Все вы знаете, зачем посещать конференции. По крайней мере, на всех рекламных баннерах и других рекламных материалах пишут что-то похожее. Это обновление знаний, обмен опытом, soft skills, новые контакты и «тусовка». На самом деле это не всё, что даёт нам посещение профессиональной конференции. Давайте посмотрим, что ещё вы можете получить на примере DevOpsConf 2024:
Изучение реальных кейсов
Получение обратной связи
Поиск вдохновения и мотивации
Перед началом статьи немного цифр:
61% российских компаний не имеют комплексной стратегии кибербезопасности.
48% российских компаний принимают решения без учета рисков информационной безопасности (данный процент меняется в зависимости от отрасли).
Более 70 % российских компаний не страхует риски, связанные с утечкой данных.
8% компаний не имеют выделенных специалистов по информационной безопасности. При этом в 92% компаний уровень зрелости ИБ низок.
Из этой статистики можно сделать вывод, что половина российских компаний не считает риски информационной безопасности значимыми.
Не задумывались ли вы когда-нибудь над тем, чтобы знать о каждом входе на ваши сервера? Меня охватила такая же паранойя: а вдруг, когда я сплю, на мой сервер заходит домовой и творит там ужасы? Хотя логин на наши сервера и запрещен по паролю, а SSH-ключи есть только у меня, в любом случае это вызывает большие опасения.
В этой статье мы развёрнем через Terraform несколько серверов в Yandex.Cloud, а затем при помощи Ansible настроим необходимый софт на каждом сервере. У нас будет основной сервер c Loki (система агрегирования логов) и Grafana (инструмент для визуализации данных), на серверах, которые мы хотим отслеживать, будет установлен Promtail (агент для сбора и отправки логов). Мы разберёмся с тем, как отслеживать входы на сервер, а затем в удобном формате отправлять об этом уведомления в чат с помощью вышеуказанных сервисов.
Сегодня у большинства людей на их мобильных устройствах стоят код-пароли — это может быть как короткий пин-код, так и пароль с использованием букв и цифр. Но несколько десятков раз на дню вводить его было бы просто неудобно. Поэтому многие компании придумали, как упростить процесс разблокировки своих девайсов с помощью биометрии — отпечаток пальца, сканирование лица или сетчатки глаза. Все эти способы имеют свои плюсы и минусы, но в общем-то свою основную задачу успешно выполняют — быстро разблокируют устройство.
Биометрия не является полноценной заменой код-пароля, так как при работе с настройками безопасности и раз в 48 часов вам обязательно нужно его вводить. Тем не менее, она существенно упрощает жизнь. С другой стороны, в случае код-пароля единственным носителем этой информации является ваш головной мозг (да, да, автор не в курсе о существовании бумаги и ручки, всё так), откуда вытащить информацию, конечно, можно, но это очень сложно. Казалось бы, с биометрией всё точно также. Но нет. При определенном старании вы можете заполучить биометрию владельца незаметно для него: отпечаток пальца, параметры лица, ну и сетчатку глаза (это наиболее труднодоступная информация, но из головного мозга достать пароль всё ещё сложнее, не прибегая к известным методам).
Поэтому с помощью биометрии вы не можете получить доступ к тем же настройкам безопасности — вас в любом случае обяжут вводить пароль.
Ещё один путь, по которому можно пойти, дабы заполучить доступ к вашей информации — это взломать устройство, в памяти которого находятся биометрия и пароль. Именно поэтому компании особенно тщательно оберегают такие данные не только на программном уровне, но и на аппаратном. Как? Давайте поговорим об этом, предварительно рассмотрев, каким образом, собственно, работает сканирование вашей биометрии.
Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски.
В статье я разберу основы безопасной работы с этим фреймворком и расскажу:
Начнем с инструментов и методов, с помощью которых я провожу анализ кода приложений. Затем продемонстрирую конкретные примеры эксплуатации уязвимостей на примере специальных приложений-мишеней: DVEA, Electro-xxs и Notable.
Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который постоянно меняется: добавляются новый устройства, сегменты сети, меняются политики работы ноутбука важного босса, добавляются СЗИ. По этой причине в организациях с развитым уровнем ИБ регулярно проводятся аудит и инвентаризация, которые помогают актуализировать информационную модель предприятия, но меняются ли по результатам инвенторки плейбуки?
Следующий аспект, влияющий на эффективность защиты – переменчивость внешнего окружения. В текущих реалиях техники реализации атак эволюционируют, усложняются, затрагивают новые типы данных инфраструктуры, используют новые механизмы и способы посткомпрометации (например, программы-вымогатели ransomeware теперь не только шифруют данные организации и требуют оплату за восстановление доступа, но могут также воровать информацию организации, требуя дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности).
В силу постоянно меняющегося ландшафта угроз и способов их реализации наши плейбуки тоже должны изменяться, чтобы не устаревать на фоне меняющегося поведения злоумышленников.
Для решения первой задачи (изменчивости инфраструктуры) был разработан подход, который в зарубежном сообществе трактуется как CD/CR, или непрерывность обнаружения и реагирования.
В этом материале мы рассмотрим возможность аудита домена Active Directory на практических сценариях сначала при помощи штатных средств мониторинга событий операционной системы Windows Server 2016, а затем сравним их с возможностями системы «Спектр»
В данной статье рассказывается о 0-day уязвимости CVE-2024-1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и машинам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется в медицинских и фармацевтических учреждениях США.
Судя по всему, именно эта уязвимость была ответственна за продолжающуюся в данный момент массовую атаку на медицинские и фармацевтические учреждения США, включая взлом систем самой крупной страховой компании в стране United Healthcare, который затронул медицинские записи 85 миллионов пациентов.
Разработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики прямо во время написания кода могли осуществить его проверку на уязвимости и сразу исправлять их, не выходя из IDE. Давайте разберемся, какие бывают плагины и как с ними работать?
Тихо скрипнула задвижка, дверь открылась, и вот они — специалисты информационной безопасности со своими задачами. Куда бежать? Кого спасать? Где лазейки? А поздно! Мы уже всё увидели, услышали и готовы действовать. Новость или само появление отдела информационной безопасности (или Cyber Security-направления) в большой, узнаваемой на рынке компании с хорошей репутацией, часто встречается сотрудниками компании очень неоднозначно.
В данной статье поделюсь своими «заметочками» и полученным опытом в изменении уже функционирующих процессов разработки в компании. Процессов, которыми пользуются абсолютно все в компании.
Привет Хабр, рад снова встретиться (о том, кто я - тут)! На сей раз я хочу рассказать о Всероссийской Летней школе, которая проводилась в июле 2023 года и поделиться своими впечатлениями от данного мероприятия, полученных призах (в том числе приглашение на собеседование, но об этом немного позже), а для приобщающихся к информационной безопасности – разобрать одно из заданий.
Привет, Хабр!
Сегодня расскажем что представляет собой слитая информация инсайдера-разоблачителя из Anxun в Шанхае, компании, тесно связанной с правительством и Министерством общественной безопасности Китая.
Подтвержденные пострадавшие страны: Армения, Эстония, Казахстан, Россия, Грузия.
Статья о том, как нам разбили сердце и о том, как обычная кнопка может стать главным фактором деанонимизации пользователя, который прислал вам сообщение в бота анонимных вопросов.
Привет! Это продолжение краткого перевода публикации "The Complete Active Directory Security Handbook. Exploitation, Detection, and Mitigation Strategies" от Picus Security. Первая часть можео почитать здесь.
!!! Данный текст предназначен для усиления мер безопасности Active Directory, а все описанные техники приводятся в качестве примера для понимания направления атак и способов их детектирования !!!
Структура хэндбука от Picus Security включает описание самых распространенных типов атак на Active Directory и методов их обнаружения.
DCShadow Attack
Атака теневого DC включает в себя компрометацию среды Active Directory путем внедрения в сеть нового вредоносного контроллера домена (DC) с последующей репликацией изменений с легитимными контроллерами домена.
Инструменты и методы для проведения атак типа DCShadow Attack
Злоумышленники часто используют Mimikatz для реализации DCShadow Attack. Шаги, описанные далее, предполагают, что злоумышленник уже скомпрометировал учетную запись в Active Directory с правами администратора, используя методы, описанные в предыдущей части.
Шаг 1. Повышение до системных привилегий и внесение изменений в реплицируемый объект
Mimikatz предоставляет возможность использовать функции режима ядра через включенный в его состав драйвер Mimidrv. Первый шаг предполагает запуск mimidrv, который предоставляет необходимые привилегии для выполнения роли поддельного контроллера домена. После чего, командой /object указывается целевой объект (на изображении ниже, этот объект "Alica" и для целевого объекта заменяется атрибут "SidHistory" на новое значение "S-5-1-5-21-2049251289-867822404-1193079966".
Хоть убейте, не нашёл отличий. Впервые увидел на Коде Дурова, там, как обычно, не дали подробностей. Ключи используются от устройств, ну и что? Сейчас не также? Также. Приватный ключ здесь, публичный остальным, приватный никому не показываем. Всё, пошло поехало.
Но это же Apple! Не может всё так быть просто. Окей, ищу дальше, натыкаюсь на securitylab, там уже побольше подробностей.
Привет! Если ты не понимаешь с чего начать защищать Active Directory я привожу краткий перевод публикации "The Complete Active Directory Security Handbook. Exploitation, Detection, and Mitigation Strategies" от Picus Security. На своем опыте могу сказать, что восстановление Active Directory после влома - это сущий ад, вся инфраструктура, завязанная на доменную аутентификацию превращается в руины, и восстановление, по существу, является созданием инфраструктуры Active Directory с нуля.
!!! Данный текст предназначен для усиления мер безопасности Active Directory, а все описанные техники приводятся в качестве примера для понимания направления атак и способов их детектирования !!!
Структура хэндбука от Picus Security включает описание самых распространенных типов атак на Active Directory и методов их обнаружения.
Вот уже несколько лет в сети появляются новости и статьи о лэптопе MNT Pocket Reform с модульной структурой. Кроме всего прочего, он ещё и неплохо защищён с точки зрения информационной безопасности. Разработчики собирали средства за счёт краудфандинга, но не особо торопились начинать продажу самого девайса.
Теперь, наконец, заветная дата близка — анонсирован месяц, когда компания начнёт отгрузку устройств заказчикам. Подробности — под катом.
Прогресс не стоит на месте и даже такие базовые вещи, как аутентификации на сайтах и в приложениях, обновляются и развиваются каждый день. В данном обзоре мы рассмотрим популярные сегодня методики аутентификации, новые перспективные методы и возможности для бизнеса, связанного с подключением «живых» пользователей к единой информационной системе.
