[Перевод] Информация с нулевым доверием

Недавно Google перевела всех своих сотрудников в Северной Америке на удалённую работу. Это было одной из мер по ограничению распространения SARS-CoV-2, вируса, который вызывает заболевание COVID-19. Это подходящее решение для любой компании, которая может на это пойти. Более того, Google и ряд...

Все блоги / Про интернет

Обзор книги «Securing the Perimeter: Deploying Identity and Access Management with Free Open Source Software»

Сегодня мы хотим поделиться литературной находкой, напрямую относящейся к нашей предметной области. Тема Identity and Access Management на данный момент является достаточно закрытой, что создает проблемы для нас, в первую очередь, с подбором высококвалифицированных специалистов от ведущего...

Все блоги / Про интернет

Современные стандарты идентификации: OAuth 2.0, OpenID Connect, WebAuthn

Пускать или не пускать? Вот в чем вопрос… Сейчас на многих сайтах мы видим возможность зарегистрироваться или войти с помощью соцсетей, а некоторые сайты предлагают использовать внешние ключи безопасности или отпечатки пальцев. Что это? Стандарты с хорошо проработанной безопасностью или...

Все блоги / Про интернет

Контроль доступа как услуга: облачное видеонаблюдение в СКУД

Контроль доступа в помещения всегда был самой консервативной частью отрасли безопасности. Долгие годы вневедомственная охрана, вахтёры и сторожа оставались единственным (и, прямо скажем, не всегда надёжным) барьером на пути криминала. С развитием технологий облачного видеонаблюдения системы...

Все блоги / Про интернет

[Перевод] LDAP-«аутентификация» — это антипаттерн

Сегодня в любой организации есть LDAP-каталог, наполненный пользователями этой организации. Если присмотреться, вы найдете одно или несколько приложений, которые используют этот же каталог для «аутентификации». И кавычки здесь неспроста, ведь LDAP — это протокол доступа к каталогам,...

Все блоги / Про интернет

[Из песочницы] Как мы антифрод систему в четыре руки и три головы писали

Статья про создание inhouse-решения для обнаружения и предотвращения мошеннических операций проводимых в интернет-банкинге одного маленького, но очень гордого банка в Татарстане. Из статьи узнаете о том зачем и кому нужен антифрод, почему внутренняя разработка оказалась дешевле покупки готового...

Все блоги / Про интернет

Как посчитать «похожесть» номеров в паспортах. И найти одинаковые даже с опечатками

Продукты HFLabs ищут дублированных клиентов в базах федеральных компаний. Очевиднейший способ найти одинаковые клиентские карточки — сравнить паспорта или другие документы, удостоверяющие личность. Раньше мы сравнивали номера документов строго: одинаковые — отлично, нет — извините. На ручной разбор...

Все блоги / Про интернет

Мандатная модель управления доступом (MAC): обзор и применение в прикладных системах

Мандатная модель управления доступом (Mandatory Access Control, MAC) — способ разграничения доступа с фиксированным набором полномочий. Обычно настоящий MAC используется в системах с повышенным требованиями к безопасности и стоит на службе всевозможных силовых ведомств и организаций, связанных с...

Все блоги / Про интернет

Никто (почти) не знает, что такое авторизация

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или,...

Все блоги / Про интернет

[Из песочницы] Анализ данных блокчейн-госолования 2019 года в Московскую Городскую Думу

Анализ данных блокчейн-голосования 2019 года в Московскую Городскую Думу Мне посчастливилось участвовать в написании доклада, посвященного блокчейн-голосованию в МГД 2019 года в составе команды Романа Юнемана, и в этой статье я подробно расскажу о части связанной с анализом данных. Несколько слов...

Все блоги / Про интернет

Применение режима шифрования SL3 карт MIfare на примере одной компании

Здравствуйте, меня зовут Андрей и я сотрудник одной крупнейшей в стране управляющей компании. Казалось бы, что может рассказать сотрудник на хабре? Эксплуатируй себе здания, которые построил застройщик и ничего интересного, но это не так. Есть у УК одна важная и ответственная функция в роли...

Все блоги / Про интернет

Passive DNS в руках аналитика

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным...

Все блоги / Про интернет

Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак),...

Все блоги / Про интернет

[Перевод] Безопасность обновления программного обеспечения

От переводчика: я наткнулся на TheUpdateFramework при поиске библиотек, реализующих автоматическое обновление ПО на десктопе. С одной стороны, мне показалось интересным и обстоятельным представленное ниже описание аспектов безопасности систем обновления ПО; с другой — наверняка помимо академических...

Все блоги / Про интернет

Глубины SIEM: экспертиза. Чьи правила корреляции лучше

Многие из тех, кто сталкивался с SIEM, знакомы с разработкой правил корреляции. Производители SIEM-решений, коммерческие SOC, интеграторы — все предлагают свои правила и утверждают, что они лучше других. Так ли это на самом деле? Как выбрать поставщика правил? Что такое экспертиза в SIEM?...

Все блоги / Про интернет

[Из песочницы] История небольшого исследования легаси-кода

Хорошо, когда в команде есть кто-то более опытный, кто покажет что и как надо делать, какие грабли и за каким углом подстерегают, и где скачать лучшие чертежи велосипедов за 2007 год на DVD. Эта история о том, как желаемое было выдано за действительное, что получилось в результате, и как был...

Все блоги / Про интернет

[recovery mode] А нужны ли чиновники? Идея социального краудфандинга

Привыкла за века наша власть широко черпать русский народ, да плескаться им горстями — а вот будет ли завтра, откуда зачерпнуть? Пелевин В. "Зенитные кодексы Аль-Эфесби" Нужны ли налоги и чиновники? Оправдывает ли себя раздувшийся бюрократический аппарат? Моя попытка ответа на вопрос — под катом....

Все блоги / Про интернет

Цифровой страж Key_P1: история создания и первые результаты

В последнее время регулярно появляются сообщения об утечках информации. В данной статье хотелось поделиться опытом создания устройства в сфере информационной безопасности. 1. История создания В конце 2013 года в компании Мультиклет появились идеи о движении вперёд и производстве не только...

Все блоги / Про интернет