Just Security

30 октября наши партнеры JUG Ru Group во второй раз проведут онлайн-конференцию SafeCode. Это мероприятие для всех, кто хочет писать безопасный и надежный код — разработчиков, специалистов SAST/DAST, AppSec-инженеров, security-чемпионов и тестировщиков.

В программе будут доклады о безопасности: авторизации, веба, контейнеров, ML/AI, фронтенда и других систем. Спикеры расскажут про культуру DevSecOps, инструменты пентестера, безопасную разработку и многое другое.

Среди участников конференции будут победители нашей премии Pentest award — билет на SafeCode был одним из призов.

Заходите на сайт конференции SafeCode, если хотите узнать больше подробностей.

Уже 15 октября идем на «SOC Tech киберзастава»

Участвуем в дискуссии в желтом зале про утечки. Обсудим почему сначала все грешат на сотрудников? Так ли они виноваты или все же хакеры воруют данных куда больше?

Отдельный вопрос — защита данных даже в случаях взлома инфраструктуры: возможна ли она и как это можно сделать? Эффективны ли традиционные подходы к защите данных и чем в принципе защищаться? Достаточно ли защитить свою инфраструктуру и поставить DLP или этого уже мало? И что в принципе делать, если данные утекли?

До косточек разберем все атаки, направленные на кражу данных, и сформируем подходы и рецепты к защите.

➡️ Регистрация

Кибербезопасность, как ключевой фактор успеха в новой реальности

Испокон веков бизнес неохотно тратил деньги на информационную безопасность. Затраты на защиту от кибератак никогда не приносили прямой финансовой выгоды или дохода. Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег, или в увеличение прибыли, но с возможной опасностью. Траты на ИБ всегда рассматривались, как расходы, а не как инвестиции.

Сегодня можно констатировать — это больше не так. Теперь кибербезопасность стала важной частью маркетинговой стратегии многих брендов, даже если они не предлагают услуги информационной безопасности напрямую. Наконец, ИБ приносит бизнесу бенефиты!

Вот несколько наглядных примеров:

🟥iPhone со слоганом: New level of privacy and security 
🟥 Amazon и eBay, подчеркивают свою безопасность для привлечения клиентов. Акцентируют внимание на защите данных клиентов и безопасных транзакциях.
🟥PayPal и Revolut, используют продвинутые меры кибербезопасности для защиты финансовых транзакций, что создает доверие у клиентов. В России Яндекс.Касса и
Qiwi повышают свою конкурентоспособность за счет внедрения современных мер безопасности для обработки платежей и защиты данных клиентов.
🟥Dropbox и Google Cloud, сильно акцентируют внимание на безопасности данных, что делает их более привлекательными для корпоративных клиентов.
🟥Т-Банк и Билайн делают акцент на безопасности своих услуг, включая защиту от мошенничества и соблюдение конфиденциальности данных клиентов, что является важным фактором для привлечения новых пользователей.

Кибербезопасность сегодня становится важным фактом при выборе пользователями того или иного продукта. Игнорируя этот факт, бизнес несет значительные финансовые и репутационные потери. Примеров мы тоже знаем массу: 

🟥Атака на «Ростелеком» в 2023 году. Часть услуг компании была временно недоступна. Эта ситуация негативно сказалась на репутации в глазах клиентов и партнеров.
🟥Кейс с компанией «Астра». Киберпреступники смогли получить доступ к конфиденциальной информации и данным клиентов. Это привело к значительным финансовым потерям и необходимости вложений в восстановление безопасности.
🟥Кейс с кибератакой на компанию СДЭК стал одним из заметных инцидентов в области кибербезопасности в России. 
🟥В 2021 году сеть Магнит столкнулась с кибератакой, в результате которой были серьезные сбои в работе кассовых систем.
🟥Почту России парализовала кибератака в 2021 году, затруднила работу сервисов и привела к задержкам в доставке отправлений. Это вызвало массовое недовольство клиентов и отрицательно сказалось на репутации компании.
🟥База данных заказов «Яндекс.Еда». В начале 2022 года в интернете появилась база данных с информацией о заказах пользователей. В ней содержались данные о пользователях, включая их имена, адреса и историю заказов. Инцидент вызвал широкую дискуссию о конфиденциальности пользовательских данных в онлайн-сервисах.

Вложения в ИБ сегодня дают не только защиту данных клиентов и соответствие законодательству, но и предотвращение финансовых убытков, конкурентное преимущество и доверие потребителей, поддержку бизнес-процессов и обеспечение непрерывности операций, управление рисками и осведомленность сотрудников о киберугрозах. 

Все еще хочется сэкономить?

🔒 Кибербез в одной папке

Наш канал попал в папку полезных каналов по кибербезу, которую собрала «ГОС ИТ Богатырева».

В папке — актуальные новости, аналитика и практические советы по защите от киберугроз. Делимся 👇

Добавляйте к себе папку и делить с друзьями и коллегами

Скрипт-кидди — хулиганы в цифровом мире. Их можно назвать «автоматизированными» хакерами. Они могут справиться с хакерскими программами и софтом, но плохо понимают, как эти программы работают. Могут только включить их и использовать по инструкции. Например, найти типовую уязвимость «крякнутым» сканером и применить готовый эксплойт.

Наиболее распространенные виды атак скрипт-кидди — это те, что легче всего найти в поисковых системах. Подобно многим IT-специальностям, ИБ также сильно пострадала от инфоцыганства, включая курсы, обещающие 300 тысяч рублей в секунду на ББ без регистрации.

Поскольку материалы обучения передаются от одного гуру к другому почти в том же самом виде, как когда-то на её спустили Jason Haddix, Cocomelon, sektor7 и другие, мы в основном знаем все ключевые векторы описываемых там атак и примерно к ним готовы. Исключение составляют только совсем свежие техники: так или иначе, скрипт-кидди попадет в сообщество, где сможет получить доступ к проверенным и стабильным PoC, и начнет применять их на практике, будь то сосед, магазин керамических изделий или кто-либо еще.

Сейчас очень редко можно встретить PoC, который не требует доработки. Почти всегда присутствует какая-то закладка, нарушающая логику работы. Любой человек с минимальными знаниями в области информационной безопасности сразу поймет, что происходит, как это было, например, на прошлой неделе, когда мне пришлось удалять множество sleep-команд из PoC на LPE.

Таким образом, последствия атак начинающих хакеров зачастую такие же, как и у людей, не обладающих цифровой грамотностью — сбои и отказы в обслуживании затрагиваемых компонентов.

Но все же следует отслеживать эволюцию скрипт-кидди. Продолжение про новые методы атаки и инструменты, которые используют скрипт-кидди нового поколения, читайте в статье 👉 Сyber Media.

Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!

Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.

Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.

До встречи в 2025 году 👋

Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.

📺 Полное видео
🆓Полное видео на rutube
🔗 Pentest award (архив)
❤ @justsecurity

📊Свежий репортаж о том, как прошла церемония награждения в 2024 году.

Опубликовали общие рейтинги всех финалистов с баллами, чтобы вы могли понять насколько близки к призовому месту.
 
Спасибо каждому, кто принял участие в премии, вы лучшие! Вместе мы сделаем профессию пентестера еще более почетной, популярной и важной, а мир чуточку безопаснее. 

#pentestaward