Forwarded from Standoff 365
🤘 The Standoff Talks снова в деле
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
Приглашаем всех в конце лета на наш митап для энтузиастов и профессионалов Offensive/Defensive Security. Первый The Standoff Talks пройдёт 23 августа в Москве, на площадке Loft Hall. В программе доклады, общение и чилл. Это тот самый митап, который мы затеяли ещё в начале весны.
🔔 Сегодня мы запускаем Call For Papers и регистрацию для спикеров. Если вам интересно что-нибудь рассказать на пентестерско-стэндоффскую тему, успевайте заполнить форму CFP до 1 августа → cfp.standoff365.com
С чем можно податься?
• техническими и фановыми докладами из жизни специалиста Red/Blue Team;
• историями про свой опыт и забавные открытия;
• рассказами команды про жизнь и подготовку к Стэндоффу, бета-тест платформы The Standoff 365;
• успешными багхантерскими находками.
В общем, тут главное — желание поделиться с единомышленниками, а форму выбираете вы.
Первого августа мы закроем подачу заявок на доклады, запустим регистрацию и отбор уже для участников. У спикеров, естественно, инвайты будут автоматически.
Так что освобождайте 23 августа от дел и готовьте ваши огненные доклады! 👉 cfp.standoff365.com 🔥
👍9🔥2
Forwarded from Standoff 365
Встречайте, онлайн-киберполигон The Standoff 365 — online.standoff365.com
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
Испытайте пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
📊💡🏦
🔥14👍1
Риски безопасности систем ИИ
В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.
Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷♀️
Подготовили подробный разбор конкурса на нашем Хабре
В 2021 году тренд на использование технологий на базе искусственного интеллекта в киберпреступности стал реальностью. Шутки кончились! 😐 В Китае, например, хакеры нанесли ущерб на $76.2 млн, обманув с помощью дипфейка госсистему, которая принимает подтвержденные биометрией налоговые документы, а в ОАЭ мошенники вынудили сотрудника компании перевести деньги на их счета, подделав голос директора.
Чтобы помочь специалистам DS, ML и AI больше погрузиться в вопросы безопасности, а экспертам по ИБ — ближе познакомиться с ИИ, на PHDays 11 мы провели соревнование AI CTF, затрагивающее риски безопасности систем ИИ.
В течение 28 часов 44 конкурсанта сдали как минимум по одному флагу. Все задания были решены, но никто из участников не решил их все 🤷♀️
Подготовили подробный разбор конкурса на нашем Хабре
🔥6👍3
Более 200 исследователей безопасности зарегистрировались сегодня на The Standoff 365 🎉
На нашей платформе вы можете:
Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.
Присоединиться
На нашей платформе вы можете:
Прокачивать свои навыки на Киберполигоне, испытывая пределы безопасности реальных компаний в корпоративном, энергетическом и банковском сегментах!
Получать деньги и славу за найденные уязвимости, участвуя в программах bug bounty.
Присоединиться
🔥7👍2
IDS Bypass на PHDays 11
На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.
Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.
Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.
Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.
Читайте подробный разбор конкурса на Хабре
На фоне цифровизации, массового перехода на удаленку и роста напряженности в мире сетевая безопасность приобретает решающее значение для бизнеса, тем более что и кибератаки становятся все коварнее.
Участники конкурса IDS Bypass на PHDays испытали на прочность системы сетевой защиты. В первом задании, например, им предложили проэксплуатировать нашумевшую уязвимость Log4Shell в популярной библиотеке log4j, а во втором — брешь в механизме авторизации SSO, которая позволяет подменить куки и войти в Zabbix без авторизации с учеткой администратора.
Количество решений было неограниченным, а шесть уязвимых сервисов подобраны так, чтобы участники сосредоточились на обходе системы IDS, которая пропускает трафик через себя и блокирует попытки сетевых атак.
Больше 100 конкурсантов состязались днем и ночью почти 30 часов, а борьба за призовые места шла буквально до последней минуты.
Читайте подробный разбор конкурса на Хабре
👍4
Hack me, если сможешь
Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.
Третий выпуск нового сезона уже ждет своих слушателей!
Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:
🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.
Слушайте этот и другие выпуски на любой удобной для вас платформе.
Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34
Хотим напомнить, что у нас есть подкаст с лучшими выступлениями с Positive Hack Days и не только.
Третий выпуск нового сезона уже ждет своих слушателей!
Новое лицо OSINT. Версия 2022 года.
Андрей Масалович, генеральный директор «Инфорус» и разработчик технологии интернет-разведки Avalanche, раскрывает на реальных примерах 20 практических приемов разведки по открытым источникам (OSINT), в которых применяются новые возможности цифрового мира:
🔸 поиск по фото с использованием нейронных сетей;
🔸 сбор информации из даркнета;
🔸 обнаружение утечек в облачных хранилищах;
🔸 фиксация цифрового следа пользователя по данным его гаджетов.
Слушайте этот и другие выпуски на любой удобной для вас платформе.
Подписывайтесь, ставьте лайки и делитесь своим мнением об услышанном: https://phdays.mave.digital/ep-34
👍9🔥1🎉1
Шестьдесят девятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
Темы нового ролика:
🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев
⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца
Темы нового ролика:
🔸 Парадокс нехватки специалистов в области кибербезопасности
🔸 Новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей
🔸 Албания ушла в офлайн после кибератаки
🔸 iOS 15 взломали через год после релиза
🔸 Найден чит-код для мозга: просто играйте в видеоигры
🔸 Падение стоимости криптовалюты вызвало кризис в дарквебе
🔸 Группировка BlackCat требует у жертв все больше денег
🔸 Последнее крупное обновление Tor открыло новые возможности по обходу цензуры
🔸 GlobalData: Нефтегазовая отрасль уязвима для кибератак
🔸 Минцифры собирается легализовать белых хакеров
🔸 Опрос: импортозамещение ПО займет несколько месяцев
⚡️ P.S. Хотите целую коробку шоколадок Bounty? 🥥 Тогда обязательно досмотрите видео до конца
YouTube
Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости #69 | 12+
👉 Новости об инвестициях в кибербезопасность: https://t.me/positive_investing
0:00 Security-новости
0:58 Парадокс нехватки специалистов в области кибербезопасности - https://www.securitylab.ru/news/532864.php
2:27 Срываем маски: новая кэш-атака по сторонним…
0:00 Security-новости
0:58 Парадокс нехватки специалистов в области кибербезопасности - https://www.securitylab.ru/news/532864.php
2:27 Срываем маски: новая кэш-атака по сторонним…
👍7❤1🔥1
Митап The Standoff Talks
23 августа в Москве пройдет митап The Standoff Talks, на котором соберутся энтузиасты и профессионалы offensive и defensive security.
С какими докладами можно прийти
Для примера:
🙅 Команда ITeasy, участник майского The Standoff, поделится опытом участия в кибербитве в докладе «Не делайте так, как мы ^ _ ^».
🙀 Bulba Hackers готовят доклад «Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff».
😎 Старший специалист отдела тестирования на проникновение Positive Technologies Константин Полишин расскажет о RedTeam-страданиях SOC’а.
С чем еще можно податься:
• c техническими и фановыми докладами из жизни специалиста red или blue team;
• c историями про свой опыт и забавные открытия;
• c рассказами про жизнь и подготовку к The Standoff, про бета-тест The Standoff 365;
• c успешными багхантерскими находками.
❗️Осталось 5 дней до окончания приема заявок для спикеров (до 1 августа). Если вам есть чем поделиться, успейте заполнить форму CFP!
Let’s meet up!
23 августа в Москве пройдет митап The Standoff Talks, на котором соберутся энтузиасты и профессионалы offensive и defensive security.
С какими докладами можно прийти
Для примера:
🙅 Команда ITeasy, участник майского The Standoff, поделится опытом участия в кибербитве в докладе «Не делайте так, как мы ^ _ ^».
🙀 Bulba Hackers готовят доклад «Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff».
😎 Старший специалист отдела тестирования на проникновение Positive Technologies Константин Полишин расскажет о RedTeam-страданиях SOC’а.
С чем еще можно податься:
• c техническими и фановыми докладами из жизни специалиста red или blue team;
• c историями про свой опыт и забавные открытия;
• c рассказами про жизнь и подготовку к The Standoff, про бета-тест The Standoff 365;
• c успешными багхантерскими находками.
❗️Осталось 5 дней до окончания приема заявок для спикеров (до 1 августа). Если вам есть чем поделиться, успейте заполнить форму CFP!
Let’s meet up!
🔥5👍2
Какие доклады вам интересны больше всего?
Anonymous Poll
65%
Технические доклады из жизни специалиста red или blue team
41%
Истории про личный опыт и забавные открытия
24%
Рассказы команды про жизнь и подготовку к The Standoff, про бета-тестирование The Standoff 365
44%
Успешные находки багхантеров
4%
Свой вариант, напишу в комментариях ↓
Семидесятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
Темы нового ролика:
▫️ Бывший генеральный директор Google сравнил ИИ с ядерным оружием
▫️ Появились инструменты для дешифровки микрокода Intel
▫️ Данные аккаунтов 5,4 млн пользователей Twitter продают в сети за 30 тыс. долларов США
▫️ Ежегодный прирост специалистов в сфере искусственного интеллекта в России составит около 10 тыс. человек
▫️ Инициатива No More Ransom помогла более 1,5 миллионам пользователей по всему миру восстановить данные
▫️ Субатомные частицы предлагают использовать для сканирования зданий и не только
▫️ Хакеры с помощью калькуляторов атакуют Windows 7
▫️ Популярное приложение JusTalk обманывало пользователей
▫️ 69 млн домашних питомцев продаются за 4 BTC
▫️ Финансовые организации Европы под прицелом восставшей группы Evilnum
▫️ Информация о сотрудниках госучреждений США может вновь оказаться в свободном доступе
___________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://t.me/positive_investing
Темы нового ролика:
▫️ Бывший генеральный директор Google сравнил ИИ с ядерным оружием
▫️ Появились инструменты для дешифровки микрокода Intel
▫️ Данные аккаунтов 5,4 млн пользователей Twitter продают в сети за 30 тыс. долларов США
▫️ Ежегодный прирост специалистов в сфере искусственного интеллекта в России составит около 10 тыс. человек
▫️ Инициатива No More Ransom помогла более 1,5 миллионам пользователей по всему миру восстановить данные
▫️ Субатомные частицы предлагают использовать для сканирования зданий и не только
▫️ Хакеры с помощью калькуляторов атакуют Windows 7
▫️ Популярное приложение JusTalk обманывало пользователей
▫️ 69 млн домашних питомцев продаются за 4 BTC
▫️ Финансовые организации Европы под прицелом восставшей группы Evilnum
▫️ Информация о сотрудниках госучреждений США может вновь оказаться в свободном доступе
___________________________
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://t.me/positive_investing
YouTube
Big Brother следит за VR-пользователями, Взлом оператора связи Канады. Security-новости #70 | 12+
👉 Новости об инвестициях в кибербезопасность: https://t.me/positive_investing
0:00 Security-новости
1:00 Бывший генеральный директор Google сравнил ИИ с оружием массового уничтожения
https://www.securitylab.ru/news/532960.php
2:16 Big Brother может отслеживать…
0:00 Security-новости
1:00 Бывший генеральный директор Google сравнил ИИ с оружием массового уничтожения
https://www.securitylab.ru/news/532960.php
2:16 Big Brother может отслеживать…
🔥3👍1
Forwarded from Standoff 365
🧯Реализованы первые недопустимые события на киберполигоне
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
Хакеры: AlinaPoteet и undefi
Сегмент: STF Bank
Недопустимые события:
🔺 утечка конфиденциальной информации — получение доступа к компьютеру бухгалтера банка
🔺 утечка персональных данных сотрудников — получение доступа к ERP-системе или к базе данных сотрудников банка
Теперь AlinaPoteet занимает первую строчку рейтинга хакеров, а undefi вторую. Поздравляем! 🥳
Если тоже хотите погрузиться в ломание банковской инфраструктуры, приходите на online.standoff365.com
Задания и креды для подключения к полигону видны после регистрации ;-)
🔥16👍1😱1
Forwarded from Standoff 365
Bug Bounty от VK уже на The Standoff 365
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.
Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:
▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).
⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).
Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk
🔥20👍3
Forwarded from Standoff 365
🔥 Завершили отбор докладов на митап The Standoff Talks. Было так много крутых заявок, что мы даже решили расширить по времени программу :) Спасибо всем подавшимся!
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉через нашу платформу багбаунти и киберполигон.
Итак, 23 августа в программе будут следующие доклады:
🔹 Виктор Зварыкин — Не делайте так, как мы
Про участие команды ITeasy в майском The Standoff и сделанные выводы после игры.
🔹 Роман Максимов — Абузим Zabbix заказчика, или как бедолаге стать хозяином подконтрольных узлов
Об особенностях использования развёрнутой в сети заказчика системы мониторинга Zabbix во благо пентестера.
🔹 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Широкий обзор атак на сети Cisco. Вся боль и тлен сетевого инженера при виде сетей, если к их администрированию и дизайну отнеслись халатно.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
🔹 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
Про подготовку и неоднократное участие команды в The Standoff, стэндоффхаки в организации команды.
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Илья Шапошников — MSSQL: dump linked passwords
Про основные варианты атаки на MSSQL и новый вектор атаки для получения паролей от связанных серверов через локальный доступ к СУБД.
На этот митап приглашаем слушателей в основном по инвайтам — ищите их у команд The Standoff и спикеров. Завтра расскажем, как ещё можно получить приглашение 👉
🔥8👍6
Разбор атаки на АСУ ТП
В течение четырех дней майской кибербитвы The Standoff Государство F подвергалось атакам со всех сторон. Самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП), а реализация недопустимых событий в промышленном сегменте приносила атакующим больше всего очков.
В реальной жизни такие атаки разрушительны, несут огромные риски и могут привести к человеческим жертвам, а реализовать их сложнее, так как доступ к этому сегменту ограничен.
На учениях атакующие отправили всего одно фишинговое письмо (якобы с резюме), а затем понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот они уже управляют вашим телетрапом через АСУ ТП.
В кибербитве традиционно принимают участие и команды защиты, которые наблюдают за происходящим, используя решения Positive Technologies.
Читайте на Хабре подробный рассказ о том, как совокупность наших продуктов позволяет восстановить полную цепочку действий атакующих.
В течение четырех дней майской кибербитвы The Standoff Государство F подвергалось атакам со всех сторон. Самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП), а реализация недопустимых событий в промышленном сегменте приносила атакующим больше всего очков.
В реальной жизни такие атаки разрушительны, несут огромные риски и могут привести к человеческим жертвам, а реализовать их сложнее, так как доступ к этому сегменту ограничен.
На учениях атакующие отправили всего одно фишинговое письмо (якобы с резюме), а затем понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот они уже управляют вашим телетрапом через АСУ ТП.
В кибербитве традиционно принимают участие и команды защиты, которые наблюдают за происходящим, используя решения Positive Technologies.
Читайте на Хабре подробный рассказ о том, как совокупность наших продуктов позволяет восстановить полную цепочку действий атакующих.
🔥6👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Кибербезопасность в России в эпоху импортозамещения
Привычный нам мир информационной безопасности в последние месяцы рушится, а российские компании лишаются поддержки западных поставщиков. Импортозамещение в России находится в активной фазе. Но теперь это не требование регулятора, а реальная потребность.
Мы считаем, что кибербезопасность — та самая отрасль, импортозамещение в которой возможно.
Ведущий специального выпуска канала The Standoff Russia Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, вместе со своими гостями — представителями индустрии ИБ России, разбирается:
• как уход западных вендоров повлиял на сферу ИБ в России;
• как повели себя IT-гиганты с российскими клиентами;
• что происходит с компаниями, которые не могут обновить оборудование;
• как российским компаниям сегодня выстраивать защиту в области ИБ;
• почему это важно.
Подробности — в нашем спецвыпуске
Привычный нам мир информационной безопасности в последние месяцы рушится, а российские компании лишаются поддержки западных поставщиков. Импортозамещение в России находится в активной фазе. Но теперь это не требование регулятора, а реальная потребность.
Мы считаем, что кибербезопасность — та самая отрасль, импортозамещение в которой возможно.
Ведущий специального выпуска канала The Standoff Russia Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, вместе со своими гостями — представителями индустрии ИБ России, разбирается:
• как уход западных вендоров повлиял на сферу ИБ в России;
• как повели себя IT-гиганты с российскими клиентами;
• что происходит с компаниями, которые не могут обновить оборудование;
• как российским компаниям сегодня выстраивать защиту в области ИБ;
• почему это важно.
Подробности — в нашем спецвыпуске
🔥7😱1
Forwarded from Standoff 365
Как получить билет на митап
Вчера мы анонсировали доклады на митап 23 августа. Самое время рассказать про конкурс.
На платформе есть хакеры, которые не участвовали в The Standoff. Они не получили персональные приглашения на митап, но при этом активно присылают отчёты о найденных уязвимостях и реализуют недопустимые события. Если ты из их числа и хочешь посетить первый The Standoff Talks, увидеть всё из зала и пообщаться со спикерами лично, выпить пива — поднажми на платформе Bug Bounty и киберполигоне 💪
📅 В среду 17 августа в 17:00 мск мы пришлём билеты всем хакерам с ≥ 3000 баллов в общем рейтинге на киберполигоне и всем багхантерам с ≥ 1000 баллов. Если желающих окажется больше, чем мест в лофте, расчехлим random.org и пришлём приглашения самым удачливым.
GLHF!
Вчера мы анонсировали доклады на митап 23 августа. Самое время рассказать про конкурс.
На платформе есть хакеры, которые не участвовали в The Standoff. Они не получили персональные приглашения на митап, но при этом активно присылают отчёты о найденных уязвимостях и реализуют недопустимые события. Если ты из их числа и хочешь посетить первый The Standoff Talks, увидеть всё из зала и пообщаться со спикерами лично, выпить пива — поднажми на платформе Bug Bounty и киберполигоне 💪
📅 В среду 17 августа в 17:00 мск мы пришлём билеты всем хакерам с ≥ 3000 баллов в общем рейтинге на киберполигоне и всем багхантерам с ≥ 1000 баллов. Если желающих окажется больше, чем мест в лофте, расчехлим random.org и пришлём приглашения самым удачливым.
GLHF!
👍8
Информация — ценнейший ресурс для развития общества и технологий, а безопасность больших данных должна быть ключевым приоритетом для любой компании.
На PHDays 11 тимлид Digital Security и пентестер Вадим Шелест познакомил участников форума с типичными ошибками администрирования, ошибками конфигурации и уязвимостями Hadoop-кластеров и его компонентов. Они позволяют злоумышленникам получить доступ к внутренней инфраструктуре Hadoop — одного из основных инструментов для анализа big data.
Например, у Sparky есть забавный скрипт Dump Clouds Creds, позволяющий атакующим получить доступ во внутреннюю инфраструктуру компаний в облаках с помощью учетных данных. Необходимые данные можно прочитать из метаданных и пользовательских данных таких сервисов, как AWS и DigitalOcean. Все, что для этого требуется, — значения AccessKey, SecretAccessKey и, если речь идет об Amazon, токен.
👀 Смотреть доклад на YouTube
🎧 Слушать доклад в нашем подкасте
На PHDays 11 тимлид Digital Security и пентестер Вадим Шелест познакомил участников форума с типичными ошибками администрирования, ошибками конфигурации и уязвимостями Hadoop-кластеров и его компонентов. Они позволяют злоумышленникам получить доступ к внутренней инфраструктуре Hadoop — одного из основных инструментов для анализа big data.
Например, у Sparky есть забавный скрипт Dump Clouds Creds, позволяющий атакующим получить доступ во внутреннюю инфраструктуру компаний в облаках с помощью учетных данных. Необходимые данные можно прочитать из метаданных и пользовательских данных таких сервисов, как AWS и DigitalOcean. Все, что для этого требуется, — значения AccessKey, SecretAccessKey и, если речь идет об Amazon, токен.
👀 Смотреть доклад на YouTube
🎧 Слушать доклад в нашем подкасте
👍5🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
The Standoff Talks уже через 10 дней!⚡️
И если у вас еще нет приглашения, то сейчас самое время его получить.
Как? Искать уязвимости и реализовывать недопустимые события на The Standoff 365.
📅 17 августа в 17:00 (мск) пришлём билеты всем хакерам с 3000+ баллов в общем рейтинге на киберполигоне и всем багхантерам с 1000+ баллов.
Зачем? Вы сможете вживую увидеть доклады, пообщаться со спикерами и другими участниками. И выпить пива, конечно же.
Лайнап на 23 августа:
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
Остальные доклады здесь
И если у вас еще нет приглашения, то сейчас самое время его получить.
Как? Искать уязвимости и реализовывать недопустимые события на The Standoff 365.
📅 17 августа в 17:00 (мск) пришлём билеты всем хакерам с 3000+ баллов в общем рейтинге на киберполигоне и всем багхантерам с 1000+ баллов.
Зачем? Вы сможете вживую увидеть доклады, пообщаться со спикерами и другими участниками. И выпить пива, конечно же.
Лайнап на 23 августа:
🔹 Вадим Шелест и Михаил Дрягунов — Breaking Red
Фановый доклад о приключениях команды пентестеров из Digital Security на Red Team проектах.
🔹 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
Обзор новых предлагаемых веб-стандартов группы Privacy Sandbox. Как жить, когда нельзя ставить 3rd-party куки.
🔹 Константин Полишин — RedTeam страдания SOC’а
Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.
Остальные доклады здесь
🔥6👍4