Информационная безопасность *

Привет, Хабр! На связи команда безопасности Платформы в лице её тимлида Букина Владимира. Основная задача нашей команды — защита CI/CD и, в частности, GitLab с K8s. Дальше я расскажу вам о том, как мы внедряли, поддерживаем и улучшаем наш плагин авторизации для Docker socket.

Так сложилось в нашей индустрии, что ИБ всегда догоняет технологии, которые внедрили в IT. При внедрении технологии всплывают всевозможные риски, о которых не успели подумать при разработке. Для мира ИБ Docker и K8s — ещё совсем свежие технологии. Исследований не так много. Всё ещё куча уязвимостей (в том числе и необнаруженных), и поэтому поработать с ними особенно интересно.

В статье хочу рассказать о том, как мы сделали наши CI/CD-процессы более безопасными: в частности, про shared Docker executor и использование Open Policy Agent (OPA). Поделюсь нашими правилами для ОРА-плагина, которые можно переиспользовать в любой компании для того, чтобы обезопасить ваши контейнеры.

Статья будет особенно полезна инженерам ИБ, DevOps-инженерам, архитекторам и СТО, но и разработчики найдут для себя что-то интересное, я уверен.
Погнали!

Совсем недавно разработчики, применяющие сканер образов Trivy, столкнулись с ошибкой TOOMANYREQUESTS. Она произошла из-за достижения максимального количества пользователей инструмента и предельной скорости по загрузкам из Container Registry (CR) ghcr.io.

Меня зовут Алиса Кириченко, я занимаюсь разработкой контейнерной платформы «Штурвал». Мы вовсю используем Trivy, но совсем не хотим зависеть от доступности сторонних сервисов. Иначе заказчики не поймут. Поэтому базы у нас свои, и обновляются они каждую ночь.

Если лень дальше читать, то вот, берите:

Trivy DB: public.shturval.tech/trivy-db

Trivy Java DB: public.shturval.tech/trivy-java-db

Детали — под катом.

Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.

Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их.

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

ИБ-энтузиаст «теряет» на разных публичных площадках ключи AWS API, чтобы выяснить, как быстро до них доберутся злоумышленники, — и приходит к неутешительным результатам.

Начало

Когда духи приходят в наш мир и магия становится не просто мифом, а чем-то реальным, случиться может все что угодно. Например, все сервера внезапно перегреются, задымятся, и у пользователей пропадет доступ к вашим сервисам. Или, что не менее ужасно, хакер зашифрует данные клиентов и будет требовать много-много денег за расшифровку. 

Ни то ни другое в нашем облаке не случается, потому что мы защищаемся ИБ-сервисами.

Но если вы забыли договориться с потусторонними силами, то прочитайте несколько страшных сказок от наших ребят. Они вполне могут стать реальностью, если с киберзащитой не все гладко, а пароли хранятся на стикерах, приклеенных к монитору. 

Выявление инцидентов является одной из основных задач специалистов по информационной безопасности. Обнаруживать инциденты можно различными способами. Например, можно вручную анализировать журналы событий в поисках интересующих сообщений о подозрительных активностях. Можно на основе grep и регулярных выражений разработать скрипты, которые будут в более менее автоматизированном режиме искать нужные события. Также сами логи можно хранить локально на той же машине, можно централизованно складывать и анализировать на отдельном сервере. Однако, все эти самопальные инструменты хороши, когда речь идет о нескольких серверах и не слишком большом потоке событий.

В случае, если у нас десятки и сотни серверов, генерирующих события, лучше всего использовать специализированные решения SIEM (Security information and event management), предназначенные для управления событиями безопасности. Помимо централизованного хранения событий ИБ, SIEM также может анализировать приходящие события на соответствие правилам корреляции для выявления инцидентов, и вот об этом мы и будем говорить в данной статье. В качестве примеров логов будут рассматриваться как журналы событий ОС Windows, так и Linux.

Искусственный интеллект уже прочно вошел в арсенал инструментов современного бизнеса. Его применение теперь норма, а не исключение. ИИ эффективно решает задачи классификации, анализа данных и прогнозирования рисков в самых разных отраслях.

Например, в банковском секторе ИИ используется для совершенствования скоринговых систем. Алгоритмы, обученные на реальных данных, оценивают кредитоспособность клиентов, учитывая множество факторов: кредитную историю, наличие активов, место работы и уровень дохода заемщика. Это позволяет найти баланс между потребностями клиентов и рисками кредитования, повышая эффективность работы финансовых учреждений.

Но кроме финансовых задач ИИ можно использовать и в сфере кибербезопасности. Мы проверили, может ли его внедрение повысить защиту в целом и повлиять на прибыльность.

В статье расскажем о решении класса PAM (Privilege Access Management), а также рассмотрим, кто такие привилегированные пользователи и какую ключевую роль они играют в управлении доступом к критически важным системам и данным. Понимание особенностей этой роли и рисков, связанных с действиями привилегированных пользователей, является основой для разработки эффективных стратегий управления доступом и защиты информации.

Представьте себе дом, где лампочки сами включаются, когда вы входите, а термостат автоматически регулирует температуру. Это реальность, которую предлагает Zigbee - беспроводная сеть, незаметно управляющая умными устройствами в вашем доме.

Но как работает эта невидимая "нить"? И насколько это безопасно? В этой статье рассмотрим основные концепции Zigbee, его архитектуру и технологические характеристики, а также погрузимся в главные механизмы обеспечения его безопасности.

Привет! Меня зовут Павел, и я руководитель офисной IT‑инфраструктуры в Яндексе. Не один год своей работы в той или иной степени я посвятил «Макам» и другим Apple‑устройствам. А в компании их сейчас уже больше 20 тысяч, и управлять таким парком — задача нетривиальная.

Надеюсь, что сегодняшняя тема будет интересна системным администраторам и инженерам поддержки пользователей на платформе macOS. Поговорим об Active Directory и альтернативах этому решению, обсудим, имеет ли смысл вводить компьютеры на macOS в домен и как это всё должно работать.

В октябрьском дайджесте собрали инциденты, которые точно пощекотали нервы ИБ-отделам пострадавших компаний. На хэллоуинской повестке – миллионная афера с мертвыми душами, хакер, смертельно обиженный непризнанием заслуг, и страшно частые атаки на геймдев.

BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна.

Когда мы только начали предоставлять BitNinja, появилась разумная идея, что неплохо бы протестировать его самостоятельно. 

Тестирование BitNinja мы разделили на три фазы, первая из них — пассивное. Просто размещаем BitNinja на серверах с разной конфигурацией и смотрим, на какие активности он реагирует.

В этой статье я расскажу об итогах пассивного тестирования. По его результатам я сгенерировал несколько гипотез:

✓ Даже пустой сервер подвергается атакам.

✓ WordPress привлекает больше внимания атакующих, чем Drupal.

✓ Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.

✓ Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.

Доброго дня, уважаемые!

Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

Всем привет! На связи снова Даниил Нейман из отдела развития инициатив сообществ по ИБ в Positive Technologies. В прошлой статье я рассказывал про одну из основных проблем, с которой сталкивается специалист при анализе кибератак, а именно про сложность анализа без использования стандартизированных методов моделирования атак для разбиения и визуального представления различных этапов кибератаки.

Нами были рассмотрены методы моделирования атак на основе юзкейсов, теперь поговорим про темпоральные методы моделирования (акцент на хронологическом порядке и последовательности событий в кибератаке).

Отличительной чертой этих методов является представление кибератаки с временной точки зрения. Они позволяют моделировать и анализировать развитие атаки во времени, учитывая динамику изменений состояния системы или сети, а также временные зависимости между действиями атакующего.

Для умных дядь в статье ничего интересного, это статья про обычный туннель. Оно для самых маленьких, но отчаянно нуждающихся. Никаких wg-quick'ов тут, впрочем, не будет. :)

Когда я стал упорядочивать «знания» ввиде этой статейки, и понял, что в итоге получилось, то заметил, что информации по данной теме, оказывается, предостаточно (даже на Хабре), жаль, что осознал я это только уже когда всё сделал и понял, что мне, собственно, нужно было гуглить. В общем, пусть останется, дабы кто‑то, кто гуглит так же неправильно, мог случайно на эту статью наткнуться и что‑то полезное для себя почерпнуть. В процессе реализации я на каждом шаге споткнулся по нескольку раз, поэтому решил прокомментировать тут всё максимально подробно.

Сколько раз вы были свидетелями судейства на хакатонах, которое, на первый взгляд, казалось неверным? Думаем, таких случаев было много.

Сегодня мы посмотрим на результаты AI Product Hack и постараемся разобраться в том, кто после присуждения мест оказался прав: раздосадованные поражением участники команд или судьи.

В частности мы будем рассматривать кейс компании Raft — «Мониторинг токсичного контента в AI‑продуктах».

Первый справедливый вопрос, почему токсичный контент? Все просто. Для тебя, дорогой читатель, не секрет, что LLM на пике популярности. И когда ты захочешь внедрить умного ассистента или RAG систему в прод, тебе вряд ли будет приятно увидеть галлюцинирующие ответы модели, представляющие потенциальную опасность. Например, представим команду интеграции LLM пайплайнов которые сидят у себя в кабинете и радуются тому, что смог сэкономить после замены кучи операторов поддержки одним чат ботом. Но вдруг, внезапно оказывается, что на любую блажь приходят недоброжелатели, которым не терпится послать 100 500 атак на бота, содержащих джейлбрейки, промпт‑инъекции и пр. После этого никто уже не радуется, ведь его инновационное решение продает товары за минимальную стоимость, сливает пользователям конфиденциальную информацию, ведет себя как гигачад с форчана и выдает опасные инструкции. Все это ведет к огромным финансовым потерям и опускает рейтинг доверия к компании в самый низ.

Вступление

Когда я присоединился к компании IDX после некоторого перерыва в профессиональной карьере, хотя и не в прежнем качестве архитектора и менеджера проектов, а в роли автора, я погрузился в обширный материал того, что произошло в отрасли информационной безопасности (ИБ) за последние десять лет. По мере вхождения в предмет я не мог не заметить, что тема персональных данных (ПД) стала занимать гораздо больший объем в необъятном и довольно эклектичном круге вопросов ИБ, чем это было всего несколько лет назад.

Попросту говоря, складывается ощущение, что выдувается пузырь. Тут же захотелось понять — сам выдувается или его выдувают. Вы же помните пузыри доткомов, когда в любой завалящий проект инвесторы вливали щедрые миллионы, лишь бы в описании было что‑нибудь «с точкой» (.com). Инвестиционному рынку это на пользу не пошло, но это другая история. Здесь меня больше волновала судьба того проекта, в котором я теперь участвую, и хотелось увидеть его в перспективе. Идею проекта я слышал от основателя и руководителя IDX Светы Беловой еще лет десять назад. Еще через пару лет звезды встали правильно, и вот уже седьмой год компания успешно работает на рынке, пусть и довольно нишевом. Если бы это был чисто инвестиционный пузырь, столько лет он бы не продержался, значит, как минимум, во всей это истории есть естественный дрейф, и есть искусственные воздействия на направление этого дрейфа. Захотелось посмотреть на этот дрейф на фоне «большой картинки». На нашем внутреннем жаргоне этот жанр называется «поговорить о великом». Поэтому я решил написать эту заметку, описывающую «большую картинку», как я ее вижу.

Допустим такой кейс: cотрудники компании использовали корпоративные устройства под управлением EMM системы (Enterprise Mobility Management), политики которой запрещали WhatsApp, что было неудобно сотрудникам, потому что партнёры и клиенты компании иногда предпочитали общение в этом приложении.

«Левым» приложениям не доверяют, потому что они могут совать нос в конфиденциальные данные компании или сканировать частную корпоративную сеть. Как тогда разрешить ситуацию? В конце статьи бонусом расскажу об условиях, при которых получение root прав или прошивка неофициальной ОС превращает смартфон или планшет Samsung в «кирпич»