За последние несколько лет в России угроза кибератак на облачные сервисы, где пользователи все чаще хранят значимые данные, увеличивается в кратном размере. При этом сам рынок облачных сервисов постоянно растет, что, безусловно, приводит к росту числа киберинцидентов.
Эксперт УЦСБ Юлия Сонина рассказала, с какими угрозами можно встретиться при использовании облачных сервисов, как безопасно пользоваться облаком и какие российские облачные сервисы являются самыми надежными.
#USSC_expert
Эксперт УЦСБ Юлия Сонина рассказала, с какими угрозами можно встретиться при использовании облачных сервисов, как безопасно пользоваться облаком и какие российские облачные сервисы являются самыми надежными.
#USSC_expert
🔥7❤4🙊2😍1
Друзья, сегодня мы хотим рассказать вам о новых достижениях наших пентестеров и поздравить старших специалистов по анализу защищенности УЦСБ!
⭐️ Дмитрий Зубарев нашел девять уязвимостей в блоке распределения питания Aten PE6208.
⭐️ Влад Дриев обнаружил две уязвимости в устройствах внутренней связи BAS-IP, за что был внесен в «зал славы разработчика». СVE (Common Vulnerabilities and Exposures – глобальный каталог известных уязвимостей и дефектов безопасности) зарегистрированы здесь и здесь.
Интересный факт:
Из более чем 200 000 CVE более половины принадлежат 50 ведущим мировым поставщикам ПО. Например, Microsoft и Oracle сообщили о более 6000 недостатков в своих продуктах.
#USSC_expert
Интересный факт:
#USSC_expert
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤4😍3👍2
Какие изменения произошли в законодательстве в сфере ИТ и ИБ за июнь 2024 года?
-Ответили аналитики УЦСБ!
Читайте на нашем официальном сайте:
🔸Персональные данные
Обновлен порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств, а также определена организация, осуществляющая функции оператора ЕБС.
🔸КИИ
Опубликовано Информационное сообщение, согласно которому детализируется порядок представления субъектами КИИ сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
🔸Безопасность финансовых организаций
Банк России опубликовал Указания о порядке информационного взаимодействия Банка России с участниками финансового рынка и о порядке обеспечения бесперебойности функционирования платежной системы Банка России.
🔸Стандартизация
Опубликована cправка-доклад за май о ходе работ по плану ТК 362 на 2024 год.
🔸Судебная практика
Также в текущем обзоре рассмотрим судебную практику в области ПДн и КИИ за 2 квартал 2024 года.
#УЦСБ_аналитика
-Ответили аналитики УЦСБ!
Читайте на нашем официальном сайте:
🔸Персональные данные
Обновлен порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств, а также определена организация, осуществляющая функции оператора ЕБС.
🔸КИИ
Опубликовано Информационное сообщение, согласно которому детализируется порядок представления субъектами КИИ сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
🔸Безопасность финансовых организаций
Банк России опубликовал Указания о порядке информационного взаимодействия Банка России с участниками финансового рынка и о порядке обеспечения бесперебойности функционирования платежной системы Банка России.
🔸Стандартизация
Опубликована cправка-доклад за май о ходе работ по плану ТК 362 на 2024 год.
🔸Судебная практика
Также в текущем обзоре рассмотрим судебную практику в области ПДн и КИИ за 2 квартал 2024 года.
#УЦСБ_аналитика
👍4❤3🔥1
Собрали вакансии на любой вкус и цвет опыт и навык, чтобы каждый из вас нашёл «ту самую»!
⭐️ Аналитик IDM
Ждём от вас:
•Знание методов сбора и обработки информации, различных способов ее визуализации.
•Навык моделирования бизнес-процессов. Владение инструментами моделирования бизнес-процессов.
•Навык оптимизации бизнес-процессов.
⭐️ Аналитик по информационной безопасности
Ждём от вас:
•Знание нормативно-правовых актов (НПА) в области ИБ.
•Знание российской нормативной базы по ИБ (152-ФЗ, 187-ФЗ, 98-ФЗ, Положения Банка России, ГОСТ Р 57580).
•Понимание и умение объяснить, как должны быть выстроены основные процессы по ИБ в различных типах организаций.
•Развитое аналитическое мышление, умение систематизировать информацию.
⭐️ Пресейл-аналитик
Ждём от вас:
•Знание нормативных правовых актов (НПА) в области ИБ, понимание их иерархии и типов.
•Понимание трендов рынка, проблем потенциальных заказчиков.
•Знание актуальных атак и векторов атак, популярных средств защиты информации на рынке.
•Знание проектного подхода оказания услуг в области ИБ.
⭐️ Главный инженер IDM-проектов
Ждём от вас:
• Опыт внедрения IDM крупным Заказчикам (обследования ПМИ).
• Понимание процессов управления доступом в крупных организациях.
• Понимание RBAC, опыт работы/создания RBAC внутри IDM или отдельных систем.
• Опыт проведения интервью, описания процессов.
• Техническая грамотность (понимание интеграций, AD, БД)
• Английский - достаточный для проведения технических интервью.
• Хорошие коммуникативные навыки, опыт общения с Заказчиками.
Стань частью #USSC_team !
Ждём от вас:
•Знание методов сбора и обработки информации, различных способов ее визуализации.
•Навык моделирования бизнес-процессов. Владение инструментами моделирования бизнес-процессов.
•Навык оптимизации бизнес-процессов.
Ждём от вас:
•Знание нормативно-правовых актов (НПА) в области ИБ.
•Знание российской нормативной базы по ИБ (152-ФЗ, 187-ФЗ, 98-ФЗ, Положения Банка России, ГОСТ Р 57580).
•Понимание и умение объяснить, как должны быть выстроены основные процессы по ИБ в различных типах организаций.
•Развитое аналитическое мышление, умение систематизировать информацию.
Ждём от вас:
•Знание нормативных правовых актов (НПА) в области ИБ, понимание их иерархии и типов.
•Понимание трендов рынка, проблем потенциальных заказчиков.
•Знание актуальных атак и векторов атак, популярных средств защиты информации на рынке.
•Знание проектного подхода оказания услуг в области ИБ.
Ждём от вас:
• Опыт внедрения IDM крупным Заказчикам (обследования ПМИ).
• Понимание процессов управления доступом в крупных организациях.
• Понимание RBAC, опыт работы/создания RBAC внутри IDM или отдельных систем.
• Опыт проведения интервью, описания процессов.
• Техническая грамотность (понимание интеграций, AD, БД)
• Английский - достаточный для проведения технических интервью.
• Хорошие коммуникативные навыки, опыт общения с Заказчиками.
Стань частью #USSC_team !
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9
Зачем проводить пентест ОКИИ и как обеспечить максимальную эффективность? Какие НПА нужно учитывать при пентесте
ОКИИ?
Дмитрий Зубарев, старший специалист по анализу защищенности УЦСБ, Прохор Садков, руководитель направления анализа защищенности УЦСБ и Евгений Баклушин, заместитель директора Аналитического центра УЦСБ, автор блога BESSEC, поделятся своим обширным опытом!
Готовьте ваши вопросы и регистрируйтесь по ссылке. Ждём встречи!
🎁А посмотреть наш прошлый вебинар «Безопасная разработка ПО для значимых объектов КИИ» можно на официальном YouTube-канале УЦСБ.
#УЦСБ_вебинар
ОКИИ?
Дмитрий Зубарев, старший специалист по анализу защищенности УЦСБ, Прохор Садков, руководитель направления анализа защищенности УЦСБ и Евгений Баклушин, заместитель директора Аналитического центра УЦСБ, автор блога BESSEC, поделятся своим обширным опытом!
Готовьте ваши вопросы и регистрируйтесь по ссылке. Ждём встречи!
🎁А посмотреть наш прошлый вебинар «Безопасная разработка ПО для значимых объектов КИИ» можно на официальном YouTube-канале УЦСБ.
#УЦСБ_вебинар
🔥11⚡1
В последнее время мы все больше говорим об автоматизации и роботизации процессов в ИТ-инфраструктуре.
Так, 8 июля в рамках деловой программы выставки ИННОПРОМ-2024 с участием УЦСБ состоялась дискуссия «Автоматизация и роботизация ТЭК: технологии индустрии 4.0 от Полярного круга до бескрайних пустынь».
⭐️ Прочитать, что руководитель направления интеллектуальных инженерных систем УЦСБ Павел Соловьев отметил в рамках данной дискуссии можно здесь.
Сегодня же мы поговорили с Павлом про экономический эффект от проектирования АСУ, а также обсудили, почему Заказчики все чаще обращаются за этой услугой к нам. Все самые интересные ответы читайте в карточках☝️
#USSC_expert
Так, 8 июля в рамках деловой программы выставки ИННОПРОМ-2024 с участием УЦСБ состоялась дискуссия «Автоматизация и роботизация ТЭК: технологии индустрии 4.0 от Полярного круга до бескрайних пустынь».
Сегодня же мы поговорили с Павлом про экономический эффект от проектирования АСУ, а также обсудили, почему Заказчики все чаще обращаются за этой услугой к нам. Все самые интересные ответы читайте в карточках
#USSC_expert
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3👍2😍2
Смарт-контракт представляет собой приложение, развернутое в децентрализованной сети. Часто такие приложения используются как механизм хранения и обеспечения транзакций между несколькими цифровыми активами.
В настоящее время многие участники финансового рынка, а также представители других отраслей экономики проводят различные эксперименты по применению смарт-контрактов для оптимизации бизнес-процессов и сокращения издержек на проведение финансовых операций.
Но так ли безопасно их применение?
⭐️ Рассказал для портала Cyber Media инженер по безопасности приложений Виктор Тимашков.
#USSC_expert
В настоящее время многие участники финансового рынка, а также представители других отраслей экономики проводят различные эксперименты по применению смарт-контрактов для оптимизации бизнес-процессов и сокращения издержек на проведение финансовых операций.
Но так ли безопасно их применение?
#USSC_expert
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤4🥰3
Media is too big
VIEW IN TELEGRAM
В чем главная ценность вебинаров от экспертов УЦСБ?
Наши спикеры – настоящие практики, которые с удовольствием делятся самыми сложными и интересными кейсами.
Смотрите в видео один из самых практически полезных отрывков с вебинара по защите КИИ, в котором старший специалист по анализу защищенности УЦСБ Дмитрий Зубарев демонстрирует кейсы проведения внутреннего тестирования на проникновение.
📺 Полная запись вебинара доступна на нашем официальном YouTube-канале.
И еще немного полезных материалов для изучения –как команда Центра кибербезопасности УЦСБ провела анализ уязвимостей для платформы еКредит можно прочитать тут .
#USSC_expert
Наши спикеры – настоящие практики, которые с удовольствием делятся самыми сложными и интересными кейсами.
Смотрите в видео один из самых практически полезных отрывков с вебинара по защите КИИ, в котором старший специалист по анализу защищенности УЦСБ Дмитрий Зубарев демонстрирует кейсы проведения внутреннего тестирования на проникновение.
И еще немного полезных материалов для изучения –
#USSC_expert
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
Ответы на вопросы КИИ_июль 2024.pdf
4.3 MB
Аналитики УЦСБ подготовили ответы на актуальные вопросы КИИ за июль 2024!
Узнаем в новом выпуске:
📌 Возможно ли формирование доверенного ПАК из компонентов разных производителей?
📌 До какой даты субъекты КИИ из нефтегазовой отрасли могут использовать ОС Windows на своих объектах КИИ?
📌 Можно ли использовать для ЗОКИИ (АСУТП) оборудование, не включенное в реестр Минпромторг?
📌 Обязательно ли в комиссии должен быть секретарь и какие функции на него возложены?
📌 Какой класс должен быть у центров ГосСОПКА для мониторинга безопасности субъектов КИИ?
📌 Как уведомить ФСТЭК России о необходимости исключения ЗОКИИ из реестра ввиду его вывода из эксплуатации?
📎 База ответов на вопросы по КИИ
Остались вопросы? Пишите в комментариях — мы с радостью ответим на них в следующем выпуске🤝
#КИИ_УЦСБ
Узнаем в новом выпуске:
Остались вопросы? Пишите в комментариях — мы с радостью ответим на них в следующем выпуске
#КИИ_УЦСБ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥3🤝1
«Как я внедрял SOAR: в чем разница In-house- и Outsourced-подходов»
Наш коллега, ведущий инженер направления «Автоматизация ИБ» Сергей Марченко подготовил большой материал про внедрение SOAR, в котором не только поделился личным опытом, но и дал практические рекомендации специалистам, которые стоят на пороге внедрения новой технологии в своих организациях.
– поделился эксперт.
Подробнее об опыте Сергея Марченко читайте в статье.
#USSC_expert
Наш коллега, ведущий инженер направления «Автоматизация ИБ» Сергей Марченко подготовил большой материал про внедрение SOAR, в котором не только поделился личным опытом, но и дал практические рекомендации специалистам, которые стоят на пороге внедрения новой технологии в своих организациях.
Мне повезло получить опыт работы с SOAR с совершенно разных сторон: быть и на стороне Заказчика, который только внедряет SOAR и учится использовать его в ежедневных задачах, и на стороне компании-интегратора с богатым опытом внедрения решений автоматизации ИБ. Расскажу о преодолении трудностей, с которыми мне пришлось столкнуться, о поиске уникальных решений для успешной интеграции SOAR, а также о том, как эти испытания преобразили мое видение и подход к работе,
– поделился эксперт.
Подробнее об опыте Сергея Марченко читайте в статье.
#USSC_expert
❤11🏆5
Аналитики УЦСБ подготовили новый обзор изменений в законодательстве.
В июле рассмотрели следующие темы:
1. Критическая информационная инфраструктура
🔸Из Правил категорирования объектов КИИ РФ планируется исключить требования к субъектам КИИ по формированию перечня объектов КИИ, подлежащих категорированию. 🔸Росатом наделили полномочиями в области обеспечения технологической независимости объектов КИИ.
2. Персональные данные
🔸Предложены новые требования к согласию на обработку ПДн. Согласие необходимо будет оформлять отдельным документом, включать его в состав других документов, которые подписывает субъект ПДн, будет запрещено. Также предложен ряд изменений в 152-ФЗ в области обезличивания ПДн.
3. Безопасность финансовых организаций
🔸Банк России представил проект приказа, который устанавливает порядок управления рисками и непрерывностью функционирования платформы цифрового рубля.
4. Деятельность ФСТЭК России
🔸ФСТЭК России предложила внести изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС, и Требования по обеспечению безопасности значимых объектов КИИ РФ, а также увеличить штрафы за нарушение правил защиты информации.
5. Стандартизация
🔸Опубликованы справка-доклад за июль о ходе работ по плану ТК 362 на 2024 год, результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во 2 квартале 2024 года и сведения о принятых национальных и международных стандартах за 2 квартал 2024 года.
🔸Рассмотрен стандарт «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации на протяжении жизненного цикла».
Полный обзор изменений в законодательстве читайте по ссылке.
#УЦСБ_аналитика
В июле рассмотрели следующие темы:
1. Критическая информационная инфраструктура
🔸Из Правил категорирования объектов КИИ РФ планируется исключить требования к субъектам КИИ по формированию перечня объектов КИИ, подлежащих категорированию. 🔸Росатом наделили полномочиями в области обеспечения технологической независимости объектов КИИ.
2. Персональные данные
🔸Предложены новые требования к согласию на обработку ПДн. Согласие необходимо будет оформлять отдельным документом, включать его в состав других документов, которые подписывает субъект ПДн, будет запрещено. Также предложен ряд изменений в 152-ФЗ в области обезличивания ПДн.
3. Безопасность финансовых организаций
🔸Банк России представил проект приказа, который устанавливает порядок управления рисками и непрерывностью функционирования платформы цифрового рубля.
4. Деятельность ФСТЭК России
🔸ФСТЭК России предложила внести изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС, и Требования по обеспечению безопасности значимых объектов КИИ РФ, а также увеличить штрафы за нарушение правил защиты информации.
5. Стандартизация
🔸Опубликованы справка-доклад за июль о ходе работ по плану ТК 362 на 2024 год, результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во 2 квартале 2024 года и сведения о принятых национальных и международных стандартах за 2 квартал 2024 года.
🔸Рассмотрен стандарт «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации на протяжении жизненного цикла».
Полный обзор изменений в законодательстве читайте по ссылке.
#УЦСБ_аналитика
🔥7💯6🤩3👍2
В августе этого года состоялось вручение премии для специалистов по тестированию на проникновение Pentest Award. Чтобы получить «пентестерский Оскар», эксперты со всей страны отправляли свои самые интересные кейсы, в которых были проявлены профессионализм, изобретательность и креатив.
В этом году в премии приняли участие сразу четыре специалиста Центра кибербезопасности УЦСБ.
⭐️ Владислав Дриев занял второе место в номинации «Девайс: за исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении» с кейсом «Davinci».В своей заявке Владислав рассказал, как ему удалось провести атаку на камеру Hikvision и захватить инфраструктуру компании, прогуливаясь неподалеку от ее офиса.
⭐️ Андрей Жуков занял пятое место в номинации «Раз bypass, два bypass: за самый красивый обход средств защиты информации». Эксперт продемонстрировал необычный способ выполнения кода в обход антивируса путем внедрения в легитимный процесс уязвимости класса buffer overflow.
⭐️ Семен Тумашев занял пятое место в номинации «Пробив WEB: за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений». История Семена включала использование словарных паролей, эксплуатацию SQL-инъекций, обход ограничений на уровне сети и локальное повышение привилегий.
⭐️ Никита Распопов занял шестое место в номинации «Hack the logic: за находку самых топовых логических баг» с рассказом про тестирование систем ДБО. Описанная Никитой цепочка атак состояла из перебора пользователей по номеру телефона, получения токенов и понижения версии API. Специалист показал, что в результате эксплуатации выявленных уязвимостей злоумышленник получает возможность удалить любого пользователя из системы.
Подробнее о кейсах наших пентестеров для премии мы расскажем в ближайшее время.
#USSC_expert
В этом году в премии приняли участие сразу четыре специалиста Центра кибербезопасности УЦСБ.
#USSC_expert
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤5🥰3👀1
28 августа в 12:00 (мск) приглашаем на вебинар «Как подготовиться к прохождению госконтроля в области защиты КИИ»
Что обсудим:
Как подготовиться к госконтролю, какие этапы вас ждут, а также как устранять нарушения и выявленные недочеты.
Кому стоит посетить вебинар:
🔸Топ-менеджменту организаций, попадающим под сферу действия
187-Ф3, Приказа ФСТЭК России
Nº239 и Указа Президента РФ Nº250
🔸Руководителям и сотрудникам отделов кибербезопасности
🔸Всем, кто интересуется кибербезопасностью
Регистрируйтесь сейчас и готовьте вопросы для практиков с многолетним опытом в области соответствия требованиям ИБ и обеспечения безопасности КИИ из УЦСБ!⭐️
#УЦСБ_вебинар
Что обсудим:
Как подготовиться к госконтролю, какие этапы вас ждут, а также как устранять нарушения и выявленные недочеты.
Кому стоит посетить вебинар:
🔸Топ-менеджменту организаций, попадающим под сферу действия
187-Ф3, Приказа ФСТЭК России
Nº239 и Указа Президента РФ Nº250
🔸Руководителям и сотрудникам отделов кибербезопасности
🔸Всем, кто интересуется кибербезопасностью
Регистрируйтесь сейчас и готовьте вопросы для практиков с многолетним опытом в области соответствия требованиям ИБ и обеспечения безопасности КИИ из УЦСБ!
#УЦСБ_вебинар
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2🥰1
Друзья, рады сообщить, что теперь вебинары от экспертов УЦСБ, а также выступления с IT IS Conf доступны для просмотра в «VK Видео». Уверенны, это станет отличным поводом посмотреть материал, который давно хотели, и получить новые знания по интересующим вас темам📚
🔥12