Как стать автором
Обновить
1055.44

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Нормализация событий информационной безопасности и как ее можно выполнять с помощью языка eXtraction and Processing

Уровень сложности Простой
Время на прочтение 16 мин
Количество просмотров 831

Всем привет! На связи Михаил Максимов, я — ведущий эксперт департамента развития технологий в R&D Positive Technologies. За плечами у меня многолетний опыт по развитию экспертизы в нашей системе MaxPatrol SIEM и процессов вокруг нее. И сегодня я хочу поговорить про один из видов экспертизы в продуктах этого класса — правилах нормализации. Если вы новичок в этом направлении и ранее вам не приходилось сталкиваться на практике с SIEM-системами и правилами для нее — не пугайтесь, основы этой темы мы тоже затронем 😊

Что нас ждет:

🔻определимся с тем, что же это такое — событие информационной системы, какие разновидности событий бывают;

🔻узнаем, что такое нормализация событий и какие этапы можно в этом процессе выделить, рассмотрим нюансы, с которыми можно столкнуться;

🔻детально разберем язык eXtraction and Processing (XP) для задач нормализации, лежащий в основе правил MaxPatrol SIEM, и посмотрим на примеры кода правил разной сложности;

🔻в заключении поговорим про доступные инструменты, которые можно использовать для разработки правил, и про причины, по которым мы решили пойти по пути разработки собственного языка.

Итак, приступим
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 1

Настройка OAuth2/OIDC федерации в OpenAM

Уровень сложности Средний
Время на прочтение 5 мин
Количество просмотров 282

В данном руководстве мы настроим федерацию между двумя инстансами OpenAM по протоколу OAuth2/OIDC. Один инстанс будет являться OAuth2/OIDC сервером (Identity Provider), другой - клиентом (Service Provider). Таким образом, вы можете аутентифицироваться в клиентском инстансе OpenAM (SP) используя учетные данные инстанса OpenAM (IdP) по протоколу OAuth2/OIDC.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

Снова про выбор DLP-системы и нужен ли он (выбор)

Время на прочтение 6 мин
Количество просмотров 2.5K

Вводное слово

Уважаемый читатель, добрый день!
Для меня публикация статьи на Хабре было закрытием гештальта.
Поэтому решил написать третью статью - и баста (данная статья под номером 3).
Выбрал для себя написать про DLP-системы. Почему? Мне казалось, что тема настолько стара и неактуальна, что уже и говорить нечего, но в различных профильных чатах, все чаще
и чаще поднимается вопрос о том, какую же DLP-систему выбрать (стараюсь не вступать в эти переговоры).
Почему я могу говорить на эту тему?
Знаю около 30 DLP систем, около 15 активно тестировал, трем обучал администраторов в различных организациях, около 30 внедрений в организации и гораздо большее число пилотных проектов, которые оканчивались выбором другого продукта, но, и самое главное, я сам был активным пользователем DLP на стороне Заказчика и аудитора, давая результат!

Когда организация задумалась над необходимостью DLP-системы, самый первый вопрос, который стоит еще раз задать "ЗАЧЕМ?!"

Какую задачу Вы хотите решить при помощи DLP?
Здесь я обычно рассказываю две истории.
История №1.
Эта история еще студенческих времен, но дало мне пищу для размышлений.
В одной компании (в тридевятом царстве) также решили "побежать" в сторону DLP. Однако, руководителем ИБ был очень компетентный и волевой сотрудник, он выявил,
самый главный риск (задачу) у всех заинтересованных сторон - и это оказалась задача контроля переписки в Skype. Тогда он под локальным доменным администратором,
стал собирать файл переписки Skype, самостоятельно написал "читалку" под этот формат и анализировать ее (переписку со всех АРМ) по ключевым словам.
Руководство это устроило.
История №2.
Это скорее тенденция. Когда организация в начале не ответила на вопрос "ЗАЧЕМ", я часто наблюдал, что далее функционал сводился к чтению переписок в мессенджерах.
Смотреть историю №1.
Поверьте, DLP это не волшебная коробка, это инструмент, а задачи, которые вы хотели получить, возможно, можно реализовать и другими средствами (и это достаточно часто). При этом я не только про технические средства, но и про талант и задачи непосредственных руководителей.

Читать далее
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 7

Как я ищу себе сотрудников в команду DevSecOps и AppSec

Уровень сложности Простой
Время на прочтение 7 мин
Количество просмотров 5.1K

Привет! Меня зовут Михаил Синельников. Я DevSecOps TeamLead в РСХБ‑Интех. Тружусь в ИТ‑сфере уже 25 лет, немалую часть из которых — на руководящих должностях. Сегодня расскажу, как я ищу специалистов к себе в команду DevSecOps и AppSec, на что обращаю внимание и как общаюсь с соискателями, которые на собеседовании пытаются приукрасить собственные достижения.

Читать далее
Всего голосов 28: ↑23 и ↓5 +18
Комментарии 8

Истории

Security Week 2413: аппаратная уязвимость в процессорах Apple

Время на прочтение 6 мин
Количество просмотров 1.6K
Большой новостью прошлой недели стало объявление о научной работе исследователей из ряда университетов США, демонстрирующей аппаратную уязвимость GoFetch в процессорах Apple M1 и M2 (сайт проекта, сама научная работа, подробное описание в статье издания Ars Technica). Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм. Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.


Уязвимость обнаружена в механизме контекстно-зависимой предварительной выборки данных (data memory-dependent prefetcher, или DMP). Это достаточно новая технология, внедренная пока лишь в новейших чипах Apple и процессорах Intel начиная с 13-го поколения (в последних механизм работает по-другому и данная атака для них не актуальна). DMP входит в набор оптимизаций, направленных на повышение производительности вычислений: в целом такие технологии ранее неоднократно становились источником проблем. Атака была продемонстрирована на ноутбуках под управлением Mac OS с процессорами Apple M1 и M2. Самые современные чипы M3 также содержат эту уязвимую оптимизацию, но в них предусмотрена инструкция, позволяющая отключить DMP для криптографических вычислений. Для более ранних процессоров придется обновлять код более сложными методами, чтобы исключить утечку по стороннему каналу.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 4

Это база. MITRE ATT&CK

Время на прочтение 2 мин
Количество просмотров 2.1K

Полезного контента по проекту MITRE ATT&CK в сети огромное количество, с чего начать новичку? Чтобы сократить время на поиск и чтение (зачастую перепечатанного друг у друга материала), я собрал и агрегировал статьи, видео и книги, чтобы вы могли последовательно познакомиться с проектом.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 0

Обозреваем и практикуем популярные OSINT инструменты

Время на прочтение 4 мин
Количество просмотров 8.3K

Введение

Рад вновь приветствовать читателей в своей любимой рубрике "ШХ" что является сокращением от "Шерлок Холмс" и разумеется серия таких статей напрямую относится к OSINT. Сегодня на практике попробуем некоторые инструменты и попробуем узнать больше о человеке исходя из его никнейма. В качестве цели я возьму одно из своих имён "VI.......TE".

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Читать далее
Всего голосов 16: ↑15 и ↓1 +14
Комментарии 1

Почему соединения WPA3 разрываются через 11 часов

Время на прочтение 5 мин
Количество просмотров 10K
В 2018 году началась сертификация первых устройств Wi-Fi с поддержкой нового протокола безопасности WPA3, а в последующие года WPA3 стал привычной функцией для всего нового оборудования, включая маршрутизаторы, одноплатники вроде Raspberry Pi и т. д.

Но иногда технология вызывает совершенно неожиданные и необъяснимые сбои. Некоторые пользователи начали сообщать о странном баге, когда беспроводные соединения WPA3 разрываются через 11 часов по непонятной причине.
Читать дальше →
Всего голосов 26: ↑17 и ↓9 +8
Комментарии 8

Первые способы защиты компьютерных игр от пиратства

Уровень сложности Простой
Время на прочтение 12 мин
Количество просмотров 12K
За несколько десятилетий ЭВМ эволюционировали от «100 квадратных метров площади, 25 человек обслуживающего персонала и 30 литров спирта ежемесячно» до вполне миниатюрных образцов: Commodore-64, Atari 800XL, Apple II, Электроника БК-0010… Проблема была в цене: все эти модели весьма били по карману рядовому обывателю (примерно как покупка автомобиля).

Всё изменил Клайв Синклер, выпустивший на рынок ZX Spectrum – первый дешёвый персональный компьютер. Спектрумы продавались ударными темпами: только в одной Англии за неделю приобретали порядка пятнадцати тысяч машин. Причём, помимо и так недорогой версии «в сборе», покупателям предлагался удешевлённый вариант в виде отдельных комплектующих – эдакий конструктор «Собери сам».

Читать дальше →
Всего голосов 71: ↑70 и ↓1 +69
Комментарии 68

KSMG 2.0. Интеграция с Kaspersky Anti Targeted Attack Platform (KATA). Настройка интеграции и тестирование

Уровень сложности Средний
Время на прочтение 5 мин
Количество просмотров 652

В этой статье мы настроим интеграцию Kaspersky Secure Mail Gateway c Kaspersky Anti Targeted Attack Platform (KATA). В результате интеграции Kaspersky Secure Mail Gateway сможет отправлять сообщения электронной почты на проверку Kaspersky Anti Targeted Attack Platform и получать результат проверки. KATA проверяет сообщения на наличие признаков целевых атак и вторжений в IT-инфраструктуру организации.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Лучшие бесплатные ресурсы для изучения этичного хакинга и кибербезопасности

Уровень сложности Простой
Время на прочтение 6 мин
Количество просмотров 24K

Информационная безопасность (ИБ) или кибербезопасность – это одна из самых важных и актуальныхобластей современной науки и технологий. В условиях постоянного развития интернета, киберпреступности и глобальной информатизации, специалисты по информационной безопасности востребованы как никогда. 

ИБ занимаются защитой данных, систем и сетей от несанкционированного доступа, взлома, кражи, подделки и других угроз. Работа таких специалистов требует не только глубоких знаний в области математики, программирования, криптографии и юриспруденции, но и творческого мышления, аналитических способностей и умения решать сложные задачи.

Изучение информационной безопасности – это интересный и увлекательный процесс, который открывает перед вами множество возможностей для карьерного роста, профессионального развития и личностного совершенствования. 

Платные курсы могут быть довольно дорогими, особенно если вы только начинаете изучать информационную безопасность. Тратить большие суммы денег на курсы может быть нецелесообразно.

В этой статье я собрал большой список курсов, книг, репозиториев и каналов на тематику кибербезопасности, которые помогут вам на пути становления белым хакером и подскажут какие перспективы вас ждут в этой области.🛡️

Читать далее
Всего голосов 40: ↑39 и ↓1 +38
Комментарии 4

Приглашение с «сюрпризом»

Уровень сложности Средний
Время на прочтение 6 мин
Количество просмотров 3.7K

Закончился ежегодный CTF от HackTheBox Cyber Apocalypse 2024: Hacker Royale - After Party и конечно, там снова были интересные задания по форензике, которые удалось решить за отведённое на CTF время. В этом райтапе хочу поделиться решением задания "Game Invitation" по форензике уровня Hard. Заодно попрактиковаться в разборе фишинговых вложений и исследовании VBA-кода. 

К расследованию
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 0

Манифест Киберправды

Уровень сложности Простой
Время на прочтение 12 мин
Количество просмотров 3.1K

Данный текст является ответом на опубликованную накануне «Оду бесполезности споров» с целью рассказать о проекте, который намерен принципиально решить проблему анализа достоверности информации в Интернете и оценки репутации ее авторов. Я считаю, что новые никогда ранее не существовавшие децентрализованные технологии дают нам возможность наконец найти ответ на извечный вопрос «Что есть истина?», которым уже почти две тысячи лет задается человечество.

Читать далее
Всего голосов 31: ↑20 и ↓11 +9
Комментарии 75

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн

Знакомство с TPM (доверенным вычислительным модулем)

Уровень сложности Сложный
Время на прочтение 9 мин
Количество просмотров 10K
TPM (Trusted Platform Module) — это международный стандарт, обеспечивающий доверенную работу с вычислительными платформами в целом и предоставляющий ряд возможностей обеспечения безопасности в компьютерных системах, в частности: хеширование, шифрование, подписывание, генерацию случайных чисел и т.д.


Он был разработан консорциумом TCG (группа по доверенным вычислениям) и стандартизирован в 2009 году Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), получив номер ISO/IEC 11889:2009.
Читать дальше →
Всего голосов 37: ↑36 и ↓1 +35
Комментарии 10

От концентратора к PDU

Уровень сложности Средний
Время на прочтение 5 мин
Количество просмотров 3.2K

Говорят, что старый друг лучше новых двух. С корпоративно-айтишной точки зрения это означает, что продукция проверенного вендора предпочтительней даже очень соблазнительных новинок незнакомых брендов. И мы в этом ещё раз убедились.

Читать далее
Всего голосов 7: ↑4 и ↓3 +1
Комментарии 7

JetBrains TeamCity CI/CD CVE-2024-27198

Уровень сложности Средний
Время на прочтение 5 мин
Количество просмотров 2.2K

В феврале 2024 года группа исследователей уязвимостей Rapid7 выявила уязвимость, затрагивающую сервер JetBrains TeamCity CI/CD и представляющую собой обход аутентификации в веб-компоненте TeamCity.

Уязвимость получила идентификатор CVE-2024-27198 и балл CVSS равный 9,8 (критический).

Наличие данного недостатка позволяет полностью скомпрометировать сервер TeamCity, не имея аутентифицированного доступа, включая удаленное исполнение команд.

Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами TeamCity, что может являться подходящим вектором для атаки на цепочку поставок.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 0

Респонс по да Винчи: как мы перевернули систему работы security-аналитика и что из этого вышло

Уровень сложности Средний
Время на прочтение 11 мин
Количество просмотров 2.1K
Как обычно происходит стандартное реагирование в SOC? Получил аналитик оповещение об инциденте от какой-то системы безопасности, посмотрел логи SIEM, чтобы собрать дополнительные данные, уведомил заказчика и составил для него короткий отчет о произошедшем.

А что дальше? А дальше — переключился на новый инцидент или ожидает его появления. В крайних случаях — участие в расследовании инцидентов и разработка новых сценариев выявления атак.

Такова «хрестоматийная», стандартная схема работы аналитика в коммерческом SOC. Это и не хорошо, и не плохо — это, как правило, просто данность. Однако формат действий security-аналитика можно сделать кардинально иным, и за счет этого помочь амбициозному специалисту расти быстрее и шире, а компании-заказчику — дополнительно укрепить свою безопасность.



Я, Никита Чистяков, тимлид команды security-аналитиков в «Лаборатории Касперского». Под катом я расскажу, как и зачем в Kaspersky помогаю выстраивать новые условия работы для security-аналитиков и как эти условия помогают им стать эдакими витрувианскими ИБшниками эпохи Возрождения.

Если вы сами аналитик или в целом работаете в инфобезе, хотите узнать, какой скрытый потенциал есть у профессии и как его раскрыть, эта статья — для вас.
Читать дальше →
Всего голосов 27: ↑26 и ↓1 +25
Комментарии 3

Tinkoff CTF 2024: разбор демозадания

Уровень сложности Средний
Время на прочтение 11 мин
Количество просмотров 4.6K

В апреле пройдет второй Tinkoff CTF для ИТ-специалистов. В этой статье мы рассказываем о соревновании и разбираем одно из демозаданий CTF. Статья поможет лучше подготовиться, даже если вы никогда не участвовали в подобных мероприятиях.

Если хочется узнать больше деталей, заходите на сайт: там мы рассказываем подробности и можно будет зарегистрироваться.

Если вы любите интересные задачи, приглашаем под кат.

Почитать про задания
Всего голосов 15: ↑14 и ↓1 +13
Комментарии 0

Ыыыы ыыыыыыыыыы с помощью AmneziaЫЫЫ

Время на прочтение 3 мин
Количество просмотров 54K

Ну что теперь будем писать про VPN вот так?

Кстати, в Китае вместо слова VPN вы часто можете встретить «Science Online»(科学上网), «ladder»(梯子), или «Internet accelerator»(上网加速器), все это обозначает VPN. В России, кажется еще все не так плохо, но это не точно. С первого марта писать о VPN на русскоязычных площадках нельзя, наказание для площадок — блокировка на территории России. При этом считаются как новые статьи, так и статьи, опубликованные до вступления в силу приказа о запрете. В скором времени, крупные ресурсы будут блокировать любую информацию о VPN, поэтому мы настоятельно советуем подписываться на телеграм каналы разных VPN, в том числе на наш. Мы не знаем сколько еще статей нам отведено на Хабре, и как хабр дальше будет показывать статьи со словом VPN в разных странах.

А теперь о хорошем.

Самый ожидаемый нашими пользователями бесплатный VPN AmneziaFree v.2 c защитой от блокировок наконец‑то готов. Должны признаться, последнее время мы много работали над self‑hosted приложением AmneziaVPN, а так же над протоколом AmneziaWG (или по простому — AWG, его мы используем в бесплатном VPN), поэтому работа над проектом AmneziaFree v.2 немного затянулась. В любом случае, мы очень рады, что наконец можем пригласить Вас присоединиться к числу пользователей нашего бесплатного сервиса. Все так же, как и раньше, без регистрации, рекламы и ограничении по сроку работы.

Бесплатный VPN AmneziaFree v.2, можно использовать только для популярных недоступных на территории России сайтов (не будем их перечислять, вы и сами их знаете), список достаточно большой, поэтому, скорее всего, то что вам надо в нем есть. При этом, не заблокированные в России сайты, будут открываться напрямую, без VPN. То есть напрямую с Вашего IP‑адреса.

Читать далее
Всего голосов 155: ↑144 и ↓11 +133
Комментарии 123

Как на стоимость брендов влияет утечка информации?

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 741

Любая компания, ориентированная на персоналистское взаимодействие с пользователем, так или иначе занимается сбором, обработкой и сохранением его персональных данных (ФИО, возраст, электронная почта, место проживания или пребывания, объемы приобретенных товаров и многое другое). Подобные материалы интересны хакерам и иным злоумышленникам: правильно обработав эту информацию, всегда возможно, используя инструменты социальной инженерии, получить доступ к деньгам клиента.

Читать далее
Всего голосов 12: ↑9 и ↓3 +6
Комментарии 1