0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p><a>#статьи</a></p>
1
<p><a>#статьи</a></p>
2
<ul><li>20 ноя 2024</li>
2
<ul><li>20 ноя 2024</li>
3
<li>0</li>
3
<li>0</li>
4
</ul><p>Ищем дыры в безопасности и готовимся к потенциальным атакам.</p>
4
</ul><p>Ищем дыры в безопасности и готовимся к потенциальным атакам.</p>
5
<p>Кадр: фильм "Властелин колец: Две крепости" / New Line Cinema</p>
5
<p>Кадр: фильм "Властелин колец: Две крепости" / New Line Cinema</p>
6
<p>Журналист, коммерческий автор и редактор. Пишет про IT, цифровой маркетинг и бизнес. Сайт:<a>darovska.com</a>.</p>
6
<p>Журналист, коммерческий автор и редактор. Пишет про IT, цифровой маркетинг и бизнес. Сайт:<a>darovska.com</a>.</p>
7
<p>Многие IT-системы страдают от слабой защиты данных. Это выливается в постоянные утечки и недоступность сервисов из-за атак. Даже опытные специалисты ошибаются и не всегда понимают, как себя чувствует система и что ей может угрожать.</p>
7
<p>Многие IT-системы страдают от слабой защиты данных. Это выливается в постоянные утечки и недоступность сервисов из-за атак. Даже опытные специалисты ошибаются и не всегда понимают, как себя чувствует система и что ей может угрожать.</p>
8
<p>Исследователь безопасности Лев Прокопьев поделился своим опытом во время эфира для комьюнити Skillbox Code Experts. А мы собрали в этой статье его рекомендации о том, как строить проекты безопасно и с чего начать работу над защитой сервиса.</p>
8
<p>Исследователь безопасности Лев Прокопьев поделился своим опытом во время эфира для комьюнити Skillbox Code Experts. А мы собрали в этой статье его рекомендации о том, как строить проекты безопасно и с чего начать работу над защитой сервиса.</p>
9
<p><strong>Содержание</strong></p>
9
<p><strong>Содержание</strong></p>
10
<ul><li><a>Составьте список ресурсов компании</a></li>
10
<ul><li><a>Составьте список ресурсов компании</a></li>
11
<li><a>Смоделируйте угрозы</a></li>
11
<li><a>Смоделируйте угрозы</a></li>
12
<li><a>Закройте доступы</a></li>
12
<li><a>Закройте доступы</a></li>
13
<li><a>Используйте ресурсы OWASP</a></li>
13
<li><a>Используйте ресурсы OWASP</a></li>
14
<li><a>Храните персональные данные безопасно</a></li>
14
<li><a>Храните персональные данные безопасно</a></li>
15
<li><a>Изолируйте контур</a></li>
15
<li><a>Изолируйте контур</a></li>
16
<li><a>Правильно настройте корпоративный VPN</a></li>
16
<li><a>Правильно настройте корпоративный VPN</a></li>
17
<li><a>Меняйте процесс найма</a></li>
17
<li><a>Меняйте процесс найма</a></li>
18
<li><a>Что можно внедрить уже сейчас с минимальным бюджетом</a></li>
18
<li><a>Что можно внедрить уже сейчас с минимальным бюджетом</a></li>
19
</ul><p>Независимый исследователь безопасности и эксперт по тестированию на проникновение.</p>
19
</ul><p>Независимый исследователь безопасности и эксперт по тестированию на проникновение.</p>
20
<p>Работал в "Солар Секьюрити", "Лаборатории Касперского" и BI.Zone. Специализируется на анализе защищённости внешнего и внутреннего периметра, разработке наступательного ПО, эксплуатации уязвимостей, исследует безопасность беспроводных сетей и защиту от приёмов социальной инженерии. Умеет в Bash, Python, PowerShell, C/C++, JavaScript и даже Visual Basic.</p>
20
<p>Работал в "Солар Секьюрити", "Лаборатории Касперского" и BI.Zone. Специализируется на анализе защищённости внешнего и внутреннего периметра, разработке наступательного ПО, эксплуатации уязвимостей, исследует безопасность беспроводных сетей и защиту от приёмов социальной инженерии. Умеет в Bash, Python, PowerShell, C/C++, JavaScript и даже Visual Basic.</p>
21
<p>Чтобы выстроить эффективную защиту, надо хорошо понимать, что вообще требуется защищать. Поэтому первое, что надо сделать, - составить полный список ресурсов компании. В него надо включить не только то, с помощью чего вы зарабатываете деньги, а абсолютно всё: от внешних до внутренних сервисов. После этого надо решить, каким сервисам из списка нужен доступ к интернету, а какие можно без потерь изолировать внутри корпоративной сети.</p>
21
<p>Чтобы выстроить эффективную защиту, надо хорошо понимать, что вообще требуется защищать. Поэтому первое, что надо сделать, - составить полный список ресурсов компании. В него надо включить не только то, с помощью чего вы зарабатываете деньги, а абсолютно всё: от внешних до внутренних сервисов. После этого надо решить, каким сервисам из списка нужен доступ к интернету, а какие можно без потерь изолировать внутри корпоративной сети.</p>
22
<p>Также важно выработать привычку регулярно пересматривать список, чтобы учитывать все возможные риски и заранее выявлять потенциальные уязвимости. Помните, что каждый новый сервис - это новый риск.</p>
22
<p>Также важно выработать привычку регулярно пересматривать список, чтобы учитывать все возможные риски и заранее выявлять потенциальные уязвимости. Помните, что каждый новый сервис - это новый риск.</p>
23
<p>На этом этапе проще всего молодым компаниям. Как правило, у них всего один сайт-визитка и нет сложных процессов. Защищать такую инфраструктуру - одно удовольствие. Но когда бизнес разрастается, то появляются новые сервисы и системы. Внедрять безопасность становится сложнее.</p>
23
<p>На этом этапе проще всего молодым компаниям. Как правило, у них всего один сайт-визитка и нет сложных процессов. Защищать такую инфраструктуру - одно удовольствие. Но когда бизнес разрастается, то появляются новые сервисы и системы. Внедрять безопасность становится сложнее.</p>
24
<p>Если список ресурсов компании готов, то можно приступать к моделированию угроз. На этом этапе важно понять, где есть слабые места и кто в теории может получить доступ к чувствительной информации.</p>
24
<p>Если список ресурсов компании готов, то можно приступать к моделированию угроз. На этом этапе важно понять, где есть слабые места и кто в теории может получить доступ к чувствительной информации.</p>
25
<p>Начните исследование с внешнего периметра. Не так важно, что у вас - офис, локальная сеть, домен Active Directory, "1С", Jira или Confluence, - для всего этого надо прописать возможные риски. Считайте, что каждый ресурс - потенциальная дыра, поэтому исследуйте его тщательно.</p>
25
<p>Начните исследование с внешнего периметра. Не так важно, что у вас - офис, локальная сеть, домен Active Directory, "1С", Jira или Confluence, - для всего этого надо прописать возможные риски. Считайте, что каждый ресурс - потенциальная дыра, поэтому исследуйте его тщательно.</p>
26
<p>Лучше всего делать это вместе с командой. Безопасностью не может заниматься один человек. Однажды он выгорит, станет уделять меньше внимания своей работе, и всё рухнет. Поэтому вовлекайте разработчиков и администраторов, пусть каждый отвечает за свою часть. При разделении обязанностей работа будет продвигаться плавно.</p>
26
<p>Лучше всего делать это вместе с командой. Безопасностью не может заниматься один человек. Однажды он выгорит, станет уделять меньше внимания своей работе, и всё рухнет. Поэтому вовлекайте разработчиков и администраторов, пусть каждый отвечает за свою часть. При разделении обязанностей работа будет продвигаться плавно.</p>
27
<p><strong>Совет</strong></p>
27
<p><strong>Совет</strong></p>
28
<p>Откажитесь от бесполезных созвонов. Иногда проще связаться с одним сотрудником, чем созваниваться со всей командой и тратить время впустую. Всю информацию фиксируйте в базе знаний.</p>
28
<p>Откажитесь от бесполезных созвонов. Иногда проще связаться с одним сотрудником, чем созваниваться со всей командой и тратить время впустую. Всю информацию фиксируйте в базе знаний.</p>
29
<p>Также учитывайте человеческий фактор и помните, что ошибка сотрудника может стать угрозой безопасности всей системы. Регулярно проводите обучение, рассказывайте про возможные атаки, кибергигиену и актуальные методы социальной инженерии.</p>
29
<p>Также учитывайте человеческий фактор и помните, что ошибка сотрудника может стать угрозой безопасности всей системы. Регулярно проводите обучение, рассказывайте про возможные атаки, кибергигиену и актуальные методы социальной инженерии.</p>
30
<p>Представим, что у вас уже есть список ресурсов компании, вы собрали себе команду и выписали возможные угрозы. Теперь приступим к делу и наведём порядок в доступах. Сперва выпишите, какие сотрудники и какими системами могут пользоваться, а после решите, нужны ли им эти системы.</p>
30
<p>Представим, что у вас уже есть список ресурсов компании, вы собрали себе команду и выписали возможные угрозы. Теперь приступим к делу и наведём порядок в доступах. Сперва выпишите, какие сотрудники и какими системами могут пользоваться, а после решите, нужны ли им эти системы.</p>
31
<p>Например, в компании есть несколько дизайнеров с доступом к базе данных пользователей. Вероятно, доступ им выдали автоматически и они даже не подозревают, что владеют такой ценной информацией. Доступ к важным данным для таких сотрудников можно ограничить - если кому-то нужно будет посмотреть данные из базы, их можно выгрузить или выдать временный доступ.</p>
31
<p>Например, в компании есть несколько дизайнеров с доступом к базе данных пользователей. Вероятно, доступ им выдали автоматически и они даже не подозревают, что владеют такой ценной информацией. Доступ к важным данным для таких сотрудников можно ограничить - если кому-то нужно будет посмотреть данные из базы, их можно выгрузить или выдать временный доступ.</p>
32
<p>Даже если вы доверяете своим дизайнерам и уверены, что они не сделают ничего плохого с базой данных, то всегда есть злоумышленники. Они могут получить доступ к аккаунту одного из сотрудников и украсть информацию.</p>
32
<p>Даже если вы доверяете своим дизайнерам и уверены, что они не сделают ничего плохого с базой данных, то всегда есть злоумышленники. Они могут получить доступ к аккаунту одного из сотрудников и украсть информацию.</p>
33
<p>Используйте принцип нулевого доверия. Он предполагает, что никому нельзя доверять по умолчанию, даже внутри корпоративной сети. Каждый запрос на доступ должен быть проверен и авторизован.</p>
33
<p>Используйте принцип нулевого доверия. Он предполагает, что никому нельзя доверять по умолчанию, даже внутри корпоративной сети. Каждый запрос на доступ должен быть проверен и авторизован.</p>
34
<p>Также проверьте, как у вас настроена безопасность в офисах, на складах и в других местах, в которых работают сотрудники компании. Убедитесь, что в процессы нельзя вмешаться со стороны и саботировать работу команды. А ещё проверьте, что сотрудники могут получить доступ только к той информации, которая нужна им для работы, - например, работники склада не должны видеть данные отдела продаж и наоборот.</p>
34
<p>Также проверьте, как у вас настроена безопасность в офисах, на складах и в других местах, в которых работают сотрудники компании. Убедитесь, что в процессы нельзя вмешаться со стороны и саботировать работу команды. А ещё проверьте, что сотрудники могут получить доступ только к той информации, которая нужна им для работы, - например, работники склада не должны видеть данные отдела продаж и наоборот.</p>
35
<p>Главное правило: предоставляйте сотрудникам минимальные права доступа. Никто не должен иметь больше привилегий, чем ему нужно. Регулярно проводите аудит и проверяйте, какие доступы есть у сотрудников. Например, сегодня человек работает в одном отделе, а через месяц перевёлся. В этом случае надо пересмотреть, какие системы ему всё ещё нужны.</p>
35
<p>Главное правило: предоставляйте сотрудникам минимальные права доступа. Никто не должен иметь больше привилегий, чем ему нужно. Регулярно проводите аудит и проверяйте, какие доступы есть у сотрудников. Например, сегодня человек работает в одном отделе, а через месяц перевёлся. В этом случае надо пересмотреть, какие системы ему всё ещё нужны.</p>
36
<p>Используйте принцип нулевого доверия. Он предполагает, что никому нельзя доверять по умолчанию, даже внутри корпоративной сети. Каждый запрос на доступ должен быть проверен и авторизован.</p>
36
<p>Используйте принцип нулевого доверия. Он предполагает, что никому нельзя доверять по умолчанию, даже внутри корпоративной сети. Каждый запрос на доступ должен быть проверен и авторизован.</p>
37
<p>Все данные, особенно чувствительные, должны храниться в <a>зашифрованном</a>или<a>хешированном</a>виде с использованием соли. Это гарантирует, что, даже если данные украдут, ничего сделать с ними не смогут.</p>
37
<p>Все данные, особенно чувствительные, должны храниться в <a>зашифрованном</a>или<a>хешированном</a>виде с использованием соли. Это гарантирует, что, даже если данные украдут, ничего сделать с ними не смогут.</p>
38
<p><strong>Справка: как работает хеширование паролей</strong></p>
38
<p><strong>Справка: как работает хеширование паролей</strong></p>
39
<p>Для начала хеширования нужна соль - это последовательность данных, которую добавляют к криптоключу, чтобы пароль нельзя было вычислить методом подбора.</p>
39
<p>Для начала хеширования нужна соль - это последовательность данных, которую добавляют к криптоключу, чтобы пароль нельзя было вычислить методом подбора.</p>
40
<p>Например, у нас есть пароль "лолкекчебурек". Добавим к нему последовательность символов "abcdef", чтобы в итоге получилось "лолкекчебурекabcdef". Последовательность, которую мы добавили, - это и есть соль. Если злоумышленник украдёт такой пароль, то он не сможет его использовать без понимания, какие символы лишние.</p>
40
<p>Например, у нас есть пароль "лолкекчебурек". Добавим к нему последовательность символов "abcdef", чтобы в итоге получилось "лолкекчебурекabcdef". Последовательность, которую мы добавили, - это и есть соль. Если злоумышленник украдёт такой пароль, то он не сможет его использовать без понимания, какие символы лишние.</p>
41
<p>После этого пароль с солью уже можно хешировать. Хеширование - это функция свёртки, которая преобразует массив входных данных произвольного размера в соответствии с определённым алгоритмом. Это однонаправленный процесс, поэтому хеш нельзя обратно преобразовать в пароль.</p>
41
<p>После этого пароль с солью уже можно хешировать. Хеширование - это функция свёртки, которая преобразует массив входных данных произвольного размера в соответствии с определённым алгоритмом. Это однонаправленный процесс, поэтому хеш нельзя обратно преобразовать в пароль.</p>
42
<p>Представьте, что мы решили захешировать наш пароль с солью "лолкекчебурекabcdef" и получили на выходе набор символов "G5& f$7@rP". В таком случае только мы будем знать, что это и как это использовать.</p>
42
<p>Представьте, что мы решили захешировать наш пароль с солью "лолкекчебурекabcdef" и получили на выходе набор символов "G5& f$7@rP". В таком случае только мы будем знать, что это и как это использовать.</p>
43
<p>При выборе алгоритма хеширования паролей отдавайте предпочтение Argon2, PBKDF2, Bcrypt и Scrypt. Эти алгоритмы обеспечивают высокий уровень безопасности за счёт сложности вычислений и возможности настройки количества раундов хеширования. Также никогда не используйте устаревшие методы, такие как MD5 или SHA-1.</p>
43
<p>При выборе алгоритма хеширования паролей отдавайте предпочтение Argon2, PBKDF2, Bcrypt и Scrypt. Эти алгоритмы обеспечивают высокий уровень безопасности за счёт сложности вычислений и возможности настройки количества раундов хеширования. Также никогда не используйте устаревшие методы, такие как MD5 или SHA-1.</p>
44
<p>Ещё можно использовать уникальную соль для каждого пароля. В таком случае если злоумышленник сможет подобрать один пароль, то он не сможет применить обнаруженный паттерн ко всему остальному. Сами соли и хеши храните в защищённом виде и никому не давайте доступ к этим данным.</p>
44
<p>Ещё можно использовать уникальную соль для каждого пароля. В таком случае если злоумышленник сможет подобрать один пароль, то он не сможет применить обнаруженный паттерн ко всему остальному. Сами соли и хеши храните в защищённом виде и никому не давайте доступ к этим данным.</p>
45
<p>В тестировании на проникновение или анализе защищённости желанная цель злоумышленника - это персональные данные клиентов. Продумайте процесс доступа к важной информации, чтобы предотвратить её кражу. Например, можно изолировать персональные данные в контуре, к которому не каждый сотрудник будет иметь доступ.</p>
45
<p>В тестировании на проникновение или анализе защищённости желанная цель злоумышленника - это персональные данные клиентов. Продумайте процесс доступа к важной информации, чтобы предотвратить её кражу. Например, можно изолировать персональные данные в контуре, к которому не каждый сотрудник будет иметь доступ.</p>
46
<p>Обязательно сегментируйте сеть с помощью разделения по уровню критичности данных. Это поможет обезопасить систему от распространения угрозы между сегментами. Для этого используйте брандмауэры, списки контроля доступа (ACL) и шифруйте каждый канал связи, как для внутренних, так и для внешних веб-сервисов.</p>
46
<p>Обязательно сегментируйте сеть с помощью разделения по уровню критичности данных. Это поможет обезопасить систему от распространения угрозы между сегментами. Для этого используйте брандмауэры, списки контроля доступа (ACL) и шифруйте каждый канал связи, как для внутренних, так и для внешних веб-сервисов.</p>
47
<p>Представьте, что к вам устроился новый сотрудник, пришёл в офис, запустил у себя на ноутбуке Wireshark и перехватил логины и пароли или, ещё хуже, - поймал в трафике данные администратора PhpMyAdmin или "1С" и выгрузил всю вашу базу. Чёткая сегментация сети и вынесение критических данных в изолированный контур помогут этого избежать.</p>
47
<p>Представьте, что к вам устроился новый сотрудник, пришёл в офис, запустил у себя на ноутбуке Wireshark и перехватил логины и пароли или, ещё хуже, - поймал в трафике данные администратора PhpMyAdmin или "1С" и выгрузил всю вашу базу. Чёткая сегментация сети и вынесение критических данных в изолированный контур помогут этого избежать.</p>
48
<p>Помните, что злоумышленники - это не только коварные хакеры. Угроза может исходить от обиженного сотрудника, недовольного подрядчика, конкурентов, бывших работников или человека, который взломал офисный Wi-Fi. Именно поэтому надо продумывать защиту на всех уровнях.</p>
48
<p>Помните, что злоумышленники - это не только коварные хакеры. Угроза может исходить от обиженного сотрудника, недовольного подрядчика, конкурентов, бывших работников или человека, который взломал офисный Wi-Fi. Именно поэтому надо продумывать защиту на всех уровнях.</p>
49
<em>Изображение: Skillbox Media</em><p><strong>VPN</strong>(virtual private network) - это технология, которая создаёт безопасное и зашифрованное соединение между сотрудниками и внутренними системами компании через интернет. Это особенно важно для изоляции критически важных процессов, таких как доступ к корпоративной сети, базам данных и внутренним приложениям.</p>
49
<em>Изображение: Skillbox Media</em><p><strong>VPN</strong>(virtual private network) - это технология, которая создаёт безопасное и зашифрованное соединение между сотрудниками и внутренними системами компании через интернет. Это особенно важно для изоляции критически важных процессов, таких как доступ к корпоративной сети, базам данных и внутренним приложениям.</p>
50
<p>Худшее решение - настраивать сервисы бездумно и вещать на все сетевые интерфейсы через IP-адрес 0.0.0.0. Это как открыть двери дома и уйти на прогулку, рассчитывая, что вор не зайдёт. Администраторы, которые так делают, обычно забывают и пароли по умолчанию поменять.</p>
50
<p>Худшее решение - настраивать сервисы бездумно и вещать на все сетевые интерфейсы через IP-адрес 0.0.0.0. Это как открыть двери дома и уйти на прогулку, рассчитывая, что вор не зайдёт. Администраторы, которые так делают, обычно забывают и пароли по умолчанию поменять.</p>
51
<p>Чтобы этого не случилось, настройте сервер с базой данных вещать по IP-адресу интерфейса VPN. Укажите IP только для приватной сети и дайте доступ администраторам. Сделайте так, чтобы без активированного VPN нельзя было получить доступ к ресурсам компании.</p>
51
<p>Чтобы этого не случилось, настройте сервер с базой данных вещать по IP-адресу интерфейса VPN. Укажите IP только для приватной сети и дайте доступ администраторам. Сделайте так, чтобы без активированного VPN нельзя было получить доступ к ресурсам компании.</p>
52
<p><strong>Преимущества VPN для бизнеса:</strong></p>
52
<p><strong>Преимущества VPN для бизнеса:</strong></p>
53
<ul><li>Защита данных. Все данные, передаваемые через VPN, шифруются. Если их перехватят, то ими нельзя будет воспользоваться.</li>
53
<ul><li>Защита данных. Все данные, передаваемые через VPN, шифруются. Если их перехватят, то ими нельзя будет воспользоваться.</li>
54
<li>Изоляция критических процессов. VPN позволяет ограничить доступ к важным системам только для авторизованных пользователей, снижая риск атак на критическую инфраструктуру.</li>
54
<li>Изоляция критических процессов. VPN позволяет ограничить доступ к важным системам только для авторизованных пользователей, снижая риск атак на критическую инфраструктуру.</li>
55
<li>Удалённая работа. Сотрудники могут безопасно подключаться к корпоративной сети из любой точки мира, не рискуя допустить утечку данных.</li>
55
<li>Удалённая работа. Сотрудники могут безопасно подключаться к корпоративной сети из любой точки мира, не рискуя допустить утечку данных.</li>
56
</ul><p>Однако мало просто настроить VPN и рассказать сотрудникам, как с ним работать. Под угрозой всё ещё находятся устройства сотрудников. Например, хакер может взломать ноутбук вашего разработчика, украсть пароли и получить доступ к системам компании с помощью корпоративного VPN.</p>
56
</ul><p>Однако мало просто настроить VPN и рассказать сотрудникам, как с ним работать. Под угрозой всё ещё находятся устройства сотрудников. Например, хакер может взломать ноутбук вашего разработчика, украсть пароли и получить доступ к системам компании с помощью корпоративного VPN.</p>
57
<p>Чтобы этого избежать, необходимо:</p>
57
<p>Чтобы этого избежать, необходимо:</p>
58
<ul><li>Рассказать сотрудникам, что не стоит переходить по сомнительным ссылкам в мессенджерах и электронных письмах.</li>
58
<ul><li>Рассказать сотрудникам, что не стоит переходить по сомнительным ссылкам в мессенджерах и электронных письмах.</li>
59
<li>Попросить создавать сложные и уникальные пароли.</li>
59
<li>Попросить создавать сложные и уникальные пароли.</li>
60
<li>Убедиться, что все устройства, подключённые к VPN, защищены антивирусом и обновляются своевременно.</li>
60
<li>Убедиться, что все устройства, подключённые к VPN, защищены антивирусом и обновляются своевременно.</li>
61
<li>Использовать менеджеры паролей для удобства и безопасности.</li>
61
<li>Использовать менеджеры паролей для удобства и безопасности.</li>
62
<li>Регулярно обновлять программное обеспечение VPN для устранения уязвимостей.</li>
62
<li>Регулярно обновлять программное обеспечение VPN для устранения уязвимостей.</li>
63
<li>Настроить мониторинг VPN-сессий для обнаружения подозрительной активности.</li>
63
<li>Настроить мониторинг VPN-сессий для обнаружения подозрительной активности.</li>
64
</ul><p>Во многих компаниях плохо выстроен процесс подбора кадров. Менеджеры уделяют много внимания бумажной работе и сами оценивают технарей без опыта в сфере. В итоге в команды приходят сотрудники, которые не могут даже спарсить JSON и проваливаются при первой же проблеме.</p>
64
</ul><p>Во многих компаниях плохо выстроен процесс подбора кадров. Менеджеры уделяют много внимания бумажной работе и сами оценивают технарей без опыта в сфере. В итоге в команды приходят сотрудники, которые не могут даже спарсить JSON и проваливаются при первой же проблеме.</p>
65
<p>В идеале технические собеседования должны проводить опытные специалисты, которые понимают, какие знания стоит проверить и какие проблемы подсветить. Во время самого собеседования дайте кандидату возможность продемонстрировать ход своих мыслей, а не требуйте пересказывать заученные определения из учебников и шпаргалок по успешному прохождению собеседований.</p>
65
<p>В идеале технические собеседования должны проводить опытные специалисты, которые понимают, какие знания стоит проверить и какие проблемы подсветить. Во время самого собеседования дайте кандидату возможность продемонстрировать ход своих мыслей, а не требуйте пересказывать заученные определения из учебников и шпаргалок по успешному прохождению собеседований.</p>
66
<p>Если вы загорелись идеей надёжно защитить данные компании или своего проекта, то ниже мы приводим список инструментов и практик, которые можно внедрить уже сегодня. Всё подобрано так, чтобы на первоначальную защиту не пришлось выделять много денег.</p>
66
<p>Если вы загорелись идеей надёжно защитить данные компании или своего проекта, то ниже мы приводим список инструментов и практик, которые можно внедрить уже сегодня. Всё подобрано так, чтобы на первоначальную защиту не пришлось выделять много денег.</p>
67
<p><strong>SIEM</strong>(security information and event management) - это система сбора, анализа, корреляции и управления данными безопасности из различных источников в сети. Это ваши глаза и уши. Если вы не знаете, что происходит в вашей сети, то битву уже можно считать проигранной.</p>
67
<p><strong>SIEM</strong>(security information and event management) - это система сбора, анализа, корреляции и управления данными безопасности из различных источников в сети. Это ваши глаза и уши. Если вы не знаете, что происходит в вашей сети, то битву уже можно считать проигранной.</p>
68
<p>Для начала можно использовать<a>Wazuh</a> - это открытая платформа мониторинга целостности и управления инцидентами. Благодаря ей вы всегда будете знать, что происходит в вашей системе, и сможете заранее обнаруживать угрозы.</p>
68
<p>Для начала можно использовать<a>Wazuh</a> - это открытая платформа мониторинга целостности и управления инцидентами. Благодаря ей вы всегда будете знать, что происходит в вашей системе, и сможете заранее обнаруживать угрозы.</p>
69
<p>В нашей стране есть мощное антивирусное решение -<a>Kaspersky</a>, и, без шуток, это - гордость отечества. Но имейте в виду - это не волшебная палочка, которая решит все ваши проблемы. Это инструмент для обнаружения подозрительной активности на конечных устройствах, не более. Вам самим придётся анализировать данные, отлавливать угрозы, проверять и обновлять сигнатуры.</p>
69
<p>В нашей стране есть мощное антивирусное решение -<a>Kaspersky</a>, и, без шуток, это - гордость отечества. Но имейте в виду - это не волшебная палочка, которая решит все ваши проблемы. Это инструмент для обнаружения подозрительной активности на конечных устройствах, не более. Вам самим придётся анализировать данные, отлавливать угрозы, проверять и обновлять сигнатуры.</p>
70
<p>Стоит использовать системы для статического и динамического анализа кода, например<a>Semgrep</a>. Код может повести себя неожиданно при выполнении. Динамический анализ проверяет, как приложение работает в реальном времени, выявляя уязвимости, которые не видны при статическом анализе. Интегрируйте его в ваш CI/CD.</p>
70
<p>Стоит использовать системы для статического и динамического анализа кода, например<a>Semgrep</a>. Код может повести себя неожиданно при выполнении. Динамический анализ проверяет, как приложение работает в реальном времени, выявляя уязвимости, которые не видны при статическом анализе. Интегрируйте его в ваш CI/CD.</p>
71
<p>IDS (intrusion detection system) - это система обнаружения вторжений. Она анализирует сетевой трафик и выявляет атаки в режиме реального времени. С её помощью можно сразу узнать о том, что злоумышленники пытаются получить доступ к вашим сервисам. На первых порах можно использовать систему с открытым кодом<a>Suricata</a>. У неё есть активное<a>сообщество</a>, которое поможет новичкам со всем разобраться.</p>
71
<p>IDS (intrusion detection system) - это система обнаружения вторжений. Она анализирует сетевой трафик и выявляет атаки в режиме реального времени. С её помощью можно сразу узнать о том, что злоумышленники пытаются получить доступ к вашим сервисам. На первых порах можно использовать систему с открытым кодом<a>Suricata</a>. У неё есть активное<a>сообщество</a>, которое поможет новичкам со всем разобраться.</p>
72
<p>Для защиты веб-приложений и внешнего периметра важно использовать WAF, и <a>ModSecurity</a> - один из лучших вариантов. Этот инструмент предоставляет широкие возможности настройки для эффективной защиты от угроз, таких как SQL-инъекции и XSS, и подходит для адаптации под конкретные задачи компании.</p>
72
<p>Для защиты веб-приложений и внешнего периметра важно использовать WAF, и <a>ModSecurity</a> - один из лучших вариантов. Этот инструмент предоставляет широкие возможности настройки для эффективной защиты от угроз, таких как SQL-инъекции и XSS, и подходит для адаптации под конкретные задачи компании.</p>
73
<p>Если ваш специалист не способен настроить ModSecurity, вероятно, он недостаточно компетентен в веб-безопасности. Настоящий профессионал справится с этим инструментом и сможет выстроить надёжную защиту. В таком случае имеет смысл рассмотреть коммерческие WAF-решения, включая качественные продукты российских разработчиков, которые могут обеспечить высокий уровень безопасности.</p>
73
<p>Если ваш специалист не способен настроить ModSecurity, вероятно, он недостаточно компетентен в веб-безопасности. Настоящий профессионал справится с этим инструментом и сможет выстроить надёжную защиту. В таком случае имеет смысл рассмотреть коммерческие WAF-решения, включая качественные продукты российских разработчиков, которые могут обеспечить высокий уровень безопасности.</p>
74
<p>Инструменты вроде<a>reNgine</a>,<a>Nuclei</a>,<a>Amass</a>,<a>Nmap</a> - ваши союзники для анализа внешних угроз. Эти решения позволят вам сканировать внешнюю инфраструктуру так, как если бы вы сами были на месте атакующего.</p>
74
<p>Инструменты вроде<a>reNgine</a>,<a>Nuclei</a>,<a>Amass</a>,<a>Nmap</a> - ваши союзники для анализа внешних угроз. Эти решения позволят вам сканировать внешнюю инфраструктуру так, как если бы вы сами были на месте атакующего.</p>
75
<p>Лучше всего размещать эти инструменты на защищённых внешних серверах, чтобы не допустить утечки данных. Особое внимание стоит уделить конфигурации reNgine. Рекомендую настроить веб-панель таким образом, чтобы она вещала только на 127.0.0.1, а единственное, что будет доступно извне, - это порт SSH с аутентификацией по ключу ed25519. После этого ваши специалисты смогут безопасно подключаться через SSH с помощью одной строки:</p>
75
<p>Лучше всего размещать эти инструменты на защищённых внешних серверах, чтобы не допустить утечки данных. Особое внимание стоит уделить конфигурации reNgine. Рекомендую настроить веб-панель таким образом, чтобы она вещала только на 127.0.0.1, а единственное, что будет доступно извне, - это порт SSH с аутентификацией по ключу ed25519. После этого ваши специалисты смогут безопасно подключаться через SSH с помощью одной строки:</p>
76
ssh -D 4444 username@<IP_внешнего_сервера><p>После подключения в настройках браузера нужно указать прокси socks5://localhost: 4444, что позволит работать с веб-панелью reNgine через защищённый туннель.</p>
76
ssh -D 4444 username@<IP_внешнего_сервера><p>После подключения в настройках браузера нужно указать прокси socks5://localhost: 4444, что позволит работать с веб-панелью reNgine через защищённый туннель.</p>
77
<p>Сервисы надо защищать не только от атак со стороны, но и внутри корпоративной сети. Для этого стоит проводить еженедельные аудиты с помощью<a>ADExplorer</a>,<a>BloodHound</a>,<a>PingCastle</a>,<a>AD Miner</a>,<a>ADSpider</a>. Это поможет вам вовремя обнаружить слабые места и устранить уязвимости. С настройками BloodHound поможет разобраться<a>документация</a>.</p>
77
<p>Сервисы надо защищать не только от атак со стороны, но и внутри корпоративной сети. Для этого стоит проводить еженедельные аудиты с помощью<a>ADExplorer</a>,<a>BloodHound</a>,<a>PingCastle</a>,<a>AD Miner</a>,<a>ADSpider</a>. Это поможет вам вовремя обнаружить слабые места и устранить уязвимости. С настройками BloodHound поможет разобраться<a>документация</a>.</p>
78
<em>Скриншот:<a>Pentester’s Promiscuous Notebook</a></em><p>Чтобы оставаться в курсе событий и следить за тенденциями в мире кибербезопасности, можно подписаться на эти полезные, но малоизвестные каналы в Telegram:</p>
78
<em>Скриншот:<a>Pentester’s Promiscuous Notebook</a></em><p>Чтобы оставаться в курсе событий и следить за тенденциями в мире кибербезопасности, можно подписаться на эти полезные, но малоизвестные каналы в Telegram:</p>
79
<ul><li><a>Caster</a>;</li>
79
<ul><li><a>Caster</a>;</li>
80
<li><a>CyberSecrets</a>;</li>
80
<li><a>CyberSecrets</a>;</li>
81
<li><a>RedTeam brazzers</a>.</li>
81
<li><a>RedTeam brazzers</a>.</li>
82
</ul><ul><li>Соберите все системы и сервисы, которые у вас есть, в один список. Обязательно отметьте, у кого и к каким ресурсам есть доступ. Если забыли что-то включить в список - готовьтесь к проблемам.</li>
82
</ul><ul><li>Соберите все системы и сервисы, которые у вас есть, в один список. Обязательно отметьте, у кого и к каким ресурсам есть доступ. Если забыли что-то включить в список - готовьтесь к проблемам.</li>
83
<li>Смоделируйте угрозы, чтобы знать свои слабые места и тех, кто может их использовать. Втяните в процесс всю команду, потому что, если кто-то не справляется, - отдуваться вам всем.</li>
83
<li>Смоделируйте угрозы, чтобы знать свои слабые места и тех, кто может их использовать. Втяните в процесс всю команду, потому что, если кто-то не справляется, - отдуваться вам всем.</li>
84
<li>Никто не должен иметь доступ к тому, к чему не положено. Минимум привилегий для каждого. Всё, что не проверяется регулярно, - ляжет вам на плечи.</li>
84
<li>Никто не должен иметь доступ к тому, к чему не положено. Минимум привилегий для каждого. Всё, что не проверяется регулярно, - ляжет вам на плечи.</li>
85
<li>OWASP Top Ten - это не просто список уязвимостей. Это инструкция, как не провалиться по всем фронтам. Под контролем должно быть всё.</li>
85
<li>OWASP Top Ten - это не просто список уязвимостей. Это инструкция, как не провалиться по всем фронтам. Под контролем должно быть всё.</li>
86
<li>Все важные данные - под замок. Хешируйте их с солью. Забудьте про устаревшие методы. Если кто-то всё ещё использует MD5 - увольняйте. WPA2-Enterprise без клиентских сертификатов? Туда же.</li>
86
<li>Все важные данные - под замок. Хешируйте их с солью. Забудьте про устаревшие методы. Если кто-то всё ещё использует MD5 - увольняйте. WPA2-Enterprise без клиентских сертификатов? Туда же.</li>
87
<li>Все критические системы - только через VPN. Многофакторная аутентификация, сложные пароли, постоянные обновления не обсуждаются.</li>
87
<li>Все критические системы - только через VPN. Многофакторная аутентификация, сложные пароли, постоянные обновления не обсуждаются.</li>
88
<li>Технические собеседования должны проводить реальные профи. Уберите бюрократию и дайте технарям выбирать технарей. Только тогда будет результат.</li>
88
<li>Технические собеседования должны проводить реальные профи. Уберите бюрократию и дайте технарям выбирать технарей. Только тогда будет результат.</li>
89
</ul><a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>
89
</ul><a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>