🪰Подмена «на лету»

Написали с коллегой статью про динамическое маскирование. 💱

Тезисы:
❤️ Сценарии применения динамического маскирования (почему Егор и Burpa - это одно и то же)
❤️ Честное сравнение инструментов д. маскирования: встроенных средств в СУБД, в ИС
❤️ Реализация MVP динамического маскирования в Гарда DBF

➡️ ЧИТАТЬ СТАТЬЮ

#статья #маскирование

С чего начать вообще защиту данных, а главное как это оценить?

Ассоциация больших данных разработала целый отраслевой стандарт защиты данных, где подробно описала:
🟢порядок оценки
🟢критерии зрелости выстроенных процессов операторов персональных данных по защите информации.

В основе документа – принципы и механизмы для надёжного хранения и защиты данных.

Для примера:
⛔️ Если Моделирование угроз безопасности информации не
осуществляется, то начисляется 🅾️ баллов.
✔️ Разработана и утверждена руководством организации модель угроз безопасности информации, то начисляется 1️⃣балл.

Прекрасная инициатива! 📈

А сколько баллов у вас?

#ассоциациябольшихданных #данныеподзащитой

▶️ Завтра на ежегодной конференции «Сохранить ВСЁ» в технотреке буду рассказывать про реалистичные датасеты для ML.

✔️Почему MLSecOps набирает обороты?
✔️ Почему нельзя обучать ML на реальных данных?
✔️ Что важно для формирования реалистичного датасета?

Об этом и многом другом поговорим уже завтра! 🔜

#ML #MLSECOPS

Хорошим кодом вымощена дорога к утечкам 😇😡

👈 В Мираторге стал доступен «пробив клиентов» по базе лояльности. Вбив номер телефона, можно узнать ФИО пользователя и состояние его счёта.

Изначально сервис предполагал проверку своей карты лояльности, а что кто-то может пробить чужой номер, оказалось сюрпризом. 😱

Вообще, при проектировании приложений, помимо решения поставленной задачи, всегда нужно прорабатывать различные сценарии эксплуатации этой функциональности.

Видимо, здесь такого процесса нет. 🕷

#уязвимость #пробив

На GIS DAYS в Москве я рассказывал всякое про обезличивание ⚫️ (презентации уже выложили), в том числе и про преимущества и недостатки различных инструментов.✏️
Картинки на эту тему как раз из презентации.

#обезличивание #GISDAYS2025

Смерть Звезды: Как CISO в Империи Спасли бы Галактику (или Сделали бы Сагу Скучной), часть I ⭐️

Недавно пересмотрел сагу Звездных войн и могу точно сказать, что если бы у Галактической Империи был хоть один вменяемый CISO (Chief Information Security Officer), Люк Скайуокер и компания могли бы пойти разве что пообедать.

Вот мой анализ главных кибер-ляпов, из-за которых Звезда Смерти стала легкой мишенью, а Дарту Вейдеру пришлось грустить:
1. "Анти-спуфинг для нейросетей": Не дай себя "загипнотизировать" 🧠
Проблема: Оби-Ван Кеноби просто машет рукой и обманывает штурмовиков, пропуская Люка в Мос-Айсли. Это классический спуфинг в чистом виде — подмена личности или намерения. Имперские солдаты — самое слабое звено, как и сотрудники в любой реальной компании!
🟢Решение: Вы строите планеты-убийцы, но не можете разработать элементарный "Анти-спуфинг для нейронных сетей"? Это, по сути, продвинутый, двухфакторный психо-контроль. Должна быть система, которая приказывает штурмовику: "Прежде чем выполнять странный приказ, требующий отпустить дроидов, назови мне свое кодовое слово и любимый цвет Императора, а затем сделай три приседания." Прошел проверку? ОК. Нет? Тревога!
2. Сетевая Сегментация? Не, Не Слышали! 😀
Проблема: Прибыв на Звезду Смерти, герои тут же подключаются к компьютеру и получают доступ ко всей Имперской сети. R2-D2 с места кричит: "Я могу получить доступ ко всей Имперской сети!"
🟢Решение: Это что, домашний Wi-Fi? Любой джуниор по кибербезопасности знает: сеть нужно сегментировать! У вас должна быть отдельная, изолированная подсеть для:
➡️Систем Управления Оружием (УЗС — Управление Звездой Смерти).
➡️Тюремного Блока.
➡️ Бухгалтерии (зарплаты штурмовиков).
➡️ Гостевой Сети (для незваных гостей).
Если кто-то залез в тюремный блок, он не должен иметь возможности отключить силовой луч. Это база, господа.

А ещё больше советов для Империи в последующих постах. Так что, товарищи ситхи, клоны и джедаи, подписывайтесь! ✍️

#звезднаябезопасность
#кибербез_в_кино

✈️Отпуск 🧳

Друзья, кибербез неразрывно связан с киберпанком. 🌃

Все эти неоновые вывески, высоченные здания, зашкаливающая плотность и ощущение, что корпорации правят миром.
И вот, я здесь — в месте, которое послужило главным визуальным концептом для жанра, включая такие шедевры, как «Бегущий по лезвию» и «Нейромант»! 🗿

Где же я?
Пишите ваши варианты в комментариях! 👀

#отпуск #киберпанк #кибербез
#зарубежная_безопасность

Ответ: Япония 🇯🇵

Япония является, пожалуй, самым ключевым источником вдохновения для классического киберпанка.

❓Причина: В 80-е годы, когда жанр киберпанка только зарождался (Уильям Гибсон, «Нейромант»), Япония была лидером в области высоких технологий, робототехники и электроники. Это идеально соответствовало «высоким технологиям» в концепции жанра. 😀

Визуал
🌐Неоновые вывески: Плотность неоновой рекламы на многоэтажных зданиях, особенно в районах вроде Сибуя или Синдзюку (Токио), создала образ вечного ночного города, залитого коммерческим светом.
🔌 Переплетение проводов: Хотя сейчас это менее заметно, старые кварталы с запутанными проводами, свисающими между зданиями, стали символом «низкого уровня жизни» и хаоса.
🐈Аниме и Манга: Японская анимация («Акира», «Призрак в доспехах») закрепила этот визуальный ряд, добавив к нему киборгов, мегакорпорации и антиутопический дизайн.

Буду делиться с вами наблюдениями и фотографиями! 🧐

#киберпанк #киберяпония
#зарубежная_безопасность

🔔🔔🔔🔔🔔🔔Я подделал сообщение в тг, и никто не сможет его отличить от оригинала

В самом начале у меня была идея написать пост лишь о том, что можно одной ссылкой прикрыть другую (штатный функционал Telegram), но в последствии я открыл ящик Пандоры. ⚰️

Так и родилась статья ниже! 🏠

❗️ЧИТАТЬ СТАТЬЮ

#небагафича #telegram #социальнаяинженерия #мошенники

☄️ Выложили мое выступление на GIS DAYS «Обезличить нельзя отправить».

Рассказал про обезличивание как про процесс, а не про продукт. 🫦

➡️ СМОТРЕТЬ ДОКЛАД

#GISDAYS #обезличивание

❌ Запрет на использование банкоматов в Японии

В Осаке существует запрет на одновременное использование мобильного телефона и банкомата для лиц старше 65 лет. 👴👵

⛳️ Цель — борьба с телефонным мошенничеством, при котором преступники по телефону инструктируют жертву совершить денежный перевод через банкомат.

Как это работает?
🟢Финансовые учреждения, владеющие банкоматами, обязаны вывешивать предупреждающие плакаты и объявления о данном запрете.
🟢Закон призывает финансовые организации внедрять технологии (например, камеры с ИИ), способные автоматически обнаруживать пожилых людей, разговаривающих по мобильному телефону во время использования банкомата.

⚠️ Отсутствие Штрафов
В отличие от типичных законов, штрафы за нарушение запрета для пожилых людей не предусмотрены. Эта мера носит в первую очередь предупредительный и социальный характер — цель состоит в том, чтобы сделать такое поведение «социально неприемлемым» (подобно разговору по телефону в поезде).

➕Дополнительные Меры Постановление также включает требование к операторам банкоматов установить лимит на денежные переводы для лиц старше 70 лет (например, 100 000 иен в день), чтобы уменьшить потенциальный ущерб.

Информирование в моменте может спасти ваши средства! 👍

#мошенничество #борьба_с_мошеннисеством #япония #безопаснаяяпония
#зарубежная_безопасность

⚡️ С корабля на бал!

Друзья, 12 ноября участвую в антипленарном заседании в рамках конференции «Совершенно безопасно 3.0».

❓ В 15:15 обсудим, как встроить ИБ в уже имеющийся бизнес-процесс без болей для бизнеса.

Приходите! 🔝

#кибербез #синергия

🛡 Задача: построить дом или сотворить жильё?

Информационная безопасность в теории - стройная система, но на практике...

Как это работает в теории (Идеальный мир ИБ):
📈Оценка рисков и Модель угроз. Определяем, что для нас самое ценное и что может нанести максимальный ущерб (утечка данных, простой сервисов и т.д.).
📊Разработка стратегии. На основе угроз формируем комплексную стратегию: политики, регламенты, организационные и технические меры.
🔒Принцип достаточности. Выбираем конкретные решения, которые закрывают самые критичные риски, а не "самые модные" на рынке. Акцент на людей (обучение!) и процессы.
🔼Мониторинг и адаптация. ИБ — это не статично. Постоянно отслеживаем инциденты, тестируем систему (пентесты, bugbounty) и адаптируемся к новым угрозам.

Как это работает на практике (Реальный мир ИБ):
💡Реакция на инцидент или регуляторику. «Нужно срочно купить вот это, потому что нас оштрафовали/сосед купил/начальник сказал.»
🛍Выбор «по красоте». Решения выбираются не по модели угроз, а по красивой презентации, известности бренда или давлению вендора/интегратора.
🔽«Лоскутное одеяло». Вместо единой системы — набор разрозненных, плохо интегрированных продуктов, которые не общаются друг с другом.
❗️Пробелы в процессах. Куплено дорогое ПО, но нет людей и процессов для его эффективного использования.

👉 Вывод:
Важно помнить, что ИБ — это 70% процессов и людей, и только 30% технологий. Не позволяйте рынку диктовать вам, что покупать. Начинайте с Модели угроз!

Вы строите дом, чтобы в нём жить, а инфобез, чтобы защищаться.
Как говорили умные мира сего: «Быть, а не казаться». 😎

#ИнформационнаяБезопасность #Кибербезопасность #ИБ #Вендоры #МодельУгроз #ИТ #Бизнес