Плагины для системы анализа DRAKVUF. Как обнаруживать вредоносные техники с помощью rpcmon
Чтение файла, запись в реестр, создание нового процесса — вот примеры событий, обработка которых задействует ядро операционной системы. Практика показывает, что большинство интересных операций в ОС стабильно обнаруживается отслеживанием системных вызовов. Большинство, но не все. Не так давно мы...
Соблюдай технику безопасности
Все наши приложения так или иначе могут быть подвержены уязвимостям. Это, в свою очередь, может привести к финансовым потерям и спровоцировать утечку данных клиентов. Зачем и от чего защищаться? Какие инструменты для этого существуют, в том числе Open Source? Что такое Secure Software Development...
Оценочный уровень доверия (ОУД4) и ГОСТ Р ИСО/МЭК 15408-3-2013. Введение
Привет, Хабр! В настоящее время в ИТ индустрии крайне актуальна тема построения процесса безопасной разработки ПО (по англ. «Secure SDLC» или «Secure software development life cycle»). Некоторые организации и команды самостоятельно приходят к необходимости такого процесса в своих продуктах,...
DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер
Привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально наш отдел называют DevOps-отделом, мы занимаемся автоматизацией различных процессов и помогаем разработчикам и тестировщикам в нашей компании. Я и мой коллега Дима Рагулин...
Как искать драйв в рутине и работать продуктивнее — рассказывает Head of Mobile Додо Пиццы
Михаил Рубанов рассказал о том, как развивать личную продуктивность, искать драйв в рутине и зачем IOS-разработчику блог на Хабре. На рынке полно крутых разработчиков, и они постоянно растут. Если ты хочешь догнать и обогнать, то ты должен найти, в чём ускориться, что выделит лично тебя, куда не...
[Перевод] Как использовать простую утилиту для поиска уязвимостей в программном коде
Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки. Источник: Unsplash (Markus Spiske) Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много...
Прокачай скиллы в DevSecOps: 5 вебинаров с теорией и практикой
Привет, Хабр! Наступила эпоха онлайн-мероприятий, и мы не стоим в стороне, тоже проводим разные вебинары и онлайн-встречи. Мы думаем, что тема DevSecOps требует отдельного внимания. Почему? Все просто: Она сейчас крайне популярна (кто еще не успел поучаствовать в холиваре на тему «Чем...
Красная таблетка Morpheus для управления облачной реальностью
Экономика стагнирует, в магазинах дефицит гречки, компании вынуждены сокращать закупки оборудования… Однако вычислительные мощности все равно нужны. Вот он, тот самый момент, когда нужно по максимуму использовать облачные ресурсы. Мы протестировали в нашей лаборатории множество систем для...
Видеозаписи докладов онлайн-конференции Product Security Trends 2020
Привет, Хабр! Мы в Wrike TechClub решили устроить несколько онлайн-встреч по информационной безопасности. Первая из них прошла в минувший вторник и вызвала большой интерес в сообществе. Мы получили много заявок на доклады и почти 500 зарегистрировавшихся. Пришлось расширить привычный формат митапа...
Пять стадий принятия неизбежного, или Как мы разрабатывали программу для автоматизированного профайлинга
Привет, на связи Алексей Филатов (aka afilatov123). В 2017 году меня пригласили в команду «СёрчИнформ» для запуска нового программного решения. Точнее так – для наращивания возможностей флагманского продукта – DLP-системы. Рынку мало того, что софт уже умеет (предотвращать утечки информации и...
Разработка на удаленке: инсайты первого спринта
За последние пару недель разве что ленивый не посоветовал окружающим, как правильно и без потерь перейти на удалёнку. Мы не будем вам ничего советовать. А просто расскажем, как мы наладили удаленную разработку нашего ключевого продукта и к 3-му апреля уже завершили первый, полностью удаленный,...
Повышаем культуру информационной безопасности в финтех-компании
Современные компании требуют особого подхода к обеспечению информационной безопасности. Отдел ИБ перестаёт быть только надзирателем и контролёром, начинает активно разговаривать с людьми, становится полноправным участником бизнес-процессов. Читать дальше →...
[Перевод] Нормализация девиантности. Как неправильные практики становятся нормой в нашей отрасли
У вас когда-нибудь бывало такое, что вы говорите нечто совершенно нормальное для вас, но все остальные очень удивлены? Со мной такое случается постоянно, когда я описываю то, что считали нормальным в фирме, где я работал. По какой-то причине лицо собеседника постепенно переходит из приятной улыбки...
Как внедрить статический анализатор в разработку, чтобы всем было хорошо?
В процессе работы нам часто задают вопрос: как внедрить статический анализатор в разработку, чтобы всё всем было хорошо. О том, почему для безопасной разработки необходим статический анализатор, мы уже рассказывали. Эта статья будет полезна, если вы выбираете статический анализатор или уже...
Безопасность приложений, или Как внедрить security в заказную разработку. Личный опыт AGIMA
Digital-агентства все больше внимания уделяют безопасности инфраструктуры, в которой ведется разработка, а также начинают смотреть в сторону обеспечения безопасности приложений. Вы наверняка читали про разновидность и критичность уязвимостей, инструменты и методы обеспечения ИБ. Но как...
PVS-Studio как SAST решение
До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости...
Безопасность веб-приложений: борьба с самим собой, или проводим черту адекватности
Насколько безопасным должно быть приложение? Для кого-то этот вопрос не имеет смысла. "Настолько, насколько это возможно. Чем безопасней, тем лучше". Но это не исчерпывающий ответ. И он не помогает сформировать security политику в проекте. Более того, если придерживаться только этой директивы ("чем...
Как и зачем переходить от сервис-ориентированной архитектуры к микросервисам
Здравствуйте, меня зовут Алексей, я главный IT-архитектор банка «Ренессанс Кредит». Лет десять назад мы, как и многие компании, ускорили свое развитие благодаря сервис-ориентированной архитектуре (SOA). Но со временем требования к архитектуре менялись, и к данной парадигме стали возникать серьезные...