Всем привет! Если верить опросу, то больше 20% из вас — студенты. Возможно, вам будет полезно посмотреть наш вчерашний тренинг для НИЯУ МИФИ.
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
YouTube
Как стать этичным хакером — тренинг для карьерного центра НИЯУ МИФИ
Запись тренинга Александра Герасимова, директора по информационной безопасности Awillix, для НИЯУ МИФИ.
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
🔥5
Инциденты с Rutube и ТВ-провайдерами: кто виноват и что делать? — Рассказали свое мнение Хайтеку.
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
Хайтек
Rutube жив или мертв? Что произошло с российским видеохостингом, которому «удалили код»
Утром 9 мая 2022 года Rutube подвергся хакерской атаке, об этом говорилось в заявлении на официальном сайте. Позже появилась информация, что в результате кибератаки код сайта оказался «полностью удален» и его не получится восстановить. «Хайтек» разбирается…
👍6
#HighLoadFoundation2022
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
👍28
Использование фреймворков, библиотек и внешних сервисов для написания, хранения, тестирования и деплоя собственного кода — существенно ускоряет процесс разработки и выхода IT-продукта на рынок. Но это добавляет множество сторонних зависимостей и связанных с ними уязвимостей.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
👍9🔥1
Как быстро определить поддомены организации
Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.
Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:
➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.
➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.
➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.
➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.
Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉
Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.
Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:
➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.
➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.
➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.
➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.
Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉
GitHub
GitHub - owasp-amass/amass: In-depth attack surface mapping and asset discovery
In-depth attack surface mapping and asset discovery - owasp-amass/amass
👍5
Переход от иностранных коммерческих сканеров кода к отечественным и свободно распространяемым
— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.
Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!
— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.
Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!
YouTube
Переход от иностранных коммерческих сканеров кода к отечественным / Александр Герасимов (Awillix)
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8969
* Есть ли достойные бесплатные DAST-решения, как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
* Сканеры безопасности docker…
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8969
* Есть ли достойные бесплатные DAST-решения, как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
* Сканеры безопасности docker…
👍7❤🔥1
Еще видео-контент.
Записали интервью для канала «Галера Морева». Я ответил на все вопросы разработчика о безопасности.
А именно:
— как перейти в ИБ если ты разработчик;
— как устроен мир кибербезопасности, как взаимодействуют команды красных и синих;
— что должны знать разработчики про кибербезопасность;
— основные принципы ИБ: целостность, доступность, конфиденциальность;
— кибербез с точки зрения пользователя и бизнеса;
— что злоумышленник может сделать с данными;
— почему всех беспокоит безопасность персональных данных;
— безопасность как процесс — из чего он состоит;
— о чем стоит думать разработчикам когда они пишут код: окружение, технические уязвимости и уязвимости в бизнес-логике;
— подходы к тестированию ПО: белый, серый, черный ящик;
— аpplication Security;
— как я делаю пентесты :)
— как происходит развитие вектора хакерской атаки;
— какие услуги и продукты существуют на рынке ИБ.
Смотреть по ссылке 👉 https://www.youtube.com/watch?v=sEJVKvMQOwQ
Записали интервью для канала «Галера Морева». Я ответил на все вопросы разработчика о безопасности.
А именно:
— как перейти в ИБ если ты разработчик;
— как устроен мир кибербезопасности, как взаимодействуют команды красных и синих;
— что должны знать разработчики про кибербезопасность;
— основные принципы ИБ: целостность, доступность, конфиденциальность;
— кибербез с точки зрения пользователя и бизнеса;
— что злоумышленник может сделать с данными;
— почему всех беспокоит безопасность персональных данных;
— безопасность как процесс — из чего он состоит;
— о чем стоит думать разработчикам когда они пишут код: окружение, технические уязвимости и уязвимости в бизнес-логике;
— подходы к тестированию ПО: белый, серый, черный ящик;
— аpplication Security;
— как я делаю пентесты :)
— как происходит развитие вектора хакерской атаки;
— какие услуги и продукты существуют на рынке ИБ.
Смотреть по ссылке 👉 https://www.youtube.com/watch?v=sEJVKvMQOwQ
👍4
Многие заказчики наших пентестов думают, что подобрать пароль из 8-12 символов, это сложно и долго. Но это заблуждение.
⠀
За последние несколько лет технологии развились настолько, что огромные вычислительные мощности стали доступными для многих. Например, если злоумышленнику удалось получить базу хешей с паролями, то для их перебора в автоматическом режиме он может использовать «ферму», такую же, как используют майнеры для добычи криптовалюты.
⠀
Недавно мы приобрели себе такую ферму для решения сложных математических задач в рамках своего продукта — Continious Vulnerability Monitoring (CVM). Ферму мы в основном используем для обучения (deep learning) нашей нейронной сети с вычислением функций максимизации через множество различных производных.
⠀
Но это не помешало нам опробовать ферму для перебора базы хешей ntds, выгруженной с домен-контроллера, в одном из текущих пентест-проектов. Скорость перебора хешей на такой ферме впечатляет — порядка 132 миллиарда хешей в секунду.
⠀
Это позволяет подобрать практически все пользовательские пароли, состоящие из слов, комбинации слов или цифр примерно за доли секунды. Использовать различные методики перебора со сложными мутациями.
⠀
Если ваш пароль состоит из нескольких слов, пусть даже самых экзотических, дополнительных букв или цифр — это не гарантия безопасности. Используйте по-настоящему сложные пароли и различные дополнительные меры защиты, например, второй фактор. Видеокарты стремительно дешевеют во всем мире. Кто знает, что использует злоумышленник против вас?
⠀
За последние несколько лет технологии развились настолько, что огромные вычислительные мощности стали доступными для многих. Например, если злоумышленнику удалось получить базу хешей с паролями, то для их перебора в автоматическом режиме он может использовать «ферму», такую же, как используют майнеры для добычи криптовалюты.
⠀
Недавно мы приобрели себе такую ферму для решения сложных математических задач в рамках своего продукта — Continious Vulnerability Monitoring (CVM). Ферму мы в основном используем для обучения (deep learning) нашей нейронной сети с вычислением функций максимизации через множество различных производных.
⠀
Но это не помешало нам опробовать ферму для перебора базы хешей ntds, выгруженной с домен-контроллера, в одном из текущих пентест-проектов. Скорость перебора хешей на такой ферме впечатляет — порядка 132 миллиарда хешей в секунду.
⠀
Это позволяет подобрать практически все пользовательские пароли, состоящие из слов, комбинации слов или цифр примерно за доли секунды. Использовать различные методики перебора со сложными мутациями.
⠀
Если ваш пароль состоит из нескольких слов, пусть даже самых экзотических, дополнительных букв или цифр — это не гарантия безопасности. Используйте по-настоящему сложные пароли и различные дополнительные меры защиты, например, второй фактор. Видеокарты стремительно дешевеют во всем мире. Кто знает, что использует злоумышленник против вас?
👍11❤🔥4
Еще один сертификат в копилку Awillix
Анастасия Худоярова — наш ведущий специалист по безопасной разработке недавно подтвердила свои навыки сертификатом CDP.
⠀
Документ отражает практический опыт внедрения и управления DevSecOps в организациях. Это независимая оценка способности внедрять безопасность, как часть DevOps, управлять уязвимостями и повышать общий уровень зрелости безопасной разработки.
⠀
Practical DevSecOps (компания Hysn Technologies Inc) — это независимые от поставщиков практические программы обучения и сертификации DevSecOps для ИТ-специалистов. Сертификаты получают после строгих тестов (12-24-часовых экзаменов) и считаются наиболее ценными в области информационной безопасности.
⠀
Мы помогаем клиентам вывести разработку на новый качественный уровень за счет внедрения проверок безопасности на каждом этапе создания продукта. Отстроить процесс по поиску уязвимостей и снижению рисков от потенциальных атак внутри команды.
⠀
Для достижения этого мы вместе с клиентом выполняем:
⠀
— Анализ приложения, выделение стека технологий, основных структурных компонентов;
– Настройку пайпланов безопасности, основываясь на стеке используемых технологий и процесса разработки в команде;
— Настройку SCA анализаторов для анализа потенциально опасных зависимостей;
— Подбор SAST, DAST анализаторов, которые будут наиболее приемлемы по функционалу. Возможны кастомные правила для анализа конкретного приложения;
— Определяем безопасную конфигурацию прод- и тест- сервера в автоматическом режиме настроим процесс безопасного деплоя приложений (IaC, CaC);
— Настраиваем процесс управления выявленными уязвимостями.
⠀
👉 подробности на сайте
Анастасия Худоярова — наш ведущий специалист по безопасной разработке недавно подтвердила свои навыки сертификатом CDP.
⠀
Документ отражает практический опыт внедрения и управления DevSecOps в организациях. Это независимая оценка способности внедрять безопасность, как часть DevOps, управлять уязвимостями и повышать общий уровень зрелости безопасной разработки.
⠀
Practical DevSecOps (компания Hysn Technologies Inc) — это независимые от поставщиков практические программы обучения и сертификации DevSecOps для ИТ-специалистов. Сертификаты получают после строгих тестов (12-24-часовых экзаменов) и считаются наиболее ценными в области информационной безопасности.
⠀
Мы помогаем клиентам вывести разработку на новый качественный уровень за счет внедрения проверок безопасности на каждом этапе создания продукта. Отстроить процесс по поиску уязвимостей и снижению рисков от потенциальных атак внутри команды.
⠀
Для достижения этого мы вместе с клиентом выполняем:
⠀
— Анализ приложения, выделение стека технологий, основных структурных компонентов;
– Настройку пайпланов безопасности, основываясь на стеке используемых технологий и процесса разработки в команде;
— Настройку SCA анализаторов для анализа потенциально опасных зависимостей;
— Подбор SAST, DAST анализаторов, которые будут наиболее приемлемы по функционалу. Возможны кастомные правила для анализа конкретного приложения;
— Определяем безопасную конфигурацию прод- и тест- сервера в автоматическом режиме настроим процесс безопасного деплоя приложений (IaC, CaC);
— Настраиваем процесс управления выявленными уязвимостями.
⠀
👉 подробности на сайте
🔥7❤🔥1👍1
Как-то раз мы задумались про Endpoint Security
Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/
Для защиты хостов в инфраструктуре мы сформировали следующие требования:
- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.
Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂
После ресерча остановились на двух кандидатах:
- Wazuh
- Vulners
Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂
Wazuh
Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:
- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.
Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.
На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.
Vulners
Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.
Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.
А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.
Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/
Для защиты хостов в инфраструктуре мы сформировали следующие требования:
- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.
Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂
После ресерча остановились на двух кандидатах:
- Wazuh
- Vulners
Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂
Wazuh
Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:
- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.
Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.
На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.
Vulners
Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.
Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.
А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.
👍10