Обычно, когда начинается разговор о DevSecOps, все сразу вспоминают о необходимости встраивать в конвейер SAST, DAST, SCA инструменты, проводить различные тесты на безопасность приложения и регулярно сканировать работающее в продуктивной среде решение.

Но при этом не стоит забывать и о необходимости обеспечивать безопасность самого конвейера CI/CD. В сегодняшней статье мы рассмотрим обеспечение безопасности конвейера, построенного на основе Jenkins. Но сначала рассмотрим краткое описание этого решения, что Jenkins из себя представляет и для чего используется. 

В 2023 году средний ущерб от кибератак для российских компаний составил 20 млн руб. — и это только деньги, без репутационных потерь, нервов и роста рисков повторных вторжений. В первом квартале 2024-го тенденция продолжилась: количество инцидентов увеличилось как минимум на 7%. Сегодня у любого бизнеса есть ИТ-составляющая: сайт, базы товаров и клиентов, ПО, оборудование, подключенное к интернету, или просто страница в соцсети. Значит, вы уже находитесь в зоне риска, вопрос только в его уровне. Давайте проверим!

Свою первую SIEM-систему я внедрял в 1998-99-х годах (сам термин Gartner ввел только в 2005 году), и тогда от этого класса продуктов ожидать многого было сложно: они собирали события безопасности от систем обнаружения вторжения и сканеров уязвимостей и коррелировали их, снижая тем самым число ложных срабатываний и позволяя специалистам по ИБ фокусироваться именно на том, что имело значение для организации с точки зрения реальных киберугроз. Прошло 25 лет, и что мы видим сейчас? Насколько изменился рынок средств управления событиями безопасности и как он будет развиваться в ближайшем будущем? Я попробовал немного пофантазировать, посмотреть не столько на российский рынок SIEM-систем, сколько выйти за его пределы и оглядеться в целом на рынке средств анализа данных ИБ, в том числе и зарубежных. В итоге я сформулировал некоторые направления развития, которые могут стать реальностью в обозримом будущем.

Всем привет! Меня зовут Иван Дьячков, я руководитель центра мониторинга информационной безопасности в Wildberries и сегодня хочу рассказать о профессии аналитика SOC, поделиться своим опытом развития. Карьерный путь я начинал с классического сисадмина, а в направлении SOC поработал как со стороны вендора, так и в формате in-house внутри компаний. Что самое важное в профессии? Как преуспеть и сделать карьеру? И главное — где точка входа в SOC?

На связи команда Безопасности Wildberries — сегодня расскажем, как построить PAM на основе Teleport. Эту статью по мотивам нашего доклада на PHDays для вас подготовили руководитель департамента информационной безопасности и противодействия мошенничеству Wildberries Антон Жаболенко и руководитель направления безопасности инфраструктуры Павел Пархомец. В материале рассмотрим критерии идеального PAM, опыт его внедрения в Wildberries, разные подходы и наши результаты.

10 лет назад я писал заметку Всё о версиях Windows 8.1 и о том, как легально загрузить последний образ без подписки / Хабр (habr.com), где рассказывал по сути о версиях образов, - то есть о том какие обновления Microsoft интегрировал в выкладываемые образы. С тех пор утекло много воды, сегодняшний темп выхода обновлений лишает всякого интереса задачу отслеживания измененных образов. Зато остается масса вопросов о различиях между версиями (не путать с изданиями) Windows 10 и Windows 11.

То есть большинство из вас примерно представляет себе, чем отличается Windows 10 Home от Professional, или по крайней мере знает как легко это загуглить. А вот вопрос, чем отличается, например, Windows 10 21H1 (10.0.19043.x) Professional от Windows 10 21H2 (10.0.19044.x) Professional вас точно поставит в тупик (короткий ответ, начиная c 10.0.19043.1348, установив так называемый Enablement пакет в пару десятков килобайт вы получите 10.0.19044.1348, с поддержкой протокола WPA3 H2E и поддержкой GPU вычислений в Windows Subsystem for Linux). То есть ну ни разу не очевидные моменты, и поверьте, с Windows 11 ситуация еще более запутанная, там кроме веховой версии (например 23H2, она же Nickel R2) есть еще минимум пять ступеней обновлением функционала – незначительных «ступенечек», просто установкой кумулятивного обновления и «моментов» с установкой специального пакета, включающего возможности.

О Windows 11 мы поговорим в следующей моей заметке, а сегодня вспомним, все-таки, историю. Не древнейшую историю, - труп Windows XP уже сгнил, и не средневековье, - про Windows 7 и 8 вспоминать тоже не будем. Сегодня с нас хватит огромного количества разных версий Windows 10. Вспомним, что, когда выходило и чего добавлялось из возможностей в новых версиях и с веховыми обновлениями. Не забуду рассказать и о том, какие версии сейчас еще обновляются, и как долго будут. Что делать тем, кто не готов переходить на Windows 11, но хотел бы еще много лет получать обновления для Windows 10. Это уже в самом конце разговора. Не пугайтесь большого количества версий, - их совершенно нет необходимости ставить все поочередно для обновления, - всегда можно сразу поставить последнюю, перешагнув сколько угодно промежуточных шагов. Помните, единожды установив какую-то версию Windows 10, все последующие будут вам предлагаться бесплатно через Windows Update – это не касается лишь LTSB/LTSC и Enterprise G, версии которых требуется обновлять вручную.

Завершая небольшую серию материалов о моделях компетенций в ИБ, нельзя не рассказать о самой молодой и компактной из них — ECSF, впервые представленной на 1-й конференции ENISA по кибернавыкам в сентябре 2022 года. ECSF обобщает роли, связанные с кибербезопасностью, в 12 профилей, которые с учётом обязанностей, взаимодействия и взаимозависимостей, обеспечивают единое понимание задач, навыков и знаний, и способствуют разработке программ обучения.

Привет, Хабр. Меня зовут Владимир Утратенко, я — Head of Infrastructure and Security в Uzum Market. У меня богатый опыт найма DevOps-инженеров, ведь последние 6 лет я — нанимающий менеджер. А ещё много лет подряд занимаюсь DevOps как моделью разработки. Сегодня мы поговорим про боли в CI/CD, которые часто упускают из вида DevOps-специалисты, лиды и CTO.

Для распознавания изображений и видео используют особый тип нейросетей — сверточные. Например, они помогают анализировать результаты МРТ и рентгеновские снимки, чтобы поставить правильный диагноз.

Вместе с Марией Жаровой, Data Scientist в Альфа-Банк, подготовили подробный гайд о том, как устроены сверточные нейросети и что нужно знать для начала работы с ними. 

Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких «бриллиантов короны» — основа эффективной стратегии защиты от киберугроз. Цифровая бизнес-модель, по сути, полностью зависит от доверия. Если взаимодействия с клиентами защищены слабо, то риск может стать существенным.

Привет! На связи Олег Казаков из Spectr. 

Мы продолжаем публикацию цикла статей, где делимся опытом и наработками и рассказываем, из чего состоит DevSecOps и как его внедрить в процесс разработки. 

В предыдущей части статьи я рассказал о том, что представляет собой процесс DevSecOps в целом, из каких этапов он состоит, и подробно остановился на первом этапе — Pre-commit Checks. Сегодня пришло время для обзора стадии Commit-time Checks и ее инструментов. Поговорим о каждом инструменте отдельно и расскажем, на чем мы все-таки остановили свой выбор.

В этой статье мы продолжим рассматривать вопросы, связанные с настройкой Wazuh. В частности, рассмотрим работу с правилами корреляции. Но для начала поговорим о том, зачем вообще нужны эти правила и как лучше их использовать для обеспечения информационной безопасности.

Инциденты информационной безопасности происходят в каждой сколько-нибудь серьезной организации и задача службы ИБ оперативно реагировать на возникающие инциденты, расследовать их, устранять последствия и анализировать для того, чтобы снизить их количество в будущем.

Для эффективного реагирования на инциденты в организации должны быть разработаны специальные документы, в соответствии с которыми и должно осуществляться реагирование. Это прежде всего политика реагирования на инциденты, план реагирования на инциденты и инструкции по реагированию. Начнем с политики реагирования на инциденты.

Мир информационной безопасности манит своей романтикой: борьба со злом, защита данных, хакерские трюки. Но за ширмой героических будней скрывается изнурительная работа, горы рутины и постоянный стресс. Эта статья — не хвалебная ода профессии, а откровенный разговор о ее темной стороне.

Возможно, в комментариях напишут «Не надо обобщать, у меня все не так» — это правда, многое зависит от конкретной компании или специализации. Но в ИБ есть общие «болячки», о которых нельзя молчать.

Всем привет! Меня зовут Юлия Фомина, в Positive Technologies я занимаюсь проактивным поиском и обнаружением угроз, что в профессиональной среде называется threat hunting. И все эти знания наша команда превращает в экспертизу продуктов Positive Technologies. И конечно же, мы не только обогащаем наши продукты уникальной экспертизой, но и в буквальном смысле пробуем каждый продукт в деле. Сегодня поговорим про мой опыт работы с одной из наших новейших разработок — автопилотом MaxPatrol O2, а также о том, как он упростил нам работу при анализе и расследовании активности белых хакеров во время двенадцатой кибербитвы Standoff.

В блоге beeline cloud на хабре уже выходила подборка полезных ресурсов по DevOps и Kubernetes для джунов и прожжённых специалистов. Сегодня продолжим тему облачной безопасности и поговорим об открытых проектах для защиты cloud-инфраструктуры и приложений. В сегодняшнем списке — инструменты для управления политиками доступа и сканеры уязвимостей, позволяющие проверить конфигурацию контейнеров на соответствие лучшим ИБ-практикам.

TL;DR:
— в Rust намного больше достоинств, чем просто скорость и безопасность
— в Rust по умолчанию CDD (compiler-driven development, разработка через компилирование). Это как TDD, только CDD
— Rust — не сложный язык, особенно если не гнаться за максимальной производительностью

В этой статье я бы хотел рассказать:
— почему взгляд на Rust как на "memory safe C" очень сильно сужает область его возможного применения
— почему я смотрю на Rust как на очень удобный в разработке язык высокого уровня, которому просто случайно повезло оказаться невероятно быстрым
— почему разработка на Rust быстрее, чем многие думают
— почему Rust — это один из лучших языков общего назначения

Полезного контента по проекту MITRE ATT&CK в сети огромное количество, с чего начать новичку? Чтобы сократить время на поиск и чтение (зачастую перепечатанного друг у друга материала), я собрал и агрегировал статьи, видео и книги, чтобы вы могли последовательно познакомиться с проектом.