Как стать автором
Обновить
151
12.6

Пользователь

Отправить сообщение

Разбираемся в BIA: популярные вопросы и неочевидные кейсы

Время на прочтение 9 мин
Количество просмотров 1.3K

Анализ воздействия на бизнес (BIA, Business Impact Analysis) — один из фундаментов управления непрерывностью бизнеса, который, как кажется, позволяет решить основные вопросы: оценить потери от простоя критичных процессов, выделить эти критичные процессы, узнать, от чего зависит их непрерывное функционирование и какие требования выдвигаются к обеспечивающим ресурсам со стороны бизнеса. В конечном итоге именно благодаря BIA (а не методу «трех П» — пол-палец-потолок) мы можем получить обоснованную бизнесом оценку целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для информационных систем. Без BIA невозможно внедрение и дальнейшее эффективное развитие системы управления непрерывностью деятельности в компании, подготовка стратегии реагирования, Business Continuity и Disaster Recovery планов.

В статье мы рассмотрим наиболее часто встречающиеся на практике вопросы и трудности, которые могут помешать достигнуть лучших результатов при проведении BIA и анализе бизнес-функций, и разберемся, как же решать такие кейсы, чтобы и целей достигнуть, и удовольствие от процесса получить!

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 4

Это база. MITRE ATT&CK

Время на прочтение 2 мин
Количество просмотров 2K

Полезного контента по проекту MITRE ATT&CK в сети огромное количество, с чего начать новичку? Чтобы сократить время на поиск и чтение (зачастую перепечатанного друг у друга материала), я собрал и агрегировал статьи, видео и книги, чтобы вы могли последовательно познакомиться с проектом.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 0

Ликбез по вхождению в Data Science: что для этого нужно и стоит ли пытаться?

Уровень сложности Простой
Время на прочтение 9 мин
Количество просмотров 27K

Всем привет! Меня зовут Надя, и сейчас я выступаю в роли ментора на программе Mentor in Tech и помогаю людям «войти» в Data Science. А несколькими годами ранее сама столкнулась с задачей перехода в DS из другой сферы, так что обо всех трудностях знаю не понаслышке.

Порог для входа в профессию очень высокий, так как DS стоит на стыке трех направлений: аналитики, математики и программирования. Но освоить специальность — задача выполнимая (хоть и непростая), даже если ты гуманитарий и списывал математику у соседа по парте.

В этой статье я собрала несколько рекомендаций на основе моего личного опыта (как поиска работы, так и найма людей), а также исходя из рассказов знакомых.

Погрузиться в мир Data Science
Всего голосов 11: ↑8 и ↓3 +5
Комментарии 25

Помощник сталевара: для чего металлургам нужно машинное обучение?

Время на прочтение 9 мин
Количество просмотров 4.3K

Автор: Антон Головко, специалист по машинному обучению «Инфосистемы Джет»

Человечество с переменным успехом занимается плавкой стали больше 3,5 тысяч лет. Казалось бы, зачем в металлургии вычислительные мощности и инфраструктура? Модели машинного обучения и искусственный интеллект лучше оставить торговым сетям и банкам для прогнозирования потребностей клиентов. А опытные сталевары всегда могли выплавить качественную сталь без ML. Зная, какую марку нужно получить на выходе, специалист самостоятельно определяет, какие добавки и в каком объеме необходимо использовать. И зачем тогда Machine Learning?

Объясняем под катом
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 3

Тестирование ML-моделей. От «пробирки» до мониторинга боевых данных

Время на прочтение 9 мин
Количество просмотров 3.1K

Из этой статьи вы узнаете, почему важно проводить «лабораторные испытания» ML-моделей, и зачем в тестировании наработок «ученых по данным» должны участвовать эксперты из предметной области, а также — как выглядят тесты после того, как модель покинула датасайнтистскую лабораторию (и это не только мониторинг качества данных).

На первый взгляд кажется, что тестирование ML-моделей должно проходить по классическим ИТ-сценариям. Моделируем процесс, присылаем сценарии тестерам, и начинается магия — невозможные значения входных данных, попытки сломать логику системы и т. д. В некотором смысле все работает именно так: процесс разработки ML-сервисов включает и этот этап. Но только в некотором смысле — ведь у науки о данных есть масса особенностей.

Узнать магические секреты
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Почему мы решили развивать практику тестирования ML

Время на прочтение 5 мин
Количество просмотров 6.6K


Прогнозные и оптимизационные сервисы на базе Machine Learning вызывают сегодня интерес у многих компаний: от крупных банков до небольших интернет-магазинов. Решая задачи различных клиентов мы столкнулись с рядом проблем, что послужило для нас почвой для рассуждений на тему особенности тестирования ML. Для тех, кому это интересно, — наш очередной пост от тест-менеджера компании «Инфосистемы Джет» Агальцова Сергея.
Читать дальше →
Всего голосов 32: ↑30 и ↓2 +28
Комментарии 10

Вкатиться в ИБ в 30: три истории

Уровень сложности Простой
Время на прочтение 8 мин
Количество просмотров 12K

Если загуглить «работа в ИТ», то статей с заголовком «Как войти в айти» и курсов, обещающих быстрый старт в новой профессии, выпадет столько, что начнет казаться, что все вокруг только и делают, что учатся (или учат) на айтишников. ИБ-профессии дополнительно окутаны флером хакерской тематики, но в целом процесс «вкатывания» в них для человека не из индустрии от этого сильно не меняется.

Мы собрали три истории ребят, которые смогли которые работают в центре информационной безопасности: всем нашим героям около 30 лет, и до того, как перейти в новую профессию, они уже строили карьеру в других сферах, но решили всё изменить, став специалистами в сфере информационной безопасности с нуля. Чей путь был проще — решайте сами. Пост будет полезен тем, кто думает о работе в айтишной сфере, но пока сомневается (или считает, что поезд ушел вместе с перроном).

Читать далее
Всего голосов 11: ↑8 и ↓3 +5
Комментарии 7

Видеозаписи докладов CyberCamp. DevSecOps

Уровень сложности Средний
Время на прочтение 3 мин
Количество просмотров 1.6K

Привет, Хабр! В конце апреля команда CyberCamp провела митап, посвященный DevSecOps. Наше путешествие началось у острова композиционного анализа, потом мы прошли между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправились исследовать другие направления DevSecOps.

В этом посте собрали полный плейлист выступлений.

Читать далее
Рейтинг 0
Комментарии 0

Как подружиться с СЗИ? Межсетевые экраны

Время на прочтение 12 мин
Количество просмотров 4.9K

На написание статьи меня сподвигли воспоминания о трудоустройстве на первую работу и сопутствующие трудности, с которыми мне пришлось столкнуться. Собеседования напоминали «день сурка» — технические специалисты бубнили, что им нужны только работники с большим конкретным опытом, а не студенты-теоретики, и им некогда заниматься «глубоким обучением». В конечном итоге мне удалось устроиться в «Инфосистемы Джет» благодаря моей хорошей подготовке к собеседованию. Чтобы облегчить жизнь будущим поколениям и дать возможность выпускникам на практике ознакомиться с доступными для студента средствами защиты информации (СЗИ), я решил написать этот пост. Рассмотрим самое базовое средство защиты компьютерной сети — межсетевой экран (МЭ.)

Читать далее
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 2

Безопасный Wi-Fi в отеле для всей семьи на Raspberry Pi

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 12K

Всем привет! Сегодня хочу рассказать о своем «семейном» проекте на Raspberry Pi. Путешествуя по миру, я постоянно сталкиваюсь с потребностью подключаться к быстрому и, что не менее важно, безопасному интернету.

Читать далее
Всего голосов 12: ↑12 и ↓0 +12
Комментарии 19

Как мы проксировали OpenLDAP на AD через cn=config

Уровень сложности Средний
Время на прочтение 8 мин
Количество просмотров 4K

Этот пост я хочу посвятить кейсу с крупного ИТ-проекта, который делала наша компания. В рамках проекта внедрялось большое количество сервисов, и для них нужно было обеспечить LDAP-аутентификацию при следующих операциях:

 Доступ в GUI-интерфейсы сервисов.

 Доступ по SSH на серверы, где функционируют сервисы, с ограничением доступа на основании членства пользователей в группах LDAP-каталога.

У заказчика уже была развернута служба каталогов Microsoft Active Directory. Требованием проекта было отсутствие прямого доступа между внедряемыми сервисами и AD. На стороне сервисов не должны были прописываться параметры сервисных учетных записей AD. Кроме того, сетевой доступ к контроллеру MS AD был разрешен только для одного хоста.

Под катом — подробности о том, как мы решили эту задачу.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 5

В начале был принтер. Как получить привилегии администратора домена, начав с принтера

Уровень сложности Средний
Время на прочтение 11 мин
Количество просмотров 14K

Еще в прошлом году мы c командой решили поделиться несколькими интересными векторами получения привилегий администратора домена. По отзывам, первая статья оказалась полезной и интересной. Настало время продолжить. В этом посте я расскажу о том, как получение доступа к панели администрирования принтера может привести к компрометации всего домена Active Directory с помощью эксплуатации уязвимости PrintNightmare и использования неограниченного делегирования. А коллеги из Jet CSIRT дополнили пост рекомендациями по мониторингу на каждом этапе на случай, если вы хотите мониторить такие атаки в вашем SIEM. Краткое описание — на схеме.

Подробнее — под катом.

Читать далее
Всего голосов 33: ↑33 и ↓0 +33
Комментарии 15

Полезные материалы по Data Science и машинному обучению, которые помогут пройти сквозь джунгли из терминов

Уровень сложности Простой
Время на прочтение 8 мин
Количество просмотров 23K

Привет, Хабр! Меня зовут Ефим, я MLOps-инженер в Selectel. В прошлом был автоматизатором, ML-инженером, дата-аналитиком и дата-инженером — и уже несколько лет падаю в пропасть машинного обучения и Data Science. Это буквально необъятная сфера, в которой почти нет ориентиров. Основная проблема в том, что разделов математики довольно много и все они, на первый взгляд, нужны в том же машинном обучении.

В этой статье делюсь полезными материалами, которые помогут найти и заполнить теоретические и практические проблемы и основательно подойти к своему профессиональному развитию. Добро пожаловать под кат!
Читать дальше →
Всего голосов 59: ↑59 и ↓0 +59
Комментарии 15

Делать Data Vault руками? НЕТ! Подходы к автоматической генерации при построении Data Vault

Время на прочтение 8 мин
Количество просмотров 3.1K

Привет, меня зовут Виктор Езерский, я работаю в центре управления данными «Инфосистемы Джет». Мы занимаемся построением хранилищ, Data Lake, платформ данных, ETL/EL-T и BI-систем. Последние 5–7 лет при построении хранилищ данных у наших заказчиков одна из часто встречаемых архитектур — Data Vault. Мы участвовали в доработке готовых хранилищ на базе Data Vault и делали Data Vault «с нуля».

Из опыта борьбы я вынес одно правило: Data Vault без фреймворка и автоматической генерации — большая беда. В этом посте расскажу, почему, а также поделюсь нашими подходами к созданию генератора. Сразу предупреждаю, что не дам готовых рецептов, но расскажу о наших основных подходах и что они нам дали.

Узнать всё!
Всего голосов 13: ↑12 и ↓1 +11
Комментарии 0

Твоя работа в ИБ по мемасикам

Время на прочтение 3 мин
Количество просмотров 5.3K

· Ты уважаемый CISO крупной нефтяной компании, но твой ребенок — блогер и зарабатывает больше тебя?
· Ты нашел уязвимость по программе Bug Bounty у мясомолочного завода, а у них нет денег, и они выплачивают тебе молочкой и мясом?
· Регулятор выдал новую порцию требований, а у тебя бюджет — три рубля и жвачка «Турбо»?

Эти и многие другие злободневные ситуации мы объединили в игре Jet Security Memes.

Переходи по кат и скачивай карточки!

Читать далее
Всего голосов 25: ↑20 и ↓5 +15
Комментарии 5

От MITRE ATT&CK до форензики: видеозаписи ТОП-5 докладов CyberCamp 2022

Время на прочтение 2 мин
Количество просмотров 3.5K

Вот и прошла онлайн-конференция CyberCamp 2022: итоги подведены, подарки и благодарности отправлены.

Под катом вы найдете пять лучших выступлений по итогам трех дней кэмпа. Выступления стали самыми популярными по итогам опроса зрителей. Enjoy!

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

5 способов, как взять домен с помощью PetitPotam

Время на прочтение 11 мин
Количество просмотров 16K

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Читать далее
Всего голосов 14: ↑12 и ↓2 +10
Комментарии 2

«Надо переехать с Oracle на PostgreSQL. Ты только не волнуйся!»

Время на прочтение 8 мин
Количество просмотров 25K

С этого сообщения в мессенджере началось мое масштабное расследование вопроса, который давно не дает спать многим айтишникам — можно ли вот так взять и переехать с Oracle на «свободную» СУБД PostgreSQL?

Этот вопрос сначала бередил умы только тех, кто был в курсе стоимости закупок лицензий. В крупных компаниях бюджет на это мог составлять несколько десятков миллионов долларов. А потом каждый год поддержка вендора «съедала» ещё 22% от стоимости лицензий. Теперь та финансовая боль сменилась другой, и у компаний поменялся запрос: а можно ли заменить? И главное, можно ли организовать это в разумные сроки и по адекватной стоимости? 

Скажу сразу, что в этом посте не будет технических аспектов миграции с СУБД Oracle на PostgreSQL. Как это делать и как обходить сложности — разберем в следующий раз. Тут же больше поговорим о целесообразности и возможности миграции. С этим мы разбирались в ходе одного проекта, а заодно развенчали строй существующих иллюзий. 

Красная таблетка
Всего голосов 57: ↑56 и ↓1 +55
Комментарии 73

Бэкдор в ML-моделях. Врага надо знать «в лицо»

Время на прочтение 4 мин
Количество просмотров 3.5K

Основная опасность бэкдоров заключается в том, что их очень сложно вычислить — это не вложенный кусок вредоносного кода, а зашитый при обучении модели паттерн поведения. Open Source модели или даже модели, которые были разработаны для заказчика «вовне», могут быть опасны тем, что они содержат подобные уязвимости. Зачем они нужны и что из себя представляют, рассказывают дата-сайнтисты «Инфосистемы Джет».

Узнать все
Всего голосов 20: ↑20 и ↓0 +20
Комментарии 1

Как мы сравнили «наиболее отечественный» Вaikal с Intel

Время на прочтение 7 мин
Количество просмотров 34K

Снова про Baikal? Ну да, нам самим хотелось устроить тест-драйв, воочию оценить производительность, а заодно узнать, как процессор справляется с классическими офисными задачами. Спойлер: эта рабочая лошадка в основном не показала выдающихся результатов, но обошла Intel в одной задаче.

Клик!
Всего голосов 75: ↑40 и ↓35 +5
Комментарии 107

Информация

В рейтинге
426-й
Работает в
Зарегистрирован
Активность