации — от реляционных баз данных и текстовых документов до изображений, аудио и видео. С ростом объемов информации усложняется и ее защита, особенно в отношении чувствительных сведений: персональных данных сотрудников и клиентов, финансовой информации, корпоративных документов и других конфиденциальных материалов.

Традиционные методы обнаружения и классификации информации, основанные на формальной экспертизе и регулярных выражениях, демонстрируют ограниченную эффективность: они неплохо работают для стандартных форматов, таких как email-адреса и банковские карты, но могут не покрывать с должной полнотой обнаружение в реальных сценариях. На помощь приходит машинное обучение, позволяющее автоматизировать процесс классификации, учитывать контекст и работать с разными источниками информации.

Меня зовут Вадим Безбородов. Мы c Максимом Митрофановым в департаменте Data science & ML в Positive Technologies занимаемся исследованием и внедрением машинного обучения в продукты компании. В этой статье расскажем о наших исследованиях и внедрении ML в модуль поиска и классификации чувствительных данных в PT Data Security.

Читать

Форки Firefox. Поднимаем собственный сервер синхронизации

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров4.5K

Firefox — последний независимый браузер на собственном движке, который противостоит монополии Chrome. Однако некоторые пользователи недовольны политикой организации Mozilla: она собирает телеметрию, угрожает внедрять ИИ, искать новые источники дохода и использовать персональные данные пользователей.

Так что для безопасности есть смысл переключиться на безопасный форк Firefox. Правда, в этом случае мы лишаемся некоторых удобных централизованных сервисов, таких как синхронизация браузера между разными устройствами.

Но эту проблему можно исправить. В частности, сервер синхронизации Firefox можно установить на собственном хостинге.

Читать далее

Zero Trust в облаке: практическое руководство

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров532

В этом руководстве рассматривается современный подход к безопасности — Zero Trust Network Access (ZTNA) — и показано, как его реализовать с помощью SPIFFE/SPIRE и OpenID Connect (OIDC). Материала много, по этому я предоставлю его в сухой форме.

В основе ZTNA лежит принцип «никогда не доверяй, всегда проверяй»: каждый запрос на доступ считается потенциально небезопасным и проходит обязательную аутентификацию и авторизацию. По сравнению с классическими VPN-сетями решения ZTNA на базе SPIFFE/SPIRE и OIDC: Ускоряют процедуру аутентификации в 20–80 раз, Повышают производительность на 46–64 %, В облаках AWS и Google Cloud позволяют снизить задержки до 50–100 мс вместо привычных 2–4 с.

Читать далее

История о том как абсолютное оружие оказалось никому не нужным

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров20K

Все началось с того что к нам в офис приехал директор иногороднего филиала.

Он подошел ко мне и сказал примерно следующее:

«Я переписываюсь с генеральным директором с помощью mail.ru.

В переписке мы обсуждаем весьма щекотливые вопросы, связанные, например, с …, ну тебе лучше не знать…. Я бы не хотел чтобы эта переписка была доступна третьим лицам.»

Читать далее

«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в подключаемом модуле Bitrix

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров2.5K

Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но вот коллегам из администрирования и бизнеса, я думаю, может быть полезно увидеть, почему хотя бы раз в год надо уделять время проверке и устранению уязвимостей.

В СМИ периодически появляется информация об массовых атаках на сайты на базе Bitrix с использованием уязвимостей в сторонних модулях — например, недавно компания предупреждала об уязвимости в подключаемых модулях от eSolutions и «Маяк».

Мы в центре мониторинга и реагирования на киберугрозы RED Security SOC тоже регулярно видим такие атаки. В этой статье покажем, как они выглядят in the wild, как их выявлять и блокировать их развитие.

Читать далее

Александр Севостьянов, АО «ДИАЙПИ» (ТМК++): «Если вы данные не контролируете, вы ими не управляете»

Время на прочтение6 мин
Количество просмотров355

Привет, Хабр! У нас есть традиция: периодически делимся рассказами крутых ИБ-специалистов и руководителей, которые на практике реализуют проекты по защите компаний разных отраслей. Сегодня микрофон у Александра Севостьянова, Директора Дирекции по экономической безопасности АО «ДИАЙПИ» - Советника СЭБ ПАО «ТМК».

В интервью — про контроль в распределённом периметре, особенности защиты активов Группы ТМК и опыт создания подразделения корпоративной безопасности.

Читать далее

Операция Phantom Enigma: бразильские пользователи под ударом вредоносного расширения

Уровень сложностиСредний
Время на прочтение13 мин
Количество просмотров527

В начале 2025 года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера Google Chrome, нацеленного на пользователей из Бразилии. 

В процессе исследования были обнаружены файлы, находящиеся в открытой директории злоумышленников, что позволило определить еще одну вариацию атаки с использованием Mesh Agent или PDQ Connect Agent вместо вредоносного расширения браузера. Там же располагались вспомогательные скрипты, содержащие в себе ссылки, в параметрах которых фигурировал идентификатор EnigmaCyberSecurity, — в честь него и была названа кампания.

Читать далее

Hydroph0bia (CVE-2025-4275) — тривиальный обход SecureBoot в UEFI-совместимых прошивках на базе платформы Insyde H2O

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров2K

Здравствуй, читатель. В этой статье я расскажу про найденную мной не так давно серьезную уязвимость в UEFI-совместимых прошивках на базе платформы Insyde H2O, которая присутствует в них примерно с 2012 года и (на большинстве существующих ныне систем) продолжает присутствовать.

Уязвимость эта позволяет надежно (и незаметно для средств мониторинга стандартных переменных UEFI SecureBoot вроде db, KEK и PK) обойти механизм проверки подписей UEFI-драйверов и UEFI-загрузчиков, а для её успешной эксплуатации требуется только возможность записи в UEFI NVRAM (доступная и в Windows, и в Linux после локального повышения привилегий).

Я категорически не советую использовать полученные из этой статьи сведения для совершения каких-либо противоправных действий, всю полученную информацию вы используете на свой страх и риск.

Читать далее

Безопасность 1С: обзор уязвимостей и рекомендации по защите

Уровень сложностиСредний
Время на прочтение13 мин
Количество просмотров3K

В данной статье мы рассмотрим архитектуру 1С с точки зрения информационной безопасности: разберем характерные уязвимости, присущие различным вариантам подключения к системе, приведем примеры типовых сценариев атак, а также предложим практические меры по их предотвращению.

Читать далее

Нужен ли внешний SSL-офлоадинг, если Intel уже встроила его прямо в CPU?

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров1.3K

HTTPS стал стандартом — а вместе с ним выросла нагрузка на инфраструктуру. Расшифровка трафика серьёзно нагружает CPU, поэтому многие до сих пор используют внешние SSL-ускорители с ASIC-чипами. Но с выходом серверных процессоров Intel Xeon 4-го поколения всё изменилось.

Теперь TLS-терминация может выполняться прямо на сервере — быстро и эффективно. Встроенный в CPU криптоускоритель Intel QAT открывает путь к распределённой обработке HTTPS-трафика без компромиссов по производительности и надёжности.

Читать далее

Как мозг «заставляет» нас вестись на фишинг и что с этим делать

Время на прочтение12 мин
Количество просмотров1.3K

Мы — трудяги IT-сферы — привыкли думать о себе как о разумных, рациональных и технически подкованных людях. Мы регулярно проходим курсы по кибербезу, тысячу раз читали про цифровую гигиену и осторожность в сети. И все же нет-нет да и кликаем на подозрительные ссылки. Почему так и что с этим делать? 

С вами снова Екатерина Косова — бизнес-аналитик в Cloud.ru и по совместительству исследователь когнитивных процессов. В этой статье расскажу о трех главных психологических механизмах, которые делают каждого из нас потенциальной жертвой фишинга, а заодно — о том, как с ними бороться. С конкретными примерами и ссылками на актуальные научные исследования. Погнали?

Узнать больше

Ближайшие события

Почему при аутентификации в Linux пароль хуже ключа

Время на прочтение15 мин
Количество просмотров9.9K

Привет, Хабр! На связи Кирилл, сисадмин в Selectel. Если вы только начинаете свой путь в системном администрировании, то наверняка задумывались, что происходит «под капотом» Linux при вводе логина и пароля. Давайте заглянем в потроха системы, чтобы: разобраться, как она удостоверяется в подлинности пользователя; сравнить привычные пароли и SSH-ключи; настроить сервер для безопасной работы. Добро пожаловать под кат.
Читать дальше →

ИБ-исследователь Michal Wozniak: «Telegram неотличим от приманки спецслужб»

Уровень сложностиСредний
Время на прочтение19 мин
Количество просмотров25K

Многие люди, занимающиеся информационной безопасностью, включая меня, давно считают Telegram подозрительным и ненадежным. Теперь, основываясь на выводах, опубликованных расследовательским журналистским изданием IStories*, и моем собственном анализе перехватов пакетов из Telegram для Android и протокола Telegram, описанного ниже, я считаю Telegram неотличимым от ханипота для слежки.

Читать далее

Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

Время на прочтение12 мин
Количество просмотров31K

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

Читать далее

Маскирование данных при работе с LLM: защита бизнеса от утечек и штрафов по 152-ФЗ

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров554

Корпоративный сектор всё активнее внедряет решения на базе больших языковых моделей (LLM) — от генерации документов до поддержки пользователей и автоматизации внутренней аналитики. Однако вместе с ростом эффективности растут и риски, особенно когда речь идёт о передаче персональных данных. Для российских компаний эти риски связаны не только с киберугрозами, но и с прямыми нарушениями Федерального закона №152-ФЗ «О персональных данных». Одним из ключевых способов защиты информации в таких сценариях становится маскирование данных — то есть скрытие или замена персональных данных в сообщениях, обрабатываемых LLM.

Читать далее

Проверяем написанную LLM библиотеку OAuth на уязвимости

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров4K

Сегодня я решил изучить новую библиотеку Cloudflare OAuth provider, которую, судя по заявлениям, почти полностью написали при помощи LLM Claude компании Anthropic:

Эта библиотека (в том числе и документация по схеме) была по большей мере написана при помощи Claude — ИИ-модели компании Anthropic. Результаты работы Claude были тщательно проверены инженерами Cloudflare, уделившим особое внимание безопасности и соответствию стандартам. В исходный результат было внесено множество улучшений, в основном тоже при помощи промптов Claude (и с проверкой результатов). Промпты модели Claude и созданный ею код можно посмотреть в истории коммитов.

[…]

Подчеркнём, что это не «вайб-кодинг». Каждая строка была тщательно проверена и согласована с соответствующими RFC специалистами в сфере безопасности, уже работавшими в этими RFC. Я пытался подтвердить свой скепсис, но оказалось, что я ошибался.

Я и сам в последнее время достаточно много писал подобным образом код при помощи «агентских» LLM. И я тоже специалист по OAuth: я написал API Security in Action, многие годы был членом OAuth Working Group в IETF и ранее работал техлидом, а затем архитектором безопасности в ведущем поставщике решений OAuth. (Также у меня есть степень PhD в сфере ИИ, полученная в группе изучения интеллектуальных агентов, но ещё до возникновения современного ажиотажа вокруг машинного обучения). Поэтому мне было очень любопытно, что же создала эта модель. И сегодня, сидя на паре совещаний, я решил изучить результаты. Дисклеймер: я лишь вкратце просмотрел код и нашёл несколько багов, а не выполнял полный анализ.

Читать далее

Security Week 2524: кража данных из Salesforce с помощью голосового фишинга

Время на прочтение3 мин
Количество просмотров512
Команда Google Threat Intelligence на прошлой неделе опубликовала отчет о системных атаках на организации, целью которых является хищение данных из CRM-системы Salesforce. Важной особенностью атаки является использование так называемого vishing или голосового фишинга. Работает атака следующим образом: сотруднику компании звонят на мобильный телефон, представляются специалистом техподдержки и убеждают ввести в интерфейсе Salesforce код для авторизации стороннего приложения.



Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce Data Loader, обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов с последующей кражей данных компаний.
Читать дальше →

Escплуатация. Повышение привилегий с использованием AD CS

Время на прочтение56 мин
Количество просмотров1.7K

Привет, Хабр! На связи команда PT Cyber Analytics. Мы взаимодействуем с этичными хакерами в различных red‑team‑проектах, реализуемых для наших заказчиков. Пока хакеры занимаются поиском уязвимых мест и различных недостатков в системах заказчиков, мы — аналитики — занимаемся комплексным анализом системы, оценкой уязвимостей и их последствий в контексте угрозы для заказчика, составляем список рекомендаций и мер и представляем все обнаруженное хакерами и проанализированное нами в форме понятных отчетов. В процессе работы над подобными проектами мы провели множество исследований инфраструктур и накопили знания о различных актуальных атаках — и хотим поделиться этими знаниями с экспертами или теми, кто просто заинтересован в информационной безопасности.

Свою статью мы бы хотели начать с обсуждения атак, наиболее часто проводимых в рамках внутренних пентестов. Основная цель внутренних пентестов — получение контроля над инфраструктурой заказчика. Поскольку большая часть компаний использует Active Directory для построения сетей, то цель обычно достигается путем получения учетной записи администратора домена (или другой учетной записи с аналогичными привилегиями). С такими правами потенциальный нарушитель может сделать практически все что угодно: добраться до любой важной информации, зашифровать данные, вывести критически значимые системы из строя и т. п. Таким образом, получения подобной учетной записи в большинстве случаев достаточно для окончания работ и подтверждения успешности взлома внутренней сети. Есть множество способов добиться этой цели, один из них, и достаточно популярный, — проведение атак на службу сертификации Active Directory (AD CS).

Читать далее
1
23 ...