Веб-безопасность

Образы киберпанка искажают информационную безопасность

от
scale 1200

Как происходит взлом систем на практике Сценарий с единственным специалистом, мгновенно обходящим защиту крупной сети, не отражает реальность. Атака на инфраструктуру делится на этапы: Каждый этап требует специализированной квалификации и оставляет следы в логах систем обнаружения. Графические схемы сетей в популярных материалах скрывают протоколы взаимодействия, записи трафика и временные метки событий. Реальная картина атаки складывается … Читать далее

Технологический долг в информационной безопасности

от
scale 1200

В компании из пятидесяти человек один администратор управляет всем. У него доступ ко всем системам под одной учётной записью. Руководитель знает об этом, но не видит проблемы. Скорость важнее политик, риски кажутся теоретическими. Компания растёт до двухсот человек. Появляется отдел продаж. Администратор создаёт учётную запись sales_admin с правами на CRM и передаёт пароль всему отделу. … Читать далее

Почему обучение сотрудников фишингу не работает?

от

Современный фишинг перестал быть примитивными письмами с ошибками и неуклюжими попытками обмана. Компании столкнулись с качественно новым уровнем угроз, против которого традиционные методы защиты, особенно обучение сотрудников, оказываются беспомощными. На первый взгляд, логичное решение регулярно тренировать персонал, выявлять слабые места через симуляции атак. Реальность показывает, что такой подход не только неэффективен, но и контрпродуктивен. Сегодняшние … Читать далее

Уязвимые API и их защита

от

«Интерфейс прикладного программирования, это не просто технический протокол, а доверенный контракт между системами. Нарушение его условий открывает доступ не к интерфейсу, а к самой сути бизнес-логики и данным. Основная ошибка — переносить подходы к тестированию веб-форм на API, игнорируя их распределённую природу и скрытые векторы атак.» Незащищённые API: полное руководство по безопасности Современная цифровая инфраструктура … Читать далее

SAST и DAST: как выбрать подходящий метод тестирования безопасности

от

«Если у вас нет проблемы — решения не нужны. Но когда вы пытаетесь запустить код, который уже написан, вопрос ‘как его проверить?’ становится главным. SAST и DAST — два разных ответа, которые часто путают или используют неправильно. Разберёмся, зачем они нужны и как выбрать.» Откуда взялись SAST и DAST и что они на самом деле … Читать далее

Как стать пентестером в России без профильного образования

от

“Профильное образование, это опция, а не требование. В пентестинге ценят не дипломы, а способность видеть уязвимости там, где их не ждали и понимать, как их использовать.” Что такое пентестинг и что вам понадобится Пентестинг, или тестирование на проникновение, это симуляция атаки на информационную систему с целью выявления реальных уязвимостей до того, как это сделают злоумышленники. … Читать далее

Самохостинг вместо Google: какие сервисы можно заменить сейчас

от

Зависимость от облачных сервисов вроде Google выходит за рамки удобства, это вопрос контроля данных и их жизненного цикла. Передача данных в корпоративное облако означает согласие с условиями, которые могут измениться в любой момент. Зависимость формируется не только на уровне доступа к почте или документам, но и на уровне экосистемы: чат, планирование, хранение файлов начинают работать … Читать далее

Откуда берутся уязвимости при разработке приложений и почему их дорого исправлять

от
scale 1200

Приложение запущено. Пользователи оформляют заказы, переводят деньги, бронируют услуги. Через месяц звонок от клиента. Деньги списались дважды. Еще через неделю в личном кабинете отображаются чужие данные. Потом приходит письмо от регулятора с требованием отчитаться после утечки. Тестировали же перед запуском. Всё проверяли. Работало. Тестирование функционала и безопасность разные задачи Тестировщик подтверждает, что функция работает. Товар … Читать далее

Фундаментальная проблема безопасности веб-браузеров

от

«Если вы посмотрите на браузер как на доверенный посредник между вами и всем интернетом, то вопрос о его фундаментальной безопасности, это вопрос о том, насколько доверенным он может быть при такой сложности. Ответ — не очень.» Две несовместимые задачи: безопасность против универсальности Современный веб-браузер, это не просто программа для чтения HTML. Это исполняемая среда, объединяющая … Читать далее

Что такое упорство в информационной безопасности

от

«Упорство, это не просто технический приём атаки, это философия противника, который перестаёт быть гостем и становится постоянным жильцом. Он не просто крадёт ключи, он меняет замки, оставляет своих людей в охране, а иногда и подменяет фундамент здания, чтобы вернуться в любой момент — даже если все двери будут заперты.» Упорство: суть и цель В контексте … Читать далее