Цифровой крипторубль
На пост меня натолкнула новость о новой схеме мошенничества с "российской государственной криптовалютой". Если коротко, то злоумышленники на этот раз заманивают своих жертв инвестировать в "новый продукт от Павла Дурова". Схема носит массовый характер, так что будьте осторожны, это развод. Так вот, эта новость напомнила мне про наш цифровой рубль, на тему которого я давно хотел написать пост.
Наша страна изо всех сил пытается идти в ногу со временем. Это касается и сферы блокчейна/криптовалют. Центральный Банк России уже давно анонсировал выход цифровой формы российской национальной валюты под названием “Цифровой рубль”. Анонс есть, а рубля еще нет.
Одна из проблем заключается в том, что помимо обычных киберрисков, которым подвержены безналичные расчеты с использованием банковских счетов и карт, на цифровой рубль накладываются еще и криптовалютные риски.
Вторая проблема заключается в том, что архитектура всей этой новой платформы от ЦБ окутана тайной. Поэтому те же самые риски и векторы атак оценивать крайне сложно. Доподлинно известно только то, что согласно концепции цифрового рубля, счет клиента не будет привязан ни к одному из банков, за счет чего и будет создан некий эффект децентрализации новой валюты (к сожалению, только эффект).
Отсюда вытекает один из возможных рисков – взлом личного кошелька пользователя платформы. Сможет ли это повлечь за собой взлом цепочки транзакций или же ЦБ защитилась от подобных атак – вопрос пока остается открытым.
Здесь же срабатывает и угроза самого слабого звена. Платформа нового рубля будет растянута на все банки в РФ, но далеко не во всех их них кибербезопасность находится на достаточном уровне зрелости. Поэтому появляется риск компрометации всей системы в случае заражения хотя бы одной из ФинТех-организаций.
Очень хочется верить в то, что ЦБ сможет сделать действительно прозрачную и безопасную платежную платформу нового поколения, ну а пока мы с вами и без этого можем гордиться одним из лучших ФинТехов в мире.
#Мнение
Твой Пакет Безопасности
На пост меня натолкнула новость о новой схеме мошенничества с "российской государственной криптовалютой". Если коротко, то злоумышленники на этот раз заманивают своих жертв инвестировать в "новый продукт от Павла Дурова". Схема носит массовый характер, так что будьте осторожны, это развод. Так вот, эта новость напомнила мне про наш цифровой рубль, на тему которого я давно хотел написать пост.
Наша страна изо всех сил пытается идти в ногу со временем. Это касается и сферы блокчейна/криптовалют. Центральный Банк России уже давно анонсировал выход цифровой формы российской национальной валюты под названием “Цифровой рубль”. Анонс есть, а рубля еще нет.
Одна из проблем заключается в том, что помимо обычных киберрисков, которым подвержены безналичные расчеты с использованием банковских счетов и карт, на цифровой рубль накладываются еще и криптовалютные риски.
Вторая проблема заключается в том, что архитектура всей этой новой платформы от ЦБ окутана тайной. Поэтому те же самые риски и векторы атак оценивать крайне сложно. Доподлинно известно только то, что согласно концепции цифрового рубля, счет клиента не будет привязан ни к одному из банков, за счет чего и будет создан некий эффект децентрализации новой валюты (к сожалению, только эффект).
Отсюда вытекает один из возможных рисков – взлом личного кошелька пользователя платформы. Сможет ли это повлечь за собой взлом цепочки транзакций или же ЦБ защитилась от подобных атак – вопрос пока остается открытым.
Здесь же срабатывает и угроза самого слабого звена. Платформа нового рубля будет растянута на все банки в РФ, но далеко не во всех их них кибербезопасность находится на достаточном уровне зрелости. Поэтому появляется риск компрометации всей системы в случае заражения хотя бы одной из ФинТех-организаций.
Очень хочется верить в то, что ЦБ сможет сделать действительно прозрачную и безопасную платежную платформу нового поколения, ну а пока мы с вами и без этого можем гордиться одним из лучших ФинТехов в мире.
#Мнение
Твой Пакет Безопасности
👍19🤣9❤6⚡2🔥2👏1🤬1
Бесплатный сыр английский
В одном из прошлых постов с айтишными подкастами я обещал собрать бесплатные ресурсы для изучения английского языка. Этот день настал. Так что скорее налетайте и рассылайте всем, кто сейчас усиленно пытается покорить языковые вершины.
DeepL – переводчик, построенный на нейронках. Порой он даже умеет обогащать текст англоязычными крылатыми/устойчивыми выражениями.
Context – отличный сервис для того, чтобы узнать как переводится то или иное слово/выражение в разных контекстах. Вместе с переводом вы увидите еще и примеры из реальных книг/статей/цитат.
Quizlet – удобный сервис для изучения новых слов. Есть даже мобильное приложение.
Wonderopolis – сервис для тренировки чтения, аудирования + есть встроенные механики для проверки закрепленного материала. Также рекомендую погуглить "адаптированные книги на английском языке" именно для вашего вашего уровня.
BBC Learning English – здесь можно натренировать аудирование и произношение на базе коротких подкастов.
Write & Improve – правописание. Сервис оценит то, как вы пишете и формулируете предложения, и укажет вам на ошибки. Также есть оценка в соответствии с IELTS/FCE.
А так, советую иногда почитывать что-то на английском языке по той тематике, в которой вы, например, работаете. Зная специфику темы вам будет намного проще погрузиться в контекст и органично обогатить ваш словарный запас. И не стесняйтесь читать вслух, чтобы ваш организм привык к новым звукам, и вам не было стыдно потом 🥸
#Полезное
Твой Пакет Безопасности
В одном из прошлых постов с айтишными подкастами я обещал собрать бесплатные ресурсы для изучения английского языка. Этот день настал. Так что скорее налетайте и рассылайте всем, кто сейчас усиленно пытается покорить языковые вершины.
DeepL – переводчик, построенный на нейронках. Порой он даже умеет обогащать текст англоязычными крылатыми/устойчивыми выражениями.
Context – отличный сервис для того, чтобы узнать как переводится то или иное слово/выражение в разных контекстах. Вместе с переводом вы увидите еще и примеры из реальных книг/статей/цитат.
Quizlet – удобный сервис для изучения новых слов. Есть даже мобильное приложение.
Wonderopolis – сервис для тренировки чтения, аудирования + есть встроенные механики для проверки закрепленного материала. Также рекомендую погуглить "адаптированные книги на английском языке" именно для вашего вашего уровня.
BBC Learning English – здесь можно натренировать аудирование и произношение на базе коротких подкастов.
Write & Improve – правописание. Сервис оценит то, как вы пишете и формулируете предложения, и укажет вам на ошибки. Также есть оценка в соответствии с IELTS/FCE.
А так, советую иногда почитывать что-то на английском языке по той тематике, в которой вы, например, работаете. Зная специфику темы вам будет намного проще погрузиться в контекст и органично обогатить ваш словарный запас. И не стесняйтесь читать вслух, чтобы ваш организм привык к новым звукам, и вам не было стыдно потом 🥸
#Полезное
Твой Пакет Безопасности
⚡11🔥6❤🔥4👍3❤2👏2😁2🥰1
Взлом Телеграма
Думаю, что многие из вас будут сильно расстроены, если ваш телеграм-аккаунт взломают и угонят. Чтобы этого не допустить или не попасться на очередную мошенническую схему, нужно знать, как это вообще возможно реализовать. Об этом сегодня и поговорим.
Старый-добрый фишинг. Он может быть замаскирован как-угодно, но механика всегда примерно одна. Скорее всего вам надо будет перейти на какой-то сайт и авторизоваться через Телеграм. В последнее время чаще всего проворачивают угон через «уведомления» о входе с нового устройства. Для вашей же защиты вам предложат перейти на сайт со схожим интерфейсом, как у Telegram. Итог очевиден. Распознать мошенников можно либо по фейковому аккаунту бота, от которого пришло уведомление (у настоящего должен быть статус «служебные уведомления», а не «был недавно»), либо самостоятельно проверив активные сессии своего профиля.
В ту же копилку можно добавить еще и подменные клиенты Telegram. Используйте только официальные клиенты и веб-интерфейсы, ссылки на которые всегда можно найти на официальном сайте telegram.org.
Взлом через заражение. Помните о том, что нужно с осторожностью относится к любым файлам, которые вам присылают (и не только в Телеграме). Расширение файла может быть любым, начиная с .xlsx и заканчивая обычным .jpg,, но внутри может быть запаковано вредоносное приложение, которое даст злоумышленнику необходимую информацию или вообще контроль над вашим устройством (а соответственно, и аккаунтом). Не скачивайте подозрительные файлы, не запускайте их на своих устройствам и, на всякий случай, можете отключить автозагрузку.
Ну и на сладкое – перехват СМС. На этот фактор вы повлиять, к сожалению, практически никак не можете, но о нём все равно стоит рассказать. Если коротко, то дело в супер-уязвимой архитектуре протокола SS7, который и используют операторы связи для обмена СМС (подробнее можно почитать тут). Как вариант решения – предлагается отключить функцию международного роуминга на своем устройстве, но это всё равно не обеспечивает полную защиту от подобного взлома.
Ну и само собой, не забывайте про активацию двухфакторной авторизации и о криптостойких паролях (как от тг, так и от вашей почты).
#Кибергигиена
Твой Пакет Безопасности
Думаю, что многие из вас будут сильно расстроены, если ваш телеграм-аккаунт взломают и угонят. Чтобы этого не допустить или не попасться на очередную мошенническую схему, нужно знать, как это вообще возможно реализовать. Об этом сегодня и поговорим.
Старый-добрый фишинг. Он может быть замаскирован как-угодно, но механика всегда примерно одна. Скорее всего вам надо будет перейти на какой-то сайт и авторизоваться через Телеграм. В последнее время чаще всего проворачивают угон через «уведомления» о входе с нового устройства. Для вашей же защиты вам предложат перейти на сайт со схожим интерфейсом, как у Telegram. Итог очевиден. Распознать мошенников можно либо по фейковому аккаунту бота, от которого пришло уведомление (у настоящего должен быть статус «служебные уведомления», а не «был недавно»), либо самостоятельно проверив активные сессии своего профиля.
В ту же копилку можно добавить еще и подменные клиенты Telegram. Используйте только официальные клиенты и веб-интерфейсы, ссылки на которые всегда можно найти на официальном сайте telegram.org.
Взлом через заражение. Помните о том, что нужно с осторожностью относится к любым файлам, которые вам присылают (и не только в Телеграме). Расширение файла может быть любым, начиная с .xlsx и заканчивая обычным .jpg,, но внутри может быть запаковано вредоносное приложение, которое даст злоумышленнику необходимую информацию или вообще контроль над вашим устройством (а соответственно, и аккаунтом). Не скачивайте подозрительные файлы, не запускайте их на своих устройствам и, на всякий случай, можете отключить автозагрузку.
Ну и на сладкое – перехват СМС. На этот фактор вы повлиять, к сожалению, практически никак не можете, но о нём все равно стоит рассказать. Если коротко, то дело в супер-уязвимой архитектуре протокола SS7, который и используют операторы связи для обмена СМС (подробнее можно почитать тут). Как вариант решения – предлагается отключить функцию международного роуминга на своем устройстве, но это всё равно не обеспечивает полную защиту от подобного взлома.
Ну и само собой, не забывайте про активацию двухфакторной авторизации и о криптостойких паролях (как от тг, так и от вашей почты).
#Кибергигиена
Твой Пакет Безопасности
👍14⚡13❤6❤🔥3🔥3👏2
Систем дизайн
Моя любимая секция на собеседованиях – System Design Interview. На этом этапе кандидату дают задачу по проектированию полноценной системы или продукта. Самые банальные примеры – спроектировать Твиттер или любую другую известную социальную сеть. Но бывают задачи и по-интереснее, когда просят изобрести что-то, чего еще нет на рынке или добавить к уже существующей системе какую-то необычную функцию.
Суть в том, что после того, как вам поставили задачу, перед вами оказывается пустой лист, на котором вам нужно изобразить ключевые компоненты системы, попутно объясняя, зачем они нужны. Изначально это различные БД, менеджеры очередей, балансировщики, контейнеры, API и т.д. Далее вас могут попросить углубить уровень детализации, чтобы понять особенно взаимодействия этих компонентов или специфику функционирования тех или иных сервисов.
Само собой, вы можете и должны задавать уточняющие вопросы, которые нужны вам для выбора тех или иных паттернов и компонентов. Базово у вас есть несколько ключевых целей – функциональность (соответствие заданию интервьюера), надежность, отказоустойчивость, масштабируемость и безопасность.
Подобные интервью очень полезны для понимания того, как мыслит кандидат, насколько у него качественный технический бэкграунд и понимание того, как на самом деле функционируют реальные системы. Полезно это не только разработчикам, но и аналитикам, архитекторам, и кибербезопасникам (например, DevSecOps-ам или Архитекторам ИБ).
К сожалению, такие секции редко попадаются при собеседованиях в кибербезопасность, но и на нашей улице бывает праздник. Из полезного, вы можете посмотреть ролики на юутбе (например, раз и два) или почитать статьи (три).
#Мнение
Твой Пакет Безопасности
Моя любимая секция на собеседованиях – System Design Interview. На этом этапе кандидату дают задачу по проектированию полноценной системы или продукта. Самые банальные примеры – спроектировать Твиттер или любую другую известную социальную сеть. Но бывают задачи и по-интереснее, когда просят изобрести что-то, чего еще нет на рынке или добавить к уже существующей системе какую-то необычную функцию.
Суть в том, что после того, как вам поставили задачу, перед вами оказывается пустой лист, на котором вам нужно изобразить ключевые компоненты системы, попутно объясняя, зачем они нужны. Изначально это различные БД, менеджеры очередей, балансировщики, контейнеры, API и т.д. Далее вас могут попросить углубить уровень детализации, чтобы понять особенно взаимодействия этих компонентов или специфику функционирования тех или иных сервисов.
Само собой, вы можете и должны задавать уточняющие вопросы, которые нужны вам для выбора тех или иных паттернов и компонентов. Базово у вас есть несколько ключевых целей – функциональность (соответствие заданию интервьюера), надежность, отказоустойчивость, масштабируемость и безопасность.
Подобные интервью очень полезны для понимания того, как мыслит кандидат, насколько у него качественный технический бэкграунд и понимание того, как на самом деле функционируют реальные системы. Полезно это не только разработчикам, но и аналитикам, архитекторам, и кибербезопасникам (например, DevSecOps-ам или Архитекторам ИБ).
К сожалению, такие секции редко попадаются при собеседованиях в кибербезопасность, но и на нашей улице бывает праздник. Из полезного, вы можете посмотреть ролики на юутбе (например, раз и два) или почитать статьи (три).
#Мнение
Твой Пакет Безопасности
👍15❤🔥5❤2😁2⚡1👏1
Минутка безопасных сервисов
Во-первых, безопасные торренты. Да, звучит дико и не совсем правдиво, но, так как люди всё равно продолжают пользоваться торрентами, в наших силах лишь попробовать сделать этот процесс чуть более безопасным. Повлиять на сам контент мы не сможем, но можем использовать новомодный (хоть и старый как мир) "анонимный" торрент-клиент – Tribler.
Фишка его в том, что он теперь умеет перенаправлять трафик через встроенную луковую сеть анонимайзеров типа Tor. И, само собой, ребята умеют в опенсорс. В общем, если боитесь, что вас отследят/хакнут через торрент или просто хотите быть модными – вэлкам.
Во-вторых, безопасные ссылки. Мы уже говорили про великолепный VirusTotal, но есть один сервис, который его отлично дополняет – CheckShortURL. Вообще его суть заключается в том, чтобы выяснить, куда всё таки ведут эти короткие ссылки по типу goo.gl, bit.ly и прочие (некоторые их них кстати умеет расковыривать и VirusTotal).
Но килер-фичей, лично для меня, является то, что он еще и показывает (прямо скриншотом), куда эта ссылка действительно вас приведет. К слову, проверки безопасности там тоже есть, хоть и не такие мощные как у ВирусТотала. В общем, добавляйте в закладки, рассылайте друзьям иешьте кашу берегите себя.
#Кибергигиена
Твой Пакет Безопасности
Во-первых, безопасные торренты. Да, звучит дико и не совсем правдиво, но, так как люди всё равно продолжают пользоваться торрентами, в наших силах лишь попробовать сделать этот процесс чуть более безопасным. Повлиять на сам контент мы не сможем, но можем использовать новомодный (хоть и старый как мир) "анонимный" торрент-клиент – Tribler.
Фишка его в том, что он теперь умеет перенаправлять трафик через встроенную луковую сеть анонимайзеров типа Tor. И, само собой, ребята умеют в опенсорс. В общем, если боитесь, что вас отследят/хакнут через торрент или просто хотите быть модными – вэлкам.
Во-вторых, безопасные ссылки. Мы уже говорили про великолепный VirusTotal, но есть один сервис, который его отлично дополняет – CheckShortURL. Вообще его суть заключается в том, чтобы выяснить, куда всё таки ведут эти короткие ссылки по типу goo.gl, bit.ly и прочие (некоторые их них кстати умеет расковыривать и VirusTotal).
Но килер-фичей, лично для меня, является то, что он еще и показывает (прямо скриншотом), куда эта ссылка действительно вас приведет. К слову, проверки безопасности там тоже есть, хоть и не такие мощные как у ВирусТотала. В общем, добавляйте в закладки, рассылайте друзьям и
#Кибергигиена
Твой Пакет Безопасности
👍32❤7⚡4🔥4👏1
Сегодня в рубрике полезного у нас сервис с роадмапами (дорожными картами) по освоению различных айтишных профессий – roadmap.sh. Я не проверял все из них, но в домене по кибербезопасности точно исчерпывающий альманах с основными технологиями, сущностями и даже инструментами.
Материал там достаточно свежий и, насколько я понял, он регулярно обновляется и дополняется сообществом. Штука очень полезная, чтобы выявить свои серые зоны и понять, что еще можно изучить в той или иной области кибербеза.
Роадмап по кибербезу – тут.
#Полезное
Твой Пакет Безопасности
Материал там достаточно свежий и, насколько я понял, он регулярно обновляется и дополняется сообществом. Штука очень полезная, чтобы выявить свои серые зоны и понять, что еще можно изучить в той или иной области кибербеза.
Роадмап по кибербезу – тут.
#Полезное
Твой Пакет Безопасности
👍12😍5❤4🔥3⚡2
А ты сдал биометрию?
В одном из прошлых постов мы с вами уже обсуждали биометрию, то, как ее повсеместно собирают и тот самый закон, согласно которому теперь нельзя никого принуждать к сдаче своих биометрических данных.
Но что, если нас никто и не будет спрашивать? Доступ к муниципальным и частным камерам видеонаблюдения в столице имеют не только государственные службы, но и частные компании, которые собирают и обрабатывают наши данные без нашего на то согласия. Например, Ntechlab, которая де-юро является дочкой Ростеха, насколько я понял.
Интересен и тот факт, что алгоритмы распознавания личностей, которые и разрабатывают и предоставляют эти частные компании, под капотом имеют полноценные OSINT-системы, которые ищут и сопоставляют информацию не только по базам государственных ведомств, но и по данным из социальных сетей и прочих интернетов.
Как всегда, хочется надеяться на то, что все эти компании вкладывают достаточно ресурсов в кибербезопасность, и доступ к этим системам и данным не получит никто из посторонних, ведь подобные платформы являются самым настоящим лакомым кусочком на киберкухне.
#Мнение
Твой Пакет Безопасности
В одном из прошлых постов мы с вами уже обсуждали биометрию, то, как ее повсеместно собирают и тот самый закон, согласно которому теперь нельзя никого принуждать к сдаче своих биометрических данных.
Но что, если нас никто и не будет спрашивать? Доступ к муниципальным и частным камерам видеонаблюдения в столице имеют не только государственные службы, но и частные компании, которые собирают и обрабатывают наши данные без нашего на то согласия. Например, Ntechlab, которая де-юро является дочкой Ростеха, насколько я понял.
Интересен и тот факт, что алгоритмы распознавания личностей, которые и разрабатывают и предоставляют эти частные компании, под капотом имеют полноценные OSINT-системы, которые ищут и сопоставляют информацию не только по базам государственных ведомств, но и по данным из социальных сетей и прочих интернетов.
Как всегда, хочется надеяться на то, что все эти компании вкладывают достаточно ресурсов в кибербезопасность, и доступ к этим системам и данным не получит никто из посторонних, ведь подобные платформы являются самым настоящим лакомым кусочком на киберкухне.
#Мнение
Твой Пакет Безопасности
👍14❤6🔥6🌚6👏2⚡1🙏1
На GitHub есть всё
Существует теория, что на GitHub есть списки и подборки на любую тему и на любой вкус. И чем дальше, тем я больше убеждаюсь в том, что это действительно так. В этом посте поделюсь парой полезных ссылок на которые я сам наткнулся, пока бродил по этому сервису (просто репозиторием кода язык уже не поворачивается его назвать).
Во-первых, вот по этой ссылке вы можете найти список новостных источников, видео, подкастов и прочих ресурсов, связанных с кибербезопасностью. Да, практически все ссылки ведут на англоязычные материалы, но мы с вами к этому готовились.
Во-вторых, вот по этой ссылке вы сможете найти крутой чеклист по безопасности API. Полноценный фаззинг он конечно не заменит, но лишним точно не будет.
В-третьих, вот по этой ссылке вы сможете найти такой же крутой чеклист, уже по обеспечению безопасности контейнеров, кластеров и всего, что связано с микросервисами.
Пользуйтесь на здоровье. Думаю, что в скором времени сделаю еще пост с тренировочными инструментами и зараженными объектами (само собой, с ГитХаба).
#Полезное
Твой Пакет Безопасности
Существует теория, что на GitHub есть списки и подборки на любую тему и на любой вкус. И чем дальше, тем я больше убеждаюсь в том, что это действительно так. В этом посте поделюсь парой полезных ссылок на которые я сам наткнулся, пока бродил по этому сервису (просто репозиторием кода язык уже не поворачивается его назвать).
Во-первых, вот по этой ссылке вы можете найти список новостных источников, видео, подкастов и прочих ресурсов, связанных с кибербезопасностью. Да, практически все ссылки ведут на англоязычные материалы, но мы с вами к этому готовились.
Во-вторых, вот по этой ссылке вы сможете найти крутой чеклист по безопасности API. Полноценный фаззинг он конечно не заменит, но лишним точно не будет.
В-третьих, вот по этой ссылке вы сможете найти такой же крутой чеклист, уже по обеспечению безопасности контейнеров, кластеров и всего, что связано с микросервисами.
Пользуйтесь на здоровье. Думаю, что в скором времени сделаю еще пост с тренировочными инструментами и зараженными объектами (само собой, с ГитХаба).
#Полезное
Твой Пакет Безопасности
👍18❤6🔥3⚡2🤓2🥴1
О ФСТЭК слышали?
В мире информационной безопасности нашей страны это достаточно известная организация с достаточно неинтуитивным названием – Федеральная служба по техническому и экспортному контролю. А еще они любят выпускать приказы, связанные с защитой различной информации и систем, которые ее обрабатывают.
На днях они решили порадовать нас анонсом нового приказа (ну или другой формы регуляторной документации), который принудительно ограничит доступ иностранных IP-адресов к критически важным ресурсам на территории РФ. Если точнее, то пока это коснется КИИ (они есть у многих компаний телеком и финансового сектора, например), но я не думаю, что ФСТЭК на этом не остановится. Речь идет не о клиентах и потребителях услуг этих компаний, а о сотрудниках, которые подключаются во внутренний контур безопасности организаций критической инфраструктуры.
Эта инициатива достаточно органично вписывается сразу в две концепции. Во-первых, в наш любимыйчебурнет суверенный рунет. Во-вторых, это хорошо вяжется с другой инициативой по запрету работы удалёнщиков, которые уехали за рубеж.
Интересно, а через отечественный VPN можно будет подключаться к критической инфраструктуре? 🤔
#НовостьДня
Твой Пакет Безопасности
В мире информационной безопасности нашей страны это достаточно известная организация с достаточно неинтуитивным названием – Федеральная служба по техническому и экспортному контролю. А еще они любят выпускать приказы, связанные с защитой различной информации и систем, которые ее обрабатывают.
На днях они решили порадовать нас анонсом нового приказа (ну или другой формы регуляторной документации), который принудительно ограничит доступ иностранных IP-адресов к критически важным ресурсам на территории РФ. Если точнее, то пока это коснется КИИ (они есть у многих компаний телеком и финансового сектора, например), но я не думаю, что ФСТЭК на этом не остановится. Речь идет не о клиентах и потребителях услуг этих компаний, а о сотрудниках, которые подключаются во внутренний контур безопасности организаций критической инфраструктуры.
Эта инициатива достаточно органично вписывается сразу в две концепции. Во-первых, в наш любимый
Интересно, а через отечественный VPN можно будет подключаться к критической инфраструктуре? 🤔
#НовостьДня
Твой Пакет Безопасности
🤓11👍8❤🔥4🤣3⚡2🔥1😢1
Дары от Яндекса
А вот и снова полезная рубрика подъехала. Наткнулся тут на абсолютно бесплатные образовательные материалы от самого Яндекса. Утечки утечками, а уровень зрелости ITшки и экспертизы у этих ребят точно высокий. Если сомневаетесь, то можете сходить к ним на собеседования и проверить на себе (спойлер – будет долго и больно ).
Так вот, образовательные материалы – наткнулся тут на их ютуб-канал (ссылка тут). Там много различных записей с лекций их академии, но нас же интересует кибербезопасность. Там есть и он (вот тут ссылка на нужный плейлист). Если вы уже в теме и знаете, что такое SSDLC и можете отличить SAST от DAST, то можете даже смотреть в ускоренном режиме, потому что там есть лекции и по 2,5 часа.
В целом, ребята сделали достаточно интересную разбивку на лекции и осветили интересные темы и концепции, такое мы смотрим.
#Полезное
Твой Пакет Безопасности
А вот и снова полезная рубрика подъехала. Наткнулся тут на абсолютно бесплатные образовательные материалы от самого Яндекса. Утечки утечками, а уровень зрелости ITшки и экспертизы у этих ребят точно высокий. Если сомневаетесь, то можете сходить к ним на собеседования и проверить на себе (
Так вот, образовательные материалы – наткнулся тут на их ютуб-канал (ссылка тут). Там много различных записей с лекций их академии, но нас же интересует кибербезопасность. Там есть и он (вот тут ссылка на нужный плейлист). Если вы уже в теме и знаете, что такое SSDLC и можете отличить SAST от DAST, то можете даже смотреть в ускоренном режиме, потому что там есть лекции и по 2,5 часа.
В целом, ребята сделали достаточно интересную разбивку на лекции и осветили интересные темы и концепции, такое мы смотрим.
#Полезное
Твой Пакет Безопасности
❤18🔥4👍3😁3⚡1👎1
Призывной взлом
Есть такой закон, который регулирует в нашей стране любые взаимодействия, связанные с персональными данными – 152-ФЗ. Мы обсуждали его в одном из прошлых постов. Так вот, согласно этому закону, владелец ПДн имеет полное право на отзыв своих данных с целью прекращения их обработки, хранения и так далее.
А еще многие уже слышали недавние слухи о том, что вручение повестки в электронном виде хотят приравнять к вручению лично в руки. Также уже появились и контр-слухи о том, что этого делать не будут.
Но, похоже, это не помешало огромному количеству пользователей Госуслуг в очередной раз (такое уже было, где-то полгода назад, когда все побежали убирать галочку уведомлений в том же сервисе) ломануться туда же, чтобы удалить данные о себе. И да, в какой-то момент такая опция в личном кабинете стала недоступной.
Нарушает ли это тот самый ФЗ - да (но есть нюанс). Сделано ли это специально для того, чтобы всех призвали - не думаю. Восстановят ли эту функцию - думаю, да. Само Минцифры уже сделало официальное заявление, в котором рассказало о причине отключения данной опции. По их словам, это было сделано в целях обеспечения безопасности в связи с участившимися взломами аккаунтов. Похоже, что у ребят было мало времени на формулировку официально пресс-релиза, и что придумали, то и придумали.
Ах да, они еще ввели Сберовскую политику – удалить свои личные данные можно в МФЦ (что немного смягчает нарушение закона, но все таки). Ну что, ждем теперь от Минцифры рассказ о том, сколько было взломано аккаунтов, и как они будут с этим бороться. Спойлер – явно не отключением опции с удалением своего профиля.
#НовостьДня
Твой Пакет Безопасности
Есть такой закон, который регулирует в нашей стране любые взаимодействия, связанные с персональными данными – 152-ФЗ. Мы обсуждали его в одном из прошлых постов. Так вот, согласно этому закону, владелец ПДн имеет полное право на отзыв своих данных с целью прекращения их обработки, хранения и так далее.
А еще многие уже слышали недавние слухи о том, что вручение повестки в электронном виде хотят приравнять к вручению лично в руки. Также уже появились и контр-слухи о том, что этого делать не будут.
Но, похоже, это не помешало огромному количеству пользователей Госуслуг в очередной раз (такое уже было, где-то полгода назад, когда все побежали убирать галочку уведомлений в том же сервисе) ломануться туда же, чтобы удалить данные о себе. И да, в какой-то момент такая опция в личном кабинете стала недоступной.
Нарушает ли это тот самый ФЗ - да (но есть нюанс). Сделано ли это специально для того, чтобы всех призвали - не думаю. Восстановят ли эту функцию - думаю, да. Само Минцифры уже сделало официальное заявление, в котором рассказало о причине отключения данной опции. По их словам, это было сделано в целях обеспечения безопасности в связи с участившимися взломами аккаунтов. Похоже, что у ребят было мало времени на формулировку официально пресс-релиза, и что придумали, то и придумали.
Ах да, они еще ввели Сберовскую политику – удалить свои личные данные можно в МФЦ (что немного смягчает нарушение закона, но все таки). Ну что, ждем теперь от Минцифры рассказ о том, сколько было взломано аккаунтов, и как они будут с этим бороться. Спойлер – явно не отключением опции с удалением своего профиля.
#НовостьДня
Твой Пакет Безопасности
👍20❤6😁2⚡1🤬1
Нейроутечки данных
Зачем вымогать и насильно воровать у людей конфиденциальную информацию, если они сами готовы её отдать? Кажется, что ИИ лишит работы не только художников, но и злоумышленников.
Тут выяснилось, что рядовые пользователи ChatGPT не стесняются делиться с нейросетью тайнами компаний, на которые они сами и работают. Обнаружился этот факт благодаря DLP от Cyberhaven. Согласно аналитике компании, 8.2% сотрудников хотя бы раз запускали ChatGPT на рабочем месте (с корпоративного устройства), при этом 6.5% вводили в нейросеть данные компании, но больше всех отличились те самые 3.1% сотрудников, которые отправили в OpenAI конфиденциальную информацию (стратегические показатели, персональные данные и т.д.), пытаясь упростить свою жизнь.
Не думаю, что их жизнь теперь стала проще. Также нужно учитывать, что это Cyberhaven такие молодцы и настроили свой инструмент на браузерный ввод, а у многих компаний и вовсе нет интегрированных DLP-систем. Так что есть теория, что статистика имеет чуть более массовый характер и всё не так радужно. К слову, несколько крупных японских компаний уже запретили использование ChatGPT (и ему подобных) в целях обеспечения безопасности, и во имя заботы о сотрудниках.
И да, DLP – это такой инструмент, который следит за тем, чтобы никто не сливал чувствительную информацию с рабочего места (корпоративная почта, браузер, облака, мессенджеры и т.д.). Думаю, что как-нибудь поговорим подробнее о том, какие существуют DLP, и кто следит за вашей перепиской на работе.
#Кибергигиена
Твой Пакет Безопасности
Зачем вымогать и насильно воровать у людей конфиденциальную информацию, если они сами готовы её отдать? Кажется, что ИИ лишит работы не только художников, но и злоумышленников.
Тут выяснилось, что рядовые пользователи ChatGPT не стесняются делиться с нейросетью тайнами компаний, на которые они сами и работают. Обнаружился этот факт благодаря DLP от Cyberhaven. Согласно аналитике компании, 8.2% сотрудников хотя бы раз запускали ChatGPT на рабочем месте (с корпоративного устройства), при этом 6.5% вводили в нейросеть данные компании, но больше всех отличились те самые 3.1% сотрудников, которые отправили в OpenAI конфиденциальную информацию (стратегические показатели, персональные данные и т.д.), пытаясь упростить свою жизнь.
Не думаю, что их жизнь теперь стала проще. Также нужно учитывать, что это Cyberhaven такие молодцы и настроили свой инструмент на браузерный ввод, а у многих компаний и вовсе нет интегрированных DLP-систем. Так что есть теория, что статистика имеет чуть более массовый характер и всё не так радужно. К слову, несколько крупных японских компаний уже запретили использование ChatGPT (и ему подобных) в целях обеспечения безопасности, и во имя заботы о сотрудниках.
И да, DLP – это такой инструмент, который следит за тем, чтобы никто не сливал чувствительную информацию с рабочего места (корпоративная почта, браузер, облака, мессенджеры и т.д.). Думаю, что как-нибудь поговорим подробнее о том, какие существуют DLP, и кто следит за вашей перепиской на работе.
#Кибергигиена
Твой Пакет Безопасности
👍13🥴6😁5❤2⚡1
Небезопасный космос
На околоземной орбите находится уже больше 4000 спутников одной только системы Starlink, а ведь есть еще NASA, Глонасс, ESRI и другие. А еще в ближайшее десятилетие прогнозируют увеличение количества всех этих спутников в 10-15 раз. Некоторые из спутниковых систем предназначены для создания интернетов следующего поколения, другие же нужны для наблюдения за нашей планетой. И, само собой, всё это добро также подвергается регулярным кибератакам. На многих теневых форумах даже есть специальные выделенные треды, посвященные взлому спутниковых систем.
А еще есть такая пророссийская хакерская группировка Phoenix, которая в последнее время нападает то на Пакистан, то на Испанию. Так вот они тут выступили с очередным громким заявлением, о том, что ими были взломаны сразу несколько системы NASA и получен доступ к административной панели той самой EOSDIS. Это не просто админка, а целый центр управления данными о нашей планете, который собирает и обрабатывает информацию со спутников, самолетов, беспилотников, полевых камер, наземных/воздушных датчиков и т.д. (вот тут можно почитать подробнее).
Этой системе не хватает только ИИ на борту, чтобы воспроизвести сценарий фильма На крючке. Что теперь будет делать Phoenix с этим доступом – не ясно. И кажется, что они сами не очень поняли, как эти привелегии эффективно использовать для своей выгоды, поэтому решили сделать из этого имиджевую историю, обнаружив себя.
Ах да, они также получили доступ к схемам космических кораблей NASA. Напомню, что не так давно тоже самое сделала другая хакерская группировка LockBit с другой космической компанией – SpaceX, выкрав у их подрядчиков аж 3000 чертежей (почитать можно тут). Кажется, что в космосе тоже становится небезопасно.
#Мнение
Твой Пакет Безопасности
На околоземной орбите находится уже больше 4000 спутников одной только системы Starlink, а ведь есть еще NASA, Глонасс, ESRI и другие. А еще в ближайшее десятилетие прогнозируют увеличение количества всех этих спутников в 10-15 раз. Некоторые из спутниковых систем предназначены для создания интернетов следующего поколения, другие же нужны для наблюдения за нашей планетой. И, само собой, всё это добро также подвергается регулярным кибератакам. На многих теневых форумах даже есть специальные выделенные треды, посвященные взлому спутниковых систем.
А еще есть такая пророссийская хакерская группировка Phoenix, которая в последнее время нападает то на Пакистан, то на Испанию. Так вот они тут выступили с очередным громким заявлением, о том, что ими были взломаны сразу несколько системы NASA и получен доступ к административной панели той самой EOSDIS. Это не просто админка, а целый центр управления данными о нашей планете, который собирает и обрабатывает информацию со спутников, самолетов, беспилотников, полевых камер, наземных/воздушных датчиков и т.д. (вот тут можно почитать подробнее).
Этой системе не хватает только ИИ на борту, чтобы воспроизвести сценарий фильма На крючке. Что теперь будет делать Phoenix с этим доступом – не ясно. И кажется, что они сами не очень поняли, как эти привелегии эффективно использовать для своей выгоды, поэтому решили сделать из этого имиджевую историю, обнаружив себя.
Ах да, они также получили доступ к схемам космических кораблей NASA. Напомню, что не так давно тоже самое сделала другая хакерская группировка LockBit с другой космической компанией – SpaceX, выкрав у их подрядчиков аж 3000 чертежей (почитать можно тут). Кажется, что в космосе тоже становится небезопасно.
#Мнение
Твой Пакет Безопасности
😱13⚡6❤3👍3🔥1
На GitHub точно есть всё
А вот и второй пост по следам GitHub-репозиториев. Сегодня я принёс вам две новые ссылки на полезные кибербезовские материалы с этой платформы.
Во-первых, вот по этой ссылке вы можете найти заражённые API, чтобы потренировать, например, некоторые уязвимости из списка OWASP TOP 10. Внутри есть подробная документация по тому, как всем этим заражённым добром можно пользоваться.
Во-вторых, вот по этой ссылке вы можете найти целый тренировочный фреймворк с модным названием SamuraiWTF. Там внутри можно найти и OWASP ZAP и даже OWASP Juice Shop.
Если вы тоже натыкались на что-то интересное на просторах ГитХаба, то вэлкам в комментарии, буду рад, если поделитесь.
#Полезное
Твой Пакет Безопасности
А вот и второй пост по следам GitHub-репозиториев. Сегодня я принёс вам две новые ссылки на полезные кибербезовские материалы с этой платформы.
Во-первых, вот по этой ссылке вы можете найти заражённые API, чтобы потренировать, например, некоторые уязвимости из списка OWASP TOP 10. Внутри есть подробная документация по тому, как всем этим заражённым добром можно пользоваться.
Во-вторых, вот по этой ссылке вы можете найти целый тренировочный фреймворк с модным названием SamuraiWTF. Там внутри можно найти и OWASP ZAP и даже OWASP Juice Shop.
Если вы тоже натыкались на что-то интересное на просторах ГитХаба, то вэлкам в комментарии, буду рад, если поделитесь.
#Полезное
Твой Пакет Безопасности
👍11🔥8❤5⚡2
Борьба за приватность в сети
Итак, настало время прокомментировать недавние события, связанные с приватностью в российских интернетах. Начнем с инфоповода от кибербезовской дочки МТС – Serenity Cyber Security. Недавно они анонсировали запуск своего MVNO – по сути, это свой телеком, который использует инфраструктуру других операторов связи, как когда-то делал TELE2 (подробнее можно почитать тут). Думаю, что очевидно, чьи базовые станции и сети будет использовать новый MVNO от Серенити.
Так вот, главной киллер-фичей этого оператора будет приватность и безопасность в сети – защита от фишинга, блокировка рекламных баннеров, ограничения на сбор информации о пользователях, встроенный анонимайзер, firewall и прочие прелести. Всё это будет упаковано в фирменное приложение с безопасным мессенджером внутри. На всё это даже уже получена лицензия от РКН (запоминаем этот момент).
А теперь переходим ко второму инфоповоду – РКН предложил ограничить анонимность в интернетах. В этот раз речь не про блокировку очередного VPN, а про контроль за доступом к средствам анонимизации со стороны операторов связи. При этом, Роскомнадзор сам дал лицензию продукту, который собирается обеспечивать анонимизацию и приватность в сети (смотрим первую новость).
Лично я пока не очень понимаю логику всех этих событий, но хочется надеяться на то, что она есть. К слову, про новость об ограничениях анонимизации в сети – в силу они могут вступить уже через год, и звучит это всё очень грустно.
#Мнение
Твой Пакет Безопасности
Итак, настало время прокомментировать недавние события, связанные с приватностью в российских интернетах. Начнем с инфоповода от кибербезовской дочки МТС – Serenity Cyber Security. Недавно они анонсировали запуск своего MVNO – по сути, это свой телеком, который использует инфраструктуру других операторов связи, как когда-то делал TELE2 (подробнее можно почитать тут). Думаю, что очевидно, чьи базовые станции и сети будет использовать новый MVNO от Серенити.
Так вот, главной киллер-фичей этого оператора будет приватность и безопасность в сети – защита от фишинга, блокировка рекламных баннеров, ограничения на сбор информации о пользователях, встроенный анонимайзер, firewall и прочие прелести. Всё это будет упаковано в фирменное приложение с безопасным мессенджером внутри. На всё это даже уже получена лицензия от РКН (запоминаем этот момент).
А теперь переходим ко второму инфоповоду – РКН предложил ограничить анонимность в интернетах. В этот раз речь не про блокировку очередного VPN, а про контроль за доступом к средствам анонимизации со стороны операторов связи. При этом, Роскомнадзор сам дал лицензию продукту, который собирается обеспечивать анонимизацию и приватность в сети (смотрим первую новость).
Лично я пока не очень понимаю логику всех этих событий, но хочется надеяться на то, что она есть. К слову, про новость об ограничениях анонимизации в сети – в силу они могут вступить уже через год, и звучит это всё очень грустно.
#Мнение
Твой Пакет Безопасности
❤14😢8😁5⚡2👍2🌚2🤬1
Экологичный взлом
Одно из детищей всем известного Илона Маска – Tesla, считается одной из самых безопасных (в плане взлома) автомобильных марок в мире. Также считается, что в Тесле построена достаточно зрелая культура кибербеза, а к кандидатам предъявляются высокие требования при трудоустройстве. Но, если кто-то очень громко и часто кричит о том, какой он крутой и безопасный, это обязательно начнут проверять.
Ну вот и проверили. Теслу смогли взломать в первый же день одного хакерского соревнования Pwn2Own в Ванкувере. Команда Synacktiv получила полный контроль над автомобилем, используя уязвимость нулевого дня. К слову, Tesla добровольно предоставила свои автомобили для участия в этом мероприятии, а в награду за взлом даже подарила один из своих автомобилей и 100 тысяч долларов.
Приятно, когда компании готовы рискнуть своей репутацией и сами принимают непосредственное участие в подобных соревнованиях. Но, к слову, Теслы взламывают уже далеко не в первый раз и далеко не только на официальных мероприятиях. Так, например, год назад один молодой инженер смог удаленно взломать сразу 25 экологичных автомобилей, благодаря найденной им уязвимости.
А ведь раньше злоумышленникам для взлома надо было быть в непосредственной близости от авто. Видимо такова наша плата за цифровую эволюцию. Берегите себя и своих ласточек.
#НовостьДня
Твой Пакет Безопасности
Одно из детищей всем известного Илона Маска – Tesla, считается одной из самых безопасных (в плане взлома) автомобильных марок в мире. Также считается, что в Тесле построена достаточно зрелая культура кибербеза, а к кандидатам предъявляются высокие требования при трудоустройстве. Но, если кто-то очень громко и часто кричит о том, какой он крутой и безопасный, это обязательно начнут проверять.
Ну вот и проверили. Теслу смогли взломать в первый же день одного хакерского соревнования Pwn2Own в Ванкувере. Команда Synacktiv получила полный контроль над автомобилем, используя уязвимость нулевого дня. К слову, Tesla добровольно предоставила свои автомобили для участия в этом мероприятии, а в награду за взлом даже подарила один из своих автомобилей и 100 тысяч долларов.
Приятно, когда компании готовы рискнуть своей репутацией и сами принимают непосредственное участие в подобных соревнованиях. Но, к слову, Теслы взламывают уже далеко не в первый раз и далеко не только на официальных мероприятиях. Так, например, год назад один молодой инженер смог удаленно взломать сразу 25 экологичных автомобилей, благодаря найденной им уязвимости.
А ведь раньше злоумышленникам для взлома надо было быть в непосредственной близости от авто. Видимо такова наша плата за цифровую эволюцию. Берегите себя и своих ласточек.
#НовостьДня
Твой Пакет Безопасности
🔥18👏4🥰3❤2⚡1
Борьба с корпорациями
Как вы знаете и уже поняли из прошлых постов, корпорации не стесняются собирать информацию о своих потенциальных клиентах для того, чтобы позже предлагать вам свои релевантные товары и услуги. Для этого они используют все доступные механизмы, связанные с вашим цифровым следом (подробнее обсуждали уже тут и тут).
Наверняка вы замечали, что стоит один раз погуглить что-то связанное с автомобильными запчастями, как после этого, на всех сайтах, вас начинают преследовать навязчивые объявления о покупке машины, рекламы услуг автосервисов и так далее. Да, есть AdBlock и встроенные в браузер блокировщики рекламы, но тут речь о другом.
Есть такой сервис – Ruin My Search History, цель которого максимально проста и банальна – запутать алгоритмы таргетированной рекламы, которые предоставляет площадка Google Ads, на основе вашей истории поиска. Эта штука сгенерирует необходимое вам количество рандомных запросов, которые и исказят в итоге ваш цифровой след и нарушит рекламную выдачу (которую можно всё также закрыть при помощи AdBlock).
Как итог – неэффективно потраченные бюджеты компаний, которые воспользовались рекламной площадкой Гугла, и подпорченная репутация самой платформы со всеми вытекающими последствиями. На самом деле, инструмент настолько же забавный, насколько и бесполезный, но, если вдруг вы точите зуб на эту корпорациюзла , то вэлкам. Ну а за идею для этого поста спасибо одному хорошему человеку по имени Владимир 😌
#Полезное
Твой Пакет Безопасности
Как вы знаете и уже поняли из прошлых постов, корпорации не стесняются собирать информацию о своих потенциальных клиентах для того, чтобы позже предлагать вам свои релевантные товары и услуги. Для этого они используют все доступные механизмы, связанные с вашим цифровым следом (подробнее обсуждали уже тут и тут).
Наверняка вы замечали, что стоит один раз погуглить что-то связанное с автомобильными запчастями, как после этого, на всех сайтах, вас начинают преследовать навязчивые объявления о покупке машины, рекламы услуг автосервисов и так далее. Да, есть AdBlock и встроенные в браузер блокировщики рекламы, но тут речь о другом.
Есть такой сервис – Ruin My Search History, цель которого максимально проста и банальна – запутать алгоритмы таргетированной рекламы, которые предоставляет площадка Google Ads, на основе вашей истории поиска. Эта штука сгенерирует необходимое вам количество рандомных запросов, которые и исказят в итоге ваш цифровой след и нарушит рекламную выдачу (которую можно всё также закрыть при помощи AdBlock).
Как итог – неэффективно потраченные бюджеты компаний, которые воспользовались рекламной площадкой Гугла, и подпорченная репутация самой платформы со всеми вытекающими последствиями. На самом деле, инструмент настолько же забавный, насколько и бесполезный, но, если вдруг вы точите зуб на эту корпорацию
#Полезное
Твой Пакет Безопасности
👍22❤🔥4👏4⚡2😢2🔥1
Свободен ото всех оков
В одном из прошлых постов мы с вами уже обсуждали, как нейросети могут быть использованы во вред обычным людям, если их себе на вооружение возьмут злоумышленники. Так вот, на днях стало известно, что всеми любимый ChatGPT помог обычному пользователю создать вредоносное ПО, которое не смог обнаружить практически не один антивирус.
В этом инфоповоде есть сразу несколько интересных моментов. Во-первых, пользователь не имел опыта программирования, так что нейросеть взяла на себя буквально всю работу по написанию кода. Во-вторых, ChatGPT написал не просто вредоносное ПО, он сделал это качественно, опираясь на известные методы распознавания вредоносов. Судя по статье, это позволило пройти итоговую проверку в VirusTotal с оценкой 3/69, что означает, что вирус смогли выявить только 4,3% антивирусов внутри сервиса.
Браво, Альтрон, скоро без работы останутся не только дизайнеры, но и хакеры. Надеемся на то, что на эту статью обратит внимание OpenAI и ее конкуренты, ну а мы будем ждать следующих инфоповодов, связанных с нейросетевой эволюцией в кибермире.
#НовостьДня
Твой Пакет Безопасности
В одном из прошлых постов мы с вами уже обсуждали, как нейросети могут быть использованы во вред обычным людям, если их себе на вооружение возьмут злоумышленники. Так вот, на днях стало известно, что всеми любимый ChatGPT помог обычному пользователю создать вредоносное ПО, которое не смог обнаружить практически не один антивирус.
В этом инфоповоде есть сразу несколько интересных моментов. Во-первых, пользователь не имел опыта программирования, так что нейросеть взяла на себя буквально всю работу по написанию кода. Во-вторых, ChatGPT написал не просто вредоносное ПО, он сделал это качественно, опираясь на известные методы распознавания вредоносов. Судя по статье, это позволило пройти итоговую проверку в VirusTotal с оценкой 3/69, что означает, что вирус смогли выявить только 4,3% антивирусов внутри сервиса.
Браво, Альтрон, скоро без работы останутся не только дизайнеры, но и хакеры. Надеемся на то, что на эту статью обратит внимание OpenAI и ее конкуренты, ну а мы будем ждать следующих инфоповодов, связанных с нейросетевой эволюцией в кибермире.
#НовостьДня
Твой Пакет Безопасности
👍15😁7🤣5❤🔥4⚡3
Безопасный бизнес-партнер
Настало время поговорить про еще одну важную роль и практику в мире зрелой кибербезопасности – Security Business Partner. Культура безопасных партнеров уже достаточно хорошо развита в иностранных компаниях, а особенно в БигТехе. Наши компании тоже пытаются не отставать от международных тенденций, поэтому вы уже можете найти немало соответствующих вакансий в ФинТехе и Телекоме, например.
Ну а теперь давайте разбираться, что это за безопасный бизнес-партнер. Суть роли заключается в том, чтобы создать единое входное окно для команд продуктовой разработки. То есть, если у разработчика, тимлида, системного аналитика или любого другого члена продуктовой команды возникает вопрос/проблема, прямо или косвенно связанная с безопасностью, то решить ее должен тот самый партнер.
Вопросы и задачи могут быть максимально разнообразные – выбор криптостойкого алгоритма шифрования в разрабатываемом сервисе, инцидент ИБ на продакшене, проектирование безопасной архитектуры, проработка алгоритма маскирования персональных данных и так далее. Security Business Partner должен приложить все усилия для того, чтобы решить любую задачу от продуктовой команды и помочь в итоге бизнесу. Он может это делать как своими руками, так и привлекая своих коллег из ИБ (инженеров средств защиты информации, сетевых инженеров, пентестеров и прочих), контролируя процесс и отвечая за результат.
Для того, чтобы делать это быстро и эффективно, партнер должен понимать, как работает тот или иной продукт, за которым он закреплен. Он должен знать его технологический стек, понимать бизнес-логику и легко ориентироваться в его архитектуре. Всё это помогает ускорять/упрощать процессы, связанные с оперативным реагированием на инциденты, открытием нужных доступов и выбором безопасных решений, что ощутимо сокращает t2m и помогает быстрее зарабатывать бизнесу деньги с меньшими рисками информационной безопасности.
Ну а если параллельно с культурой Security Business Partner внедрить еще и роль Security Champion (подробнее обсуждали в этом посте) в командах, то получится настоящий супер-эффективный коктейль безопасности и дуэт, достойный Бэтмена и Робина. К слову о Чемпионах безопасности, я тут написал статью на хабр по этой теме, так что вэлкам, если интересно.
#Мнение
Твой Пакет Безопасности
Настало время поговорить про еще одну важную роль и практику в мире зрелой кибербезопасности – Security Business Partner. Культура безопасных партнеров уже достаточно хорошо развита в иностранных компаниях, а особенно в БигТехе. Наши компании тоже пытаются не отставать от международных тенденций, поэтому вы уже можете найти немало соответствующих вакансий в ФинТехе и Телекоме, например.
Ну а теперь давайте разбираться, что это за безопасный бизнес-партнер. Суть роли заключается в том, чтобы создать единое входное окно для команд продуктовой разработки. То есть, если у разработчика, тимлида, системного аналитика или любого другого члена продуктовой команды возникает вопрос/проблема, прямо или косвенно связанная с безопасностью, то решить ее должен тот самый партнер.
Вопросы и задачи могут быть максимально разнообразные – выбор криптостойкого алгоритма шифрования в разрабатываемом сервисе, инцидент ИБ на продакшене, проектирование безопасной архитектуры, проработка алгоритма маскирования персональных данных и так далее. Security Business Partner должен приложить все усилия для того, чтобы решить любую задачу от продуктовой команды и помочь в итоге бизнесу. Он может это делать как своими руками, так и привлекая своих коллег из ИБ (инженеров средств защиты информации, сетевых инженеров, пентестеров и прочих), контролируя процесс и отвечая за результат.
Для того, чтобы делать это быстро и эффективно, партнер должен понимать, как работает тот или иной продукт, за которым он закреплен. Он должен знать его технологический стек, понимать бизнес-логику и легко ориентироваться в его архитектуре. Всё это помогает ускорять/упрощать процессы, связанные с оперативным реагированием на инциденты, открытием нужных доступов и выбором безопасных решений, что ощутимо сокращает t2m и помогает быстрее зарабатывать бизнесу деньги с меньшими рисками информационной безопасности.
Ну а если параллельно с культурой Security Business Partner внедрить еще и роль Security Champion (подробнее обсуждали в этом посте) в командах, то получится настоящий супер-эффективный коктейль безопасности и дуэт, достойный Бэтмена и Робина. К слову о Чемпионах безопасности, я тут написал статью на хабр по этой теме, так что вэлкам, если интересно.
#Мнение
Твой Пакет Безопасности
❤12👍7⚡2🌚2
Здоровья погибшим
Похоже, что мой отпуск с опросом переносятся на завтра, потому что одна пророссийская хакерская группировка решила сдержать своё слово.
Предыстория заключается в том, что вчера ребята из Killnet (там самая группировка) объявили о том, что буквально уничтожат НАТО в сети. И это было даже не столько угрозой, сколько прощальным письмом от них, так как они, как и все мы, понимают последствия подобных действий.
Чтобы вы понимали, подобные заявления зачастую являются скорее устрашением, нежели анонсом реальных действий. Но не в этот раз. На данный момент Killnet положили уже практически половину всей цифровой инфраструктуры НАТО. Более того, по-дороге они еще и взломали сервисы агентства связи и информации НАТО (NCI), слив оттуда данные всех сотрудников. Их сайт, само собой, также лежит сейчас на лопатках.
Всё это действо продолжается прямо сейчас. Пока что это одна из самых мощных направленных скоординированных кибератак на моей памяти. А ведь о ней еще и предупредили заранее. Запасаемся попкорном, дамы и господа, кажется, что у этих ребят еще достаточно мощности и козырей в рукаве.
#НовостьДня
Твой Пакет Безопасности
Похоже, что мой отпуск с опросом переносятся на завтра, потому что одна пророссийская хакерская группировка решила сдержать своё слово.
Предыстория заключается в том, что вчера ребята из Killnet (там самая группировка) объявили о том, что буквально уничтожат НАТО в сети. И это было даже не столько угрозой, сколько прощальным письмом от них, так как они, как и все мы, понимают последствия подобных действий.
Чтобы вы понимали, подобные заявления зачастую являются скорее устрашением, нежели анонсом реальных действий. Но не в этот раз. На данный момент Killnet положили уже практически половину всей цифровой инфраструктуры НАТО. Более того, по-дороге они еще и взломали сервисы агентства связи и информации НАТО (NCI), слив оттуда данные всех сотрудников. Их сайт, само собой, также лежит сейчас на лопатках.
Всё это действо продолжается прямо сейчас. Пока что это одна из самых мощных направленных скоординированных кибератак на моей памяти. А ведь о ней еще и предупредили заранее. Запасаемся попкорном, дамы и господа, кажется, что у этих ребят еще достаточно мощности и козырей в рукаве.
#НовостьДня
Твой Пакет Безопасности
👍29🤯24❤4⚡3❤🔥2👎2👏2🔥1😁1🙏1