Всё о новых штрафах за утечки данных. Сколько светит и как защитить своё приложение

На этой неделе Госдума ужесточила ответственность за нарушения в работе с данными — для компаний штрафы вырастут до 3% от выручки или до 500 миллионов рублей. По оценке нововведения затронут каждую третью компанию в стране. Поэтому сегодня совместно с лидом Android-разработки Surf Алексеем Рябковым...

Все блоги / Про интернет

Как показать руководству, что есть проблемы в информационной безопасности?

Перед началом статьи немного цифр: 61% рос­сий­ских ком­па­ний не имеют ком­плексной стра­тегии ки­бер­бе­зопас­нос­ти. 48% российских компаний принимают решения без учета рисков информационной безопасности (данный процент меняется в зависимости от отрасли). Более 70 % российских компаний не...

Все блоги / Про интернет

Как мы вели переговоры с хакерами или сколько стоит беспечность для компании

Сегодня мы расскажем реальную историю из жизни собственников бизнеса. И хотя ее сюжет напоминает какой‑то голливудский фильм, произойти она может с каждым, кто заявляет: «Да у нас маленькая компания! Кому мы нужны?» Есть у нас заказчик — выполняем работы по сопровождению сайта. Когда только начали...

Все блоги / Про интернет

Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений

Привет, Хабр! Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO наше все! И будут правы,...

Все блоги / Про интернет

ИБ-аудит в финансовых организациях: что надо знать, чтобы не провалить или не затянуть

Привет! На связи Департамент консалтинга и аудита информационной безопасности Бастион. Не ожидали? А мы вот решили написать пост, потому что есть желание поделиться полезной информацией. Дело в том, что иногда мы выступаем в качестве внешних ИБ-аудиторов различных организаций, в том числе...

Все блоги / Про интернет

Active Directory глазами Impacket

При аудите Windows-инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным или умолчательным) инструментом, конечно же, является, PowerShell. Но так уж сложилось, что использовать последний из-под Linux – не...

Все блоги / Про интернет

[recovery mode] Ежедневно страдает более 2.5 тысяч сайтов, но именно вас ведь не коснется?

Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт - не того масштаба для таких проблем? А ведь времена немного изменились – и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим. На связи Михаил TutMee, и сегодня у...

Все блоги / Про интернет

Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО. В работе я нередко сталкиваюсь с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft...

Все блоги / Про интернет

Не время витать в “облаках”

В нашем новом блоге речь пойдет про распространенные ошибки пользователей публичных облаков — мы подробно поговорим о публичных бакетах и репозиториях пользователей и покажем как и почему эти недостатки стоит устранять. Мы надеемся, что он поможет компаниям лучше понимать логику действий атакующих...

Все блоги / Про интернет

Побег из песочницы и захват леса — реальный сценарий взлома корпоративной сети

Пришло время рассказать о еще одном векторе атаки на внутренние сети компании. На этот раз речь пойдет о ситуации, в которой у меня не было прямого доступа к компьютеру, а хосты оказались неуязвимы к популярным атакам. И все же несколько мелких ошибок администраторов привели к тому, что защита...

Все блоги / Про интернет

SimpleX – первый мессенджер без идентификаторов пользователей

Сегодня рассказываем про анонимный мессенджер SimpleX, который написан на Haskell и позволяет, в том числе, использовать сеть Tor для общения. ​​SimpleX – не только один из немногих мессенджеров, который не собирает данные пользователей, но и единственный на сегодняшний день мессенджер, который не...

Все блоги / Нетбуки и Планшеты

Что мы используем для анализа Android-приложений

В этой статье расскажем про инструментарий для анализа мобильных приложений, который мы используем каждый день. Для начала поговорим про то, как запускать мобильные приложения, чем смотреть трафик, и рассмотрим инструменты для статического и динамического анализа мобильного приложения. Читать далее...

Все блоги / Про интернет

[Перевод] Что я узнал за пять лет проведения аудитов кода

Когда я работал в PKC, моя команда вела около тридцати аудитов кода. Многие из них предназначались для стартапов, которые вышли на серию А или B – именно на этом этапе основатели обычно обзаводились деньгами, отвлекались от тотальной сосредоточенности на выходе на рынок и осознавали, что неплохо бы...

Все блоги / Про интернет

Основы безопасности 3CX. Часть 2

Здравствуйте! Это вторая статья о безопасности 3CX. Как обещали, в ней мы поговорим о лучших практиках обеспечения безопасности 3CX. Начнем без предисловий, пройдясь по основным разделам интерфейса, на которые нужно обратить внимание. Далее...

Все блоги / Про интернет

Как работают безопасники: обследование промышленной инфраструктуры

Защита критической инфраструктуры — скучная бумажная безопасность, офисная работа. Это распространенный стереотип, который верен лишь отчасти. Перед подготовкой документов инфраструктуру обследуют. И все бы ничего, но иногда предприятие находится где-нибудь между Сургутом и Нижневартовском. Бастион...

Все блоги / Про интернет

Пентест VS Аудит безопасности

Мы часто сталкиваемся с ситуациями, когда заказчик (а часто бывает что и специалист по ИБ) не понимают разницы между тестированием на проникновение и аудитом ИБ. Поэтому сегодня мы поделимся своим опытом в области пентестов и аудитов безопасности. Также рассмотрим отличия между двумя понятиями....

Все блоги / Про интернет

Захватываем сеть через сервер централизованного управления и защищаемся от таких атак

Привет, меня зовут Дмитрий, в команде Бастион я отвечаю за этап внутреннего тестирования на проникновение. Сегодня на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу...

Все блоги / Про интернет

«Кража» со взломом: пентест финансовой организации

В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных. Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе...

Все блоги / Про интернет

Назад