Современная кибербезопасность включает в себя множество различных аспектов, объектов и субъектов защиты: информационные активы компании (ИТ-системы, бизнес-приложения, серверы, рабочие станции, сетевое оборудование), файлы и данные в самых разных форматах (от структурированных в базах данных до "озер данных" и накапливаемых огромных объемов Big Data), процессы компании (основные бизнес-процессы, вспомогательные, ИТ-процессы, процессы кибербезопасности), персонал (от уборщиц до топ-менеджеров), различные используемые технологии (разнообразное программное и аппаратное обеспечение). Все данные сущности подлежат анализу с точки зрения кибербезопасности, которая в современной компании сфокусирована на защите процессов, персонала, технологий, данных. Основными процессами кибербезопасности являются:
Кибербайки
Привет, Хабр!
Наверняка с тобой случилась хотя бы одна удивительная история в сфере ИТ или ИБ, которую ты привез из командировки, которая произошла на очередном закрытом проекте или случилась в твоей компании. На CyberCamp 2023 мы попросили соревнующиеся команды и зрителей поделиться интересными байками из своего профессионального опыта. Всё, что под спойлером, — чистая правда
P.S Если любишь байки — залетай в первую статью, которую мы выпустили в прошлом году.
Как выращивать SOC на корпоративной ферме
Леди и джентльмены!
Эта история о том, как группа из пяти инженеров-универсалов в течение года преобразовалась и выросла в полномасштабный Security Operations Center из трёх специализированных линий.
Когда-то мы и правда считали, что можем в 4-5 пар глаз отслеживать состояние всех критически важных сервисов и ситуативно автоматизировать самую унылую рутину, хорошо хоть вовремя опомнились.
Краткий обзор форума GIS DAYS 2023. День информационной безопасности
Продолжаем обзор программы форума GIS DAYS. Завершающий день форума был посвящен теме информационной безопасности, методике защиты от злоумышленников в период внедрения ИИ, а также обсуждению реальных потребностей бизнеса в области ИБ в условиях импортозамещения.
Как поддерживать себя в кибербезопасной форме: инструкция по самообразованию в IT на примере ИБ
Привет, Хабр! Меня зовут Роман Панин, я начал свой путь в ИТ с фронтенда около 10 лет назад. Затем я перешёл в кибербез и успел построить его в нескольких сферах – от нефтянки и финтеха до телекома. А ещё исследовал массу способов получения новых знаний и укрепления твердых навыков, чем и хочу поделиться с вами в этой статье.
Наша цель — улучшить профессиональные навыки и выстроить личный бренд без ущерба для психического здоровья. Все методы были проверены лично мной, поэтому я ручаюсь за их безопасность и результативность.
Как за одну неделю захватить контроллер домена, или Пивотинг за 300
У этичных хакеров не принято держать при себе то, что поможет кому-то найти брешь в системе защиты до того, как наступит недопустимое событие. А семь лет практики в анализе защищенности ИТ-инфраструктур дают свои плоды. Например, нетривиальные кейсы, о которых хочется рассказать. По этим причинам мы решили поделиться своим опытом и выпустить серию публикаций о необычных пентестах нашей команды.
Предупреждаем заранее: все данные, которые могли бы указывать на конкретных людей или компании, изменены, а любые совпадения — случайны. Конфиденциальность — это то, что мы гарантируем по умолчанию.
Итак, начнем с истории о том, как за одну неделю удалось захватить контроллер домена ИТ-инфраструктуры промышленного предприятия.
Достивисты и SYN-флуд: как началась эпидемия DDoS
С проблемой DDoS так или иначе сталкивался всякий бизнес, имеющий корпоративный сайт или предоставляющий своим клиентам веб-сервисы. Поэтому мы в CloudMTS предлагаем защиту онлайн-сервисов в разных локациях: в нашем облаке или в чужом, на вашей инфраструктуре или в другом дата-центре.
DDoS-кампании становятся изощреннее с каждым днём. Только в октябре этого года был установлен очередной рекорд — в ходе атаки количество запросов ботнета достигло 398 млн в секунду, что в 7,5 раз превышает предыдущие пиковые показатели.
Превзойти достижение предшественников атакующие смогли за счет использования нового метода на основе быстрого сброса потоков HTTP/2 (HTTP/2 Rapid Reset). Также сегодня злоумышленники все чаще применяют машинное обучение, чтобы маскировать вредный трафик и обходить защиту. Вместе с этим они активнее наращивают численность ботнетов за счет эксплуатации уязвимостей популярных IoT-гаджетов.
Первые шаги в истории DDoS были не менее разнообразными, хотя и намного более примитивными. Рассказываем, когда происходили такие атаки.
Визуализация: лучшие практики
В случае, когда требуется оперативно (и вдумчиво) оценить ситуацию в целом и ответить на сложные комплексные вопросы, на помощь приходит визуализация. В нашем случае речь пойдет о метриках эффективности по большей части в области ИБ, но на самом деле все нижесказанное применимо и к бизнес-сегменту, так как логика настройки BI-решений схожая.
Визуализация результатов работы позволяет как дать оценку работы систем или людей, так и проиллюстрировать необходимость запроса, к примеру, потребность отдела в новых вакансиях или отказ от того или иного средства защиты.
Настройки безопасности контейнеров и Kubernetes
В этой статье представлен список инструментов Linux и функционала Kubernetes, регулирующих безопасность контейнеров. Статья имеет описательный характер для базового понимания настроек безопасности, а также для систематизации полезных инструментов и полей спецификации k8s для этих целей. Статья основана на книгах, представленных в главе «Литература».
Безопасность контейнеров в Linux
Основной особенностью контейнеров является изоляция процессов средствами Linux. При этом, приложения в контейнере делят общее ядро операционной системы с другими приложениями. Какие же ограничения применяют контейнеры?
Контейнеры должны контролировать права процесса, доступ к ресурсам хоста и доступ к другим файлам файловой системы. Разберемся со всем по порядку.
Ограничения прав процесса
Можно настроить очень простое разграничение доступа для процесса: наличие или отсутствие прав root.
Также можно разрешить запускать некоторые процессы с привилегиями root обычному пользователю, повесив файлу флаг Setuid (если владелец файла - пользователь root). Setuid позволяет вызвать процесс от имени владельца, а не от имени запускающего пользователя.
Обычно флаг setuid (+s) используют вспомогательные программы для назначения capabilities - возможностей, для которых требуются повышенные привилегии.
Это небезопасно, например, можно задать бит +s для bash-скрипта и через него под привилегиями root выполнить любое содержимое этого скрипта. Но это более правильный вариант, чем давать исполняемому файлу полные права админа.
Съемка видеоинструкции: от идеи к реализации
Технические писатели создают текстовые документы, но что если для процесса одного текста мало? Тогда приходится учиться монтировать и делать видеоинструкции.
В этой статье я рассказала, как и зачем в Компании «Актив» мы делаем видеоинструкции на примере одного важного кейса: здесь про цели, сценарий, запись звука и программы для монтажа.
Должно быть интересно!
Модель зрелости SOAR
Михаил Пименов, аналитик Security Vision
В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами специалистов Security Vision, которая базируется на экспертизе, полученной в результате десятков реальных внедрений систем класса IRP/SOAR
Открытые инструменты для превентивной защиты и ИБ-аудита
Есть два ключевых подхода к защите ИТ-систем: реактивный и превентивный. Реактивный — это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности. Превентивный подход подразумевает обнаружение и минимизацию возможных угроз.
Для выстраивания комплексной системы безопасности следует внедрять оба подхода. Но ресурсов собственного штата ИБ-специалистов не всегда хватает. Чтобы решить кадровую проблему и повысить безопасность, компания может обратиться к облачному провайдеру, который обеспечивает безопасность с помощью портфеля готовых сервисов.
Так у МТС есть собственный Security Operation Center для комплексной защиты всех ресурсов клиентов от киберугроз при помощи мониторинга и реагирования 24/7 на инциденты ИБ. Изначально SOC защищал исключительно инфраструктуру МТС и дочерних предприятий, но со временем ИБ-услуги стали доступны всем клиентам.
В другом сценарии (который, впрочем, легко реализовать не вместо облачных сервисов, а вместе с ними) специалисты по кибербезу действуют своими силами и используют открытые технологии. Сегодня мы остановимся на знакомстве с некоторыми интересными open source (Apache License 2.0) инструментами для ИБ-аудита, превентивной защиты и организации безопасных инфраструктурных решений.
Искусство следопыта в корпоративной инфраструктуре
В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции быстроного Ахиллеса, который, догоняя черепаху, всегда остается чуть позади.
Reuters: США активизировало расследование в отношении «Лаборатории Касперского»
По информации издания Reuters, власти США активизировали расследование в отношении «Лаборатории Касперского». Они считают, что продукция «Лаборатории Касперского» способна представлять неприемлемый риск для национальной безопасности США.
Positive Technologies выпустила новую версию песочницы для защиты от целевых и массовых атак PT Sandbox 4.0
Новая версия продукта PT Sandbox поддерживает серверные операционные системы (ОС) Microsoft Windows Server 2016 и Windows Server 2019. Это позволяет воспроизводить в песочнице виртуальные машины и находить атаки, направленные на данные типы ОС. Также в ней появился гибкий механизм поиска, помогающий специалистам по ИБ в нахождении следов компрометации и проверке гипотез, выдвинутых в рамках threat hunting.
VK в 2023 году увеличит бюджет на кибербезопасность в 2,5 раза и расширит штат ИБ-специалистов
VK в 2023 году увеличит бюджет на кибербезопасность в 2,5 раза. Также компания собирается значительно расширить штат ИБ-специалистов.
Минцифры создаст систему сертификации для российских специалистов по кибербезопасности
Минцифры работает над созданием собственной системы сертификации для российских специалистов по информационной и кибербезопасности в рамках внедрения параллельной сертификации для внутреннего пользования в стране. Ведомство рассматривает запуск проекта по сертификации по аналогии с зарубежными ИБ-сертификатами типа CISSP, CompTIA Security+, CCNA Security и другими, получение или продление которых сейчас в РФ стало невозможно из-за санкций и отказа вендоров и иностранных систем сертификации в сотрудничестве и регистрации пользователей из РФ.
Выходцы из Positive Technologies запустили компанию в области кибербезопасности CyberOK
По информации издания «Коммерсантъ», выходцы из ИБ-компании Positive Technologies запустили проект под названием CyberOK. Это платформа кибербезопасности на базе технологий с открытым исходным кодом.
ИБ-стартап Lacework объявил о сокращении штата на 20%
Американский стартап в области облачной безопасности Lacework уволил 20% своих сотрудников спустя несколько месяцев после привлечения рекордной в сфере ИБ инвестиции в размере $1,3 млрд. Рыночная стоимость компании достигла $8,3 млрд.
«Ростелеком-Солар» инвестирует до 2025 года 22 млрд рублей в стартапы, ИБ-компании и в свои проекты кибербезопасности
8 июня 2022 года российский провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью «Ростелеком-Солар» сообщил, что инвестирует до 2025 года 22 млрд рублей в ИБ-стартапы и компании в сфере кибербезопасности, а также в собственные разработки и проекты.