Форум информационной безопасности - Codeby.net
Статья Импортозамещение в информационной безопасности: полная карта российских SIEM, EDR, сканеров и WAF для практика
20% субъектов КИИ к дедлайну указа №250 — «не готовы». Ещё треть «частично». Навигационный хаб: 7 детальных разборов от SIEM до сертификации ФСТЭК для тех, кто мигрирует руками.Три указа — три разных обязательства: №166 (запрет закупки ИПО для ЗОКИИ), №250 (запрет использования СЗИ из недружественных стран), №309 (расширение круга субъектов ГосСОПКА). Перенос 400 правил корреляции с Splunk на MaxPatrol SIEM — 8 месяцев с командой из четырёх аналитиков. SPL в PDQL автоматически не конвертируется.
Слепые зоны: российские EDR работают через user-mode перехват — техники обхода CrowdStrike через direct syscalls неприменимы к Kaspersky EDR Expert. NGFW 40+ Гбит/с с включённым DPI — Palo Alto и Fortinet впереди. CSPM для Yandex Cloud/VK Cloud — ранние стадии.
Самая дорогая часть миграции — 6-12 месяцев параллельной работы двух SIEM.Статья SOC vs Red Team: как построить внутренний пентест-процесс в enterprise
Четыре дня от компрометации до обнаружения: Valid Accounts → LSASS dump через Sqldumper.exe → Pass the Hash до Domain Admin. SOC из 15 аналитиков, Splunk, CrowdStrike — ноль алертов.Разовый пентест отвечает на вопрос «можно ли нас взломать?» Ответ всегда — да. SOC при этом не участвует, detection engineering не получает обратной связи, SIEM-правила не валидируются на реальных TTP. Если SOC не детектирует стабильно PowerShell execution и LSASS dump — red team engagement пустая трата бюджета.
Purple team: SOC видит экран red team в реальном времени. Execution → gap analysis → написание Sigma-правила → retest в одной сессии. MTTD по T1003.001 — цель менее 5 минут. T1078 Valid Accounts — часы и дни: принципиально другой класс задачи, нужен baseline.
Через 3-4 квартальных цикла — измеримый тренд MTTD для CISO и бюджетного комитета.Статья Атаки на облачные аккаунты AWS и Azure: техники, detection и реальные кейсы
83% организаций в 2024 году — минимум один cloud account takeover. T1078.004 на первом месте по частоте у Red Canary: выше ransomware и spear phishing. В рунете — «включите двухфакторку».AWS Amplify CLI до 12.10.1 (CVE-2024-28056, CVSS 9.8): удаление Auth-компонента оставляет AssumeRoleWithWebIdentity без Condition — three API calls до полного доступа. SSRF к IMDSv1 — GET-запрос к 169.254.169.254 без аутентификации. AiTM-маркер в Azure AD: OfficeHome + user agent Axios — relay-аутентификация через JS-прокси.
Service Principals без MFA и Conditional Access — слепая зона SOC. OAuth app registration переживает смену пароля. Cryptomining-кампания трое суток: ConsoleLogin → CreateAccessKey → RunInstances GPU по отдельности medium, цепочкой за 60 минут — Critical. CloudTrail без правил корреляции — дорогой логгер.
87% организаций ждут защиту от ATO от провайдера. Провайдеры — не security-компании.Статья Modbus и OPC UA Security защита промышленных протоколов p.2
70% промышленных устройств используют протоколы, созданные в эпоху, когда слова «кибербезопасность» не существовало. Modbus: sniffing, command injection, flooding — и всё это без единого механизма защиты.Wireshark + фильтр tcp.port 502 — видишь всё: Function Codes, адреса регистров, значения. Код 5 для записи coil управляет двигателем, код 16 меняет уставку давления. Защита только сетевая: сегментация в Control Zone, protocol-aware firewall (фильтрация конкретных Function Codes), DPI от Claroty/Nozomi, VPN для удалённого доступа.
OPC UA с Security Mode None и anonymous access — это Modbus в красивой обёртке. SignAndEncrypt + certificate-based auth + RBAC — правильная конфигурация. Главное правило OT Security: доступность превыше всего. Самый защищённый протокол бесполезен, если производство стоит.
Гибридная схема: Modbus внизу, OPC UA-шлюз в DMZ — без замены legacy.Статья Повышение привилегий AWS IAM: техники эскалации через роли, политики и misconfiguration
CI/CD-пользователь с единственным «лишним» разрешением — iam:CreatePolicyVersion. Три команды aws-cli, пять минут — AdministratorAccess на весь аккаунт. Считался readonly по документации.Три поколения IAM privilege escalation: прямая модификация политик (высокий шум, гарантированный результат), удаление Permission Boundary (снимает ограничения вместо добавления прав — мониторинг не замечает), PassRole как ключевой примитив — создать Lambda с привилегированной ролью тише EC2 и без SSH. Новый вектор: PassRole + bedrock-agentcore:InvokeCodeInterpreter.
SCP не поддерживает resource-level ARN для iam:CreatePolicyVersion — только полный запрет, что ломает CI/CD. PassRole + Lambda сливается с легитимным шумом в dev-аккаунтах. Lateral через S3 фактически невидим без data events — большинство аккаунтов их не включает.
pmapper query 'who can do iam:* with *' — сразу видны все пути до admin.Статья Machine learning в кибербезопасности: как ML-scoring сократил триаж SOC с тысяч алертов до десятков
3 847 алертов за смену — lateral movement по легитимной учётке нашли через 48 часов по жалобе пользователя. Isolation Forest поднимает аналогичный паттерн до risk score 94/100 за секунды.Правила корреляции линейны: условие, порог, действие. Valid Accounts (T1078) — каждый логин выглядит нормально, порога нет. ML строит baseline и измеряет отклонения. Три алгоритма под три задачи: Isolation Forest для агрегированных метрик аутентификации, Autoencoder для UEBA и time-series, One-Class SVM для индивидуального baseline привилегированных учёток.
contamination=0.02 — 2% аномалий. При 50 000 событий в сутки это 1 000 эскалаций — порог risk_score калибруется под пропускную способность L1. Из восьми внедрений пять деактивированы за три месяца: не занимались feature engineering. CVE-2025-32434 в PyTorch (CVSS 9.3): RCE при загрузке модели — ML-пайплайн такой же артефакт инфраструктуры, как любое ПО.
ML в SOC — процесс, а не продукт. Переобучение каждые 2-4...Статья IR Playbook для security-команды: как построить процесс реагирования на инциденты с нуля
9:15 утра — vssadmin delete shadows /all на трёх серверах. Четыре человека, ни у одного нет общего понимания: кто изолирует, кто снимает дампы, кто звонит юристам. Бэкап-сервер в том же VLAN.Severity matrix с SLA: P1 — containment за 15 минут без звонка CISO, иначе теряете час пока ransomware идёт дальше. Российский контекст: 24 часа для уведомления Роскомнадзора, 3 часа для ГосСОПКА по значимым объектам КИИ — задержка с классификацией стоит процентов от выручки. Дежурный аналитик выключил питание вместо сетевой изоляции — ключи шифрования из RAM ушли вместе с питанием.
Sigma-правило: lsass.exe + GrantedAccess 0x1010/0x1410 без фильтра — 200 ложных алертов в день, через неделю его игнорируют. Двойной сброс krbtgt: первый убивает текущий пароль, второй — Golden Ticket с предыдущим.
Playbook без квартальных учений — художественная литература.Статья Пентест как сервис (PTaaS): сравнение платформ, модели работы и когда платформа заменяет классический проект
Классика за четыре дня — SQL injection до lateral movement во внутреннюю сеть. PTaaS за месяц — 47 уязвимостей веб-периметра, но не прикоснулась к AD. Это про «когда что применять», а не «что лучше».Deployment velocity gap: при еженедельных деплоях окно обнаружения при годовом пентесте — 180 дней. Баг из января всплывёт при следующем тестировании через полгода. PDF, описывающий призрак: система уже не та, что при скоупинге.
Hybrid — стандарт зрелых платформ. Autonomous — не видит business logic, не адаптируется к кастомной ролевой модели. Провайдер не объясняет, какие артефакты покрывают какие контроли SOC 2 — compliance-обещание пустое. Ни один PTaaS не дошёл до domain admin.
Середина рынка — «Nessus + ручная Top 10 за $20K» — сжимается. Через два-три года: senior с глубокими цепочками или оператор PTaaS.Статья SSRF атака на облачные credentials: эксплуатация metadata endpoint от IMDSv1 до постэксплуатации
PDF-генератор принял http://169.254.169.254 как URL документа. Три GET-запроса — JSON с AccessKeyId, SecretAccessKey и SessionToken. Одиннадцать минут от SSRF до aws s3 ls.IMDSv1 не требует заголовков — любой GET с инстанса возвращает IAM credentials. IMDSv2 блокирует базовый SSRF, но HttpTokens: optional оставляет IMDSv1 в качестве fallback. На каждом втором cloud-пентесте тикет в Jira создан полгода назад, а optional до сих пор стоит. Кампания марта 2025: автоматизированный перебор шести параметров и четырёх subpath с ASN 34534 — ковровая бомбардировка EC2 в поиске SSRF.
WAF на строку 169.254.169.254 пропускает decimal (2852039166), hex (0xA9FEA9FE), octal и DNS rebinding. GuardDuty ловит exfiltration по source IP — работайте с украденными credentials через свой EC2 в том же регионе. 452% рост SSRF-атак 2023→2024.
Одна команда: aws ec2 modify-instance-metadata-options --http-tokens required.Статья Банковский троян Casbaneiro: техники уклонения от детекции и механизмы самораспространения
Casbaneiro 2023: трёхкратный рост активности у трояна, которого списали со счетов. Четыре криптоалгоритма, два метода через доверенные PE, UAC bypass, Dead Drop через YouTube — это поддерживаемый продукт с версионированием.Строковая таблица уничтожается после каждого обращения — в memory dump строки живут доли секунды. XOR с зависимостью от предыдущего байта, ключ конструируется из десятков фрагментов в рантайме. AutoIt-скрипт вызывает экспортируемую функцию вида F0x000102030405... через DllCall в контексте подписанного PE. DLL side-loading через Oracle Java kinit.exe — unsigned jli.dll без подписи Oracle.
Самораспространение через Outlook MAPI: письма из легитимного ящика, SPF/DKIM/DMARC проходят. Horabot 2025 — динамически генерируемый PDF с уникальным PIN ломает сигнатурный детект. WhatsApp и ClickFix как дополнительные каналы.
«Нацелен на Латинскую Америку» — устарело: семплы из Испании и США с 2023 года.