Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в...
WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO
Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг. Читать...
Безопасная сборка Docker-образов в CI: пошаговая инструкция
Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность. Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет...
Как работает безопасность, когда никто никому не доверяет — Zero Trust на пальцах
Вы потратили кучу времени на защиту снаружи: двухфакторка, фаерволы, бюрократическая заморочка для каждого. Это всё правильно, но один фишинговый email, одна слабая учётка — и левый юзер уже внутри вашей сети. А дальше: данные HR-отдела, финансовая информация, API — доступ ко всему, потому что...
Зашифруй или проиграешь: реальные истории провалов из-за слабой криптографии
Вы думаете, что данные защищены, потому что «все зашифровано»? Взломы из-за криптографии — это не про хакеров в черных худи с суперкомпьютерами. Чаще всего причина — простая халатность: кто-то включил TLS, но забыл отключить SSL 3.0, кто-то шифровал пароль, но на MD5 без строки salt. В этой статье...
Bad Pods: поговорим о подах-плохишах
Обычно, когда мы говорим о безопасности Kubernetes, мы прежде всего говорим о защите подов от внешних угроз, но в некоторых случаях они сами могут представлять определенную опасность. Для того, чтобы эти угрозы мог реализовать атакующий, у него должны быть доступ к кластеру, разрешение RBAC на...
Безопасность подов: взгляд пользователя K8s
Про информационную безопасность Kubernetes-кластеров много пишут с позиции специалистов ИБ. Но полезно взглянуть на эту тему глазами обычных пользователей K8s — инженеров и разработчиков. Тех, кто много работает со своими приложениями в подах, но не управляет служебными частями кластера....
Что ждёт сферу кибербезопасности в 2025 году: тренды, технологии и ключевые скиллы
В 2025 году специалисты по ИБ участвуют в разработке, анализируют угрозы до запуска продукта, выстраивают защиту в пайплайнах и помогают встроить её в архитектуру, процессы и повседневную работу всей компании. А ещё — осваивают ИИ и следят за тем, как меняются технологии. В статье рассказываем про...
Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс
Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба. В какой-то момент нам стало понятно: либо научимся проходить...
Защита без шифрования: парадокс или альтернатива?
Можно ли защитить данные без шифрования? В 2025 году, когда алгоритмы устаревают, квантовые вычисления наступают, а большинство утечек происходят из-за человеческого фактора, этот вопрос становится не праздным, а стратегическим. В статье — альтернативные подходы, неожиданные решения, боевые кейсы...
Три мушкетера из мира DevSecOps. Внедряем инструменты для развития AppSec-процессов
Привет, Хабр! С вами Максим Коровенков, DevSecOps Lead в Купер.техе. Продолжаем цикл статей про построение DevSecOps с нуля. Это большой гайд from zero to, надеюсь, hero. Читать далее...
Что помогает разработчику писать безопасный код: обзор инструментов
Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать...
Доверяем но проверяем
Config Sprawl – конфигов становится все больше, каждый IaC инструмент «изобретает» свой диалект Yaml или Json. K8s, Helm, CloudFormation, Ansible, Istio, Spring Boot properties – современные проекты зачастую содержат больше конфигов чем кода и если для Java или Kotlin есть отличные IDE, линтеры и...
Сайты с практическими заданиями для начинающих безопасников
Меня часто спрашивают, как лучше всего строить свою карьеру в кибербезопасности - где изучать теорию, где отрабатывать знания на практике и т.д. Если без шуток, то вопросы, действительно, периодически поступают, и они, часто одни и те же. Поэтому, я решил собрать всю доступную мне инфу в единую...
Харденинг GitLab: хитрость лисы в защите кода организации
Привет, Хабр! Я Антон Ерёмин, ведущий инженер дирекции инфраструктурных проектов Positive Technologies. Сегодня на примере харденинга реальных сервисов продолжаем рассказывать о нашей методологии ХардкорИТ — подходе к определению времени атаки и вероятных маршрутов хакеров. В прошлый раз мы...
Сгорел в одном месте — попробуй зажечься в другом. Очередная статья про выгорание
Привет, дорогие хабровчане! Меня зовут Илья Лощаков. Я работаю инженером-автоматизатором процессов безопасной разработки в InfoWatch — то есть, devsecops’ом. Расскажу личную историю о том, как я кардинальным способом справился с процессуальным выгоранием, будучи ручным тестировщиком. Не всем...
Что такое «правильный» ASOC?
Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для...
Форензика Windows
При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на...
Назад