Channel: КОД ИБ: информационная безопасность
19 февраля в Екатеринбурге Стартовал Уральский форум КИБЕРБЕЗОПАСНОСТЬ В ФИНАНСАХ.
Ольга Поздняк, продюсер проекта Код ИБ посетила форум и поделилась ключевыми тезисами, прозвучавшими на пленарном заседании форума Противостояние кибермошенничеству: консолидация усилий
Эльвира Набиуллина, Банк России
Евгений Касперский, Лаборатория Касперского
Андрей Храпов, МВД России
Максут Шадаев, Минцифры России
Сергей Зайцев, Генеральная прокуратура РФ
Максут Шадаев, Минцифры России
Эльвира Набиуллина, Банк России
Андрей Храпов, МВД России
Сергей Зайцев, Генеральная прокуратура РФ
Максут Шадаев, Минцифры России
Андрей Храпов, МВД России
Евгений Касперский, Лаборатория Касперского
Максут Шадаев, Минцифры России
Ольга Поздняк, продюсер проекта Код ИБ посетила форум и поделилась ключевыми тезисами, прозвучавшими на пленарном заседании форума Противостояние кибермошенничеству: консолидация усилий
Эльвира Набиуллина, Банк России
- 27 млрд ₽ украли мошенники у россиян в 2024
- Качество отчетности стало лучше
- Начал работать закон - 2 дня охлаждения на переводы
- Издержки мошенников растут - стоимость дропперской карты на черном рынке выросла в разы
- Масштаб кредитного мошенничества вырос
- Принят закон против кредитного мошенничества - тоже введен период охлаждения
- 40-50% хищений со счетов производятся через вирус, который дает мошенникам доступ к смартфону
Евгений Касперский, Лаборатория Касперского
- Мошенники дозвонились до 43% владельцев телефонов, но остальные пока остались неохваченными
- Массовая миграция из звонков в мессенджеры
- Массовое использование дипфейков
- Мошенники убеждают установить зловред на телефон
Андрей Храпов, МВД России
- 765000 зафиксированных преступлений, дистанционных - 486000
- Количество пострадавших 448500 (2023), 448900 (2024)
- Ущерб 147 млрд (2023), 200 млрд (2024)
- Основная тенденция - установка вредоносных программ
- Учащаются атаки на детей и подростков
Максут Шадаев, Минцифры России
- Дипфейки
- Фокус перешел на Госуслуги - получение доступа к учетной записи
- Государство максимально активизировалось
- Коллаборация банков и операторов связи
- Майский указ Президента - создание антифрод платформ
- Ужесточение требований к выдаче SIM-карт
Сергей Зайцев, Генеральная прокуратура РФ
- Самый популярный вектор - социальная инженерия
- Повышать осведомленность
- Приводить законодательство в соответствие с требованиями времени
Максут Шадаев, Минцифры России
- Правительство запретило подменять номера с использованием IP-телефонии
- Ужесточение ответственности за использование СИМ-карты
- Запрет на рекламные СПАМ-обзвоны - все звонки с виртуальных АТС будут промаркированы
- Для пожилых людей - указать второе лицо, которое будет подтверждать операции с определенной суммы
Эльвира Набиуллина, Банк России
- Нужно соблюдать баланс между удобством пользователей и необходимостью обеспечивать кибербезопасность
- Упростить подачу заявления о мошеннической операции - прямо в приложении до октября все банки должны будут в своих мобильных приложениях добавить соответствующий функционал
- Механизм автоматизированного взаимодействия между Банком России и МВД
(от 1-й минуты для обмена информацией)
Андрей Храпов, МВД России
- МВД заключило договор с 8-ю банками об обмене информацией, но этого мало - нужно еще
- Планируется дать право следователям и дознавателям блокировать операции на 10 суток
Сергей Зайцев, Генеральная прокуратура РФ
- Генпрокуратурой нарабатывается практика пред’явления исков дропперам: за 2024 год было 7000 исков на 1,5 млрд ₽
- Рассматривается уголовная ответственность для дропперов (участие в организованном преступном сообществе).
- Для сокращения дропперства планируется практика со стороны банков - если заключается договор с подростком - информировать родителей и о факте закоючения договора, и об операциях
Максут Шадаев, Минцифры России
- Микрозайм теперь нельзя оформить на 3-е лицо - только на себя
- 72 часа фриза на запрос значимых документов на Госуслугах (2-НДФЛ, выписка из Бюро кредитных историй)
- Антифрод-платформа, которую сейчас создает Минцифры
Андрей Храпов, МВД России
Если дропперы оказывают содействие следствию - они могут быть освобождены от уголовной ответственности
Евгений Касперский, Лаборатория Касперского
- Можно технически, на уровне операторов связи, не просто показывать, кто звонит, но и за счет ИИ понимать суть звонка,
с согласия пользователей
с помощью алгоритмов «прослушивать» звонки и «просматривать» сообщения в мессенджерах и блокировать мошеннические (по аналогии со СПАМ-фильтрами)
- Интересно изучать опыт других стран по борьбе с мошенничеством
Максут Шадаев, Минцифры России
Использование дипфейков будет отягчающим обстоятельством при совершении преступления
❤5✍3🔥1
...продолжение тезисов пленарного заседания
Основная задача на 2025 год
Сергей Зайцев, Генеральная прокуратура РФ
Максут Шадаев, Минцифры России
Андрей Храпов, МВД России
Эльвира Набиуллина, Банк России
Основная задача на 2025 год
Сергей Зайцев, Генеральная прокуратура РФ
- Совершенствование алгоритмов
- Создание платформы для противодействия мошенничеству
- Проведение мероприятий профилактического характера
- Восстановлением имущественных прав граждан, особенно социально-незащищенных
Максут Шадаев, Минцифры России
- Не допустить роста кибермошенничества
- Запустить антифрод-платформу и алгоритмы для взаимодействия
Андрей Храпов, МВД России
Развивать опыт по коллаборации с государственными ведомствами
Эльвира Набиуллина, Банк России
- Максимально эффективно использовать инструменты, которые дает закон о кредитном антифроде
- Научиться выявлять цепочки дропперов в автоматическом режиме
- Об’единять усилия - нужен системный обмен данными
❤2☃1🔥1😁1🌚1
Код ИБ ПРОФИ — точка притяжения самых топовых экспертов 🔥
Продолжаем раскрывать подробности программы практикума ПРОФИ | Кавказ. Оставайтесь на связи, чтобы не пропустить всю актуальную информацию 👇🏻
Кирилл Мякишев, директор по ИБ в Ozon, проведет мастер-класс "Коммерческие решения VS продукты собственной разработки"
О мастер-классе:
Готовые коммерческие решения или собственные разработки — что лучше для информационной безопасности компании? На мастер-классе обсудим плюсы и минусы каждого подхода, разберем ключевые этапы внедрения и проанализируем как это происходит на практике.
В рамках мастер-класса участники:
▪️ Разберут жизненный цикл коммерческих решений и продуктов собственной разработки.
▪️ Узнают о специфике подходов: преимущества, недостатки и вызовы при интеграции каждого из них.
▪️ Познакомятся с реальными примерами успешной реализации собственных разработок в Ozon.
План мастер-класса:
1. Жизненные циклы внедрения — какие этапы проходят коммерческие решения и собственные разработки: от идеи до поддержки.
2. Специфика подходов — плюсы, минусы и сложности внедрения готовых решений и собственных продуктов. Как выбрать оптимальный вариант с учетом потребностей бизнеса.
3. Практика Ozon — как компания использует собственные разработки для защиты данных и обеспечения безопасности.
Что получат участники:
• Понимание особенностей и разницы между коммерческими решениями и продуктами собственной разработки.
• Практические рекомендации по выбору и внедрению подхода.
• Реальные кейсы и инсайты из практики крупнейшего игрока e-com.
О спикере:
Кирилл начал карьеру в информационной безопасности в качестве специалиста в одной из ключевых телеком-компаний, где вырос до руководителя отдела ИБ. Затем возглавлял ИБ-проекты в различных структурах экосистемы крупного российского банка. С 2022 года руководит информационной безопасностью в Ozon. Кирилл имеет большой опыт в организации процессов, в том числе построении ИБ с нуля.
Продолжаем раскрывать подробности программы практикума ПРОФИ | Кавказ. Оставайтесь на связи, чтобы не пропустить всю актуальную информацию 👇🏻
Кирилл Мякишев, директор по ИБ в Ozon, проведет мастер-класс "Коммерческие решения VS продукты собственной разработки"
О мастер-классе:
Готовые коммерческие решения или собственные разработки — что лучше для информационной безопасности компании? На мастер-классе обсудим плюсы и минусы каждого подхода, разберем ключевые этапы внедрения и проанализируем как это происходит на практике.
В рамках мастер-класса участники:
▪️ Разберут жизненный цикл коммерческих решений и продуктов собственной разработки.
▪️ Узнают о специфике подходов: преимущества, недостатки и вызовы при интеграции каждого из них.
▪️ Познакомятся с реальными примерами успешной реализации собственных разработок в Ozon.
План мастер-класса:
1. Жизненные циклы внедрения — какие этапы проходят коммерческие решения и собственные разработки: от идеи до поддержки.
2. Специфика подходов — плюсы, минусы и сложности внедрения готовых решений и собственных продуктов. Как выбрать оптимальный вариант с учетом потребностей бизнеса.
3. Практика Ozon — как компания использует собственные разработки для защиты данных и обеспечения безопасности.
Что получат участники:
• Понимание особенностей и разницы между коммерческими решениями и продуктами собственной разработки.
• Практические рекомендации по выбору и внедрению подхода.
• Реальные кейсы и инсайты из практики крупнейшего игрока e-com.
О спикере:
Кирилл начал карьеру в информационной безопасности в качестве специалиста в одной из ключевых телеком-компаний, где вырос до руководителя отдела ИБ. Затем возглавлял ИБ-проекты в различных структурах экосистемы крупного российского банка. С 2022 года руководит информационной безопасностью в Ozon. Кирилл имеет большой опыт в организации процессов, в том числе построении ИБ с нуля.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2✍1
Продолжаем серию постов о том, как действовать руководителю по ИБ, если он пришел в новую компанию и ему нужно выстроить систему информационной безопасности.
Лайфхаками поделился Артём Куличкин, и. о. директора по ИБ ДЗО, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.
Часть 1: AD
Часть 2: Анализ инфраструктуры
Часть 3: Установка, настройка, доработка систем
1. Ограничить физический доступ к инфраструктуре — настроить доступ только для авторизованных сотрудников.
2. Обеспечить покрытие СЗИ всех возможных устройств — проверить наличие и обновление средств защиты.
3. Выстроить правильные метрики покрытия (АВЗ, EDR, SOC, IDS, DLP и т. д.)
4. Защитить почту с помощью Proxmox Mail Gateway + SMG (смотреть инструкцию на Хабре).
5. Внедрить менеджеры паролей (например KeePass) и обучить пользователей работать с ними.
6. Минимальные права у пользователей — проверить назначение прав доступа и ролевые модели.
7. Ограничить работу на правах администратора (статья по теме) — настроить политику безопасности.
8. Внедрить Local Administrator Password Solution (статья по теме).
9. Настроить VPN и двухфакторную аутентификацию для удаленной работы: VPN (RRAS, CISCO, др.) + Radius + любой OTP.
10. Промышленные данные только в защищённой среде: настроить политику хранения данных.
Подробнее про каждый шаг вы можете узнать в записи технического спринта Артёма Куличкина, которая доступна участникам Клуба ЗУБРЫ Кибербеза
Please open Telegram to view this post
VIEW IN TELEGRAM
✍5🎉2
Защитить не только киберпространство, но и жизнь человека
У Код ИБ есть добрая традиция: после каждой региональной конференции мы проводим дополнительную программу, которая дает еще больше поводов участникам интересно и с пользой провести время вместе.
Так, после недавней конференции в Красноярске, безопасники посетили мастер-класс по оказанию первой медицинской помощи. Участники подготовились к редким чрезвычайным ситуациям: реанимации при остановке сердца и удалению инородного предмета из верхних дыхательных путей.
Сначала изучили теорию с помощью интерактивной виртуальной игры, а затем своими руками попробовали применить знания на практике. Кроме того, побывали в кабинетах, где обучаются хирурги и акушеры, увидели стационар и современное медицинское оборудование.
В Красноярском краевом центре медицинского образования есть образовательные программы как для действующих врачей и студентов-медиков, так и для обычных граждан, которые хотят получить навыки оказания первой помощи.
У Код ИБ есть добрая традиция: после каждой региональной конференции мы проводим дополнительную программу, которая дает еще больше поводов участникам интересно и с пользой провести время вместе.
Так, после недавней конференции в Красноярске, безопасники посетили мастер-класс по оказанию первой медицинской помощи. Участники подготовились к редким чрезвычайным ситуациям: реанимации при остановке сердца и удалению инородного предмета из верхних дыхательных путей.
Сначала изучили теорию с помощью интерактивной виртуальной игры, а затем своими руками попробовали применить знания на практике. Кроме того, побывали в кабинетах, где обучаются хирурги и акушеры, увидели стационар и современное медицинское оборудование.
В Красноярском краевом центре медицинского образования есть образовательные программы как для действующих врачей и студентов-медиков, так и для обычных граждан, которые хотят получить навыки оказания первой помощи.
❤5👍3
Дорогие защитники цифровых рубежей!
Поздравляем вас с 23 февраля!
Благодаря вашему труду и самоотдаче мы живем в более защищенном цифровом мире.
Пусть ваши профессиональные успехи всегда сопровождаются личными победами, а каждое принятое решение укрепляет уверенность и доверие.
Желаем вам стойкости, вдохновения и неизменного стремления к совершенству в вашем важном деле.
С искренним уважением,
Команда Код ИБ ❤️
Поздравляем вас с 23 февраля!
Благодаря вашему труду и самоотдаче мы живем в более защищенном цифровом мире.
Пусть ваши профессиональные успехи всегда сопровождаются личными победами, а каждое принятое решение укрепляет уверенность и доверие.
Желаем вам стойкости, вдохновения и неизменного стремления к совершенству в вашем важном деле.
С искренним уважением,
Команда Код ИБ ❤️
❤11🎃3
⚡️ События недели
🔳 25 февраля | 12:00 по мск | Клуб ЗУБРЫ Кибербеза | Экспресс-аудит ИБ на практике
🔳 26 февраля | 11:00 по мск | Вебинар | Система мониторинга UDV ITM — комплексное решение для полного контроля инфраструктуры
🔳 26 февраля | 11:00 по мск | Вебинар | Социальная инженерия VS Культура ИБ
🔳 27 февраля | Код ИБ Тюмень
Приходите за лучшими вариантами решений по обеспечению ИБ организации, знаниями, а также общением с коллегами и экспертами. С нетерпением ждем встречи с участниками 🙌🏻
🔳 25 февраля | 12:00 по мск | Клуб ЗУБРЫ Кибербеза | Экспресс-аудит ИБ на практике
🔳 26 февраля | 11:00 по мск | Вебинар | Система мониторинга UDV ITM — комплексное решение для полного контроля инфраструктуры
🔳 26 февраля | 11:00 по мск | Вебинар | Социальная инженерия VS Культура ИБ
🔳 27 февраля | Код ИБ Тюмень
Приходите за лучшими вариантами решений по обеспечению ИБ организации, знаниями, а также общением с коллегами и экспертами. С нетерпением ждем встречи с участниками 🙌🏻
👍3❤2🔥2
Экспресс-аудит ИБ на практике
🗓 25 февраля в 12:00 по мск
Спринт посвящен аудиту информационной безопасности, как одному из ключевых навыков специалиста по защите.
Программа установочного вебинара:
1. Кратко обсудим виды аудита и их целесообразность.
2. Подробно разберем методологию. Выделим общие принципы проверок.
3. Детально рассмотрим ключевые проблемные места, которые встречаются в инфраструктуре чаще всего.
4. Посмотрим работу ключевых инструментов.
Через неделю, 4 марта, эксперт разберет выполненные домашние задания участников и даст подробную обратную связь.
🗣 Эксперт:
Александр Дмитриев, генеральный директор Нейроинформ
Встреча проводится только для членов Клуба ЗУБРЫ Кибербеза и пользователей платформы Код ИБ АКАДЕМИЯ.
🗓 25 февраля в 12:00 по мск
Спринт посвящен аудиту информационной безопасности, как одному из ключевых навыков специалиста по защите.
Программа установочного вебинара:
1. Кратко обсудим виды аудита и их целесообразность.
2. Подробно разберем методологию. Выделим общие принципы проверок.
3. Детально рассмотрим ключевые проблемные места, которые встречаются в инфраструктуре чаще всего.
4. Посмотрим работу ключевых инструментов.
Через неделю, 4 марта, эксперт разберет выполненные домашние задания участников и даст подробную обратную связь.
🗣 Эксперт:
Александр Дмитриев, генеральный директор Нейроинформ
Встреча проводится только для членов Клуба ЗУБРЫ Кибербеза и пользователей платформы Код ИБ АКАДЕМИЯ.
❤2🔥2
Главное событие по ИБ в Башкирии
CyberSecurity SABANTUY
🗓 13 марта | Начало в 9:30
📍 Уфа. Гостиница БАШКИРИЯ. ул. Ленина, 25/29
В программе мероприятия:
▪️ Вводная дискуссия "Кибербезопасность в цифровом мире": обсудим ключевые тренды в сфере цифровизации и ИБ, влияние технологий на развитие киберугроз и самые действенные способы противостоять им в 2025 году.
▪️ Три потока тематического трека "Технологии", во время которого выступят специалисты Яндекс 360, Secure-T, SoftMall, SoftLine, Код Безопасности, КиберПротект, SkyDNS, Information Security Lab, Red Soft, ИТ-Экспертиза, Phishman, Ovodov СyberSecurity, NGR Softlab, Стахановец.
▪️ Сессия "Регулятор на связи": пообщаемся с представителем регулятора и получим ответы на все актуальные вопросы.
▪️ Сессия "КиберСтендап": невыдуманные истории про успехи и падения расскажут представители компаний "Башкирэнерго", "ЕДИНЫЙ ЦУПИС", отраслевого центра компетенций по ИБ в промышленности Минпромторга России, УУНиТ.
▪️ Штабные киберучения с Антоном Бочкаревым (CEO/Founder "Третья Сторона") помогут не только глубже понять современные угрозы в области ИБ, но и на практике испытать знания в защите цифровых активов компании.
▪️ После деловой программы участников ждет:
— Неформальный ужин с коллегами и нетворкинг;
— Питч-сессии IT-стартапов в Уфимском межвузовском кампусе Евразийского НОЦ;
— Экскурсия в Евразийский НОЦ: заглянем в гости сразу к нескольким резидентам, чтобы познакомиться с их разработками;
— Прогулка выходного дня.
Полная программа — на сайте Код ИБ.
Регистрируйтесь уже сейчас! Количество мест ограничено.
CyberSecurity SABANTUY
🗓 13 марта | Начало в 9:30
📍 Уфа. Гостиница БАШКИРИЯ. ул. Ленина, 25/29
В программе мероприятия:
▪️ Вводная дискуссия "Кибербезопасность в цифровом мире": обсудим ключевые тренды в сфере цифровизации и ИБ, влияние технологий на развитие киберугроз и самые действенные способы противостоять им в 2025 году.
▪️ Три потока тематического трека "Технологии", во время которого выступят специалисты Яндекс 360, Secure-T, SoftMall, SoftLine, Код Безопасности, КиберПротект, SkyDNS, Information Security Lab, Red Soft, ИТ-Экспертиза, Phishman, Ovodov СyberSecurity, NGR Softlab, Стахановец.
▪️ Сессия "Регулятор на связи": пообщаемся с представителем регулятора и получим ответы на все актуальные вопросы.
▪️ Сессия "КиберСтендап": невыдуманные истории про успехи и падения расскажут представители компаний "Башкирэнерго", "ЕДИНЫЙ ЦУПИС", отраслевого центра компетенций по ИБ в промышленности Минпромторга России, УУНиТ.
▪️ Штабные киберучения с Антоном Бочкаревым (CEO/Founder "Третья Сторона") помогут не только глубже понять современные угрозы в области ИБ, но и на практике испытать знания в защите цифровых активов компании.
▪️ После деловой программы участников ждет:
— Неформальный ужин с коллегами и нетворкинг;
— Питч-сессии IT-стартапов в Уфимском межвузовском кампусе Евразийского НОЦ;
— Экскурсия в Евразийский НОЦ: заглянем в гости сразу к нескольким резидентам, чтобы познакомиться с их разработками;
— Прогулка выходного дня.
Полная программа — на сайте Код ИБ.
Регистрируйтесь уже сейчас! Количество мест ограничено.
🔥6❤1👍1
Код ИБ ПРОФИ — точка притяжения самых топовых экспертов 🔥
Продолжаем раскрывать подробности программы практикума ПРОФИ | Кавказ. Оставайтесь на связи, чтобы не пропустить всю актуальную информацию 👇🏻
Денис Макрушин, Chief Product Officer продуктов безопасной разработки в Яндексе, проведет мастер-класс "Код не в ИБ: как атакуют и спасают разработчика"
О мастер-классе:
Атаки на цепочку поставок становятся причиной проникновения в компанию, которая занимается разработкой продукта. Манипулирование зависимостями в SDLC позволяет злоумышленникам массово получать доступ к рабочим станциям разработчиков, интеллектуальной собственности и дальше распространять вредоносный код.
Мы изучили нетривиальные векторы атак в популярных платформах для разработки и проанализировали структуру зависимостей в пакетных менеджерах. Итогом исследования стало определение масштабов угрозы: более 1000 скомпрометированных репозиториев.
В мастер-классе на примере реальных кейсов мы рассмотрим эффективные тактики и инструменты атакующих. В результате определим практические меры, позволяющие CISO снизить риски для конвейера разработки. А также рассмотрим, как в этой задаче им помогает и мешает LLM.
План мастер-класса:
1. Введение в проблему: обзор современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
2. Анализ векторов атак: изучение нетривиальных векторов атак на популярные платформы для разработки и анализ структуры зависимостей в пакетных менеджерах.
3. Масштабы угрозы: представление результатов исследования, выявившего более 1000 скомпрометированных репозиториев.
4. Реальные кейсы: рассмотрение эффективных тактик и инструментов атакующих на примере реальных кейсов.
5. Практические меры: определение мер для снижения рисков в конвейере разработки, которые могут быть внедрены в практику CISO.
6. Роль языковых моделей (LLM): обсуждение того, как LLM могут помогать или мешать в задачах обеспечения безопасности разработки.
Что получат участники:
— Понимание современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
— Знания о нетривиальных векторах атак и способах их выявления.
— Практические рекомендации по защите конвейера разработки от подобных угроз.
— Опыт использования языковых моделей (LLM) для обеспечения безопасности разработки.
О спикере:
• Ранее в роли технического директора компании "МТС" отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности.
• До этого на позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.
• Выпускник факультета информационной безопасности НИЯУ МИФИ. Регулярно делится исследованиями в авторском канале.
Продолжаем раскрывать подробности программы практикума ПРОФИ | Кавказ. Оставайтесь на связи, чтобы не пропустить всю актуальную информацию 👇🏻
Денис Макрушин, Chief Product Officer продуктов безопасной разработки в Яндексе, проведет мастер-класс "Код не в ИБ: как атакуют и спасают разработчика"
О мастер-классе:
Атаки на цепочку поставок становятся причиной проникновения в компанию, которая занимается разработкой продукта. Манипулирование зависимостями в SDLC позволяет злоумышленникам массово получать доступ к рабочим станциям разработчиков, интеллектуальной собственности и дальше распространять вредоносный код.
Мы изучили нетривиальные векторы атак в популярных платформах для разработки и проанализировали структуру зависимостей в пакетных менеджерах. Итогом исследования стало определение масштабов угрозы: более 1000 скомпрометированных репозиториев.
В мастер-классе на примере реальных кейсов мы рассмотрим эффективные тактики и инструменты атакующих. В результате определим практические меры, позволяющие CISO снизить риски для конвейера разработки. А также рассмотрим, как в этой задаче им помогает и мешает LLM.
План мастер-класса:
1. Введение в проблему: обзор современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
2. Анализ векторов атак: изучение нетривиальных векторов атак на популярные платформы для разработки и анализ структуры зависимостей в пакетных менеджерах.
3. Масштабы угрозы: представление результатов исследования, выявившего более 1000 скомпрометированных репозиториев.
4. Реальные кейсы: рассмотрение эффективных тактик и инструментов атакующих на примере реальных кейсов.
5. Практические меры: определение мер для снижения рисков в конвейере разработки, которые могут быть внедрены в практику CISO.
6. Роль языковых моделей (LLM): обсуждение того, как LLM могут помогать или мешать в задачах обеспечения безопасности разработки.
Что получат участники:
— Понимание современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
— Знания о нетривиальных векторах атак и способах их выявления.
— Практические рекомендации по защите конвейера разработки от подобных угроз.
— Опыт использования языковых моделей (LLM) для обеспечения безопасности разработки.
О спикере:
• Ранее в роли технического директора компании "МТС" отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности.
• До этого на позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.
• Выпускник факультета информационной безопасности НИЯУ МИФИ. Регулярно делится исследованиями в авторском канале.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2✍1👍1
Forwarded from IT-мир по-русски | Арсенал+
🔥«Арсенал+» на передовой цифровой трансформации! 🚀
Сегодня команда «Арсенал+» приняла участие в конференции «Код ИБ» в Тюмени, посвященной вопросам информационной безопасности и цифровой трансформации
Алексей Тюменцев, президент «Арсенал+», поделился экспертным мнением о стратегиях и практических решениях цифровой трансформации
На нашем стенде гости увидели в действии Промышленный ПАК и реестровый ПК - наши новейшие разработки, которые вызвали огромный интерес!
Хотите узнать больше о наших решениях для цифровой трансформации? Переходите на наш сайт! 💻
Благодарим «Код ИБ» и Департамент информатизации Тюменской области за организацию такого важного мероприятия!
#АрсМеро
Сегодня команда «Арсенал+» приняла участие в конференции «Код ИБ» в Тюмени, посвященной вопросам информационной безопасности и цифровой трансформации
Алексей Тюменцев, президент «Арсенал+», поделился экспертным мнением о стратегиях и практических решениях цифровой трансформации
На нашем стенде гости увидели в действии Промышленный ПАК и реестровый ПК - наши новейшие разработки, которые вызвали огромный интерес!
Хотите узнать больше о наших решениях для цифровой трансформации? Переходите на наш сайт! 💻
Благодарим «Код ИБ» и Департамент информатизации Тюменской области за организацию такого важного мероприятия!
#АрсМеро
❤3🔥3
Продолжаем серию постов о том, как действовать руководителю по ИБ, если он пришел в новую компанию и ему нужно выстроить систему информационной безопасности.
Лайфхаками поделился Артём Куличкин, и. о. директора по ИБ ДЗО, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.
Часть 1: AD
Часть 2: Анализ инфраструктуры
Часть 3: Установка, настройка, доработка систем
Часть 4: Дополнительные меры безопасности
1. Администрирование из специального сегмента: настроить отдельные учетные записи и права.
— сегментирование сети
— разделить прод, тест, деф
— запретить выход в интернет из серверного сегмента
— обеспечить выход в интернет через единый прокси с авторизацией
2. Включить расширенный аудит: настроить EventLog, Symon, Auditd.
Статьи по теме:
— Настройка аудита в Windows для полноценного SOC-мониторинга
— Основы аудита. Настраиваем журналирование важных событий в Linux
3. Настроить доступ по ключам SSH.
4. Patch Management: настроить регулярное обновление ОС и ПО.
5. Настроить регулярное резервное копирование и тестирование восстановления.
6. Настроить SSH для запрета доступа root.
Подробнее про каждый шаг вы можете узнать в записи технического спринта Артёма Куличкина, которая доступна участникам Клуба ЗУБРЫ Кибербеза
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2🔥2
HTML Embed Code: