Как мы подходим к работе с пентестерами? 🔛
Сегодня поговорим про offensive security. Вокруг темы много споров — стоит ли контролировать подрядчиков, что выбрать — пентест или баг баунти, как определить квалификацию команды хакеров.
👉 Расскажем про наш подход к «наступательной безопасности» и дадим советы о том, как получить максимум выгоды из работы с «этичными хакерами».
Почему мы выбрали Black Box для проверки облачной инфраструктуры Битрикс24?
📍Как уже говорилось выше, black box пентест максимально приближен к реальным атакам — тестирование проводится так же, как действовал бы настоящий злоумышленник. Но для нас было важно оценить еще несколько моментов.
👍 Облака чаще всего атакуют именно извне, а Black Box фокусируется на внешних уязвимостях. Такой подход помогает найти дыры в безопасности, которые могут использовать хакеры, даже если у них нет доступа к внутренним системам.
👍 Этот метод позволяет оценить, насколько легко злоумышленник может добыть конфиденциальные данные, используя только открытые источники.
Как выбрать исполнителя?
👉 Подробнее читайте в материале
Сегодня поговорим про offensive security. Вокруг темы много споров — стоит ли контролировать подрядчиков, что выбрать — пентест или баг баунти, как определить квалификацию команды хакеров.
👉 Расскажем про наш подход к «наступательной безопасности» и дадим советы о том, как получить максимум выгоды из работы с «этичными хакерами».
Почему мы выбрали Black Box для проверки облачной инфраструктуры Битрикс24?
Для нас проверки на уязвимость — это не формальность, а жизненная необходимость. Мы постоянно играем в «белых хакеров». Не ждем проблем, а сами ищем дыры в безопасности, пока это не сделал кто‑то другой. Это касается всего. Мы постоянно пробуем взломать наши сайты, API и сервера — именно так, как это делают настоящие злоумышленники.
Тестируем инфраструктуру изнутри. Особенно тщательно проверяем настройки сервисов в инфраструктуре. Часто проблемы возникают не из‑за багов, а потому что что‑то случайно оставили открытым, оставили конфигурацию не крайней версии. Мы смотрим: а туда ли ушли пароли? Тот ли доступ у этого сервиса? Нельзя ли из одного артефакта сделать другой?
Проверяем, что будет, если кто‑то уже внутри? Мы моделируем ситуацию, будто злоумышленник уже проник в систему. Сможет ли он там безнаказанно перемещаться? Это помогает выстроить внутреннюю защиту.
📍Как уже говорилось выше, black box пентест максимально приближен к реальным атакам — тестирование проводится так же, как действовал бы настоящий злоумышленник. Но для нас было важно оценить еще несколько моментов.
Как выбрать исполнителя?
👉 Подробнее читайте в материале
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍4❤3⚡3
Почему киберпреступники взялись за МСБ — и как противостоять угрозам?
Всего несколько лет назад целевые кибератаки ассоциировались с крупными корпорациями и государственными структурами. Но сегодня ситуация кардинально изменилась: внимание киберпреступников сместилось на наиболее уязвимый сегмент — малый и средний бизнес.
К счастью, чтобы повысить безопасность, не нужны миллионные бюджеты. Начните с простых шагов 👇
🔹Используйте правило «четырех глаз» для финансов. Не проводите платежи по одной лишь электронной команде — добавьте устное подтверждение по телефону или через защищенный корпоративный чат.
🔹Включите двухфакторную аутентификацию. Это главный щит от взлома аккаунтов.
🔹Проведите 15-минутный ликбез для команды. Покажите сотрудникам свежие примеры мошеннических сообщений из вашей отрасли. Объясните, что любая срочная просьба о переводе денег — это красный флаг.
🔹Обратите внимание на партнеров. Атаки через цепочку поставок — новый тренд, поэтому безопасность партнеров — это тоже ваша забота.
Кибербезопасность для малого бизнеса — это не только про технологии, но и про выстроенные процессы и привычки.
👉 Подробнее о мерах защиты рассказываем в статье.
Всего несколько лет назад целевые кибератаки ассоциировались с крупными корпорациями и государственными структурами. Но сегодня ситуация кардинально изменилась: внимание киберпреступников сместилось на наиболее уязвимый сегмент — малый и средний бизнес.
По статистике, с хакерскими атаками сталкивается каждая третья компания МСБ. Неудивительно: объемы выручки в сегменте исчисляются триллионами, а вот уровень защиты оставляет желать лучшего.
К счастью, чтобы повысить безопасность, не нужны миллионные бюджеты. Начните с простых шагов 👇
🔹Используйте правило «четырех глаз» для финансов. Не проводите платежи по одной лишь электронной команде — добавьте устное подтверждение по телефону или через защищенный корпоративный чат.
🔹Включите двухфакторную аутентификацию. Это главный щит от взлома аккаунтов.
🔹Проведите 15-минутный ликбез для команды. Покажите сотрудникам свежие примеры мошеннических сообщений из вашей отрасли. Объясните, что любая срочная просьба о переводе денег — это красный флаг.
🔹Обратите внимание на партнеров. Атаки через цепочку поставок — новый тренд, поэтому безопасность партнеров — это тоже ваша забота.
Кибербезопасность для малого бизнеса — это не только про технологии, но и про выстроенные процессы и привычки.
👉 Подробнее о мерах защиты рассказываем в статье.
👍9🔥4⚡2❤2
CyberOK проверил Рунет на предмет давно известных уязвимостей. Исследование показало, что в интернете все еще доступно множество необновленных пользователями сайтов с древними уязвимостями, которые мы исправили в продукте еще 2-3 года назад.
Наша CMS популярна (коллеги из CyberOK называют более 1 миллиона сайтов) и привлекает внимание не только СМИ, но и злоумышленников. Поэтому мы ведем постоянную работу по информированию пользователей о базовых правилах безопасности и о необходимости обновлений: рассылки, статьи, инструкции, экспертиза независимых специалистов и этичных хакеров. Вот даже Telegram-канал отдельный для вас завели 🔧
Мы постоянно выпускаем новые версии не просто так, а ради вашей безопасности. Специалисты CyberOK подтверждают: самая простая и эффективная защита — это своевременное обновление CMS!
Проявите бдительность, не будьте в числе потенциальных жертв.
И обновите ваш сайт СЕГОДНЯ!
Лучше один раз настроить процесс обновлений, чем поставить весь бизнес под угрозу⚠️
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥7⚡5❤2
Леонид Плетнев, бизнес-партнер по информационной безопасности 1С-Битрикс, и Анастасия Харыбина, руководитель AKTIV.СONSULTING, обсудили безопасность поставщиков в новом подкасте «Безопасный выход».
👉Слушайте выпуск
Что разобрали:
🎞 Видеоверсию подкаста «Безопасный выход» смотрите тут
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤4🔥4
Forwarded from SecPost
Please open Telegram to view this post
VIEW IN TELEGRAM
secpost.ru
Почему и как “1С-Битрикс” пересмотрел подход к кибербезопасности
В колонке, подготовленной специально для SecPost, Леонид Плетнев, бизнес-партнер по ИБ в “1С-Битрикс”, рассказывает об эволюции киберугроз и подходов к защите цифровых продуктов.
👍7🔥5👌4🤔1
Forwarded from Битрикс24 для бизнеса
Встречайте новую документацию для разработчиков 1С-Битрикс и Битрикс24 🔥
👉Документация доступна по адресу
В чем отличия новой документации:
✔ единый источник информации — в новой документации нет разделения на контент для разработчика, контент-менеджера или администратора. Не нужно искать информацию в разных источниках, чтобы собрать воедино всю картину.
✔ переработанная и дополненная информация — в новой документации только актуальная информация и механики, понятные примеры использования.
✔ раздел Справочник API — в нем собрана информация по актуальным классам системы.
✔ удобство коммуникации — привычный формат взаимодействия: issues и pull requests. На каждой странице документации можно в один клик создать issue с предложением или замеченной ошибкой. Если хотите внести свой вклад, создавайте pull request с правками и пополняйте список контрибьюторов нашего официального репозитория.
📍Новая документация для разработчиков 1С-Битрикс и Битрикс24.
📍Официальный репозиторий компании.
👉Документация доступна по адресу
В ней уже есть вся основная информация по работе с BitrixFramework — основой продуктов 1С-Битрикс: Управление сайтом и Битрикс24.
В чем отличия новой документации:
✔ единый источник информации — в новой документации нет разделения на контент для разработчика, контент-менеджера или администратора. Не нужно искать информацию в разных источниках, чтобы собрать воедино всю картину.
✔ переработанная и дополненная информация — в новой документации только актуальная информация и механики, понятные примеры использования.
✔ раздел Справочник API — в нем собрана информация по актуальным классам системы.
✔ удобство коммуникации — привычный формат взаимодействия: issues и pull requests. На каждой странице документации можно в один клик создать issue с предложением или замеченной ошибкой. Если хотите внести свой вклад, создавайте pull request с правками и пополняйте список контрибьюторов нашего официального репозитория.
Мы хотим сделать единый и удобный источник информации для разработчиков, чтобы вы могли найти ответ на любой возникающий вопрос при работе с продуктами компании. Новая документация будет развиваться, планируем перенести в нее документацию для разработчиков и D7. Будем рады обратной связи!
📍Новая документация для разработчиков 1С-Битрикс и Битрикс24.
📍Официальный репозиторий компании.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍9❤4😱2⚡1
Устойчивая безопасность: как управлять уязвимостями в современных продуктах 👀
1. Проактивная защита: безопасная разработка (DevSecOps)
Мы встраиваем проверки безопасности прямо в процесс разработки. Делаем это автоматически, чтобы найти и устранить стандартные уязвимости до того, как код попадет в сборку. Безопасность становится частью рутины разработчика, а не отдельной фазой.
2. Взгляд извне: программы Bug Bounty
Регулярно привлекаем независимых этичных хакеров для тестирования наших продуктов в контролируемой среде. Они помогают нам найти сложные и неочевидные уязвимости, которые не видны изнутри. Это позволяет увидеть продукт глазами злоумышленника и вскрыть логические ошибки.
3. Контроль в реальном времени: мониторинг и реагирование
Мы круглосуточно мониторим поведение нашей облачной инфраструктуры и приложений, используя в том числе автоматизированные сценарии. Так мы быстрее обнаруживаем и пресекаем атаки в продакшене, минимизируя ущерб. Это последний рубеж обороны, который работает с реальными угрозами.
Главное — замыкание петли. Любая найденная уязвимость — не просто тикет в трекере, а точка роста для всей системы.
👉 Подробнее
Мы отказались от линейного подхода «нашел-исправил» в пользу непрерывной петли. Она не просто закрывает уязвимости, а постоянно повышает устойчивость системы в целом.
Наша петля разработки безопасного программного обеспечения (РБПО) строится на трёх ключевых точках обнаружения уязвимостей👇
1. Проактивная защита: безопасная разработка (DevSecOps)
Мы встраиваем проверки безопасности прямо в процесс разработки. Делаем это автоматически, чтобы найти и устранить стандартные уязвимости до того, как код попадет в сборку. Безопасность становится частью рутины разработчика, а не отдельной фазой.
2. Взгляд извне: программы Bug Bounty
Регулярно привлекаем независимых этичных хакеров для тестирования наших продуктов в контролируемой среде. Они помогают нам найти сложные и неочевидные уязвимости, которые не видны изнутри. Это позволяет увидеть продукт глазами злоумышленника и вскрыть логические ошибки.
3. Контроль в реальном времени: мониторинг и реагирование
Мы круглосуточно мониторим поведение нашей облачной инфраструктуры и приложений, используя в том числе автоматизированные сценарии. Так мы быстрее обнаруживаем и пресекаем атаки в продакшене, минимизируя ущерб. Это последний рубеж обороны, который работает с реальными угрозами.
Главное — замыкание петли. Любая найденная уязвимость — не просто тикет в трекере, а точка роста для всей системы.
👉 Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3⚡3
Двухфакторная аутентификация 2FA 🚀
Компании хранят в Битрикс24 много важной информации. Наша задача — защитить данные каждого пользователя, ведь риски для бизнеса становятся серьезнее:
✍️ Хакеры все чаще используют искусственный интеллект, чтобы атаковать организации.
✍️ Требования к тому, как компании хранят и обрабатывают персональные данные, стали строже.
Второй фактор входа — мобильное приложение. Злоумышленники не смогут проникнуть в систему, даже если узнают или подберут пароль. Для взлома им понадобится доступ к приложению.
Все обновления пользователи Битрикс24 будут получать последовательно. Ожидайте анонса .
Как вам новость? 🔥
Компании хранят в Битрикс24 много важной информации. Наша задача — защитить данные каждого пользователя, ведь риски для бизнеса становятся серьезнее:
В новом Битрикс24 двойная аутентификация становится обязательной для всех пользователей. Это мировой стандарт безопасности, который защищает от утечек данных.
Второй фактор входа — мобильное приложение. Злоумышленники не смогут проникнуть в систему, даже если узнают или подберут пароль. Для взлома им понадобится доступ к приложению.
Как вам новость? 🔥
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍14😱8🤔7⚡6
Почему MCP полезен для безопасного взаимодействия с ИИ-моделью? 🤖
Использование новых решений часто сопряжено с рисками информационной безопасности. В настоящее время уже определились популярные способы компрометации практических реализаций протокола.
Это позволяет внедрить основные меры противодействия атакам:
✍️ настроить структуру запросов, входных данных и их источников;
✍️ реализовать идентификацию и контроль пользовательского, служебного и автоматизированного ввода, разделение данных и команд;
✍️ обеспечить экранирование ввода (в том числе вызванного самой моделью) и проверку его содержимого на предмет зловредного кода или инструкций;
✍️ настроить ограничения к выводу модели и проверку его содержимого на предмет возможного негативного воздействия на адресата.
✍️ изолировать инструменты по зонам доступа за счет связей один ко одному для каждого MCP-сервера и источника данных/инструмента;
✍️ строго настроить потоки данных и сценарии взаимодействия узлов;
✍️ валидировать внешние подключения;
✍️ логировать события безопасности
👉Подробно рассказали, на что обратить внимание при встраивании MCP-компонентов в ландшафт систем искусственного интеллекта.
Использование новых решений часто сопряжено с рисками информационной безопасности. В настоящее время уже определились популярные способы компрометации практических реализаций протокола.
В MCP-конфигурации потоки данных унифицируются и проксируются, обеспечивая возможность встраивания защитных механизмов. Это разделяет ответственность: одни серверы предоставляют инструменты взаимодействия, другие ресурсы и данные, третьи LLM сервисы, а пользователи (агенты) используют их через единый стандартизированный интерфейс.
Это позволяет внедрить основные меры противодействия атакам:
Кроме того, MCP-архитектура позволяет:
👉Подробно рассказали, на что обратить внимание при встраивании MCP-компонентов в ландшафт систем искусственного интеллекта.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤4🔥2
Каждый пятый сотрудник передает конфиденциальные данные нейросетям 📲
Наше совместное исследование с «Русской школой управления» показало: 23% компаний уже сталкивались с тем, что сотрудники делились конфиденциальной информацией с чат-ботами. В 16% случаев это происходило однократно, в 7% — несколько раз.
Что передают сотрудники?
15% опрошенных признались, что регулярно отправляют в чат-боты пароли и важные файлы. При этом почти половина сотрудников использует для рабочих задач общедоступные мессенджеры вместо защищенных корпоративных каналов.
Почему это опасно?
Любая информация, отправленная в чат-бот, попадает на сторонние серверы и может быть использована для обучения следующих версий ИИ-моделей. Это утечка данных, даже если кажется, что «ваши секреты никому не интересны».
Что делать?
70% компаний считают утечки данных основной угрозой безопасности. Чтобы работа с нейросетями приносила пользу и не создавала риски, мы рекомендуем👇
🔵 Внедрить регламенты использования нейросетей;
🔵 Проводить обучение по кибербезопасности;
🔵 Использовать защищенные корпоративные инструменты.
🔜 Больше об исследовании рассказываем по ссылке.
Наше совместное исследование с «Русской школой управления» показало: 23% компаний уже сталкивались с тем, что сотрудники делились конфиденциальной информацией с чат-ботами. В 16% случаев это происходило однократно, в 7% — несколько раз.
Что передают сотрудники?
15% опрошенных признались, что регулярно отправляют в чат-боты пароли и важные файлы. При этом почти половина сотрудников использует для рабочих задач общедоступные мессенджеры вместо защищенных корпоративных каналов.
Почему это опасно?
Любая информация, отправленная в чат-бот, попадает на сторонние серверы и может быть использована для обучения следующих версий ИИ-моделей. Это утечка данных, даже если кажется, что «ваши секреты никому не интересны».
Что делать?
70% компаний считают утечки данных основной угрозой безопасности. Чтобы работа с нейросетями приносила пользу и не создавала риски, мы рекомендуем
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4⚡3😱3❤2
А вы передаете конфиденциальные данные нейросетям?
Anonymous Poll
54%
Не передаю — строго слежу за корпоративной безопасностью
37%
Иногда делюсь несекретной информацией — для решения рабочих задач
1%
Передаю файлы и данные — но только в защищенные корпоративные чат-боты
9%
Делился конфиденциальной информацией — загружал ее в публичные нейросети
🤔5👌3
Мы запустили публичную программу для поиска уязвимостей на Standoff Bug Bounty ⚡️
📲Ранее партнерство осуществлялось в приватном режиме. В рамках новой публичной программы исследователям предлагается проверить защищенность облачного портала Битрикс24, в том числе уникальный домен, который можно зарегистрировать специально для тестирования.
👉Подробнее
📲Ранее партнерство осуществлялось в приватном режиме. В рамках новой публичной программы исследователям предлагается проверить защищенность облачного портала Битрикс24, в том числе уникальный домен, который можно зарегистрировать специально для тестирования.
Обеспечение максимального уровня безопасности для наших клиентов — ключевой приоритет «1С-Битрикс». Мы используем комплексный подход, который включает как собственные защитные механизмы, так и регулярные независимые аудиты.
Убедившись в высокой эффективности Bug Bounty в рамках приватного партнерства, мы приняли решение о запуске публичной программы. Это позволит привлечь к тестированию безопасности еще больше талантливых исследователей.
Таким образом, мы проактивно работаем над устранением потенциальных рисков, чтобы быть уверенными в надежности наших решений. Роман Стрельников, Руководитель направления по информационной безопасности «1С-Битрикс».
👉Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13⚡5❤4👍3
Что делать, если вам звонят неизвестные компании?
✅ Уточните, кто звонит. Спросите у звонящего, откуда у него ваш номер и как называется компания. Часто в ответ прямо говорят, что используют сторонние сервисы.
✅ Сохраните информацию о звонке. Запишите номер, включите запись разговора, если есть возможность. Эти данные помогут нам разобраться в ситуации.
✅ Передайте нам данные. Заполните форму — это поможет отследить источник нежелательных звонков и защитить вас и других клиентов. Если окажется, что звонок поступил от партнера Битрикс24, мы проведем проверку и примем необходимые меры.
Чтобы избежать звонков от посторонних компаний:
✅ Проверяйте соглашения на обработку персональных данных.
✅ При подключении услуг связи, интернета и онлайн-сервисов обращайте внимание, разрешаете ли вы передачу данных третьим лицам в рекламных целях.
✅ Будьте внимательны при установке программ и расширений браузера. Не соглашайтесь на сбор данных о том, какие сайты вы посещаете и какими сервисами пользуетесь.
👉Подробнее
Если после посещения сайта Битрикс24 или сайта нашего партнера вам позвонили из незнакомой компании, и вы уверены, что не оставляли заявку на их сайте и не давали разрешение связаться с вами, выполните несколько шагов. Это поможет нам оперативно разобраться в ситуации.
Чтобы избежать звонков от посторонних компаний:
👉Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6❤2👌2