Как стать автором
Обновить
2
Карма
0
Рейтинг

интегратор и вендор в области безопасности

«Киберарена» в зените – смотрите онлайн, болейте за лучших

Блог компании Газинформсервис

Когда: 28 июля 2022, 19:00
Формат: онлайн

Приглашаем вас стать зрителями интеллектуального шоу об информационной безопасности и ИТ. В рамках второго выпуска шоу 4 команды, состоящие из профессионалов отрасли ИБ, сразятся в интеллектуальном поединке, а жюри определит лучших.

Участников шоу ждут 3 напряженных раунда с игровыми заданиями, которые помогут найти ответ на вопросы:

Читать далее
Рейтинг 0
Просмотры 239
Комментарии 0

Управляем правами доступа в облаке на примере Amazon Web Services

Блог компании Газинформсервис Amazon Web Services *Облачные сервисы *

В этой статье руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рассмотрит два способа управления учётными записями и их правами в облачной среде на примере Amazon Web Services.

Identity and Access Management

Одним из сервисов, отвечающих за безопасность AWS является служба Identity and Access Management (IAM). Именно она обеспечивает триаду – идентификация, аутентификация, авторизация. Обычно при первом знакомстве с IAM рассказывают об обязательном включении многофакторной аутентификации и запрете пользоваться рутом.

Также обязательно упоминают про парольную политику, почти такую же, как в прочих системах, которыми вы уже управляете. Заодно намекают, что с логином и паролем можно зайти только в административный интерфейс, а вот управлять «начинкой» придётся с помощью специально созданных ключей. Все это вопросов не вызывает, примерно этого мы и ожидали, но есть нюансы.

IAM Policy

Управление доступом осуществляется при помощи политик IAM Policy, а правила пишутся в формате JSON и в этот момент начинают закрадываться некоторые сомнения, что легко не будет, потому что придется писать код самостоятельно, а не просто нажимать на кнопки.

Например,

 {

    "Version": "2012-10-17",

    "Statement": [

        {

            "Sid": "FullAccess",

            "Effect": "Allow",

            "Action": ["s3:*"],

            "Resource": ["*"]

        }

    ]

}

Это политика, например, даёт доступ ко всем S3 хранилищам, но запрещает работать с объектами в S3 хранилище my-secure-bucket.

Читать далее
Всего голосов 8: ↑4 и ↓4 0
Просмотры 724
Комментарии 0

PHD11 – ВЗГЛЯД ИЗНУТРИ, ОПЫТ КОМАНДЫ GIS CYBERTEAM

Блог компании Газинформсервис Информационная безопасность *

С 16 по 19 мая команда сотрудников «Газинформсервис» принимала участие в кибербитве The Standoff, на стороне защиты. О том, как это было, рассказал участник проекта, Никита Платов инженер-проектировщик группы защиты АРМ и серверов «Газинформсервис».

Полигон

Киберполигон The Standoff – это виртуальная копия города, имитирующая его инфраструктуру – в нем есть банковская система, энергетический сектор, заводы, вокзалы, аэропорты и многое другое. Информационные системы города развернуты на серверах, виртуальных машинах и ПЛК, состояние инфраструктуры в реальном времени отражается на рабочем макете города, расположенном на площадке киберполигона в Москве. На нем можно увидеть некоторые последствия от действий хакеров, например, пожар на макете электростанции.

Читать далее
Всего голосов 2: ↑1 и ↓1 0
Просмотры 967
Комментарии 0

Открыт прием заявок на конкурс «Биржа IT-стартапов»

Блог компании Газинформсервис Развитие стартапа

Приглашаем принять участие в проекте. У вас есть действующий бизнес, стартап, показывающий первые продажи, имеется прототип или MVP - вы хотите развивать проект, получить консультацию экспертов и побороться за главный приз*,тогда заполняйте анкету участника проекта.

Заявки принимаются от физических лиц - авторов бизнес-идей и создателей стартапов в области:

Читать далее
Рейтинг 0
Просмотры 338
Комментарии 0

Запуск контейнеров в облаке Часть 2 Elastic Kubernetes Service

Блог компании Газинформсервис Системное администрирование *Облачные сервисы *

В первой части статьи мы рассмотрели различные варианты запуска контейнеров в облаке на примере Amazon Web Services. В этом материале мы на практике разберем, как выглядит создание и запуск кластера Elastic Kubernetes Service.

-------------------

Итак, прежде чем начать работу EKS, нам потребуется несколько инструментов:

Читать далее
Всего голосов 4: ↑1 и ↓3 -2
Просмотры 1.1K
Комментарии 0

«Киберарена» – Новое шоу о кибербезопасности – смотреть онлайн

Блог компании Газинформсервис

Команда маркетинга «Газинформсервис» еще в 2019 году придумала новый проект, пройдя ряд согласований, спецпроект задумывавшийся, как интеллектуальный клуб для специалистов сферы ИБ, претендует на место одного из самых интересных и перспективных российских развлекательных шоу на тему кибербезопасности в 2022 году. Звучит не скромно, но вы только почитайте, что мы придумали вместе с командой Медиа Группы «Авангард» и планируем воплотить вместе с крутыми и медийными ибэшниками  28 апреля в 19:00 (по МСК).  

Кто в проекте участвует и как мы его придумали

Нам давно хотелось создать нетривиальный интеллектуальный проект для всех, кто работает в области ИБ или интересуется современными технологиями кибербезопасности. Отраслевыми конференциями и форумами давно никого не удивить, нам же хотелось сделать шоу, в котором будут участвовать ради интереса, азарта, желания донести свою точку зрения до коллег и делать это так, чтобы оппоненты и зрители смотрели и спорили, состязаясь в умении отвечать на вызовы новой кибереральности.

Когда поняли, что проект получается масштабным, решили искать единомышленников, так появилась команда МГ «Авангард». Вместе мы обсуждали концепцию шоу, спорили, пока окончательно не убедились, что всем нам нравится идея создания именно интеллектуального командного проекта, где каждый участник сможет проявить себя как профессионал, эрудит и рассказать о том, как он видит современные тренды в ИБ.

В этом году поделились планами с сообществом и получили позитивный отклик от коллег. Так в проект пришли первые участники – капитаны команд: Ольга Попова, Антон Шипулин, Денис Батранков, Евгений Питолин.

Читать далее
Всего голосов 8: ↑3 и ↓5 -2
Просмотры 728
Комментарии 1

Запуск контейнеров в облаке Часть 1 Amazon Web Services

Блог компании Газинформсервис Информационная безопасность *Облачные сервисы *

Пока мы разрабатываем и запускаем своё приложение в Docker Desktop, всё довольно просто и понятно, но, когда приходит время разворачивать его в облаке, вопросов становится существенно больше. Развёртывание даже простого приложения из нескольких контейнеров приходится планировать заранее. Поэтому сегодня мы на примере Amazon Web Services разберем, какие есть варианты для запуска контейнеризированных приложений в облаке и (спойлер!) настроим кластер Kubernetes в AWS двумя разными способами.

Информация актуальна для тех, у кого уже есть подписка на сервисы AWS и для тех, кто верит, что ограничения на подписку новых пользователей не продлятся слишком долго.

 Выбираем систему оркестрации

Арендуем сервер, ставим ОС и весь необходимый софт, а затем в него вручную переносим все наши контейнеры, используя виртуальные машины Amazon Elastic Compute Cloud (EC2). Такое решение будет хорошо работать, особенно, если вы прошли курс Kubernetes The Hard Way и хотите применить всё увиденное в реальном проекте. Запретить вам делать это, конечно, невозможно, но, если это ваш первый проект, советую повременить и понабивать шишки в тестовых средах или с какими-нибудь некритичными приложениями. Плюс, выбрав такой путь, мы лишаемся всех бонусов облака. Это будет такая креативная колокация, только сервер вы не купили и принесли в центр обработки данных (ЦОД), а взяли в аренду.

Дальнейший план наших действий будет зависеть от того, какую систему оркестрации мы выберем. В AWS их, по сути, две:

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 2K
Комментарии 2

Приглашаем на вебинар: «Доверенная третья сторона. Что ждет пользователей в новой версии Litoria DVCS»

Блог компании Газинформсервис
image
Компания «Газинформсервис» приглашает всех, интересующихся темой развития института доверенной третьей стороны в России принять участие в онлайн вебинаре.
Когда: 24 февраля 2022 г.
Время: 15:00 -16:00.

На онлайн-встрече руководитель разработки и испытаний Litoria Денис Сумак расскажет:
♦ Кому необходима служба ДТС;
♦ Какие проблемы она решает;
♦ Какие есть тренды развития отрасли.

Также подробно разберем особенности нового поколения службы доверенной третьей стороны Litoria DVCS и сравним с предыдущими версиями продукта.
Участие бесплатное и возможно при регистрации на сайте до 23 февраля включительно.
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 190
Комментарии 0

История о том, как мы нашли и починили баг в Vulners.nse

Блог компании Газинформсервис Информационная безопасность *Open source *Lua *
Всем привет, сегодня мы хотим вам рассказать, как нашли и зафиксили баг в Iua скрипте vulners.nse.

Если вы никогда этим не пользовались, поясняем. Vulners.nse. – это скрипт расширяющий возможности NMAP и позволяющий использовать результаты сканирования для поиска уязвимостей сетевых устройств и сервисов в большой базе данных vulners.com.

Мы выполняли интеграцию сканера NMAP в качестве стороннего средства сканирования сети с целью инвентаризации и поиска известных уязвимостей на найденных в сети устройствах. Последнее обновление скрипта явным образом указало gzip в качестве принимаемого от сервера vulners.com ответа, но не стало распаковывать пришедшие данные.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 547
Комментарии 2

Приглашаем принять участие в вебинаре «Превентивные меры защиты от утечек»

Блог компании Газинформсервис
image

Когда:26 января 2022, 15:00-16:00
Формат: онлайн

В рамках вебинара менеджер по продукту Ankey IDM Иван Корешков ответит на следующие вопросы:

  • какие конфиденциальные данные компаний утекают в сеть в первую очередь,
  • как случайно не спровоцировать сотрудника использовать служебное положение, при этом не ущемляя его прав и не снижая эффективности его работы,
  • что такое Ankey IDM и в каких ситуациях он сможет помочь.

Участие в мероприятии бесплатное. Вебинар пройдет в формате закрытой трансляции. Для получения доступа зарегистрируйтесь на сайте до 25.01.22. включительно: за день до вебинара вам будет направлена ссылка для просмотра.
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 272
Комментарии 0

Вышел видеокурс об установке и администрировании средства защиты «БлокХост Сеть»

Блог компании Газинформсервис Информационная безопасность *
image
Команда компании «Газинформсервис» подготовила подробный видеокурс об установке и администрировании средства защиты «БлокХост Сеть». Если вы пользуетесь данной программой он может оказаться полезен для вас.
Семь видеоуроков научат:
• Установке и первичной настройке программы;
• Работе с групповыми политиками;
• Настройке иерархии серверов;
• Установке сети развертывания;
• Развертыванию и администрированию сети безопасности;
• Управлению аудитом системы;
• Резервному копированию настроек;

Многие обновления впервые вошли в третью версию продукта, поэтому даже опытные администраторы найдут для себя новые нюансы.
Посмотреть курс можно на нашем канале.
Всего голосов 4: ↑2 и ↓2 0
Просмотры 990
Комментарии 2

Обзор уязвимостей CVE ПО POSTGRESQL 11,12,13,14 версиям за 2021

Блог компании Газинформсервис Информационная безопасность *
Внимание!
Статья имеет ознакомительный характер и предназначена для специалистов по обеспечению информационной безопасности. Автор не несёт ответственности за любой вред, причиненный с применением изложенной информации. Помните, распространение вредоносных программ, нарушение работы систем и тайны переписки преследуются по закону.


image

В течение 2021 года в PostgereSQL были обнаружены уязвимости, наличие которых в системе может привести к нежелательным последствиям. Сказать, что их много нельзя, но, порой, в умелых руках, при стечении определенных обстоятельств, даже одна уязвимость превращается в большую проблему.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 3.2K
Комментарии 4

Краткий обзор форума GIS DAYS 2021. День 3 – «Защита сетей и инфраструктуры. ДТС, ЭДО, PKI»

Блог компании Газинформсервис Информационная безопасность *
image
Продолжаем обзор программы форума GIS DAYS. Третий день был посвящен теме информационной безопасности, методике отражения сложных целевых атак на сети и инфраструктуру, новинкам в ДТС и ЭДО, а также обсуждению реальных потребностей бизнеса в области ИБ.
Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 338
Комментарии 0

Краткий обзор форума GIS DAYS 2021. День 2 – «Импортозамещение. Аналитика больших данных. Роботизация бизнеса»

Блог компании Газинформсервис Информационная безопасность *
Продолжаем обзор программы второго дня форума GIS DAYS 2021.

image

Аналитика больших данных


Сессия началась с выступления главного специалиста Службы технического директора ООО «Газинформсервис» Сергея Чатояна и начальника Суперкомпьютерного центра Санкт-Петербургского Политехнического университета Алексея Лукашина.

Доклад был посвящен поведенческой аналитике и подходам к ее анализу. На примере платформы Ankey ASAP – совместной разработки Санкт-Петербургского Политехнического университета и компании «Газинформсервис» спикеры рассказали о топологическом подходе к анализу данных.
Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 326
Комментарии 0

Краткий обзор форума GIS DAYS 2021. День 2 Москва – «Технологическая независимость, биометрия, облачные технологии»

Блог компании Газинформсервис Информационная безопасность *
Продолжаем обзор программы форума GIS DAYS. Второй день был посвящен теме IT, развитию ипортозамещения, облачных технологий, биометрии и не только.

Второй день форума открыла дискуссия о технологической независимости. Гости обсуждали ее отличия от политики импортозамещения и необходимость формирования.

image

Арутюн Аветисян, директор института системного программирования высказался за снижение до нуля, если это возможно, рисков блокирования технологического развития, а также за сохранение возможности самим создавать самые передовые решения.

Спикер полагает, что ипротозамещение нужно для обеспечения технологической независимости, и должно запустить механизмы, при которых в приоритете будет развитие образования, науки, технологических цепочек.

По мнению Андрея Духвалова, главного стратегического архитектора «Лаборатории Касперского» технологическая независимость – это способность принимать собственные решения и создавать свои продукты, при этом он подчеркнул, что нам крайне важно делать их лучше, чем у всех остальных.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 265
Комментарии 0

Обзор форума GIS DAYS 2021 День 1 «Информационная безопасность. Импортозамещение и технологическая независимость»

Блог компании Газинформсервис Информационная безопасность *
По традиции после проведения форума GIS DAYS мы публикуем обзоры сессий для читателей Хабра. Наш материал кратко раскроет темы выступлений гостей бизнес-конференции «Коммерсантъ СПБ», открывшей деловую программу форума.

Конференция длилась более полутора часов, специально для читателей Хабра мы уместили все самое интересное в 5 минут.

image

Приветственным словом мероприятие открыл учредитель компании «Газинформсервис» Валерий Пустарнаков.

Валерий Федорович отметил, что мы живем в эпоху цифровой трансформации производства и производственных процессов и это требует от нас обеспечения существенного уровня информационной безопасности, чтобы его гарантировать необходимо иметь свой софт и «железо». Спикер подчеркнул: «Если мы сегодня решим проблему ипортозамещения, то существенно укрепим суверенитет нашего государства».

Подробнее – здесь.

В целом, конференция была посвящена проблемам ипортозамещения и обеспечения технологической независимости.
Читать дальше →
Всего голосов 15: ↑10 и ↓5 +5
Просмотры 796
Комментарии 1

DevSecOps «за 5 копеек»

Блог компании Газинформсервис Информационная безопасность *
image
В этой статье один из сотрудников нашей компании Сергей Полунин Belowzero273 расскажет, как с помощью бесплатных инструментов можно построить простой CI/CD-пайплайн с инструментами контроля безопасности. И сделает это настолько просто, чтобы если даже вы никогда не слышали о подобном подходе, то вам захочется начать экспериментировать в этом направлении, как только появится свободное время.
— Самый популярный вопрос, который я слышу последние несколько лет от заказчиков, звучит так: «А что, так можно было?». Звучит он почти каждый раз, когда мы внедряем новый инструмент, технологию или процесс. В этом, безусловно, нет ничего удивительного – ИТ и информационная безопасность стали слишком необъятной областью даже для крупных команд специалистов. Давно прошли времена, когда можно было нанять одного крутого сисадмина, который будет во всем разбираться и быть в курсе всех трендов. Эти времена ушли, судя по всему, навсегда. Но сегодня даже для узкого специалиста сложно быть «в теме» – постоянно читать профильные блоги, телеграм-каналы, форумы, смотреть записи выступлений гуру на ютубе и тому подобное. Мы привыкаем решать проблемы определенным образом и выход за пределы «пузыря» может происходить долго и порой весьма болезненно.
А уж если заходит речь о том, что какая-то непонятная и вряд ли нужная по мнению бизнеса вещь будет стоить каких-то дополнительных денег, то желание отложить изучение появляется само собой.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 4K
Комментарии 2

Универсальный подход к контролю сетевого оборудования

Блог компании Газинформсервис Информационная безопасность *
Всем привет! Сегодня мы расскажем вам, как прошли путь от разработки более пятидесяти различных модулей для контроля устройств в составе программного комплекса Efros Config Inspector к созданию одного универсального, и объясним, почему это хорошо для пользователей.
image

Intro


Необходимость учета изменений в конфигурациях, хранения их бекапов, а также анализа безопасности отмечается всеми экспертными сообществами – российским ФСТЭК, зарубежными институтами типа Center for Internet Security, авторами библиотеки ITIL.
Решения, позволяющие автоматизировать этот процесс, широко представлены на рынке, и одно из них – российская разработка Efros Config Inspector. Efros CI является средством, созданным для работы с конфигурациями: контроль целостности файлов и анализ изменений, обнаружение небезопасных конструкций (например, использование открытых протоколов типа telnet для управления устройствами, слабых паролей и т. п.), а также известных уязвимостей по каталогам CVE и др.
Читать дальше →
Рейтинг 0
Просмотры 4.3K
Комментарии 4

Встречаемся на GIS DAYS 2021

Блог компании Газинформсервис Информационная безопасность *Конференции
image

Привет, Хабр. Спешим поделиться отличной новостью. С 6 по 8 октября 2021 года мы проводим форум Global Information Security Days и приглашаем всех, интересующихся информационной безопасностью и IT принять участие в нем.

В этом году форум впервые будет проходить на двух площадках одновременно в Санкт-Петербурге и Москве. Проект объединит более 3 000 профессионалов в области IT и информационной безопасности. Профильные спикеры, почетные гости, звезды сферы IT и ИБ – сделают это событие незабываемым.
Читать дальше →
Всего голосов 1: ↑0 и ↓1 -1
Просмотры 1.1K
Комментарии 0

Как подготовить информационные системы к аттестации: делать самим или привлекать подрядчика. Взгляд лицензиата

Блог компании Газинформсервис Информационная безопасность *
Если вы готовитесь к аттестации объектов информатизации компании и не знаете, с чего начать, то наша статья будет вам полезна. Материал содержит рекомендации по подготовке к этому непростому процессу, взятые из практики работы сотрудников компании «Газинформсервис», которая более 17 лет оказывает услуги по подготовке и аттестации таких систем.

image

Почему все так сложно?


Этим вопросом задаётся каждый, кто впервые пытается на практике пройти квест под названием «аттестация». Сложностей здесь достаточно, и одна из них связана с тем, что сегодня в Российской Федерации принято большое количество норм и требований, предъявляемых к защите различных информационных ресурсов. Можно считать, что информационное право окончательно выделено в отдельную ветвь, и для того, чтобы разобраться во всех тонкостях и особенностях этих законов, необходим узкопрофильный юрист, работающий именно с этим направлением. Однако далеко не каждая компания может позволить себе иметь в штате такого специалиста.
Читать дальше →
Всего голосов 2: ↑0 и ↓2 -2
Просмотры 1.9K
Комментарии 2

Информация

В рейтинге
Не участвует
Работает в
Зарегистрирован
Активность