Проверяем защищённость приложения на Go: с чего начать
Привет! Меня зовут Александра, я инженер по информационной безопасности в Delivery Club. Мы используем Go в качестве основного языка для разработки Web-API и представляем вашему вниманию краткое руководство по быстрой проверке сервиса на соответствие базовым требованиям безопасности. Представленную...
Patch Tuesday: Microsoft выпустила ноябрьские обновления безопасности
Microsoft выпустила плановые обновления безопасности для закрытия 55 уязвимостей, 6 из которых были классифицированы как критические. Среди прочих 6 уязвимостей были обнародованы публично (0-day), а эксплуатация 2 уязвимостей была зафиксирована в реальных атаках. Максимальный рейтинг по шкале CVSS...
Patch Tuesday: Microsoft выпустила октябрьские обновления безопасности
Microsoft выпустила плановые обновления безопасности для закрытия 81 уязвимости, 3 из которых были классифицированы как критические. Среди прочих 3 уязвимости были обнародованы публично (0-day), а эксплуатация одной уязвимости была зафиксирована в реальных атаках. Максимальный рейтинг CVSS среди...
Как мы переезжали на новую сетевую маршрутизацию и Interconnect в Яндекс.Облаке
Изначальная структура сети и почему мы решили от неё отказаться. Так получилось, что АО «АльфаСтрахование» был одним из первых клиентов, которые начали использовать облачную платформу Яндекс.Облако. Множество фич и функционала, которые сейчас присутствуют в платформе тогда отсутствовали, а перед...
Update Tuesday: Microsoft выпустила сентябрьские обновления безопасности
Microsoft выпустила плановые обновления безопасности для закрытия 60 уязвимостей (86 включая уязвимости в браузере Microsoft Edge). Среди закрытых 3 уязвимости были классифицированы как критические, 16 – потенциально приводили к удалённому исполнению кода. Среди прочих две уязвимости относились к...
Новые стандарты DevSecOps и GitLab
Довольно много дебатов ведется относительно того, какой термин более правилен: DevSecOps, SecDevOps, или же вообще "sec" часть этого термина является лишней. В этой статье хотел бы поделиться тем, каким мы видим ответ на это вопрос в компании GitLab, а также расскажу о наших текущих разработках в...
Шифровальщики-вымогатели: только бизнес и ничего личного?
Привет, Хабр! Несмотря на вроде бы прошедший пик громких историй, связанный с криптолокерами (ransomware), сам этот сектор «теневой экономики» продолжает генерировать различные неприятные сюжеты. Очевидно, что шифровальщики становятся неизбежной, «фоновой» реальностью работы многих компаний как в...
Update Tuesday: Microsoft выпустила августовские обновления безопасности
Microsoft выпустила плановые обновления безопасности, закрывающие 44 уязвимости (51 уязвимость, включая закрытые уязвимости в браузере Microsoft Edge), 7 из которых были классифицированы как критические, 3 относились к типу уязвимостей нулевого дня (0-day), и 1 уязвимость была использована в...
Финальная статья победы Codeby.net и Nitro Team на The Standoff 2020 — Часть 3
Привет! Извиняюсь за долгий выпуск продолжения нашего "экшн-сериала", после The Standoff 2020 я (@clevergod) и все ребята "ушли в работу с головой", и новость о весеннем марафоне The Standoff 2021 выбила из колеи. Кто пропустил первые 2 части, предварительно ознакомьтесь, чтобы не смотреть кино с...
Fortinet Single Sign-On. Описание технологии
Приветствуем! На протяжении всего времени нашей работы с решениями компании Fortinet, а в частности с межсетевым экраном нового поколения FortiGate, одним из самых интересующих вопросов является контроль и отслеживание трафика отдельных пользователей или групп пользователей. Сегодня мы хотим...
Препарируем Compound File Binary format (CFB), или начинаем парсить DOC
Compound File – это довольно сложный универсальный бинарный формат файлов, лежащий в основе форматов офисных документов до MS Office 2007 (doc, xls, ppt, msg, …), отчасти MS Office 2007+ (например vbaProject.bin внутри xlsm) и других. Под катом краткое описание как Compound File устроен внутри,...
Fortinet Security Fabric на практике. Часть 2. FortiSwitch
Приветствуем! В нашей прошлой статье мы описали общую концепцию построения сети на продуктах компании Fortinet - Fortinet Security Fabric. Практически все продукты из этой концепции мы уже описывали. Неосвещенными остались только FortiSwitch и FortiAP. Сегодня мы хотим рассказать про FortiSwitch -...
[Из песочницы] Как стать специалистом по кибербезопасности? Страх и ненависть в ИБ
Очередной раз начали появляться новости с аналитикой будто уже в следующие пару лет на рынке будет катастрофическая нехватка специалистов в области информационной безопасности (сократим до аббревиатуры «ИБ»). По версии ХХ в России не хватает уже порядка 30 тысяч специалистов. Звучит перспективно с...
Гитхабификация Информационной Безопасности
Гитхабификация Информационной Безопасности На пути к открытой, независимой от производителя и приветствующей вклад сообщества модели для ускорения обучения в сфере Информационной Безопасности 8 декабря 2019 года Джон Ламберт (John Lambert), JohnLaTwC, Distinguished Engineer, Microsoft Threat...
Далее