Мы продолжаем цикл материалов о старте карьеры в кибербезопасности.
Эту публикацию подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы, welcome в комментарии или в личные сообщения нашему эксперту. Итак, как вкатиться в пентест в 2024 году.

Всем привет! Я @the_ospf, работаю в команде анализа защищенности Angara Security. Мы занимаемся пентестом ИБ-инфраструктуры крупных и средних компаний, тестируем web- и мобильные приложения. В этой статье я расскажу о своем пути от начинающего специалиста до эксперта по анализу защищенности, как я собирал необходимый багаж знаний, своих ошибках и поделюсь материалами, которые помогут вам в подготовке для вашего первого трудоустройства в качестве специалиста по анализу защищенности веб-приложений.

Статья ориентирована по большей части на новичков в области анализа защищенности веб-приложений, а также на студентов, которые сильно желают стать хакером попробовать свои силы в этом направлении. 

Несмотря на усилия компаний в области аудита безопасности, в медиапространстве все чаще появляются заявления об утечке критичной для бизнеса информации, в том числе персональных данных клиентов.

Причин тому может быть несколько.

25 февраля 2022 года международная сеть хактивистов Anonymous объявила правительству РФ кибервойну. С тех пор под атаку группировки успели попасть ряд крупнейших отечественных СМИ, Банк России, сайты Кремля и Минобороны.

В то же время на фоне напряженной геополитической обстановки Национальный координационный центр по компьютерным инцидентам спрогнозировал увеличение количества кибератак на российские интернет-ресурсы.

Мы в HOSTKEY много лет используем блоки питания HP Common Slot мощностью от 460 до 1400 Вт. Они эффективны, надежны в эксплуатации и легко интегрируются с серверами различных производителей. Если у вас скопились ненужные серверные корпуса, не торопитесь сдавать их в утиль: есть шанс сэкономить €500 – €600 на покупке новой платформы.

Пришлось тут перевыпустить карточку Альфа-Банка. У нас в городе недавно появился офис фиджитал и было интересно посетить именно его. Кроме прочих интересных приколюх типа необычной электронной очереди, внимание привлекла одна примечательная деталь: мобильное приложение предложило сыграть в игру, чтобы скоротать время в ожидании очереди. Сидеть всё равно надо, глянем. Игра оказалась тестом в несколько уровней на знание основ финансовой кибербезопасности. Вопросы казались довольно простыми, но я попался в первом же раунде, а потом в третьем и дошёл до четвёртого, но тут менеджер пригласил к себе. Игра эта охватывала многие аспекты финансовой безопасности физических лиц и была не только и не столько развлекательной, сколько обучающей. Выдача карточки — дело пяти минут, но сама идея игры из головы не шла. А что если так обучать сотрудников? Хм, а ведь когда-то компании подобное проходили. И должны проходить. Потому что сотрудники —  не только самая большая дыра в безопасности, но и самая надёжная защита. Исход зависит от того, как их обучить.

О том, что обеспечение безопасности не ограничивается защитой периметра

Случалось ли вам объяснять, скажем, бухгалтерии, что такое сервер? Мне – да. И что такое СХД – тоже. «Представьте, - говорю, - что вы готовите борщ. Овощи – ваши данные. Вы их порезали и отправили в кастрюльку с бульоном. Вот. Кастрюлька – это ваш сервер. Там овощи - читай, данные - обрабатываются. Борщ сварился, аж целых 5 литров, но за раз вы его не съедите. Вы ставите кастрюльку в холодильник. Борща снова захотелось – открыли, отлили, обратно поставили. Холодильник – ваша СХД». Такое объяснение вполне удовлетворило Елену Геннадьевну, нашего главбуха.

Однако ж CISO, которому мы полгода «продавали» идею BAS, к метафорам слабости не имел. Зато имел слабость к исследованиям, аналитике и оценке рисков. Что ж… Официальным языком мы тоже умеем. А из придуманных аллегорий родилась сказка. В память о Владимире Безмалом, стоявшем в авангарде ликбеза в сфере ИБ.

Короче. В тридевятом царстве, в тридесятом государстве…

Здравствуй Хабр! А мы тут продолжаем цикл статей об OSINT и, самое главное, о полезных для этого нелегкого дела инструментах.

Сегодня мы разберем расширения для Google Chrome которые помогут нам собирать и анализировать данные из открытых источников, ну и в целом улучшат наш опыт проведения расследований.

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Краткое руководство о том, как обнаружить атаку на внутреннюю инфраструктуру компании раньше всех и правильно отреагировать на нее

Число кибератак стремительно растет: если раньше их количество исчислялось десятками в месяц, сейчас насчитывают тысячи инцидентов только за одну неделю: «Касперский» заявляет о 8-кратном увеличении числа DDoS-атак на российские организации. В то же время недавнее исследование SearchInform сообщает, что из 900 опрошенных ими компаний 95% ограничиваются только антивирусом в вопросах защиты от кибератак. В таких условиях вероятность столкнуться с инцидентом ИБ значительно выше, чем может показаться. Поэтому все же стоит отбросить сомнения, вроде «да кому наша информация нужна», и заранее разобраться, что делать, если инцидент уже случился.

Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой нестандартной работе.

По понятным причинам, мы не раскрываем настоящие имена наших спецов, так что в этом разговоре они выступят под псевдонимами Алиса и Боб. Они уже не первый год занимаются этой работой, но впервые согласились рассказать о ней широкой публике.

Осторожно, этот пост может спровоцировать приступы паранойи.

Первое, что себе представляют люди, когда речь заходит о Швейцарии это умопомрачительные виды гор с прагматично-гармонично вписанной архитектурой, вероятно так оно и есть, но мне этого увидеть не довелось, поскольку вся история произошла в 2021 году в период эпидемии. Итак, обо всём по порядку. Шла очередная COVID волна, все сидели на удалёнке и мысль о том, чтобы работать и путешествовать не покидала мой пытливый инженерный ум.

Текущее место работы в крупном российском зелёном банке, накладывало ограничения на передвижения и удалённую работу, вплоть до сообщения домашнего адреса, мониторинга транзакций по зарплатной карте (покупки не далее пешей доступности от дома в обед), мониторинг IP-адреса, используемого для подключения к офисной сети. Как мне кажется, тут был небольшой перегиб в сторону контроля, да это всё решаемые нюансы - можно снять наличные, купить VPN с нодой в России, сообщить IP адрес мобильного оператора - но риски проколоться всегда есть и вдобавок всегда была вероятность срочного выхода в офис, так что, находясь где-то в солнечном Тайланде, оперативно появиться на утро в офисе было бы большой проблемой.

Я пишу статьи, посвященные написанию качественного кода и про поиск ошибок с помощью инструментов статического анализа. Однообразие наскучивает, хочется пошалить. А давайте все вместе напишем статью "100 вредных советов для С++ программиста". Я начну, а вы подхватите.

Одной из важных составляющих информационной безопасности инфраструктуры компании является SIEM - система управлением событиями и информацией безопасности. Такую систему можно условно поделить на 2 основные части — подсистему сбора событий и подсистему анализа полученных событий. Правильная настройка первой поможет обнаружить вторжение на ранних этапах проникновения, облегчит написание событий тревоги (алертов), а если вас всё-таки взломали, то позволит разобраться, как и почему это произошло, какие действия выполняли злоумышленники. Основным инструментом для сбора системных событий в линукс-системах является auditd. На основе этого инструмента созданы и другие, например, auditbeat, go-audit, которые дополняют основной функционал auditd. Поэтому, разобравшись с основными принципами работы базового инструмента, вам не составит труда воспользоваться и всеми остальными.

Структура статьи:

- Краткое знакомство с инструментом: общее описание auditd, плюсы и минусы, синтаксис;

- Принципы написания правил: практические советы по специфике инструмента, которые позволят делать меньше ошибок при работе с ним;

- Как тестировать правила: порядок действий, который позволит внедрить наборы правил в инфраструктуру любого размера;

- Алгоритм тестирования правил: упорядоченный список действий для проверки отдельно каждого правила и фильтров к нему;

- Модель угроз: как рассматривать систему с точки зрения атакующего, чтобы ничего не забыть;

- Пример: применяем полученные знания на практике.

Тестирование систем на проникновение требует от пентестера знания большого количества различного инструментария: от банальных текстовых редакторов до штатных систем обнаружения вторжений. Одним из важных этапов пентеста является запуск команд на стороне тестируемого хоста для выполнения собственных нужд. Так как способов это сделать существует довольно большое количество, статья расскажет о нескольких методах запуска команд в инфраструктуре, где работает операционная система Windows. Будут приведены несколько инструментов и методы их использования. Также будут рассмотрены несколько особенностей, которые должны быть учтены при использовании каждого способа запуска команд.

Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

Цифровые технологии оказали огромное влияние на то, как мы общаемся и получаем доступ к информации. Это предоставило предприятиям большие возможности и не меньшее количество проблем в удовлетворении запросов потребителей, особенно когда речь идет об обслуживании и клиентском опыте.

Социальные сети, мобильные технологии, мгновенная коммуникация, большие данные, аналитика и машинное обучение — вот лишь некоторые из многочисленных инструментов, позволяющих предоставлять высоко персонализированное обслуживание клиентов, и потребители теперь ожидают соответствующего качественного сервиса от компаний, с которыми они сотрудничают.

Именно это делает обслуживание клиентов дифференцирующим фактором на рынке, где разница в цене настолько мала, что становится все более несущественной. Исследование, проведенное компанией Gartner, показало, что 89 процентов компаний рассчитывают конкурировать на основе клиентского опыта, а цифровые технологии являются крупнейшим драйвером этой тенденции.

Поэтому любой бизнес, независимо от того, насколько он велик или мал, должен подумать о создании службы поддержки клиентов, способной отвечать ожиданиям, которые сегодня есть у потребителей. Вот 20 советов по созданию службы поддержки клиентов для современного рынка.

В США 7 мая хакеры парализовали нефтяной трубопровод Colonial Pipeline, остановив транзит 45% топлива, потребляемого восточной частью Соединенных Штатов Америки. Эксперты уверены, что мир входит в эпоху кибертерроризма, способного погружать в локдаун целые города и регионы. Благодатной почвой для этого выступит интернет вещей (IoT). RSpectr вместе с экспертами по информбезопасности выяснял, когда умная техника станет настоящей глобальной угрозой для человечества и как защитить жизненно важную инфраструктуру.