Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Анализ ransomware The Gentlemen: реверс Go-шифровальщика Storm-2697 с самораспространением через SMB
Storm-2697 зашифровал домен за 62 минуты: Go-шифровальщик The Gentlemen с флагом --spread копирует себя по SMB без оператора, убивает EDR через BYOVD (CVE-2025-7771) и использует CVE-2024-55591 (CVSS 9.8) для захвата 14 700 FortiGate.Семпл 3ab957...9235 — 64-битный PE на Go со stripped symbols. GoReSym восстанавливает имена функций через pclntab, которую Go-рантайм обязан сохранять для stack traces. Внутри — XChaCha20 + Curve25519 с per-file эфемерным ключом: bulk-дешифровка без приватника оператора бессмысленна. Флаг --spread запускает автономный SMB-краулер (T1021.002, T1570).
EDR убит до шифрования — Windows Event Log чист. Первый сигнал придёт из сетевых SMB-аномалий.Статья Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering
В 9:15 SIEM поймал 14 000 SMB-обращений за 8 минут — IR-команда закрыла как FP. Через 3 дня: 340 ГБ на DLS и требование $2.4M. Qilin и Warlock грузят rwdrv.sys через msimg32.dll side-load, роняют 300+ EDR-драйверов — и шифрование больше не нужно.BYOVD (MITRE T1562.001) стал штатной фазой kill chain: подписанный уязвимый драйвер hlpdrv.sys даёт kernel-level доступ, агент падает, телеметрия исчезает. Среды с legacy Windows Server 2016/2019 без HVCI уязвимы полностью.
Detection строится на Sysmon EID 6 (Driver Loaded вне System32), EID 7045 (kernel-тип сервиса вне baseline) и массовом EID 5 на EDR-процессах за 30 секунд.
Бэкапы целы — компания всё равно платит. Вектор сменился с Impact на Exfiltration, а SOC смотрит не туда.Статья Оценка зрелости Zero Trust: как сравнить CISA ZTMM, NIST SP 800-207 и Microsoft ZT Model — и обосновать бюджет
63% компаний внедрили Zero Trust — и большинство не могут доказать эффект: CISA ZTMM v2.0, NIST SP 800-207 и Microsoft ZT Model дают разные ответы на вопрос «где мы сейчас».Gap-анализ шести гибридных сред (AD + Azure AD + on-prem) показал: без фреймворка зрелости бюджет размазывается ровным слоем. CISA ZTMM v2.0 даёт четыре уровня — Traditional → Optimal — по пяти столпам: Identity, Devices, Networks, Applications, Data. NIST SP 800-207 добавляет архитектуру: Policy Engine, Policy Administrator, Policy Enforcement Point.
Столп Data — самый недофинансированный: CISA ZTA Implementation Report (январь 2025) фиксирует его как главный тормоз.
Организации мониторят Identity и Network — Data-столп остаётся слепым пятном, хотя именно он блокирует Optimal.Статья Защита корпоративных учётных данных: infostealer-кампании, MFA-харденинг и PAM на практике
Три из четырёх вторжений в 2024 году начались с обычного логина — не с zero-day. CrowdStrike фиксирует 75% intrusions через Valid Accounts (T1078), IBM X-Force — рост infostealers на 71%: Redline, Raccoon, Lumma забирают cookies и NTLM-хеши за 3–5 минут.Kill chain выглядит так: фишинг в 9:15 — stealerдампит LSASS (T1003.001) и браузеры (T1555.003) — в 10:00 атакующий в VPN и почте — в 11:20 SOC подтверждает инцидент, но злоумышленник уже domain admin. Два часа от письма до AD.
Detection строится на Sysmon Event ID 10 с фильтром TargetImage: lsass.exe и Sigma-правиле по GrantedAccess 0x1010/0x1410.
EDR молчит на валидный RDP-логин. SOC получает алерт через 47 минут — стилер ушёл за 10.Статья Стеганография в вредоносном ПО: как APT-группировки прячут C2-каналы и пейлоады в изображениях
Загрузчик Zero.T скачивал три BMP-файла — корпоративный DPI пропустил их без единого алерта. Внутри: модули Enfal, упакованные в младшие биты пикселей. Восемь семейств малвари используют стеганографию как C2-транспорт, и ни один антивирус не сработал.LSB-стеганография в BMP/PNG — не экзотика, а рабочий инструмент APT. Загрузчик скачивает «картинку» по HTTP/HTTPS, DPI видит Content-Type: image/png и пропускает. Внутри — шелл-код или конфиг следующего C2-этапа. MITRE T1027.003 и T1001.002 в одном флаконе.
DPI проверяет заголовок файла — а пейлоад сидит в пикселях. 11 дней медианного присутствия APT именно здесь.Статья Зрелость процессов информационной безопасности vs бюджеты: как выстроить защиту без карго-культа
Финтех вложил 80 млн в SIEM, EDR и аутсорс-SOC — пентестер получил доменного админа за 4 часа. SIEM покрывал 40% инфраструктуры, ни одно правило корреляции не настроено под реальные TTPs, EDR отсутствовал на контроллерах домена.Mandiant M-Trends 2025: 57% компаний узнают об инциденте от внешних сторон. Медиана — 11 дней в сети до обнаружения. IBM X-Force: среднее время между публикацией CVE и патчем — 29 месяцев. CrowdStrike фиксирует: 75% вторжений в 2024-м через Valid Accounts (T1078) — дефолтный SIEM это не детектирует.
Разница между уровнями зрелости — не в бюджете.
SOC смотрит на алерты — APT работает через легитимный вход. Инструменты без процессов дороже, чем их отсутствие.Статья Технические меры защиты ПДн по ФСТЭК: что реально требуется и как реализовать
Аттестат ФСТЭК подписан, техпроект красивый — а папка с ПДн клиентов открыта с правами Everyone:Full Control. Межсетевой экран в permit any/any «временно». SIEM слеп четыре месяца. С оборотными штрафами цена такого разрыва — проценты от выручки.Приказ ФСТЭК №21 делит меры на 15 групп: ИАФ, УПД, РСБ, АВЗ, СОВ — каждая закрывает конкретные техники MITRE ATT&CK. УЗ-3 требует СЗИ не ниже 6 класса, УЗ-1 — не ниже 4-го. Завышение типа угроз «для перестраховки» поднимает УЗ и бюджет втрое — без реального снижения риска.
Статья разбирает маппинг мер на ATT&CK: ИАФ.4 блокирует T1110 Brute Force, СОВ — T1190 и T1071, РСБ — T1562.
Проверяющий открывает не документы — он смотрит права на папку с ПДн и журнал SIEM.Статья Управление секретами DevSecOps: архитектура, ротация и детект утечек в Vault, AWS Secrets Manager и Azure Key Vault
OIDC-токен из лога GitHub Actions — и атакующий за 32 минуты получил connection string к RDS, дампнул 12 000 PII-записей. Vault стоял, CloudTrail молчал: 340 вызовов GetSecretValue против baseline 8–10/час никто не мониторил.Kill chain не ломает Vault — он использует легитимный доступ скомпрометированного сервисного аккаунта CI/CD. CVE-2026-9133 (CVSS 8.3, CWE-489) в rabbitmq-aws читала TLS-ключи прямо с файловой системы, минуя Secrets Manager API полностью — CloudTrail этого не видел.
Пять из шести инцидентов — секрет лежал в менеджере, но паттерны обращений не мониторились.