Куда я попал?
Обновления
Новости
- В конструктор документов добавлена возможность использовать любые поля из активов, связанных вертикальной или горизонтальной связью.
- В модуле RPA в операцию создания задачи добавлена опция «При завершении задачи перевести меру в статус», которая влияет на все привязанные к задаче защитные меры.
- В модуле требований в блоке «Связанные защитные меры» появилась вкладка «Рекомендации». В ней для каждого требования приводятся защитные меры из команды или базы Community, которые подходят для его выполнения напрямую или косвенно.
- В глобальных настройках для полей активов появилась опция «Не журналировать изменения поля».
- В интеграцию с Metascan добавлена возможность ручного импорта файлов с отчетами.
- В интеграцию с DefZone добавили опции уведомления на почту в случае нарушения порогов у метрик операционных показателей.
Добавлены документы:
- ГОСТ Р № 71207-2024 от 18.01.2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
- Закон Буркина-Фасо №014-2024/ALT от 09.07.2024 «Обеспечение безопасности информационных систем в Буркина-Фасо».
- Закон Республики Казахстан № 418-V ЗРК от 24.11.2015 «Об информатизации».
Исправили баги в модулях задачах, VM, активов, а также в интеграцииях с Metascan, RedCheck, Openmeger, Jira и Kaspersky.
1. Добавлена настройка политик для автоматической блокировки учётных записей. Пользователь может гибко настраивать параметры под свои нужды, но для удобства предусмотрены значения по умолчанию.
Значения по умолчанию:
- Число неудачных попыток входа: 5 раз/мин
- Продолжительность блокировки для входа: 3 мин.
- Число неудачных попыток сброса пароля: 3 раза/мин
- Продолжительность блокировки для сброса пароля: 1 мин
2. Добавлена функция автоматической блокировки неактивных пользователей через N дней. Система сверяет дату последнего входа с установленным лимитом.
При превышении лимита (например, 3 дня) учётная запись блокируется. Разблокировать её может только глобальный администратор. После этого у пользователя снова есть N дней на вход, чтобы избежать её повторной блокировки.
3. Добавлена функция ручной блокировки пользователей.
4. Расширены настройки парольных политик:
- Сложность паролей (группы символов).
- Минимальная длина пароля.
- Срок действия пароля (дней).
- В опции "Исключить словарные пароли" обновлена база словарных паролей.
5. Добавлена опция безопасности "Отключить открытие вложений в браузере". Её цель — повысить безопасность, предотвращая открытие потенциально опасных вложений прямо в браузере. При включении этой опции все вложения будут скачиваться напрямую на компьютер пользователя.
6. Добавлена возможность создания информационного баннера к форме входа в систему. В него можно добавить любой текст, чтобы донести важную информацию до пользователей перед авторизацией.
7. В личном профиле пользователя добавилась новая опция "Разрешать только одну сессию учётной записи".
Формальные аудиты и тесты не всегда могут предугадать действия реального атакующего. Их главный недостаток — ограниченность во времени и предсказуемость. Жизнь системы не стоит на месте, а угрозы эволюционируют.
И мы решили пойти дальше и впустили в наш продукт независимых исследователей. Это был эксперимент, который изменил наше представление о безопасности.
Что мы получили?
- Неочевидные уязвимости, которые не нашел бы внутренний аудит.
- Быстрое внедрение фиксов в DevSecOps-цикл.
- Постоянное обучение команды на реальных кейсах.
- И самое главное — доверие клиентов.
Признание того, что мы открыты к проверке и готовы к критике, стало нашим конкурентным преимуществом.
Читайте наш разбор философии Bug Hunting и о том, как превратить хакеров в союзников.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.