Рубрика «supply chain»
gh0stEdit: как скрытно заразить Docker-образ, обходя его подпись и историю
2025-09-17 в 7:16, admin, рубрики: CICD, DevSecOps, docker, supply chain, безопасность, контейнеры, подпись образов, уязвимости, эксплуатация
Пришло время рассказать всю правду о взломе компании RSA
2021-05-21 в 9:18, admin, рубрики: apt1, L-3, Lockheed Martin, Northrop Grumman, rsa, solarwinds, supply chain, анб, Блог компании ITSumma, взлом, информационная безопасность, карточный домик, криптография, лазерные микрофоны, модель угроз, оборонные подрядчики, поверхность атаки, промышленный шпионаж, разведка, ФБР, цепочка поставщиков
У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году. Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в истории атака на «цепочку поставок» (supply chain attack), которая вызвала серьёзную обеспокоенность у американских спецслужб, мягко говоря.
Что такое атака на цепочку поставок? Если вы не можете напрямую атаковать сильного противника типа АНБ или ЦРУ, то вы находите их партнёра — и внедряетесь в его продукт. Один такой взлом даёт доступ сразу в сотни серьёзно защищённых организаций. Так произошло недавно с SolarWinds. Но бывшие сотрудники компании RSA смотрят на SolarWinds и испытывают чувство дежавю. Ведь в 2011 году неизвестные хакеры получили доступ к самому ценному, что было в компании RSA — хранилищу сидов (векторов генерации). Они используются для генерации кодов двухфакторной аутентификации в аппаратных токенах SecurID, а это десятки миллионов пользователей в правительственных и военных агентствах, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.
Впрочем, обо всё по порядку.
Читать полностью »
Security Week 17: атаки по цепи поставок
2019-04-22 в 16:30, admin, рубрики: hotmail, outlook, supply chain, wipro, Блог компании «Лаборатория Касперского», информационная безопасность
В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют доверенные каналы связи. Покупка компьютера, который каким-то образом уже заражен, взлом субподрядчика, имеющего доступ к корпоративным ресурсам клиента, распространение зараженной версии ПО с сайта официального разработчика — это типичные примеры атаки на цепочку поставщиков.
Еще серьезнее может быть проблема, когда жертвой оказывается компания, предоставляющая вам услуги удаленного обслуживания инфраструктуры IT или оказывающая услуги по разработке ПО и внедрению IT-систем. Аутсорсинг подобных задач сторонним организациям является распространенной практикой. На прошлой неделе стало известно об атаке на индийскую компанию Wipro, крупного поставщика IT-услуг. Сначала о компрометации корпоративной сети Wipro написал независимый журналист Брайан Кребс, а потом информацию подтвердили в самой компании (новость, статья Брайана).
Читать полностью »
Как работает оптовая торговля, почему она должна жить, и почему — должна умереть
2016-02-15 в 12:50, admin, рубрики: B2B, business analytic, business model, finance, forecasting, growth hacking, scm, supply chain, Блог компании Mycroft Business Solutions, Управление e-commerce, финансы в ITТак как я почти всю «предпринимательскую» карьеру работаю с B2B, то давайте расскажу вам — как работают оптовики, с какими проблемами сталкиваются и как их решают. Почему они должны жить и почему они должны умереть.
Я регулярно вижу непонимание интернет-магазинов и розничных магазинов своих поставщиков. Считаю что это от того, что они сами небыли в шкуре оптовиков, и потому не понимают их проблемы, а они существенно отличаются от проблем B2C.
Планирование продаж сезонных товаров с учетом меняющихся экономических условий
2016-01-28 в 9:50, admin, рубрики: demand planning, forecasting, sales plan, seasonality, supply chain, trends, Блог компании Mycroft Business Solutions, Развитие стартапа, Управление e-commerce, Управление продажами, метки: demand planning, forecasting, sales plan, seasonality, supply chain 
Выработка плана продаж, и обеспечение этого плана, — острый вопрос в текущей экономической ситуации. Неверно составленный план приводит убыткам прямым — как в случае избыточного хранения товара на складе, так и косвенным – в случае недостачи товара на складе, что приводит к упущенной выгоде, ухудшению сервиса, и, даже, лишним выплатам бонусов менеджерам по продажам.
Одна из проблем, сильно влияющих на составление плана – сезонность продаж некоторых товаров. Одни товары, например — кроссовки для бега, летом — более популярны, чем зимой. А вот обогреватели продаются лучше в холодное время года. Эти товары — сезонные.
Разброд вносит так же нестабильная макроэкономическая ситуация, когда инфляция толкает цены вверх, а снижающийся покупательский спрос вынуждает снижать продажи в количественном выражении. Кроме негативных факторов, могут так же влиять и факторы позитивные – как по компании в целом — если компания активно растет, так и по конкретным товарным позициям – если вы много вкладываетесь в маркетинг товара, то спрос на них может расти быстрее роста компании. Все это вносит корректирующий элемент в прогнозы, потому что уже не так однозначно стоит ориентироваться на информацию об истории продаж, не принимая во внимание реальную ситуацию.
А ваша команда создает проблемы для снабженцев?
2015-07-23 в 7:23, admin, рубрики: business analytic, business development, management, scm, supply chain, Блог компании Mycroft Business Solutions, Развитие стартапа, Управление e-commerce, Управление продажамиMycroft Assistant: При построении цепи поставок, важным является не только автоматизация работы и абстрактные количественные значения как таковые, но и решение организационных вопросов и решение проблем со взаимодействием в компании. Руководство должно принимать во внимание и осознавать сложности, связанные с построением эффективной цепочки снабжения, и организовать на должном уровне взаимодействие между различными отделами. Если это будет сделано, то синергетический эффект, полученный в результате решения организационных вопросов и применения методов автоматизации даст намного больший эффект для построения эффективного снабжения, чем применение только какого-то одного составляющего. Мы со своей стороны можем решить вопрос автоматизации (предлагая экспертную систему по управлению запасами Mycroft Assistant), но организационные вопросы должны решаться внутри компании волей руководителя.
Основные проблемы, связанные с коммуникацией внутри компании в контексте построения эффективного снабжения, были неплохо описаны в англоязычной статье известной консалтинговой фирмой McKinsey (основана в 1926 году; профилируется на консалтинге в области управления; 17 000 сотрудников), которую мы предлагаем вашему вниманию в русскоязычном переводе.