Мамкин хакер тоже может быть угрозой

Недавно мой коллега спросил у меня, а занимался ли я когда-нибудь Red Team’ингом? Я ответил, что «Да», но ничего не сказал конкретного. Вначале написания этой статьи я бы хотел упомянуть, что всё, что вы увидите далее – не имеет призыва к действию и носит только ознакомительный характер. Любая...

Все блоги / Про интернет

Не дата-центром единым

Ты — эксперт по ИБ и аудитор, специализирующийся на защите персональных данных. Твоя задача — задать правильные вопросы безопасникам компании N, чтобы проверка была исчерпывающей и адекватной. Приступим...

Все блоги / Про интернет

Я сам устрою себе аудит, с ЦОДами и БД

РСХБ уже какое-то время рассказывает о себе на Хабре. О платформе «Своё Фермерство», маркетплейсе «Своё Родное» и даже геймификации. Как системообразующий банк, мы обязаны системно подходить и к безопасности. Чтобы доказать свою серьёзность, приглашаем тебя устроить нам аудит ИБ. Приступим...

Все блоги / Про интернет

Коллекция в лицах: марсианские хроники российского импортозамещения

7 лет назад Россия взяла курс на импортозамещение: чтобы всё своё, отечественное, а не эти ваши забугорные решения. Вот и как в таких условиях готовить ответственные проекты? Взять хотя бы миссию на Марс — туда-то уж точно только своих набирать надо, потому что и «железо» отечественное, и говорят...

Все блоги / Про интернет

Минцифры: в ближайшее время пользователи Госуслуг получат доступ к электронным медкартам

Россиянам откроют доступ к электронной медкарте на "Госуслугах", сообщает ТАСС со ссылкой на главу Министерства связи и массовых коммуникаций России Максута Шадаева. Также в России планируют внедрить сервисы телемедицины и такие новые технологии, как датчики постоянного мониторинга состояния...

Все блоги / Про интернет

Сетевая пирамида изнутри при помощи Trello

Недавненько была информация о том, что поисковики просканировали открытые страницы в Trello. Логично, что многие начали искать там номера банковских карт, пароли. Как это делать? Вот...

Все блоги / Про интернет

Ещё один шаг в сторону open source: как и почему мы внедрили Arenadata DB

Привет, Хабр! Меня зовут Станислав Маскайкин, я архитектор аналитических систем ВТБ. Сегодня я расскажу о том, почему мы перевели нашу систему подготовки отчётности с Oracle SuperCluster на российскую Arenadata DB. Как мы выбирали решение, почему не взяли чистый опенсорс, а также о некоторых...

Все блоги / Про интернет

Нам мало CAP. Да здравствует PACELC

Если вы когда-нибудь сталкивались с распределёнными СУБД или системами обработки данных, то слышали о двух теоремах CAP и PACELC, определяющих грани возможных конфигураций этих систем. Споры об их универсальности не утихают до сих пор, однако, альтернативы, способные полностью заместить данные...

Все блоги / Про интернет

[Перевод] Обеспечение безопасности базы данных PostgreSQL

Базы данных — это Святой Грааль для хакеров, поэтому их необходимо защищать с особой тщательностью. Это первая из серии статей, в которых мы дадим обзор best practice в обеспечении безопасности баз данных. Мы начнем с одной из самых популярных СУБД с открытым исходным кодом, PostgreSQL, и...

Все блоги / Про интернет

Segregation of Duties на примере SAP 

Когда заходит речь о SoD (segregation of duties или разделении прав доступа) пользователей, то часто кажется что существует словно два мира – мир красивых презентаций о том, почему доверие в бизнесе это важно и мир реальности, где нужно конвертировать красивые слова о стратегии в реалистичную и,...

Все блоги / Про интернет

[recovery mode] Внешний ключ должен вести не на сущность, а на актуальную версию этой сущности

Ваша банковская система будет назначать клиентам более высокий процент, на основании того что они не живут по адресу, на который указывает штамп в паспорте о прописке - а реально это та же самая улица, она раньше называлась по другому. Как подобного избежать? Читать далее...

Все блоги / Про интернет

Сканер для выявления слабых паролей в СУБД

Сканеры уязвимостей есть в каждой компании, которая уделяет внимание информационной безопасности. Но далеко не каждый сканер умеет проверять пароли от локальных учетных записей в базе на стойкость. Проблема в том, что локальные учетные записи чаще всего не имеют срока действия, не проверяются на...

Все блоги / Про интернет

Обезличивание данных не гарантирует вашу полную анонимность

Есть мнение, что «обезличенная» информация, которую так любят собирать и использовать многие компании, на самом деле не защитит человека от деанонимизации, если данные вдруг утекут в сеть или будут использоваться в чьих-то интересах. Cloud4Y рассказывает, так ли это. Читать дальше →...

Все блоги / Про интернет

Как настроить Elasticsearch, чтобы не было утечек

За последний год возникало много утечек из баз Elasticsearch (вот, вот и вот). Во многих случаях в базе хранились персональные данные. Этих утечек можно было избежать, если бы после разворачивания базы администраторы потрудились проверить несколько несложных настроек. Сегодня о них и поговорим....

Все блоги / Про интернет

Китай принял свой «пакет Яровой»

В конце прошлого года китайское правительство представило новый закон о киберпезопасности, так называемую Многоуровневую схему кибебезопасности (Cybersecurity Muti-Level Protection Scheme, MLPS 2.0). Закон, вступивший в силу в декабре, фактически означает, что правительство имеет неограниченный...

Все блоги / Про интернет

Вебинары Hewlett Packard Enterprise в августе-октябре 2019 года

В ближайшие три месяца специалисты HPE проведут серию вебинаров по защите данных с помощью интеллектуальных систем, облачным системам хранения данных, обеспечению доступности данных, расширению возможностей сетей хранения, интернету вещей и не только. Зарегистрироваться и узнать подробнее о каждом...

Все блоги / Про интернет

Digital Shadows — компетентно помогает снизить цифровые риски

Возможно, Вы знаете что такое OSINT и пользовались поисковиком Shodan, или уже используете Threat Intelligence Platform для приоритизации IOC от разных фидов. Но иногда необходимо постоянно смотреть на свою компанию с внешней стороны и получать помощь в устранении выявленных инцидентов. Digital...

Все блоги / Про интернет

Утечка данных покупателей магазинов re:Store, Samsung, Sony Centre, Nike, LEGO и Street Beat

На прошлой неделе издание Коммерсантъ сообщило, что «базы клиентов Street Beat и Sony Centre оказались в открытом доступе», но на самом деле все гораздо хуже, чем написано в статье. Подробный технический разбор данной утечки я уже делал у себя в Telegram-канале, поэтому тут пробежимся только по...

Все блоги / Про интернет

Назад