Аудит смарт-контрактов: что проверяет CertiK, а что пропускает — взгляд изнутри
Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и...
Анатомия DeFi-эксплойтов 2023-2024: технический разбор уязвимостей с точки зрения аудитора
За 2024 год из DeFi-протоколов было похищено более $2.2 млрд. В первом полугодии 2025 года эта цифра уже превысила $2.17 млрд — и это только середина года. При этом 60%+ взломанных протоколов имели аудит от известных компаний. Эта статья — не пересказ новостей. Это технический разбор четырёх...
Tetragon: лучшие практики и нюансы разработки Tracing Policy
Привет! Меня зовут Виталий Шишкин, я эксперт продукта Container Security в Positive Technologies. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы Auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением...
Заметки о нашей повседневной работе с PAM
У всех современных компаний в 2025 году есть потребность в предоставлении удалённого доступа к своим ресурсам не только для своих сотрудников, но и для внешних пользователей, например, подрядчикам для выполнения работ, заказчикам для демонстрации решений и прочим контрагентам. В жизни мы привыкли...
Уроки свежих кибератак: принцип резервного копирования 3-2-1
Представьте: утро 29 июля 2025 года, аэропорты по всей России в хаосе. Крупная российская авиакомпания вынуждена отменить десятки рейсов, в основном внутренних, из-за мощной кибератаки. Системы бронирования и управления полетами парализованы, пассажиры в панике, а компания теряет миллионы. Это не...
Bug hunting, как новая этика ИБ: философия открытых дверей
В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они формализованы. Атакующие же редко действуют по чек-листам. Их сценарии непредсказуемы, мотивация разнообразна, а креативность...
Топологический аудит ECDSA: когда геометрия защищает ваши ключи
Откройте для себя, как топология превращается из абстрактной математической дисциплины в мощный инструмент криптоанализа! Читать далее...
Новые штрафы за отсутствие сертификации средств защиты информации — как обойти риски
Федеральный закон от 23 мая 2025 года № 104-ФЗ внес существенные изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ). Теперь существенно увеличились административные санкции за несоблюдение правил информационной безопасности при использовании информационных...
Аудит безопасности КИИ. Детальный разбор проверки ФСТЭК
Проверка ФСТЭК это не поиск нарушений ради наказания. Это формализованный аудит, цель которого определить, является ли ваша система безопасности действующим механизмом или просто набором документов и оборудования. Инспектор последовательно проверяет три слоя вашей защиты. Сначала он изучает...
Использование LLM в Access Management на примере OpenAM и Spring AI
В статье представлен практический пример решения автоматического анализа настроек системы управления доступом на базе OpenAM с использованием больших языковых моделей (LLM) через API Spring AI. Мы развернем систему управления доступом, запросим у LLM проанализировать конфигурацию и вернуть...
Использование больших языковых моделей (LLM) в Access Management
Может ли искусственный интеллект революционизировать управление доступом? Есть ли подводные камни? Высокие затраты, риск «галлюцинаций», производительность в реальном времени, эффективность - что перевешивает? В данной статье мы разберемся, как можно применить LLM к управлению доступом для...
Видеть инфраструктуру как хакер, или Как мы моделируем потенциальные маршруты атак
В современных киберугрозах фокус злоумышленников смещается c массовых рассылок в сторону таргетированных атак с применением нейросетей и социальной инженерии. В то же время ИТ-инфраструктуры становятся все более масштабными и сложными: больше данных, больше устройств и распределенных систем. В...
Отраслевой стандарт защиты данных: методика аудита и наш опыт его прохождения
Миллионы людей ежедневно пользуются сервисами Яндекса и доверяют нам свои данные. Для нас это большая ответственность, поэтому мы делаем всё, чтобы обеспечить их защиту и конфиденциальность. Чтобы эти слова не оставались просто обещаниями, мы регулярно проходим независимые аудиты систем...
7 вещей, которые больше всего волнуют аудиторов в модуле критических данных Flutter-приложения
Привет, Хабр! Меня зовут Анна Ахлестова, я Flutter Team Lead в компании Friflex. Сегодня расскажу про защиту критических данных в приложении на Flutter — это один из модулей, которые аудиторы проверяют очень часто. Утечка таких данных может привести к серьезным потерям, от материальных до...
Аудит Shadow IT
Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента. Читать далее...
Аудит безопасности смарт-контрактов в TON: ключевые ошибки и советы
Всем привет! На связи Сергей Соболев, специалист по безопасности распределенных систем в Positive Technologies, наша команда занимается аудитом смарт-контрактов. Сегодня я расскажу вам о результатах исследований и выводах нашей команды насчет аудита безопасности смарт-контрактов на языках FunC и...
Методика проведения аудита информационной безопасности информационных систем
Аудит информационной безопасности информационных систем - это процесс оценки системы защиты информации на предмет соответствия стандартам и требованиям безопасности, а также выявления уязвимостей и возможных угроз безопасности. Читать далее...
Всё о новых штрафах за утечки данных. Сколько светит и как защитить своё приложение
На этой неделе Госдума ужесточила ответственность за нарушения в работе с данными — для компаний штрафы вырастут до 3% от выручки или до 500 миллионов рублей. По оценке нововведения затронут каждую третью компанию в стране. Поэтому сегодня совместно с лидом Android-разработки Surf Алексеем Рябковым...
Назад