Форум информационной безопасности - Codeby.net

В этом материале разберём, как Kyverno встраивается в admission pipeline Kubernetes и где именно он становится последним фильтром между kubectl apply и etcd. Без абстракций - mutating и validating webhook'и, failurePolicy, background scan и реальные сценарии, где политика либо спасает кластер, либо валит тебе деплой в самый неподходящий момент.

Пройдёмся по production-настройке: Helm values, таймауты вебхуков, HA, отчёты, PolicyReport, mutate/generate/validate политики и типовые запреты вроде privileged, hostNetwork, :latest, отсутствующих requests/limits. С прицелом не на лабораторию, а на живой кластер, где у политик есть цена ошибки.

В финале сведём всё к практическому результату: как сделать так, чтобы Kyverno не был декоративным YAML над кластером, а реально держал дисциплину, помогал аудиту и ловил мусор ещё до того, как он доедет до production.

В этом материале разберём, почему CNI в Kubernetes - это не вспомогательная сеть, а часть доверенной базы кластера. Пройдём путь от kubelet и CNI-вызова до datapath в ядре, чтобы стало понятно, где именно рождаются задержки, дыры в сегментации и сетевые сбои.

По косточкам разложим Cilium и Calico: архитектуру агентов, eBPF и iptables dataplane, L3/L4 и L7-политики, Hubble, BGP, GlobalNetworkPolicy, особенности observability и поведение под реальной нагрузкой. Без маркетингового тумана - только то, что влияет на прод.

В финале сведём всё к практическому выбору: когда брать Cilium, когда Calico, где упрёшься в ядро, где - в BGP, а где - в командную зрелость. Плюс бенчмарки, миграция с rollback-планом и список граблей, которые обычно всплывают уже после запуска.

В этом материале разбирается PowerShell не как язык для админских скриптов, а как полноценный LOTL-инструмент постэксплуатации. От легитимности powershell.exe и работы с .NET до роли AMSI, CLM и Script Block Logging - без мифов и с нормальным разбором того, почему этот стек до сих пор остаётся рабочим полем и для атакующего, и для защитника.

По ходу статьи автор проходит по ключевым узлам современной PowerShell-эксплуатации: ограничения новых версий Windows, телеметрия Defender, логирование, работа в памяти, постэксплуатация в домене и персистентность. Материал строится вокруг практики и мышления оператора, а не вокруг набора разрозненных трюков.

В финале текст сводит всё к самому важному: что именно видит Blue Team, какие события и цепочки реально палят активность, где offensive-техники упираются в защиту и почему в 2026 году PowerShell - это уже не история про "запустил IEX и полетел", а про точность...

[sizer=4] SSRF давно перестал быть багом из учебных лабораторок, где сервер просто идёт на localhost. В современных API он прячется в webhook'ах, PDF-рендерах, загрузке SVG/XML, импорте по ссылке и любых функциях, где приложение само ходит по сети от имени пользователя.

В статье разберём, почему в облаке такой дефект быстро становится намного тяжелее: metadata endpoints, IAM-credentials, attached identity, IMDSv2, Metadata-Flavor: Google и реальные последствия для AWS, Google Cloud и Yandex Cloud. Покажем, как одна "безобидная" интеграция превращается в доступ к внутреннему контуру и облачной плоскости управления.

Отдельно пройдёмся по обходам фильтров, на которых ломаются даже зрелые системы: IP obfuscation, DNS rebinding, URL parsing inconsistencies, redirect chains и ошибки allowlist/blacklist-логики. А в финале соберём практическую защиту - от сетевой изоляции и metadata hardening до code review, Semgrep и безопасной...

Rate limiting часто воспринимают как простую галочку на API-шлюзе: поставили порог, начали возвращать 429 - значит защита есть. В статье разбираем, почему на практике всё ломается раньше: на прокси-заголовках, разных ключах агрегации, дорогих GraphQL-операциях и тяжёлых endpoint’ах, которые формально укладываются в лимит, но всё равно жгут ресурсы системы.

Ты увидишь, как на самом деле устроены fixed window, sliding window и token bucket, где они дают слабину и почему один счётчик почти никогда не спасает API в живой архитектуре. Отдельно разберём, как ломается логика лимита между edge, gateway и приложением, почему считать только по IP давно мало и как дорогие операции вообще выпадают из наивной модели “N запросов в минуту”.

Это практический материал для API-пентестеров, backend-разработчиков, DevSecOps и SRE. Покажем, как нормально проверять rate limiting без вредных сценариев, что фиксировать в отчёте и как...

Глобальный privacy compliance в 2026 году - это уже не “юридический хвост”, а часть продуктовой архитектуры
В статье разберём, как думать о GDPR, CCPA/CPRA и LGPD не как о трёх отдельных кошмарах для юристов, а как о единой инженерной задаче: построить слой комплаенса, который выдержит несколько юрисдикций сразу и не превратит продукт в свалку исключений и легаси-логики. В центре внимания - не только права субъектов данных, но и то, как всё это реально ложится на backend, consent flows, DSR automation и data architecture.

Покажем, где именно у этих законов совпадает ядро, а где начинается болезненная дельта
Вы увидите, как отличаются подходы к access, deletion, portability, consent, opt-in и opt-out, почему GDPR заставляет мыслить legal basis, CCPA - sale/share и GPC, а LGPD добавляет свои локальные основания и более короткие сроки ответа. Это как раз тот уровень, где архитектору уже...

Дрейф конфигурации редко выглядит как громкий сбой. Обычно всё начинается с мелких ручных правок: где-то ослабили SSH, где-то забыли вернуть аудит, где-то новый сервер подняли “на время” с отклонением от baseline. В статье разбираем, как автоматизация hardening через Ansible и Chef InSpec помогает не дать этим мелочам превратиться в норму.

Ты увидишь, как собрать рабочий baseline для Linux и Windows, как раскладывать hardening по ролям, где нужны исключения, а где их лучше не плодить. Отдельно разберём, как выглядят практические фрагменты для Ansible, как проверять соответствие после применения настроек и как не превратить автоматизацию в ещё один источник хаоса.

Это практический материал для DevOps, SecOps, системных администраторов и compliance-инженеров. Покажем, как связать hardening, аудит и обнаружение drift в один нормальный процесс: новый сервер получает нужную конфигурацию сразу, а действующий - регулярно...

PowerShell 7 для Blue Team - это уже не “админская консоль”, а полноценный инструмент охоты и реагирования
В статье разберём, как использовать PowerShell 7 для анализа Windows-логов, поиска IOC, аудита персистентности, работы с Sysmon и автоматического реагирования, когда времени на ручной разбор просто нет. В центре внимания - реальная Blue Team-практика: не теория ради теории, а то, что помогает видеть атаку в логах и быстро превращать находки в действия.

Покажем, как выжимать из Event Log и Sysmon максимум пользы
Вы увидите, как через Get-WinEvent вытаскивать важные события вроде 4624, 4625, 4688 и 4720, находить аномалии в Scheduled Tasks и Run-ключах, анализировать ScriptBlock Logging, AMSI и транскрипцию PowerShell, а затем связывать всё это с Sysmon-телеметрией по процессам и сетевым соединениям.

Отдельный фокус статьи - на том, как превратить телеметрию в реальное действие
Разберём, как PowerShell...

Windows-службы - это не абстрактный системный фон, а отдельный слой архитектуры со своими правилами
В статье разберём, как устроены службы в Windows, почему они живут в своём контексте, как взаимодействуют с SCM и чем реально отличается код, который запускается как обычное приложение, от кода, который должен работать как сервис в сессии 0.

Немного практики: от регистрации службы до обмена данными с пользовательским приложением
Вы увидите, как выглядит базовый сервисный цикл, зачем нужны StartServiceCtrlDispatcher, RegisterServiceCtrlHandlerEx, SetServiceStatus, события синхронизации и named pipe, и как всё это собирается в рабочую связку “служба + управляющая программа”.

Отдельный интерес статьи - в связке Windows Services и DPAPI
На практическом примере разбирается, как служба в нужном контексте может работать с зашифрованными данными Wi-Fi-профилей, почему здесь критичны сессия, учётная запись и DPAPI, и где...