В тренде VM: под прицелом продукты Windows, Ubuntu Server, Zyxel и другие
Хабр, привет! Я Александр Леонов, ведущий эксперт PT Expert Security Center. Спешу с очередной порцией трендовых уязвимостей месяца. Это те недостатки безопасности софта, которые либо уже эксплуатируются, либо будут в ближайшее время. На этот раз в наш дайджест попали уязвимости в продуктах...
Как решения Data Access Governance и Data Centric Audit Protection помогают бороться с утечками данных
По данным центра мониторинга внешних цифровых угроз ГК «Солар», за 2023 год в публичный доступ попали данные почти 400 российских организаций. Это означает, что в прошлом году каждый день в России происходила как минимум одна утечка данных. Основной массив утекших данных – это архивы внутренней...
Виды аутентификации для современных веб-приложений
Рост популярности веб-приложений в современных технологиях значительно изменил способы взаимодействия пользователей с цифровыми сервисами. Однако с этим увеличением цифровой зависимости возникает и повышенная потребность в надежных механизмах безопасности, особенно в части аутентификации...
Проблемы и возможности «облачной сигнализации» в эшелонированной защите от DDoS-атак
Привет, Хабр! Расскажу об одном из механизмов организации эшелонированной защиты, который органично дополняет концепцию безопасности с использованием Национальной системы противодействия DDoS-атакам (НСПА) и блокировкой трафика на технических средствах противодействия угрозам (ТСПУ). В текущих...
Как Kaiten помогает белым хакерам управлять проектами: опыт первого в России кооператива по информационной безопасности
Меня зовут Алексей Поликарпов, я тимлид координаторов проектов в производственном кооперативе РАД КОП. Наша команда состоит из экспертов в области комплаенса, наступательной безопасности и инженерно-технической защиты. Мы используем передовые подходы к управлению проектами и с момента создания...
КИИ. Что это за зверь и надо ли нам его бояться
Всем привет! Меня зовут Елена Галата. Сегодня я бы хотела поговорить о том, что такое КИИ и как это понятие связано с компаниями, которые занимаются разработкой промышленного ПО. Я уже много лет в разработке и в последнее время занимаюсь приложениями, в основном связанными со сбором данных с...
Configuration-as-Code
За последнее десятилетие мы убедились, что выполнение вручную процессов расследования и реагирования ограничивает нас по скорости, что сильно сказывается на возможности обрабатывать прирастающий с каждым днем поток инцидентов и угроз. Для того, чтобы помочь в решении складывающейся ситуации...
Как мы провели большой рефакторинг редактора политик в Solar webProxy
Что такое политики Solar webProxy и как они формировались раньше Хотя приложение в большей степени является backend-ориентированным, важно чтобы и UI был удобным для администратора. В версии 4.2, которая вышла на рынок 5 декабря, одним из ключевых направлений работы стала переработка конструктора...
Личный VPN: юзер ликует, VLESS смеётся, а РКН плачет
Эта статья — расширенный туториал как оформить сервер и поднять свой VPN на протоколе VLESS с XTLS-Reality за 10 минут, который выделяется на общем плане тем, что трафик шифруется и маскируется под подключение к популярным сайтам (доменам), тем самым станет тёмной лошадкой для ТСПУ. Читать далее...
Защищаем бюджет на информационную безопасность: как успешно провести переговоры с CFO
Привет, Хабр! Меня зовут Александр Васильев, я CFO компании RED Security. Большую часть жизни я занимаюсь развитием финансовой стратегии, отвечаю за корпоративную отчетность и другие вопросы, связанные с деньгами. Сегодня я расскажу о болезненной теме для руководителей и специалистов ИБ —...
[Перевод] Обход OTP на крупнейшем индийском сайте для обмена видео
Я нашел сайт социальной сети, позволяющий пользователям делиться видео, который был аналогичен TikTok и имел более 50 миллионов активных пользователей. Я решил не разглашать его название и будем обозначать его как example.com. Начало атаки Я начал атаку с того, что собрал некоторую информацию о...
Хэши: виды, применение и примеры на Java
Хэширование — это фундаментальный процесс в программировании, который применяется везде: от защиты паролей до ускорения поиска данных в структурах. Эта статья поможет разобраться в основных видах хэшей, их применении, а также покажет, как их использовать на практике с примерами на Java. Читать далее...
Remote Code Execution через SQL инъекцию в Zabbix (CVE-2024-42327)
27 ноября 2024 года была выявлена критическая уязвимость в Zabbix с CVSS-оценкой 9.9, представляющая собой SQL-инъекцию в одном из эндпоинтов API Zabbix. Уязвимость позволяет атакующему, имеющему доступ к API, выполнить произвольные SQL-запросы. При определённых настройках Zabbix, которые разрешают...
Небезопасная десериализация в PHP: Как создать собственный эксплойт
Привет, Хабр! Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода. Читать далее...
[Перевод] Прошивки OpenWrt: атака на цепочку поставок
Несколько дней назад я обновлял сеть своей домашней лаборатории и решил обновить OpenWrt роутера 1. Подключившись к LuCI (веб-интерфейсу OpenWrt), я заметил раздел Attended Sysupgrade и попробовал обновить прошивку с его помощью. В описании говорилось, что он собирает новую прошивку при помощи...
«Интегрируй, доверяй»: почему появилась концепция zero trust, и как мы объединили три ее компонента в едином продукте
Привет, Хабр! Меня зовут Виталий Даровских, я менеджер продукта в компании UserGate. Мы разрабатываем программные решения и микроэлектронику в сфере информационной безопасности, а также предоставляем ИБ-услуги. Сегодня расскажу о том, как зародилась концепция zero trust, а также поделюсь нашим...
Вне зоны доступа: как связаны регулярная аттестация прав доступа и защита ИБ-инфраструктуры компании
Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом, поделилась статьей о том, зачем нужна аттестация прав сотрудников и почему ее нужно проводить регулярно, и почему она крайне важна для финансового сектора. И небольшой спойлер - в тексте есть несколько "пасхалок",...
Вне зоны доступа: как связаны регулярная аттестация прав доступа и защита ИТ-инфраструктуры компании
Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом, поделилась статьей о том, зачем нужна аттестация прав сотрудников и почему ее нужно проводить регулярно, и почему она крайне важна для финансового сектора. И небольшой спойлер - в тексте есть несколько "пасхалок",...