Подготовка к ССК (2). Менеджмент информационной безопасности. Оценка рисков информационной безопасности
В этой статье мы рассмотрим оценку рисков информационной безопасности, которая является ядром системы менеджмента информационной безопасности. Понимание процесса оценки рисков необходимо Сертифицированному Специалисту по Кибербезопасности для грамотного выстраивания СМИБ. Читать далее...
Codeby.Games. CTF TASK «ТЕТРИС»/«TETRIS»
Приветствую всех любителей CTF и этичного хакинга на стороне Red Team! В этой статье мы рассмотрим прохождение легкого таска "ТЕТРИС", разработанного пентестерами из команды Codeby.Games. Справка: codeby.games - отечественный условно бесплатный веб-проект, где каждый может попрактиковаться в...
Препарируем промышленные протоколы — как и зачем
Привет, Хабр! Я Роман Сафиуллин, руковожу отделом защиты информации InfoWatch ARMA. Мы занимаемся защитой инфраструктуры промышленных предприятий от киберугроз, и сегодня хочу поделиться с вами инструкцией по разбору промышленных протоколов на примере протоколов IEC104 и Fanuc Focas. В основе...
От Лас-Вегаса до Екатеринбурга: история соревнований Capture The Flag в России и мире
В 1993 году в Лас-Вегасе сотня молодых хакеров собралась на «вечеринку для своих». Никто из них не подозревал, что положил начало движению, которое изменит подход к обучению специалистов по информационной безопасности. За 30 лет формат Capture The Flag прошел путь от неформальных встреч студентов...
Разбираемся в AI проектах OWASP: обзор для разработчиков и ИБ-специалистов
OWASP — некоммерческая организация, которая занимается выпуском руководств и фреймворков в области безопасности. В условиях активного внедрения генеративного ИИ в самые разные сферы, OWASP анонсировал больше десяти разных проектов, чтобы охватить новые угрозы и привлечь внимание к безопасности...
(Не) безопасный дайджест: если бы в ИБ была «Премия Дарвина» – 2025
В апреле традиционно просим нашего начальника отдела безопасности Алексея Дрозда aka @labyrinthподелиться его подборкой забавных, нелепых и глупых ИБ-инцидентов. Сегодня под катом: Брэд Питт разрушает семейное счастье, инсайдер убегает от ирландской полиции, Disney рассказывает запоздалую правду....
Исследование Innostage: какова реальная потребность компаний в комплексных решениях для защиты бизнеса?
Привет, Хабр. Я, Дамир Гибадуллин, продукт-менеджер системы «Цифровой Штаб» от Innostage. Я поделюсь с вами ключевыми фактами и инсайтами, которые наша компания сделала в ходе исследования рынка комплексной безопасности. Но сперва пара слов о том, почему эта тема вообще появилась. Зачастую в...
[Перевод] CrowdStrike — 2025 — Global Threat Report (Отчет о глобальных угрозах) — Введение
Введение из отчета по глобальным угрозам от CrowdStrike Отчет о глобальных угрозах CrowdStrike 2025 анализирует ключевые тенденции в киберугрозах за 2024 год, подчеркивая растущую сложность и организованность атак. Основное внимание уделяется концепции «предприимчивого противника», который...
Apple Pro Weekly News (24.03 – 23.03.25)
Выходит в релиз iOS 18.4 и другие системы – рассказываем и показываем, что нового. Apple анонсировала всемирную конференцию WWDC 2025, а также наградила победителей Swift Student Challenge. Как обновился Final Cut Pro и что за редизайн произошёл в Локаторе на сайте iCloud. Как Тим Кук побывал в...
Прячем шифрованные диски
Что такое криптография - все знают: берем что-то секретное, зашифровываем его - и без ключа никто ничего не прочитает. Но есть минус: если кому-то очень хочется почитать - вас могут вежливо попросить поделиться ключиком, и отказаться может быть очень сложно. Что такое стеганография - тоже многие...
Пять простых* задач по кибербезопасности для разработчика
Привет! Это Маша из AppSec Альфа-Банка. Я люблю, чтобы разработчикам было интересно, а продукты компании были безопасными. Наша команда безопасной разработки подготовила для вас примеры уязвимостей, которых можно избежать в своем коде. Мы показали примеры в виде задач, предложили решение и пути...
Несколько правил организации багатона по кибербезопасности
Привет! Это Маша из AppSec Альфа-Банка. Недавно мы провели первый (для себя) багатон по кибербезопасности, прошедший при совместной работе ИТ, AppSec, команд Внутрикома и DevRel. Главными целями были пропаганда безопасной разработки и сближение разработчиков и команды AppSec. Расскажем, как мы...
Вас ждет штраф в 15 млн ₽, но мы знаем как этого избежать. Чек-лист внутри, изучайте и сохраняйте
С 30 мая 2025 года в России вступают в силу новые нормы, ужесточающие ответственность за утечку персональных данных. Новые требования предусматривают штрафы до 15–20 млн ₽ за нарушение правил защиты информации. Эти изменения крайне актуальны, поскольку владельцы сайтов, интернет-магазины и...
ОУД4 — быстрый и удобный способ проведения оценки соответствия для финансовых организаций
Всем привет! Совсем недавно, 29 марта 2025 года, вступило в силу Положение банка России № 851-П, заменяющее Положение № 683-П. Одним из ключевых изменений документа является появление условий проведения оценки соответствия. В связи с этим в ближайшее время ожидается повышение спроса на проведение...
Tuna bastion — безопасный SSH доступ, альтернатива Teleport и HashiCorp Boundary
Мы продолжаем развивать нашу платформу для разработчиков и их команд. В этот раз мы снова наступили на грабли безопасности но уже в чаcти SSH доступа к серверам. Читать далее...
В погоне за неизведанным: как ML-модель вредоносы искать училась
Всем привет! С вами Ксения Наумова. В Positive Technologies я исследую вредоносный сетевой трафик и совершенствую инструменты его анализа в экспертном центре безопасности. Недавно перед нами встала задача — создать ML-модель для обнаружения вредоносного ПО в сети. Причем распознавать она должна...
Передача пароля по интернету: что безопаснее — хэширование или TLS?
В этой статье мы рассмотрим, какие методы передачи пароля через интернет наиболее безопасны. Хэширование паролей или протокол TLS — что выбрать для защиты данных? Разберемся, как работают эти технологии и какие риски скрываются за каждой из них. Читать полностью...
[Перевод] Все знают, какие приложения установлены у вас в телефоне
Ещё несколько лет назад любое приложение, установленное на устройство с Android, могло без разрешений видеть все остальные приложения. В 2022 году, с выпуском Android 11, Google удалила этот доступ для разработчиков приложений. Согласно новой политике видимости пакетов, приложения должны видеть...