Подобрали примечательные материалы из хабраблога Beeline Cloud и нашей площадки для обмена опытом между ИТ-специалистами — «вАЙТИ». В подборку вошли материалы об устройстве стандартов и авторского права, open source в России и мире, кибербезопасности, а также инструментах и подходах к построению инфраструктуры.
Непростые отношения: ИТ и закон
Нарушение авторских прав на ПО при тестировании защищенности. Перед проведением пентестов российские ИБ-специалисты обязаны получить разрешение от разработчиков ПО, чьи продукты используются в тестируемой системе. В противном случае можно попасть под статью 1301 ГК РФ за нарушение авторского права — со штрафами до пяти миллионов рублей и всеми вытекающими.
В материале юрист в сфере ИТ касается тонкостей современного законодательства, ссылается на судебную практику. Автор также отмечает законопроект, который должен был легализовать работу «белых хакеров», но был отклонен во втором чтении.
Как разные страны решают вопрос защиты биометрических данных. Подходы к работе с биометрией в России, ЕС, США и Китае ожидаемо разнятся. Об отличиях рассказывает заместитель генерального директора в ЦБД — компании, развивающей Единую биометрическую систему. Например, в США каждый штат принимает законы, регулирующие обработку персональных и биометрических данных, а страны Евросоюза, наоборот, опираются на единые нормы. У нас в России работу с биометрией определяет 152-ФЗ «О персональных данных», 572-ФЗ и другие федеральные законы. В то же время стандарты хранения биометрии определяются типом системы (государственная/коммерческая) и классом криптографической защиты (КВ, КС3).
Во второй части материала специалист приводит рекомендации для компаний, разрабатывающих системы хранения и обработки биометрии: как защищать образцы, соблюдать этику, выстраивать доверие между компанией и пользователем.
Контент от ИИ: правовые тонкости и маркировка. Юрист консалтинговой компании пишет об инициативах российских регуляторов, направленных на расследование инцидентов с использованием генеративных моделей и «дипфейков». Также автор рассказывает о законах про маркировку ИИ-контента, которые реализуют в мире. Например, в США был представлен акт Generative AI Copyright Disclosure. Если он будет принят, то обяжет разработчиков нейросетей раскрывать перечень задействованных в их обучении данных, чтобы исключить незаконное использование авторского контента.
Национальные стандарты в области интернета вещей. Генеральный директор компании-разработчика веб-приложений рассматривает профильные ГОСТы и предварительные национальные стандарты (ПНСТ) в сфере российского IoT. Например, в контексте промышленного интернета вещей есть ПНСТ 643—2022, утверждающий термины и определения. В то же время ПНСТ 831—2023 описывает квантовый интернет вещей — его принципы, особенности и области применения, а ПНСТ 906—2023 — архитектуру подобного ПО для распределения ключей. Кроме того, можно почитать о нескольких стандартах, которые утратили актуальность в прошлом году.
Никогда не поздно «влиться» в open source
Первые шаги open source-контрибьютора: лучшие практики и руководства. Собрали материалы для желающих начать путешествие в мир опенсорса — как предлагать правки, к каким советам «старожилов» стоит прислушаться, а какие ошибки лучше не повторять. В дайджест вошли заметки разработчика-самоучки и даже материал в духе вредных советов. Также обсуждаем исследование, авторы которого приводят рекомендации для новичков, желающих оформить свой первый пул-реквест. Специалисты предлагают браться за задачи из списка For Good First Issue и избегать длинных описаний — такие правки отклоняют чаще всего. А еще в подборку попал GitHub-репозиторий с десятками материалов для open source-контрибьюторов, в лучших традициях awesome-подборок.
Экспериментальный селф-хостинг — материалы и гайды для начинающих. Внутри можно найти открытую веб-книгу по базовой теории с лучшими практиками Ansible и Docker, статью-руководство с пошаговым описанием настройки сервера синхронизации Firefox, а также решения для развертки собственной домашней лаборатории. Кстати, мы включили несколько примеров таких лабораторий — желающие могут использовать их в качестве отправной точки для построения собственной системы.
Open source-тренды, деньги и облака. Наш обзорный материал, посвященный интересным находкам из исследования Census III, цель которого — оценить, насколько широко открытое ПО используется в коммерческих разработках. Open source-компоненты содержат до 96% кодовых баз, и при этом компании все чаще обращаются к специализированным библиотекам для работы с облаками — например, boto3 и google-cloud-go. Также затрагиваем финансовую и управленческую сторону вопроса: как и почему организации поддерживают развитие опенсорса. Дополнительно собрали комментарии по теме от российских экспертов и open source-стратегов.
Что будет с open source в России. Нюансы лицензирования систем ИИ. Это — обзор тенденций последних лет в области разработки открытого ПО, а также попытка разобраться, как эти изменения могут «сыграть» в российском правовом поле. Автор рассказывает, в чем состоит сложность поддержания лицензионной целостности в процессе работки ПО. Также статья пытается найти ответ на вопрос: «Можно ли регулировать контент, но не трогать открытый код?».
Строим продукт на open source: опыт разработки системы видеоаналитики. Менеджер продукта рассказал, как его команда реализовала аналитическую систему для отслеживания передвижения людей и автомобилей. Специалисты построили пайплайн обработки визуальных данных, API и интеграции поверх открытых библиотек компьютерного зрения и машинного обучения. В стек вошел инструментарий для анализа изображений и видео YOLO, фреймворк PyTorch, а также библиотеки OpenCV и NumPy. Система поддерживает тридцать RTSP-потоков на сервере, а от появления объекта в кадре до его распознавания проходит менее одной секунды. Автор поделился трудностями, с которыми столкнулась команда (от артефактов изображений до потерь кадров), и рассказал, как их удалось преодолеть.
Кибербезопасность — не роскошь
Базовый минимум: зачем вашей компании WAF. Материал для начинающих сетевых администраторов и в принципе всех, кому нужно оперативно разобраться в вопросе. Делимся наблюдениями в области киберзащиты: почему злоумышленники так «любят» веб-приложения, кому нужен WAF и чем может помочь наш сервис для анализа трафика Cloud WAF Pro. В частности, он защищает от атак из перечня OWASP Top-10, реализует функции мониторинга и формирует инфокарточки для каждого ИБ-инцидента.
Пилюля против фишинга. Говорим о типах фишинговых атак: вишинге, «китовой охоте» и бейтинге, когда злоумышленники пытаются «подкинуть» жертве зараженную флешку в надежде, что она из любопытства подключит ее к ПК. Также приводим некоторые рекомендации, как защитить себя и компанию — и рассказываем, что предложит наша платформа Cloud Security Awareness (SA) для тренировки персонала.
История «World Backup Day» и компактный дайджест решений. Каждый год 31 марта отмечается Международный день резервного копирования. В материале кратко рассказали, как появилась эта своеобразная дата, которой посвящают веб-комиксы и сайты. Вспомнили, про забавные и изобретательные подходы к празднованию: адвент-календари, соревнования в стихосложении на тему бэкапов, мини-игры наподобие «Змейки», где нужно собирать не яблоки, но серверные стойки. А еще подготовили подборку коммерческих и открытых решений для хранения бэкапов: от классических систем резервного копирования по типу Borg до менеджера сохранений из игр Ludusavi.
Используем машинное обучение для обнаружения инсайдерских угроз. Материал начинается с базы: что вообще такое инсайдерская угроза. Далее автор рассказывает, как ей можно противостоять на примере корпоративного инструмента для аналитики действий пользователей от его компании. В частности, перечислены поведенческие сценарии: как система ИИ обнаруживает злонамеренных и «скомпрометированных» инсайдеров [первые «злоупотребляют» привилегированным доступом, а вторые — активно меняют устройства и создают фиктивные учетные записи]. Специалист также делится инсайтами — например, чтобы справиться с обработкой больших объемов данных на лету, команда внедрила ClickHouse для их краткосрочного хранения.
Выбираем оптимальный инструмент тестирования безопасности. Руководитель направления безопасности открытого ПО рассказывает про методологии оценки киберзащиты. Среди них: компонентный анализ (SCA), статическое, динамическое и интерактивное тестирование безопасности приложений (SAST, DAST и IAST соответственно). Он также описывает особенности и преимущества технологии RASP — самозащиты приложений во время выполнения. При оценке методов учитывались такие факторы, как сложность реализации, влияние на жизненный цикл разработки ПО, ложноположительные и ложноотрицательные срабатывания. Так, DAST обнаруживает уязвимости, но не их источники. IAST же позволяет «докопаться» до корня проблемы и порождает меньше ложных срабатываний, но сложен для внедрения.
Инфраструктура «по кирпичикам»
От PPP до облака: как развивался и зачем нужен SD-WAN. В этой вводной статье предлагаем познакомиться с концепцией комплекса решений SD-WAN. Говорим не о сухих технических деталях, а об эволюции технологии, ее распространении на рынке сетевых инфраструктур: с момента ее появления в восьмидесятых до превращения в стандарт для среднего и крупного бизнеса. Также даем рекомендации, кому и когда может понадобиться Cloud SD-WAN. Например, если компании не хватает штата ИТ-специалистов, потребовался резервный канал связи или появилась необходимость в использовании универсального оборудования. Статья будет полезна как начинающим системным администраторам, так и менеджерам компаний.
Четыре ключевых принципа по проектированию инфраструктуры для Big Data. Тимлид консалтинговой компании рассказывает про критерии масштабируемости, отказоустойчивости, производительности и безопасности — и на какие из них обращать внимание в первую очередь. Все это с примерами, формулами и таблицами — в том числе, как быстро «прикинуть» бюджет на защиту данных. Также есть короткий подраздел с лучшими практиками. Специалист советует каждый год закладывать в бюджет расходы на увеличение до 30% емкости KMS-операций (шифрования/расшифровывания файлов) и учитывать особенности регионального законодательства.
Новый подход к оценке производительности облачной инфраструктуры для 1С. Рассказали о том, как мы искали способ оценки производительности 1С-серверов в облаке. Привычные синтетические тесты по типу бенчмарка Гилева уже не так эффективны — нет проверок отказоустойчивости, устаревшие алгоритмы. В итоге мы пришли к развертыванию типового трехзвенного стенда 1С ERP, чтобы смоделировать нагрузку сотен пользователей на ресурсе. Разумеется, приводим результаты тестов, указываем временные затраты на настройку сценариев.
Beeline Cloud — secure cloud provider. Разрабатываем облачные решения, чтобы вы предоставляли клиентам лучшие сервисы.
Другие тематические подборки в нашем блоге на Хабре:
