Что нужно учесть на старте, чтобы сделать облако безопасным
Привет! Я Виктор Бобыльков — CISO MWS. В этой статье расскажу, как обезопасить облако физически и инфраструктурно, как правильно использовать Red Teaming, чтобы натренировать Security Operation Center, и спасти клиентов от кибератак. Читать далее...
Как приготовить обфускацию в JavaScript и не сжечь лабораторию: AST, babel, плагины
Вероятно каждый программист или компания, сталкивались с мыслями о своей крутости или хотя бы крутости своих алгоритмов 😎. Разумеется, в этом случае может возникнуть соответствующее нежелание делиться разработками с широкой аудиторией. Данная проблема минимизируется переносом части кода на сервер...
Секреты в Java-сервисах на Spring: где брать и как обновлять
Привет, Хабр! Меня зовут Андрей Чернов, я Java‑архитектор в СберТехе, где разрабатываю архитектуру микросервисов. Сейчас я расскажу про нюансы работы с секретами в Java‑сервисах на всеми любимом Spring Boot и про наш опыт такой работы. В современном мире практически не осталось автономных, ни с чем...
Борьба со спамом и мошенничеством или почему не надо блокировать голосовые звонки в мессенджерах
Борьба со спамом и мошенничеством или почему не надо блокировать голосовые звонки в мессенджерах Несколько дней назад на Коммерсант Ру пояилась новость https://www.kommersant.ru/doc/7402091 Минцифры и Роскомнадзор обсуждают ограничения на звонки в мессенджерах Как стало известно «Ъ», Минцифры и...
Два столпа Linux мониторинга
И снова здравствуйте! Продолжаем наш цикл статей о методах сбора данных (Прошлые статьи здесь и здесь). В данной (третьей) статье опубликована сжатая аналитика по двум технологиям сбора на Linux Endpoint на основе проработки наших продуктов по лог-менеджменту и сбору событий. Читать далее...
Apple Pro Weekly News (16.12 – 22.12.24)
Подходит к концу 2024 год, а значит время подводить итоги: для Apple это был очень трудный год, но немного успехов всё же есть – вспоминаем всё самое яркое и интересное за год. Какие планы у компании уже на 2025 год? Какие челленджи приготовила Apple владельцам часов на первые дни нового года? А...
Харденинг zVirt: защищаем виртуальную среду от хакеров
Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять...
Developer-центричный подход в обеспечении безопасности приложений
Привет, Хабр! Меня зовут Нияз Кашапов, я AppSec Lead в Купере. Недавно я рассказывал на ecom.tech Information Security meetup, как выстраивается процесс написания безопасного кода и разбора срабатываний статических анализаторов. Эта статья — изложение моего выступления с дополнительными...
Обзор 8 платформ для виртуализации с сертификацией ФСТЭК: что выбрать?
В последнее время государство усилило требования к информационной безопасности. Это коснулось государственных информационных систем, критической инфраструктуры и систем обработки персональных данных. Теперь компаниям приходится выбирать между двумя вариантами защиты виртуальной инфраструктуры:...
Awareness? Да кому это вообще нужно?
Проблема — налицо: рынок специалистов по awareness в России почти пуст, а сами компании не всегда понимают, зачем это вообще нужно. Также неплохо было бы понимать, что мы хотим от специалистов по awareness и какими качествами он должен обладать. Но давайте по порядку. На данную тему буду рассуждать...
(Не) безопасный дайджест New Year Edition: «бот» среди «своих», бусидо против мошенничества, ТБ слитых «снежинок»
За 2024 год мы наблюдали массу громких взломов, утечек, факапов и просто забавных новостей из мира ИБ. Под Новый год традиционно попросили Алексея Дрозда (aka @labyrinth), нашего начальника отдела безопасности, поделиться его личным топом самых запомнившихся ИБ-событий года. (И мемов накидали)...
Incident response XXII века: как PAM-система помогла выявить атаку в прямом эфире
В статье «Reign of king: тактики и инструментарий группировки Obstinate Mogwai» от Центра исследования киберугроз Solar 4Rays есть интересный кейс атаки через подрядчика. Важную роль в этом сыграла PAM-система Solar SafeInspect, установленная у заказчика. Изначально, системы класса Priviliged...
Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
Привет, меня зовут Егор и я Tech Lead в компании ИдаПроджект :) Занимаюсь стратегией, процессами и командами в направлении backend разработки. Сегодня расскажу вам о базовой настройке SAST и DAST для django в gitlab cicd. В разработке использование SAST (Static Application Security Testing) и DAST...
MITM атаки
Приветствуем дорогих читателей! Мы продолжаем рубрику статей “Без про-v-ода” посвящённую беспроводным технологиям, атакам на них и методами защиты. В этой статье мы рассмотрим различные инструменты для MITM-атак и проверим актуальность некоторых на сегодняшний день, и на основе этой проверки найдём...
[Перевод] Очки с искусственным интеллектом за 209 долларов: GPT-зрение в реальном времени, 14-часов работы батареи
Инновационная технологическая компания Looktech объединилась с Wenzhou Moveup Optical Co, чтобы создать, технологические и красивые умные очки, превосходящие существующих конкурентов. В очки интегрирован GPT-4o, Gemini и Claude. Что ж, как тебе такое, Адам Дженсен? Читать далее...
Безопасная миграция данных из Vault одной командой
Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье...
AI-First устройства пока не стали заменой смартфонам
Обзор от аналитического центра red_mad_robot, как компании массово ищут новый формат устройств будущего. В 2024 году на рынке появились AI-First девайсы, чтобы стать персональными помощниками пользователей, облегчить жизнь и заменить смартфоны. Но в результате каждый знаковый проект был обречён на...
Оборотные штрафы за утечку персональных данных
В 2025 году штрафы за утечку информации станут значительно выше. Если раньше за подобные нарушения можно было отделаться несколькими десятками тысяч рублей, то после введения оборотных штрафов, можно потерять от 20 млн. рублей за первое нарушение, до 500 млн. рублей, при повторном. Также, за слив...