Использование больших языковых моделей (LLM) в Access Management
Может ли искусственный интеллект революционизировать управление доступом? Есть ли подводные камни? Высокие затраты, риск «галлюцинаций», производительность в реальном времени, эффективность - что перевешивает? В данной статье мы разберемся, как можно применить LLM к управлению доступом для...
Видеть инфраструктуру как хакер, или Как мы моделируем потенциальные маршруты атак
В современных киберугрозах фокус злоумышленников смещается c массовых рассылок в сторону таргетированных атак с применением нейросетей и социальной инженерии. В то же время ИТ-инфраструктуры становятся все более масштабными и сложными: больше данных, больше устройств и распределенных систем. В...
Отраслевой стандарт защиты данных: методика аудита и наш опыт его прохождения
Миллионы людей ежедневно пользуются сервисами Яндекса и доверяют нам свои данные. Для нас это большая ответственность, поэтому мы делаем всё, чтобы обеспечить их защиту и конфиденциальность. Чтобы эти слова не оставались просто обещаниями, мы регулярно проходим независимые аудиты систем...
7 вещей, которые больше всего волнуют аудиторов в модуле критических данных Flutter-приложения
Привет, Хабр! Меня зовут Анна Ахлестова, я Flutter Team Lead в компании Friflex. Сегодня расскажу про защиту критических данных в приложении на Flutter — это один из модулей, которые аудиторы проверяют очень часто. Утечка таких данных может привести к серьезным потерям, от материальных до...
Аудит Shadow IT
Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента. Читать далее...
Аудит безопасности смарт-контрактов в TON: ключевые ошибки и советы
Всем привет! На связи Сергей Соболев, специалист по безопасности распределенных систем в Positive Technologies, наша команда занимается аудитом смарт-контрактов. Сегодня я расскажу вам о результатах исследований и выводах нашей команды насчет аудита безопасности смарт-контрактов на языках FunC и...
Методика проведения аудита информационной безопасности информационных систем
Аудит информационной безопасности информационных систем - это процесс оценки системы защиты информации на предмет соответствия стандартам и требованиям безопасности, а также выявления уязвимостей и возможных угроз безопасности. Читать далее...
Всё о новых штрафах за утечки данных. Сколько светит и как защитить своё приложение
На этой неделе Госдума ужесточила ответственность за нарушения в работе с данными — для компаний штрафы вырастут до 3% от выручки или до 500 миллионов рублей. По оценке нововведения затронут каждую третью компанию в стране. Поэтому сегодня совместно с лидом Android-разработки Surf Алексеем Рябковым...
Как показать руководству, что есть проблемы в информационной безопасности?
Перед началом статьи немного цифр: 61% российских компаний не имеют комплексной стратегии кибербезопасности. 48% российских компаний принимают решения без учета рисков информационной безопасности (данный процент меняется в зависимости от отрасли). Более 70 % российских компаний не...
Как мы вели переговоры с хакерами или сколько стоит беспечность для компании
Сегодня мы расскажем реальную историю из жизни собственников бизнеса. И хотя ее сюжет напоминает какой‑то голливудский фильм, произойти она может с каждым, кто заявляет: «Да у нас маленькая компания! Кому мы нужны?» Есть у нас заказчик — выполняем работы по сопровождению сайта. Когда только начали...
Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений
Привет, Хабр! Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO наше все! И будут правы,...
ИБ-аудит в финансовых организациях: что надо знать, чтобы не провалить или не затянуть
Привет! На связи Департамент консалтинга и аудита информационной безопасности Бастион. Не ожидали? А мы вот решили написать пост, потому что есть желание поделиться полезной информацией. Дело в том, что иногда мы выступаем в качестве внешних ИБ-аудиторов различных организаций, в том числе...
Active Directory глазами Impacket
При аудите Windows-инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным или умолчательным) инструментом, конечно же, является, PowerShell. Но так уж сложилось, что использовать последний из-под Linux – не...
[recovery mode] Ежедневно страдает более 2.5 тысяч сайтов, но именно вас ведь не коснется?
Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт - не того масштаба для таких проблем? А ведь времена немного изменились – и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим. На связи Михаил TutMee, и сегодня у...
Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD
Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО. В работе я нередко сталкиваюсь с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft...
Не время витать в “облаках”
В нашем новом блоге речь пойдет про распространенные ошибки пользователей публичных облаков — мы подробно поговорим о публичных бакетах и репозиториях пользователей и покажем как и почему эти недостатки стоит устранять. Мы надеемся, что он поможет компаниям лучше понимать логику действий атакующих...
Побег из песочницы и захват леса — реальный сценарий взлома корпоративной сети
Пришло время рассказать о еще одном векторе атаки на внутренние сети компании. На этот раз речь пойдет о ситуации, в которой у меня не было прямого доступа к компьютеру, а хосты оказались неуязвимы к популярным атакам. И все же несколько мелких ошибок администраторов привели к тому, что защита...
SimpleX – первый мессенджер без идентификаторов пользователей
Сегодня рассказываем про анонимный мессенджер SimpleX, который написан на Haskell и позволяет, в том числе, использовать сеть Tor для общения. SimpleX – не только один из немногих мессенджеров, который не собирает данные пользователей, но и единственный на сегодняшний день мессенджер, который не...
Назад