Где кончается базовая ИБ-гигиена для небольшого бизнеса и начинается киберзащита для продвинутых? Центр интернет-безопасности (CIS) обновил рекомендации по внедрению ИБ для компаний разного масштаба в свежем гайде CIS Controls 8.

Предыдущие рекомендации CIS Controls 7.1 вышли в 2019 году. В версии 7.1 сделали упор на список практик для внедрения: что именно бизнес должен сделать для защиты. В восьмой версии этот подход сохранили и учли угрозы, связанные с “пандемийными” изменениями ИТ-ландшафта: массовой работой из дома, ростом мобильных пользователей, миграцией в облака. Например, появился отдельный раздел ― контроль безопасности сервис-провайдера (мимо такого пройти не cмогли). 

Мы изучили рекомендации CIS для разных бизнесов и выделили самое интересное.

Рассматриваем основные преимущества от передачи функции обеспечения информационной безопасности профессионалам «со стороны». Рассказываем, что предусмотреть при заключении договора аутсорсинга для его максимальной эффективности

Платформа Kubernetes является одной из самых популярных систем для оркестрации контейнеров. Со временем многие организации полностью переводят свою инфраструктуру и проекты на «рельсы» Kubernetes. Однако здесь возникают вопросы безопасности, связанные с необходимостью контроля – кто и как сможет получать доступ к кластеру Kubernetes. По умолчанию подключиться к кластеру Kubernetes может каждый – для этого достаточно стандартного конфигурационного файла с именем config. Для решения данных проблем безопасности существует продукт под названием Teleport.

Или как в банке внедрить облачные технологии так, чтобы это было удобно, безопасно, быстро и дёшево.

Облака, сценарии, подводные камни, IAAS, ГОСТы и безопасность — об этом поговорили 22 марта в офисе Альфы на Alfa Cloud Day, митапе об облачной инфраструктуре и технологиях. А ещё о том, почему cloud-инфраструктура не сильно дешевле и как при этом продать бизнесу идею «Нам нужно облако» в виде пошаговой «инструкции», которую вы сможете использовать, если захотите поэкспериментировать с облаками. Для тех, кто не смог побывать, собрали основные мысли и выложили видеоверсии докладов.

Привет! Меня зовут Михаил Черешнев, я работаю в компании Swordfish Security, где плотно занимаюсь вопросами внедрения DevSecOps. В этой статье мы рассмотрим процесс безопасной разработки контейнеризированных приложений от IaC манифестов до Runtime. А также попробуем определить самые простые и эффективные методы обеспечения защищенности и приземления технологий с минимальными затратами.

В наше время компьютерные системы и программы играют важнейшую роль в жизни организаций. Поэтому безопасность и надежность программного обеспечения является критически важным фактором для всех, кто использует их. Однако при получении исходного кода существует риск кражи конфиденциальная информация, алгоритмы работы или могут быть сделаны иные действия, приносящие ущерб компании или пользователям.

Для защиты от таких угроз существуют различные методы, одним из которых является обфускация кода. Обфускация кода - это процесс приведения исходного кода программы к виду, сохраняющему исходную функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. Этот процесс используется в случаях, когда исходный код программы содержит конфиденциальную информацию, а также злоумышленниками, которые хотят скрыть свои злонамеренные действия от антивирусных программ.

Я решил написать эту статью, потому что сам испытывал потребность в улучшении сна. Мне не нравилось, что по утрам я просыпался вялым и немотивированным. Я хотел быть тем самым парнем, который встаёт бодрым, делает зарядку, завтракает и с удовольствием принимается за свои цели. И я им стал.

В процессе написания статьи я просмотрел все самые популярные видео, прочитал самые популярные статьи, изучил несколько десятков исследований (а может и больше сотни) и составил самую эффективную схему по улучшению сна. Так же я выяснил, что некоторые популярные тезисы оказались мифами.

Например, мне категорически не хотелось расставаться со смартфоном перед сном. Спустя долгие часы изучения этого вопроса я обнаружил, что этого не нужно делать! И ребята, сидящие на диете, можете выдохнуть, метаболизм во сне не отключается. Ниже мы подробно и без воды разберём всё, что касается сна.

Все советы выполнены профессионалами. Пожалуйста, не пытайтесь повторить самостоятельно!

Всем привет! Меня зовут Юрий Шабалин, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android.

Сегодня я хотел бы снова затронуть тему безопасности сетевого взаимодействия между приложением и его серверной частью. На эту тему написано немало, но комплексной статьи, отвечающей на самые разные вопросы, начиная от того, что же такое SSL, до того, как работает атака MiTM и как от нее можно защититься, я еще не встречал (а может, просто плохо искал). В любом случае, мне бы хотелось поделиться своими мыслями на этот счет и внести свою малую долю в русскоязычный контент на эту тему.

Статья может быть полезна для разработчиков, которые хотят понять, как устроен процесс прикрепления (пиннинга) сертификатов и специалистам по анализу защищенности мобильных приложений.

Всем привет, меня зовут Виктор Щепкин, я руководитель проекта в Allods Team. В этом тексте я расскажу, как мы искали рабочий мессенджер и в итоге остановились на Discord. Также опишу, как устроен наш сервер, и поделюсь подробным описанием функций, которые мы используем.

Говорят, обещанного три года ждут, но не прошло и двух, с появления первой части перевода, как я решил не ждать продолжения и перевести OWASP Application Security Verification Standard самостоятельно. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем, кто его читал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, — возможно, вы откроете для себя что-то новое. Всем остальным предлагаю несколько слайдов в качестве быстрого погружения.

Первое, что приходит в голову, когда мы говорим про серверы и серверные операционные системы — это HPE и Dell, Linux и Windows. Но есть и менее очевидный вариант: macOS и компьютеры линейки Mac.

Продолжаем сдавать все явки и пароли и представляем третью подборку полезных материалов, рекомендуемых экспертами Positive Technologies. Наша команда аналитиков собрала русские и зарубежные базы знаний и блоги, курсы и лабы, исследовательские отчеты и Telegram-каналы, которые будут интересны всем, кто хочет разбираться в актуальных трендах кибербезопасности.

Кстати, если пропустили, ловите ссылку на полезные материалы по машинному обучению и не забывайте про наш хит — подборку 100+ ресурсов, посвященных анализу защищенности мобильных и веб-приложений, реверсу зловредов и киберразведке. А если интересно узнать, чем занимается департамент аналитики в Positive Technologies и почему специалисты этого направления уникальны на рынке, читайте другой наш пост.

Порой мы халатно относимся к безопасности, не выделяем для неё достаточно времени, потому что "да что может случиться". На примере Васи, нашего веб-разработчика, мы покажем, что лучше ей не пренебрегать. Хотя бы базовыми её принципами.

Вступление

Для начала разберем небольшую задачу. Она поможет читателю получить представление об основах шифрования.

Представим, что у нас есть сундук с важными документами. Мы хотим отправить его из пункта А в пункт Б, но так, чтобы никто не мог открыть его содержимое по пути следования. На сундук можно повесить замок/замки, отправлять сундук несколько раз, принимать обратно, передавать ключ/ключи через посредника. Посредник может скопировать ключ или даже сам сундук, подобно файлам на компьютере. Как же выстроить цепочку передачи, чтобы посредник не получил доступ к закрытым документам при перевозке?