Привет! Меня зовут Дмитрий Каплунов. Я работаю младшим аналитиком SOC в команде Анастасии Федоровой в К2 кибербезопасность и более года занимаюсь анализом и расследованием инцидентов ИБ. Один из самых частых видов атаки, с которым встречается команда SOC, — это брутфорс. Злоумышленники используют его для взлома систем, учетных записей, зашифрованных данных и т.д. Под катом я собрал всю полезную информацию про расследование брутфорса в SOC, в т.ч. про то, как отличить реальные атаки от сработок, которые вызваны проблемами в инфраструктуре.
Внешний, гибрид или инхаус. Выбираем SOC по ингредиентам
Привет, Хабр! На связи Анастасия Федорова. За моими плечами 15 лет в ИБ, из них последние два года я руковожу развитием SOC в К2 Кибербезопасность.
Недавно мы опросили 100+ ИТ- и ИБ-директоров среднего и крупного бизнеса и выяснили, что 1/3 компаний за последний год столкнулись сразу с несколькими видами угроз: DDoS-атаками, бот-трафиком, вредоносным ПО и т.д. Простого внедрения средств защиты уже недостаточно — атак все больше и они только усложняются. Рынок давно смотрит в сторону более комплексного подхода к мониторингу и обеспечению кибербезопасности активов. Почти половина (43%) опрошенных организаций сказали, что уже используют или планируют внедрить собственные или коммерческие SOC. При этом у каждого Центра мониторинга инцидентов есть свои особенности и их непонимание осложняет выбор модели под свои задачи и возможности.
Под катом я собрала в одном месте всю нужную информацию. Что такое SOC? Из чего он состоит? Какие виды бывают? Как выбрать самую релевантную модель?
Альтернатива западу: кампусные коммутаторы и Wi-Fi от нового китайского вендора ZRJ
После ухода западных вендоров мы продолжаем искать лучшие среди доступных решений для создания надежных и безопасных сетей. Ранее мы делали обзор вендоров Wi-Fi. Совсем недавно на российский рынок вышел новый производитель телеком-оборудования ZRJ, и мы взяли его на тестирование в свою лабораторию. В этой статье я расскажу про кампусные коммутаторы и Wi-Fi от вендора, плюсах и минусах этих решений и их применимость для разных задач.
Операция «ЦОД» и другие приключения Шурика
Привет, Хабр! Меня зовут Саша Салтыков, я отвечаю за сервисное обслуживание инженерных систем в ИТ-компании К2Тех. Сервис – дело творческое, и часто в работе нам встречаются ситуации, о которых, как говорится, невозможно молчать. Решил поделиться с вами опытом недавнего обслуживания партнерского центра обработки данных и рассказать, как не положить ЦОД во время смены источников бесперебойного питания. Читайте историю под катом!
WAF или не WAF? Дайте два! Решаем вопрос защиты веб-приложений
Всем привет. Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений. Уже больше 15 лет занимаюсь ИБ и три из них – защитой веб-приложений. За это время я часто сталкивался с неоднозначным отношением коллег к Web Application Firewall. В ИБ-сообществе мнения относительно защиты веб-приложений с помощью наложенных средств варьируются в диапазоне от «просто необходимы» до «нецелесообразная трата ресурсов, вполне можно обойтись встроенными средствами приложения».
Кто же прав? Чем полезен WAF, и какие у него недостатки? Давайте разберемся. Предупреждаю: тема непростая, но felix, qui potuti rerum cogoscere causas.
Звездный час Зодиак АйТиЭм: тестируем российский аналог Microsoft SCCM
Привет, Хабр! На связи Денис Мурунов, руководитель практики построения ИТ-инфраструктуры К2Тех. Мне все больше кажется, что популярная последние два года тема изучения российских альтернатив западным решениям будет актуальна еще долгие годы. Столько статей на Хабре посвящают отечественным ИТ-продуктам, а запросов от рынка на подбор подходящего меньше не становится. Даже, наоборот, они кратно растут!
В прошлой статье я рассказывал об отечественных службах каталога. А сегодня подготовил обзор на Зодиак АйТиЭм — систему управления ИТ-инфраструктурой. Она есть в реестре и, что важно, написана с нуля, а не базируется на популярном опенсорсе. Система управляет парками из разнообразных устройств, а скоро сможет устанавливать и сами операционные системы. Если есть задача перейти с Windows на Linux, Зодиак АйТиЭм может помочь облегчить этот процесс.
Для этой статьи мы с командой решили протестировать Зодиак АйТиЭм на весьма непростой задаче — развертывание системы мониторинга сетей и серверов Glaber. Все подробности читайте под катом!
Миграция неизбежна: сравниваем российские СУБД и open source, чтобы подготовиться
Привет, Хабр! На связи Роман Севрук, менеджер по развитию решений СУБД в К2Тех. Работая с крупными компаниями, я заметил тенденцию: многие до сих пор используют бесплатную PostgreSQL. Однако технологии Postgre стремительно коммерциализируются при участии российских разработчиков. Они берут мировой open source и успешно его дорабатывают.
Сейчас рынок находится в подвешенном состоянии. Бизнес понимает преимущества перехода на коммерческие решения, но привычный open source пока вроде бы справляется с задачами не хуже. Зачем менять то, что работает? Дьявол кроется в деталях, и с учетом обстоятельств, в которых мы оказались, открытые решения становятся невыгодными и даже где-то опасными. Почему лучше переходить на коммерческие СУБД вместо использования базовой PostgreSQL? Давайте разберемся в этом вопросе, рассмотрим тренды рынка и планы развития СУБД.
Мы обсудим несколько российских систем и определим, каким компаниям они подойдут. А бонусом будет детальная сравнительная таблица.
Профессия сервис-менеджер. Истоки, суровая реальность и путь к созданию команды мечты
Хороший сервисный менеджер - залог спокойного сна заказчика (как внешнего, так и внутреннего). Для меня это уже лет 20, как аксиома. И хотя должность давно прижилась на рынке, до сих пор часто встречаю вопрос "Зачем вообще нужны сервис-менеджеры, если в компании и так отлично работают процессы и сотрудники?" В этой статье я не только отвечу на этот вопрос, но и коснусь истории, поделюсь разочарованиями, а также своим видением о том, как создать и вырастить крутую команду сервис-менеджеров.
От носителей до регламентов: как построить безопасную архитектуру бэкапов
Серьезные инциденты случаются со всеми, даже с глобальными игроками. Чего стоил один только прошлогодний сбой у Toyota! Тогда переполнение дискового пространства и сбой в СУБД стали причиной остановки всех заводов компании в Японии. А недавно произошла хакерская атака на СДЭК. В таких ситуациях остается надеяться только на бэкапы.
Не удивительно, что мы часто получаем запросы от клиентов о том, как организовать корпоративное резервное копирование. Их интересует, что именно бэкапить, как часто это делать, где хранить резервные копии, какие регламенты нужны и как лучше организовать резервное копирование на предприятии. Особенно много таких запросов стало поступать в последнее время. Поэтому я решил написать серию статей о том, как устроено резервное копирование, как его организовать и защитить. Моя цель — рассказать о best practice и структурировать эти знания. Бэкапы — обширная тема, которая включает множество нюансов, так что я начну с архитектуры и буду постепенно углубляться в детали.
Как мигрировать 1С в облако: обзор
Многие компании замещают приложения уходящих с рынка вендоров на решения 1С. И это часто сопровождается миграцией в облако. Я, Анжелика Захарова, менеджер облачных проектов K2 Cloud, расскажу, как и почему компании переводят приложения 1С в облако в 2024 году, и что следует учитывать при миграции.
Перспективы, вызовы и тренды в построении ИТ-инфраструктуры
На конференции «Цифровая индустрия промышленной России» (ЦИПР) К2Тех провел сессию «Внедрять нельзя откладывать. Построение ИТ-инфраструктуры сегодня» с лидерами ИТ-рынка — крупными заказчиками и вендорами. В ходе диалога участники сессии обсудили текущую ситуацию в отрасли, актуальные вызовы и перспективы импортозамещения.
В этом материале мы поделимся итогами дискуссии на ЦИПР. И расскажем об основных трендах ИТ-рынка, статусе перехода компаний на российские решения и подходах к построению ИТ-инфраструктуры.
Soft skills для SOC или Как обучить технарей говорить с клиентом на одном языке
Ситуация — прямо здесь и сейчас вирус-шифровальщик распространяется по корпоративной сети. Как достучаться до ЛПР (лица, принимающего решения)? Особенно, если он не специалист в ИТ или ИБ? Как не вогнать его в панику и объяснить правильный порядок действий, прежде чем станет поздно? При работе с инцидентами реакция должна быть молниеносной и точной. Для этого нужны особые навыки и их можно развить.
Меня зовут Анастасия Федорова, я директор по развитию Центра мониторинга кибербезопасности (SOC) в К2 Кибербезопасность. Я не понаслышке знаю, насколько важно говорить на языке заказчика, быстро ориентироваться и перестраиваться в зависимости от его компетенции.
Мы обучили 40+ специалистов нашего SOC (Security Operations Center), как четко и понятно общаться с клиентами по непростым вопросам. Это статья про наш опыт: от формулировки проблемы и поиска решений до выбора формата и реализации обучения и вдохновляющих результатов.
Один день из жизни серверной стойки. Экскурсия по ИТ-лаборатории, где мы ставим опыты над сетевыми железками
Привет, Хабр! Я – серверная стойка в лаборатории ИТ-компании К2Тех. Пару слов о себе: я металлическая, китайская и за пару лет в России уже довольно сносно изъясняюсь по-русски. Последнее время я пользуюсь бешеной популярностью. Приходит много сотрудников из разных департаментов, да и партнеры с рынка тоже, все меня рассматривают со всех сторон. Пора заводить учетку в социальных сетях и лайки собирать.
Начну, пожалуй, с Хабра. И расскажу, как все у нас устроено в лаборатории. А точнее – в сетевой лаборатории, где мы тестируем железо и ПО, чтобы строить надежные сети на базе разных производителей.
Путь самурая SOC: создаем надежный workflow инцидента
Путь к идеальному workflow для обработки инцидентов напоминает путь самурая — это история непрерывного самосовершенствования.
Привет! Меня зовут Кирилл Рупасов, я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». В этом посте я поделился нашим опытом организации понятного и эффективного процесса обработки инцидентов и преодоления типичных проблем в работе с ними.
Трудности перевода. Мигрируем учетные системы после переезда на отечественную СУБД
Привет! Меня зовут Дима Татаринов, я занимаюсь бэкенд-разработкой в К2Тех. Мы живем в эпоху «великого переселения» СУБД с SQL Server, IBM DB2 и Oracle на отечественную СУБД Postgres Professional или аналоги. Подобные проекты «паровозиком» цепляют за собой потребность в модернизации бизнес-приложений, которые на них работали. Ранее зарубежные производители накладывали сильный вендор-лок с помощью экосистемы своих инструментов: от специализированного языка написания бизнес-логики (PL/SQL для Oracle) до сервера приложений. Именно поэтому особенно злободневной становится старая шутка про Oracle - «Oracle doesn't have clients. It has hostages» (У Oracle нет клиентов. Есть только заложники).
Цена освобождения уже стала известна российским вендорам прикладного ПО, которые реализовали в своих продуктах миграцию на отечественные СУБД. Но что делать с тысячами так называемых «учетных систем», которые используют компании на момент принятия решения о миграции. Понятно, что затрат не избежать, но как сделать их предсказуемыми и не получить новый «вендор-лок» взамен старого?
С таким запросом к нам стали часто обращаться корпоративные заказчики, и мы решили посмотреть на предложения вендоров в этом сегменте.
Какая информация есть в вашей компании или Почему оштрафовать могут каждого
Привет, Хабр! Меня зовут Анастасия Федорова. Я — директор по развитию Центра мониторинга кибербезопасности «К2 Кибербезопасность». Уже более 15 лет я работаю в ИБ-сфере. В своей практике я часто сталкиваюсь с ситуациями, когда организации либо не знают, либо отрицают необходимость выполнения тех или иных требований законодательства в области информационной безопасности. А разбираться в них надо хотя бы для того, чтобы четко оценить риски с учетом трендов на увеличение штрафов и ужесточение уголовной ответственности. И это касается далеко не только ИТ-компаний, а бизнеса любого типа и размера.
Недавно я выступала с экспертным стендапом на эту тему в рамках проекта AM Talk портала Anti-Malware.ru. Увидев интерес со стороны аудитории, я решила рассказать о влиянии ИБ-законов на работу бизнеса и на Хабре. В этой статье я собрала простой гайд — как понять, какие типы информации обрабатывает ваша компания и какие требования в области ИБ вам надо выполнять. Заходите под кат, чтобы узнать, на что обратить внимание сегодня, чтобы не получить штраф завтра.
Сказ о том, как мы куриц MESтомизировали
При внедрении ИТ-решений в промышленности я периодически наблюдаю ситуацию, сильно усложняющую жизнь команде внедрения. Заказчик имеет яркий образ результата в будущем, но зачастую не имеет точного понимания, как всё работает сейчас. Производство десятилетиями обрастает деталями, о которых в курсе только начальники смен, учетчики, кладовщики. При этом ни у кого нет полной картины того, как все устроено и работает на самом деле. И это знание формируется только с приходом команды внедрения, которой предстоит сформировать реальный путь перехода в светлое будущее.
Как правило, в таких случаях, фактическое дообследование процессов продолжается до окончания внедрения. Иногда, на этапе обследования, всплывают очень интересные нюансы в духе «очевидно же что мы так работаем всегда», которые на этапе внедрения превращается в «никто и подумать не мог что такое есть». Это влияет (часто — существенно) на объём и сроки выполнения работ. На это нужно закладывать ресурсы команде исполнителя, а также и терпение и время команде заказчика.
Я Иван Балашов, в интеграторе К2Тех руковожу направлением цифрового производства, внедряю цифровые решения в промышленности. На примере кейса внедрения MES я расскажу о возможных сложностях, с которыми можно столкнуться при цифровизации производства. Что подталкивает производство к цифре? Как “очевидное и не сказанное вовремя” меняет образ результата проекта, сроки и объем работ? Почему бывает невозможно остановить производство для тестов и как бывает, когда приходится ловить баги по-живому?
Внутренняя кухня Security Operations Center: рецепт контента
Привет, Хабр! Меня зовут Кирилл Рупасов. Я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». Я не понаслышке знаю, как порой непросто создавать контент для Центра мониторинга кибербезопасности. Написать одно правило обычно несложно, а вот разработать их связанный комплекс — задача достаточно трудная, особенно для молодых команд.
Под катом я собрал всю полезную информацию о грамотном создании контента: виды правил и их нюансы, workflow и возможные проблемы, сценарии обработки инцидентов. А также рассказал, как мы организовали процесс разработки и поддержки актуальности контента в своем коммерческом SOC.
Termit 2.1 под микроскопом. Обзор новой версии отечественной системы терминального доступа
Всем привет! На связи Алексей Ватутин, руководитель практики инфраструктуры рабочих мест в компании К2Тех.
Полгода назад я писал о выходе версии 2.0 решения терминального доступа Termit. В апреле этого года вышел очередной релиз этого продукта, в котором появился новый функционал, и в этой статье я бы хотел рассказать про некоторые из этих возможностей.
Для тех, кто не может или не хочет читать старое, короткое «ранее в сериале»: Termit – это решение для организации терминального доступа к приложениям и рабочим столам на базе ОС Linux, которое развивается с 2018 года и внесено в реестр отечественного ПО. Разработчиком выступила отечественная компания Orion soft, известная на рынке своей платформой виртуализации zVirt. Сам разработчик позиционирует решение как отечественную замену аналогичного решения от Citrix, но это скорее заявлено как цель, к которой коллеги идут, так как невозможно создать за год-полтора что-то аналогичное решению, развивавшемуся десятилетиями.
Чего ожидать от проектов с российскими вендорами: пример миграции IP-телефонии на российский ФЛАТ
К чему мы привыкли за годы работы с западными решениями? Достаешь условную Cisco из коробки и разворачиваешь по щелчку пальцев (ну, почти). С внедрением доступных сегодня российских решений все обстоит иначе. Они пока не воспроизводят функционал ушедших вендоров один в один. И чтобы заказчику получить достойный аналог, нужно быть готовым к работе над совершенствованием решения в ходе внедрения.
Но все понимают, что переходить на импортонезависимые решения рано или поздно придется. И чем раньше это сделать, тем быстрее решение стабилизируется и компания вернётся к нормальной операционке. Если заложить адекватные ресурсы и ожидания от проекта и заручиться поддержкой ИТ-партнера, можно получить стабильную импортонезависимую систему, сопоставимую с замененным западным решением.
И да, у ведущих отечественных вендоров есть жирный плюс (помимо того, что они попросту есть в наличии). Это готовность пилить кастом под требования и ожидания заказчика. В их интересах как можно скорее наработать свежие кейсы. Поэтому они активно включаются в проект, ездят на площадки, обучают клиентов, разбирают и дебажат сложные ситуации. Для заказчиков сейчас хороший момент, чтобы воспользоваться этим окном возможностей.
На примере довольно типового крупного проекта по миграции IP-телефонии хочу показать, как реализуются проекты с российскими разработчиками и на что нужно заложить ресурсы.