Прошлый год проходил под эгидой вынужденного импортозамещения: вендоры ИТ и ИБ уходили, забирая с собой обновления, сигнатуры и лицензии. А хакеры радовались уязвимостям, которые компании просто не могли закрыть. Словом, патча нет, но вы держитесь! С поиском незакрытых уязвимостей тоже все оказалось непросто. Топовые зарубежные сканеры ушли из России. Многие остались без эффективного инструмента – и мы в том числе, ведь наш облачный сервис контроля уязвимостей (VM, Vulnerability Management) был построен с использованием технологической платформы американского Qualys. В этом посте поговорим о том, как мы выбирали альтернативу Qualys, и что происходит с российским рынком сканеров уязвимостей сейчас.

https://habr.com/ru/post/710504/?utm_source=habrahabr&utm_medium=rss&utm_campaign=710504

2022 год еще раз доказал, что геополитическая обстановка способна серьезно влиять на ландшафт киберугроз. В то же время мы увидели удивительную гибкость и стойкость киберпреступников, а также их способность адаптироваться практически к любым условиям. В этом посте расскажем о том, каким был фишинг образца 2022 года. Как на злоумышленников повлиял уход Visa и Mastercard? Какие темы они использовали для мошеннических схем? Сколько фишинговых доменов появилось за год и какие бренды эксплуатировались чаще всего? Надеемся, вам будет интересно.

https://habr.com/ru/post/708694/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708694

С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе. Но обо все по порядку.

https://habr.com/ru/post/707910/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707910

В этом году российским компаниям было непросто решить, чем заменить средства защиты иностранных вендоров, которые ушли из страны. В отечественных продуктах многих классов не оказалось привычной корпоративным пользователям многофункциональности зарубежных решений, к тому же не все из них успели завоевать доверие специалистов. Но со временем отрицание сменяется принятием, а принятие перетекает в действие. Казалось бы, осталось дело за малым — выбрать нужный продукт.

Но как подступиться к этой задаче? Ведь нужно сравнить слишком много критериев: провести функциональное и нагрузочное тестирование, проанализировать архитектуру, не упустить из виду экономические показатели и много чего еще. К тому же критерии могут иметь разную важность, в зависимости от конкретной задачи и внутренних требований компании. Даже если у компаний из одной отрасли со схожим профилем бизнеса будет одна цель — выбрать систему межсетевого экранирования, результаты могут оказаться кардинально разными.

В статье я не буду рассуждать о том, какие системы лучше, а какие хуже. Вместо этого поделюсь методикой сравнения продуктов, которую мы в «Solar Интеграция» часто применяем на практике. Эта методика позволяет не только детально оценить десятки критериев, но и учесть значимость каждого критерия по сравнению с другими, что очень важно для итогового анализа сравнения.

https://habr.com/ru/post/707370/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707370

Привет, Хабр. На прошедшем в ноябре SOС-форуме мы предлагали желающим решить несколько ИБ-задач: по пентесту, OSINT и digital forensic. Оказалось, квестом заинтересовались многие: всего участие приняли более 500 человек. А после форума нас стали просить прислать задания и решения к ним. И мы решили опубликовать наш квест на Хабре. Может, и вы, уважаемые читатели, заинтересуетесь. Ради спортивного интереса все решения спрятали под спойлеры.

https://habr.com/ru/post/705986/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705986

Когда в начале года иностранные производители средств защиты покинули отечественный рынок и Россия оказалась тем самым одиноким китом в океане кибербезопасности, на нашу команду буквально обрушился шквал входящих запросов от компаний на подбор отечественных решений на замену импортным. Тестирование решений мы обычно проводим на стенде, и с марта их количество и качество сильно увеличились. Не обошла эта ситуация и системы защиты баз данных, также известные как продукты класса Database Activity Monitoring, или DAM.

На примере решения «Гарда БД» мы расскажем, что важно проверить в таких продуктах до старта проекта внедрения. Сосредоточимся на основной функциональности системы и возможностях, которые нас просили проверить наиболее часто. Также поделимся результатами собственного тестирования решения.

https://habr.com/ru/post/705550/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705550

В новом выпуске дайджеста вас ждет подборка основных изменений законодательства в области кибербезопасности, произошедших в ноябре. Какие сведения Роскомнадзор требует указывать в Акте об уничтожении персональных данных? Как нужно выбирать средства криптографической защиты для обеспечения безопасности ГИС по новым требованиям ФСБ России? Что должны знать и уметь руководители проектов, администраторы баз данных, системные аналитики и специалисты по информационным системам согласно проектам профстандартов? Об этом и многом другом расскажу в посте.

https://habr.com/ru/post/705388/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705388

Все заказчики разные. Одни хорошо разбираются в технологиях и точно знают, что им нужно. Другие – просто хотят работать без сбоев и инцидентов, хоть и не понимают, как это реализовать. А кто-то не разбирается в ИБ, но уверен, что точно знает, как выстроить процесс. А если дело доходит до таких сложных задач, как создание или перестройка Security Operations Center (SOC), разница в подходах к ИБ становится очевидной. Мы завершаем серию постов с подборкой самых популярных запросов, с которыми к нам, как к сервис-провайдеру, приходят компании. В заключение поговорим о тех, кто мало разбирается в ИБ и плохо понимает свои потребности в киберзащите.

https://habr.com/ru/post/693854/?utm_source=habrahabr&utm_medium=rss&utm_campaign=693854

На связи Катя, консультант по информационной безопасности направления «Solar Интеграция». В сегодняшнем посте я поделюсь краткой подборкой новостей из мира комплаенса ИБ за прошедший сентябрь. Вы узнаете о дальнейшем развитии подзаконных актов 266-ФЗ, изменениях в области стандартизации, отраслевых новшествах и не только. Все новости по традиции разбиты на тематические блоки.

https://habr.com/ru/post/693130/?utm_source=habrahabr&utm_medium=rss&utm_campaign=693130

Привет! Меня зовут Анвар, я аналитик данных RnD-лаборатории. Перед нашей исследовательской группой стоял вопрос проработки внедрения ИИ в сервис фильтрации веб-контента SWG-решения Solar webProxy. В этом посте я расскажу, зачем вообще нужен анализ веб-контента, почему из многообразия NLP-моделей для автоматизации решения этой задачи мы выбрали модель-трансформер. Кратко объясню, как с помощью математики взвесить смысловые отношения между словами. И, конечно, опишу, как мы приземлили веб-фильтрацию в продукт.

https://habr.com/ru/post/690556/?utm_source=habrahabr&utm_medium=rss&utm_campaign=690556

Можно ли стать программистом без профильного образования? Нет, это не реклама очередных онлайн-курсов. Кандидат физико-математических наук Андрей Грицевич много лет назад, когда деревья были больше, трава зеленее и еще даже не вышел первый Angular, ответил для себя на этот вопрос однозначно: а почему бы и нет! И самоучкой пошел в UI. Сегодня он руководит отделом разработки Центра продуктов Dozor в нашей компании. Андрей уверен, что только счастливые люди выполняют свою работу хорошо, а значит, надо помочь им стать такими. Как этого добиться? Не бояться внедрять современные инструменты. Какие-то проблемы ушли в прошлое благодаря внедрению SCRUM, где-то сработали новые HR-практики, а для решения других задач вообще понадобилось убедить всех, что технологии самоуправления – это совсем не страшно. И все это в довольно консервативной команде, которая создает серьезные корпоративные ИБ-продукты.

https://habr.com/ru/post/689628/?utm_source=habrahabr&utm_medium=rss&utm_campaign=689628

В новом дайджесте вы узнаете об основных новшествах из мира комплаенса ИБ за прошедший август. Какие подзаконные акты появились в развитие 266-ФЗ, который внес масштабные поправки в Федеральный закон «О персональных данных»? Как изменились требования регуляторов к защите критической информационной инфраструктуры и каким образом в стране предлагается перейти на преимущественное применение доверенных программно-аппаратных комплексов на значимых объектах КИИ? Каким требованиям должны соответствовать госорганы для аккредитации на работу с государственными информационными системами, используемыми для идентификации и аутентификации? Об этом и многом другом расскажу в сегодняшнем выпуске.

https://habr.com/ru/post/688096/?utm_source=habrahabr&utm_medium=rss&utm_campaign=688096

Привет начинающим и будущим ИБ-специалистам! Мы ведем набор на стажировку в центр противодействия кибератакам Solar JSOC. На минуточку, первый (в этом году ему исполнилось 10 лет) и на сегодня крупнейший из коммерческих Security Operations Center, SOC. На курсе мы познакомим вас с работой специалистов в сфере ИБ, включая расследование кибератак и поиск уязвимостей в компаниях. Принять участие могут те, у кого есть профильное специальное или дополнительное образование. Набор ведется в Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске. Самых успешных стажеров мы пригласим на работу! Подать заявку и пройти отборочное тестирование можно до 15 сентября, само обучение стартует 19 сентября.

https://habr.com/ru/post/686676/?utm_source=habrahabr&utm_medium=rss&utm_campaign=686676

Мы как-то писали про SSRF-атаку, которая входит в список наиболее распространенных уязвимостей OWASP Top 10. Однако мир уязвимостей намного разнообразнее и, конечно же, не ограничивается этим списком. Сегодня мы хотим рассказать про уязвимости, связанные с бизнес-логикой. Что в них необычного? Это как доказать, что 2+2=5. Последовательность действий кажется правильной, все операции разрешенными, а результат совсем не тот, который закладывался при разработке. Но мы же знаем, что в доказательстве есть ошибки! Рассмотрим, как подобные задачки решаются при анализе защищенности и какие неожиданные результаты можно получить, используя обычную функциональность приложений.

https://habr.com/ru/post/685592/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685592

Для многих российских компаний уход иностранных вендоров ПО и железа стал, мягко говоря, ударом под дых. Сервис-провайдерам пришлось вдвойне тяжело: им надо было обеспечить кислородной маской необходимым софтом не только себя, но и своих заказчиков. Немалая часть наших сервисов ИБ базировалась на западных решениях. Что-то стало работать с урезанным набором функций, а что-то из-за отзыва лицензий просто превратилось в кирпич. На долгие поиски альтернативы времени не было, часть компаний уже находилась под атаками. С чем мы столкнулись, когда зарубежные вендоры стали отзывать лицензии и сворачивать техподдержку, как искали им замену и что делали, когда остались без оркестратора – расскажем в этом посте.

https://habr.com/ru/post/685246/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685246

Мы продолжаем серию постов "Чего хотят клиенты". В них мы собрали самые популярные запросы, с которыми к нам, как к сервис-провайдеру ИБ, приходят различные компании, желающие подключить свою инфраструктуру к Security Operation Center (SOC). С какой бы стороны баррикад вы ни стояли (строитель SOC или заказчик), надеемся, наш опыт будет вам полезен. В этом посте речь пойдет про тех, кто не понаслышке знает, что такое SIEM, возможно работали в SOC и основная их цель – защита от киберугроз. Но они не так погружены в вопрос, что в итоге приводит к своеобразной постановке задач.

https://habr.com/ru/post/682604/?utm_source=habrahabr&utm_medium=rss&utm_campaign=682604

BloodHound – это популярный инструмент для сбора и анализа данных при проведении пентеста внутренней инфраструктуры на базе Active Directory. Этот инструмент позволяет визуализировать некорректные настройки объектов AD и строить цепочки атак. Основная его особенность — использование теории графов при анализе данных.

Дальше будет много технической информации, поэтому предполагается, что читатель понимает, что такое ACL, DACL, ACE и т.д., а также имеет базовое понимание языка запросов Cypher.

https://habr.com/ru/post/681108/?utm_source=habrahabr&utm_medium=rss&utm_campaign=681108