В предыдущих статьях мы изучили подходы к разведке и анализу целей, а также ключевые аспекты этапа сканирования. Теперь пришло время разобраться в анализе парольных политик, ACL и DNS, найти способы бокового перемещения и провести обзор основных актуальных техник повышения привилегий.
Этот этап анализа безопасности — ключевой для оценки того, насколько эффективно корпоративная сеть защищена от различных угроз. Расскажу, из каких действий он складывается и какие инструменты нужны для их реализации.
В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.
На днях стало известно о том, что Минкомсвязи является приверженцем идеи единого оператора для создания 5G сетей связи, о чем сообщают «Ведомости». По мнению заместителя министра Олега Иванова, основная причина — нехватка частот в низком диапазоне (до 6 ГГц). Он утверждает, что для того, чтобы прочувствовать все преимущества 5G, необходима ширина полосы от 200 МГц.
Что касается стоимости проекта по созданию 5G инфраструктуры, то она составляет около 330-365 млрд при условии создания единого оператора. Если же компании будут самостоятельно развивать 5G, это увеличит затраты примерно в два раза — до 610 млрд рублей.
Администрация президента США Дональда Трампа разработала указ, который способен значительно осложнить работу телекоммуникационных компаний Китая в США. Об этом сообщает Bloomberg. По мнению представителей издания, ограничения призваны защищать интересы национальной безопасности страны.
При этом в указе нет названий конкретных компаний, также там нет прямого запрета на продажу китайскими компаниями услуг на рынке США. Тем не менее, если положения указа будут реализованы, то полномочия министерства торговли США в отношении оценки продукции и деятельности иностранных компаний будут существенно расширены.
В законопроект о принятии обеспечительных мер для создания автономной инфраструктуры внесены смягчающие правки. Так, операторов связи, которые не получат от государства оборудование для исполнения требований закона об устойчивости Рунета после его принятия, могут освободить от ответственности за неисполнение требований документа. Об этом сообщает ТАСС.
Другими словами, если оператору не дадут надлежащее оборудование, то компания ни за что не отвечает, поскольку она не виновата в неисполнении. «Если это оборудование не предоставлено, то оператор может работать по-старому. Если по каким-то причинам государство не сможет обеспечить их оборудованием, то операторы работают без изменений», — заявил представитель Минкомсвязи.
С 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) планирует ввести административную ответственность за несоблюдение требований к безопасности объектов критической информационной инфраструктуры (КИИ). К ним, в частности, относятся информационные системы государственных органов, оборонные и энергетические предприятия, кредитно-финансовые организации.
В настоящий момент закон о КИИ, который вступил в силу в прошлом году, работает не слишком хорошо. Тем не менее, в регионах начинают требовать его соблюдения, о чем сообщает «Коммерсант».
Владимир Путин поручил правительству перевести объекты критически важной информационной инфраструктуры на программное обеспечение отечественной разработки. Уже 1 августа 2019 года правительство должно представить свои предложения о мерах по обеспечению технологической независимости и безопасности важных объектов путем перевода их под управление ПО, разработанного в России.
По мнению авторов предложения, применение российского ПО в этой сфере даст возможность повысить общий уровень защищенности критической инфраструктуры.
«Антикризисное» предложение позволит сэкономить 8,8 млрд руб в 2020 году, отказавшись от финансирования следующих программ:
На чём сэкономят
работы по расчистке радиочастотного спектра для строительства инфраструктуры нового поколения 5G — 1,5 млрд рублей;
создание сети беспроводной связи для социально значимых объектов — более 2 млрд рублей;
покрытие сотовой связью автодорог федерального значения — 3,3 млрд рублей.
Всё бы хорошо, но за счёт сэкономленных средств Минкосмвязи РФ предлагает обеспечить бесплатным общедоступным ТВ жителей российских городов с населением менее 100 тыс. человек (доступ малых городов ко второму мультиплексу цифрового ТВ). На это хотят выделить 2,5 млрд руб. Остальное отдадут в резервный фонд правительства.
На мероприятии мы расскажем расскажет, как в сжатые сроки развернуть рабочую инфраструктуру в облаке. А технический директор проекта Forpeople поделиться секретами по запуску проекта на “низком старте”.
В следующую среду, 11 октября 2023 года в 11:00 МСК ITSumma совместно с партнерами проведет практический вебинар по быстрому запуску клиентского сервиса и развертыванию облачной инфраструктуры.
Как решать проблемы с кластерами, когда их размеры доходят до пределов, считающихся нормальными в публичных облаках? Об этом на конференции IT Infrastructure Day 2024 расскажет глава разработки платформы контейнеризации dBrain.cloud.
Минцифры считает, что инфраструктурный платёж маркетплейсов должен покрыть части убытков и ремонт отделений «Почты России» в малых населённых пунктах. Инициатива может коснуться 28 тысяч отделений почтовой связи.
Правительство Великобритании объявило о выделении тридцати шести миллионов фунтов стерлингов, что эквивалентно сорока четырём с половиной миллионам долларов США, для модернизации системы центрального отопления в Западном Лондоне. Информация от Datacenter Dynamics указывает на то, что система будет использовать отходящее тепло от дата-центров для обогрева до десяти тысяч домов. В прошлом году в этом районе произошёл скандал, связанный с тем, что новые строительные проекты жилья были приостановлены из-за того, что дата-центры забронировали всю доступную электроэнергию на местных подстанциях.
SRE — это не только про алертинг и постмортемы. Это ещё про то, чтобы до продакшена не доходил код, который будит ночью. SRE увеличивает скорость выхода новых фич и налаживает процессы в команде. Основная задача — стабильная и надёжная работа сервисов.
Привет, Хабр! В этом году провайдеру Selectel исполнилось 15 лет. В честь этого мы запустим IT-кроссворд Selectel 14 ноября. Это 4-дневное онлайн-соревнование для разработчиков, инженеров, аналитиков и всех тех, кто интересуется технологиями. Призы — мерч Selectel и бонусы в размере 10 000 рублей на аренду серверов. Темы кроссвордов и подробности — под катом.
Навыки работы в Linux и знание устройства сетей — база для DevOps-инженера. С изучения этой темы можно начать свой путь в DevOps. Тем, кто уже работает в этой сфере, полезно будет закрыть пробелы в знаниях и получить навыки траблшутинга — они точно пригодятся на практике.
11 сентября запускаем поток курса «Сети в Linux» и приглашаем на него всех желающих.
Если вы уже работаете с Kubernetes, то рано или поздно вам понадобится решить какую-нибудь сложную задачу по безопасности или тонкой настройке. Для этого нужно знать, что под капотом у Kubernetes и как выстаивается архитектура.
Научиться продвинутой работе с этим инструментом можно на нашем курсе «Kubernetes: Мега». Новый поток стартует 19 июня.
В начале июня вышел большой отчет CNCF о развитии Kubernetes (Project Journey Report) на основе статистики с DevStats tool. В нем рассказывается о том, что происходило с Kubernetes после того, как Google передала права на него в CNCF. Мы решили поделиться основными инсайтами.
По данным Datacenter Dynamics, облачная служба Amazon, Amazon Web Services (AWS), планирует вложить $7,8 млрд в развитие дата-центров в Огайо (США). Конечное место для новых объектов будет выбрано в последствии, с завершением проекта по модернизации инфраструктуры AWS ожидается к 2029-2030 годам.
KEP 3331 (Structured Authentication Config) — это самое крупное обновление в системе аутентификации Kubernetes за 6 последних лет, в котором учитываются все просьбы пользователей. Предварительно его альфа-версия должна выйти в составе релиза Kubernetes 1.28 — сам KEP уже смерджлили, но планы могут немного подкорректироваться.
В проработке фичи вместе с инженерами из Google и Microsoft активно участвовал наш Platform Lead Максим Набоких, который входит в состав Kubernetes sig-auth и является основным мейнтейнером Dex, свободного провайдера OpenID Connect.
Чтобы понять, в чем его преимущества, посмотрим, какими методами решается вопрос аутентификации пользователей сейчас:
Компания Positive Technologies заявила о выходе новой версии программы MaxPatrol VM 2.0. Новая версия системы получила модуль host compliance control (НСС) для автоматизированной проверки узлов сети на соответствие стандартам безопасности и функции, позволяющие учитывать рекомендации ФСТЭК по приоритизации уязвимостей.