Как стать автором
Обновить
153
60

Пользователь

Отправить сообщение

Развенчиваем мифы об ИТ в металлургии

Время на прочтение9 мин
Количество просмотров12K

Привет, Хабр, меня зовут Иван Белов, я руководитель Backend-разработки в НЛМК ИТ. Регулярно принимаю на работу новых специалистов из различных отраслей и хорошо знаю, какие заблуждения есть у тех, кто мало знаком с нашей отраслью. Давайте попробуем развенчать самые распространенные мифы и послушаем истории наших айтишников.

Читать далее
Всего голосов 35: ↑30 и ↓5+45
Комментарии37

BSCP — разгадываем тайны сертификации от академии PortSwigger

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров4K

Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвященной тестированию веб-приложений. Прежде чем приступить к изучению материалов для подготовки к BSCP, я уже имел хорошее представление об основных веб-уязвимостях из списка OWASP TOP-10. Также я знал, как эксплуатировать базовые уязвимости, такие как SQL-injection, XSS, Server-Side Template Injection и многие другие. Но на одном из этапов я задался вопросом: как всё-таки к нему эффективно подготовиться?

В этой статье я поделюсь лайфхаками по подготовке к сертификации, покажу, как может помочь встроенный в Burp Suite сканер уязвимостей, и подробно разберу каждый из этапов самого экзамена.

Читать далее
Всего голосов 19: ↑19 и ↓0+19
Комментарии6

Увеличиваем Attack Surface на пентесте периметра

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров4.5K

Привет, Хабр!

Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.

Под катом разберемся, что с этим делать.

Читать далее
Всего голосов 18: ↑18 и ↓0+19
Комментарии5

Разбираемся в BIA: популярные вопросы и неочевидные кейсы

Время на прочтение9 мин
Количество просмотров2.6K

Анализ воздействия на бизнес (BIA, Business Impact Analysis) — один из фундаментов управления непрерывностью бизнеса, который, как кажется, позволяет решить основные вопросы: оценить потери от простоя критичных процессов, выделить эти критичные процессы, узнать, от чего зависит их непрерывное функционирование и какие требования выдвигаются к обеспечивающим ресурсам со стороны бизнеса. В конечном итоге именно благодаря BIA (а не методу «трех П» — пол-палец-потолок) мы можем получить обоснованную бизнесом оценку целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для информационных систем. Без BIA невозможно внедрение и дальнейшее эффективное развитие системы управления непрерывностью деятельности в компании, подготовка стратегии реагирования, Business Continuity и Disaster Recovery планов.

В статье мы рассмотрим наиболее часто встречающиеся на практике вопросы и трудности, которые могут помешать достигнуть лучших результатов при проведении BIA и анализе бизнес-функций, и разберемся, как же решать такие кейсы, чтобы и целей достигнуть, и удовольствие от процесса получить!

Читать далее
Всего голосов 7: ↑6 и ↓1+7
Комментарии4

Это база. MITRE ATT&CK

Время на прочтение2 мин
Количество просмотров5.3K

Полезного контента по проекту MITRE ATT&CK в сети огромное количество, с чего начать новичку? Чтобы сократить время на поиск и чтение (зачастую перепечатанного друг у друга материала), я собрал и агрегировал статьи, видео и книги, чтобы вы могли последовательно познакомиться с проектом.

Читать далее
Всего голосов 5: ↑4 и ↓1+3
Комментарии0

Ликбез по вхождению в Data Science: что для этого нужно и стоит ли пытаться?

Уровень сложностиПростой
Время на прочтение9 мин
Количество просмотров31K

Всем привет! Меня зовут Надя, и сейчас я выступаю в роли ментора на программе Mentor in Tech и помогаю людям «войти» в Data Science. А несколькими годами ранее сама столкнулась с задачей перехода в DS из другой сферы, так что обо всех трудностях знаю не понаслышке.

Порог для входа в профессию очень высокий, так как DS стоит на стыке трех направлений: аналитики, математики и программирования. Но освоить специальность — задача выполнимая (хоть и непростая), даже если ты гуманитарий и списывал математику у соседа по парте.

В этой статье я собрала несколько рекомендаций на основе моего личного опыта (как поиска работы, так и найма людей), а также исходя из рассказов знакомых.

Погрузиться в мир Data Science
Всего голосов 11: ↑8 и ↓3+5
Комментарии25

Помощник сталевара: для чего металлургам нужно машинное обучение?

Время на прочтение9 мин
Количество просмотров4.7K

Автор: Антон Головко, специалист по машинному обучению «Инфосистемы Джет»

Человечество с переменным успехом занимается плавкой стали больше 3,5 тысяч лет. Казалось бы, зачем в металлургии вычислительные мощности и инфраструктура? Модели машинного обучения и искусственный интеллект лучше оставить торговым сетям и банкам для прогнозирования потребностей клиентов. А опытные сталевары всегда могли выплавить качественную сталь без ML. Зная, какую марку нужно получить на выходе, специалист самостоятельно определяет, какие добавки и в каком объеме необходимо использовать. И зачем тогда Machine Learning?

Объясняем под катом
Всего голосов 5: ↑4 и ↓1+3
Комментарии3

Тестирование ML-моделей. От «пробирки» до мониторинга боевых данных

Время на прочтение9 мин
Количество просмотров4K

Из этой статьи вы узнаете, почему важно проводить «лабораторные испытания» ML-моделей, и зачем в тестировании наработок «ученых по данным» должны участвовать эксперты из предметной области, а также — как выглядят тесты после того, как модель покинула датасайнтистскую лабораторию (и это не только мониторинг качества данных).

На первый взгляд кажется, что тестирование ML-моделей должно проходить по классическим ИТ-сценариям. Моделируем процесс, присылаем сценарии тестерам, и начинается магия — невозможные значения входных данных, попытки сломать логику системы и т. д. В некотором смысле все работает именно так: процесс разработки ML-сервисов включает и этот этап. Но только в некотором смысле — ведь у науки о данных есть масса особенностей.

Узнать магические секреты
Всего голосов 9: ↑9 и ↓0+9
Комментарии0

Почему мы решили развивать практику тестирования ML

Время на прочтение5 мин
Количество просмотров6.7K


Прогнозные и оптимизационные сервисы на базе Machine Learning вызывают сегодня интерес у многих компаний: от крупных банков до небольших интернет-магазинов. Решая задачи различных клиентов мы столкнулись с рядом проблем, что послужило для нас почвой для рассуждений на тему особенности тестирования ML. Для тех, кому это интересно, — наш очередной пост от тест-менеджера компании «Инфосистемы Джет» Агальцова Сергея.
Читать дальше →
Всего голосов 32: ↑30 и ↓2+28
Комментарии10

Вкатиться в ИБ в 30: три истории

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров13K

Если загуглить «работа в ИТ», то статей с заголовком «Как войти в айти» и курсов, обещающих быстрый старт в новой профессии, выпадет столько, что начнет казаться, что все вокруг только и делают, что учатся (или учат) на айтишников. ИБ-профессии дополнительно окутаны флером хакерской тематики, но в целом процесс «вкатывания» в них для человека не из индустрии от этого сильно не меняется.

Мы собрали три истории ребят, которые смогли которые работают в центре информационной безопасности: всем нашим героям около 30 лет, и до того, как перейти в новую профессию, они уже строили карьеру в других сферах, но решили всё изменить, став специалистами в сфере информационной безопасности с нуля. Чей путь был проще — решайте сами. Пост будет полезен тем, кто думает о работе в айтишной сфере, но пока сомневается (или считает, что поезд ушел вместе с перроном).

Читать далее
Всего голосов 11: ↑8 и ↓3+5
Комментарии7

Видеозаписи докладов CyberCamp. DevSecOps

Уровень сложностиСредний
Время на прочтение3 мин
Количество просмотров1.7K

Привет, Хабр! В конце апреля команда CyberCamp провела митап, посвященный DevSecOps. Наше путешествие началось у острова композиционного анализа, потом мы прошли между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправились исследовать другие направления DevSecOps.

В этом посте собрали полный плейлист выступлений.

Читать далее
Рейтинг0
Комментарии0

Как подружиться с СЗИ? Межсетевые экраны

Время на прочтение12 мин
Количество просмотров7.4K

На написание статьи меня сподвигли воспоминания о трудоустройстве на первую работу и сопутствующие трудности, с которыми мне пришлось столкнуться. Собеседования напоминали «день сурка» — технические специалисты бубнили, что им нужны только работники с большим конкретным опытом, а не студенты-теоретики, и им некогда заниматься «глубоким обучением». В конечном итоге мне удалось устроиться в «Инфосистемы Джет» благодаря моей хорошей подготовке к собеседованию. Чтобы облегчить жизнь будущим поколениям и дать возможность выпускникам на практике ознакомиться с доступными для студента средствами защиты информации (СЗИ), я решил написать этот пост. Рассмотрим самое базовое средство защиты компьютерной сети — межсетевой экран (МЭ.)

Читать далее
Всего голосов 8: ↑7 и ↓1+8
Комментарии2

Безопасный Wi-Fi в отеле для всей семьи на Raspberry Pi

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров15K

Всем привет! Сегодня хочу рассказать о своем «семейном» проекте на Raspberry Pi. Путешествуя по миру, я постоянно сталкиваюсь с потребностью подключаться к быстрому и, что не менее важно, безопасному интернету.

Читать далее
Всего голосов 12: ↑12 и ↓0+12
Комментарии19

Как мы проксировали OpenLDAP на AD через cn=config

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров5.6K

Этот пост я хочу посвятить кейсу с крупного ИТ-проекта, который делала наша компания. В рамках проекта внедрялось большое количество сервисов, и для них нужно было обеспечить LDAP-аутентификацию при следующих операциях:

 Доступ в GUI-интерфейсы сервисов.

 Доступ по SSH на серверы, где функционируют сервисы, с ограничением доступа на основании членства пользователей в группах LDAP-каталога.

У заказчика уже была развернута служба каталогов Microsoft Active Directory. Требованием проекта было отсутствие прямого доступа между внедряемыми сервисами и AD. На стороне сервисов не должны были прописываться параметры сервисных учетных записей AD. Кроме того, сетевой доступ к контроллеру MS AD был разрешен только для одного хоста.

Под катом — подробности о том, как мы решили эту задачу.

Читать далее
Всего голосов 9: ↑9 и ↓0+9
Комментарии5

В начале был принтер. Как получить привилегии администратора домена, начав с принтера

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров17K

Еще в прошлом году мы c командой решили поделиться несколькими интересными векторами получения привилегий администратора домена. По отзывам, первая статья оказалась полезной и интересной. Настало время продолжить. В этом посте я расскажу о том, как получение доступа к панели администрирования принтера может привести к компрометации всего домена Active Directory с помощью эксплуатации уязвимости PrintNightmare и использования неограниченного делегирования. А коллеги из Jet CSIRT дополнили пост рекомендациями по мониторингу на каждом этапе на случай, если вы хотите мониторить такие атаки в вашем SIEM. Краткое описание — на схеме.

Подробнее — под катом.

Читать далее
Всего голосов 33: ↑33 и ↓0+33
Комментарии15

Полезные материалы по Data Science и машинному обучению, которые помогут пройти сквозь джунгли из терминов

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров25K

Привет, Хабр! Меня зовут Ефим, я MLOps-инженер в Selectel. В прошлом был автоматизатором, ML-инженером, дата-аналитиком и дата-инженером — и уже несколько лет падаю в пропасть машинного обучения и Data Science. Это буквально необъятная сфера, в которой почти нет ориентиров. Основная проблема в том, что разделов математики довольно много и все они, на первый взгляд, нужны в том же машинном обучении.

В этой статье делюсь полезными материалами, которые помогут найти и заполнить теоретические и практические проблемы и основательно подойти к своему профессиональному развитию. Добро пожаловать под кат!
Читать дальше →
Всего голосов 59: ↑59 и ↓0+59
Комментарии15

Делать Data Vault руками? НЕТ! Подходы к автоматической генерации при построении Data Vault

Время на прочтение8 мин
Количество просмотров4.1K

Привет, меня зовут Виктор Езерский, я работаю в центре управления данными «Инфосистемы Джет». Мы занимаемся построением хранилищ, Data Lake, платформ данных, ETL/EL-T и BI-систем. Последние 5–7 лет при построении хранилищ данных у наших заказчиков одна из часто встречаемых архитектур — Data Vault. Мы участвовали в доработке готовых хранилищ на базе Data Vault и делали Data Vault «с нуля».

Из опыта борьбы я вынес одно правило: Data Vault без фреймворка и автоматической генерации — большая беда. В этом посте расскажу, почему, а также поделюсь нашими подходами к созданию генератора. Сразу предупреждаю, что не дам готовых рецептов, но расскажу о наших основных подходах и что они нам дали.

Узнать всё!
Всего голосов 11: ↑10 и ↓1+11
Комментарии0

Твоя работа в ИБ по мемасикам

Время на прочтение3 мин
Количество просмотров5.6K

· Ты уважаемый CISO крупной нефтяной компании, но твой ребенок — блогер и зарабатывает больше тебя?
· Ты нашел уязвимость по программе Bug Bounty у мясомолочного завода, а у них нет денег, и они выплачивают тебе молочкой и мясом?
· Регулятор выдал новую порцию требований, а у тебя бюджет — три рубля и жвачка «Турбо»?

Эти и многие другие злободневные ситуации мы объединили в игре Jet Security Memes.

Переходи по кат и скачивай карточки!

Читать далее
Всего голосов 20: ↑15 и ↓5+15
Комментарии5

От MITRE ATT&CK до форензики: видеозаписи ТОП-5 докладов CyberCamp 2022

Время на прочтение2 мин
Количество просмотров3.7K

Вот и прошла онлайн-конференция CyberCamp 2022: итоги подведены, подарки и благодарности отправлены.

Под катом вы найдете пять лучших выступлений по итогам трех дней кэмпа. Выступления стали самыми популярными по итогам опроса зрителей. Enjoy!

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Комментарии0

5 способов, как взять домен с помощью PetitPotam

Время на прочтение11 мин
Количество просмотров22K

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Читать далее
Всего голосов 14: ↑12 и ↓2+10
Комментарии2

Информация

В рейтинге
122-й
Работает в
Зарегистрирован
Активность