Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Коммерческое шпионское ПО: разбор рынка NSO Group, Intellexa, Candiru и QuaDream
👁 Surveillance-as-a-Service: индустрия за Pegasus — 561 компания и санкции, которые не работают
За каждым заражённым iPhone — не хакер-одиночка, а корпорация с SLA, годовыми лицензиями и инвесторами с Уолл-стрит. 561 организация в 46 странах, а США — крупнейший инвестор в рынок, который сами же санкционируют.
В статье — бизнес-модели NSO Group, Intellexa, Candiru и QuaDream: zero-click цепочки FORCEDENTRY и BLASTPASS с CVE, корпоративные матрёшки для обхода санкций, роль брокеров и причины провала регулирования. MITRE ATT&CK-маппинг mercenary spyware, обнаружение через MVT и анализ C2-инфраструктуры.
Для TI-аналитиков и security-специалистов — прогоните MVT по бэкапу iPhone, пока он не понадобился по-настоящему.Статья Атаки на сервисные аккаунты и токены: разбор TTP и детектирование Non-Human Identities
Non-Human Identities: 68% SaaS-инцидентов — через OAuth-токены и сервисные аккаунты, а не фишингПока SOC ловит фишинг, атакующие угоняют OAuth credentials из .env-файлов, дампят секреты через скомпрометированные GitHub Actions и крадут Kubernetes SA-токены из подов. Забытый тестовый аккаунт без MFA — и APT29 читает почту Microsoft. Один незаротированный токен из пяти тысяч — и через Okta ломают Cloudflare.
В статье — три TTP-цепочки: OAuth Client Credentials abuse (Salesloft-Drift, Midnight Blizzard), каскадная атака на GitHub Actions (tj-actions, 23 000 репозиториев под угрозой) и эскалация через Kubernetes SA-токены. Sigma-правила, KQL для Entra ID, Falco-правила для K8s и чеклист hardening NHI.
Для security-инженеров и DevSecOps — проверьте machine credentials через trufflehog прямо сейчас.Статья Threat hunting ransomware: обнаружение pre-ransomware активности в корпоративной сети через SIEM-правила и IOC
Threat hunting ransomware: ловим шифровальщик за дни до шифрованияАлерт о массовом шифровании в 3 ночи — расследовать уже поздно. Шифрование — финальный акт пьесы, которая шла в сети неделями. Единственный шанс — поймать атаку на стадии pre-ransomware: credential dumping, lateral movement через RDP и PsExec, отключение EDR и удаление теневых копий.
В статье — Sigma-правила и SPL/KQL-запросы для каждой фазы kill chain по MITRE ATT&CK: от дампа LSASS через comsvcs.dll до корреляционного правила, сводящего 3+ индикатора на одном хосте в приоритетный кейс. Плюс таблица типичных false positives и пошаговый процесс: гипотеза → baseline → охотничьи запросы → триаж.
Для SOC-аналитиков и threat hunter'ов — берите запросы и запускайте на своих логах прямо сейчас.Статья ROI кибербезопасности: как измерить эффективность ИБ-инвестиций и обосновать бюджет перед бизнесом
ROI кибербезопасности: как перестать терять бюджет и начать говорить с CFO на языке денег«Мы заблокировали 10 000 атак за квартал» — и CFO зевает. «Мы предотвратили 14,3 млн рублей убытков при затратах 6,8 млн, ROSI = 110%» — и CFO кивает через 30 секунд. Разница — не в безопасности, а в языке.
В статье — конкретные формулы ROSI и ALE с пошаговым расчётом на реальных кейсах, перевод MTTD/MTTR в рубли, готовый шаблон таблицы для бюджетного комитета, структура бюджета по NIST CSF 2.0 с ROSI для каждого блока, и антипаттерны, которые гарантированно проваливают защиту бюджета. Плюс фреймворки FAIR и sensitivity analysis для крупных инвестиций.
Для CISO, которые устали объяснять, зачем платить за то, что «и так работает».Статья Оборотные штрафы за утечку персональных данных 2026: полный разбор для ИБ-специалиста
Штрафы до 500 млн за утечку ПДн: 420-ФЗ переписал правила, а таймер уже тикаетDLP фиксирует выгрузку 50 000 записей с паспортами. С этой секунды — 24 часа на уведомление Роскомнадзора и калькулятор штрафа, который теперь считает в процентах от выручки. Повторная утечка — минимум 20 млн рублей, даже если утекли данные 10 человек.
В статье — разбор 420-ФЗ: трёхуровневая шкала штрафов, формула оборотного штрафа на реальных сценариях, пошаговый incident response от часа 0 до 72-часового отчёта, структура уведомления по Приказу №178, чек-лист compliance по ФЗ-152 и сравнение с GDPR.
Для CISO, ИБ-специалистов и юристов — пока окно для вхождения в compliance не закрылось.Статья CVE-2026-32914: Broken Access Control в OpenClaw — эскалация привилегий через /config и /debug handlers
CVE-2026-32914: один запрос от обычного пользователя — и конфигурация OpenClaw у вас в рукахРазработчики выстроили двухуровневую модель прав: command-authorized и owner. Но на самые чувствительные эндпоинты — /config и /debug — натянули только нижний уровень. Итог: CVSS 8.7, любой пользователь с базовыми правами читает и модифицирует привилегированные настройки владельца.
В статье — полный разбор CWE-863 (Incorrect Authorization): почему проверка авторизации есть, но проверяет не то, пошаговая эксплуатация от разведки через /debug до модификации конфигурации через /config, методология поиска аналогичных багов через ffuf и Burp Suite, и чеклист для пентестеров по Broken Access Control из OWASP Top 10.
Практическое руководство для пентестеров, bug bounty хантеров и разработчиков, которые не хотят оставлять...Статья Prototype Pollution: Client-side и Server-side атаки
Prototype Pollution редко выглядит как громкая уязвимость. Обычно всё начинается с обычного deep merge, парсинга параметров или пустого объекта настроек, а заканчивается уже в другом месте - там, где приложение внезапно читает унаследованное свойство как своё. В статье разберём, почему этот баг так легко пропускают и как он превращается в реальную поверхность атаки.
Покажем обе стороны проблемы: client-side и server-side. Разберём, как загрязнение прототипа доезжает до DOM XSS через `innerHTML`, `src`, `srcdoc` и поля обработчиков, а на сервере влияет на поведение `child_process`, шаблонизаторов, промежуточных обработчиков и фреймворков Node.js.
Внутри будет не пересказ теории, а практический разбор механики: `__proto__`, `prototype`, `constructor.prototype`, небезопасное слияние объектов, path setter’ы, gadget-цепочки, типовые источники pollution, признаки в коде, инструменты для поиска и способы защиты...Статья Vidar Infostealer через фейковые GitHub-репозитории: полный разбор атаки и детекшн
Vidar 2.0 через GitHub: фейковые репозитории, автоморфер и 10 секунд на кражу всегоLumma Stealer прихлопнули — в нишу влез Vidar с сотнями подставных GitHub-репозиториев. «Читы для CS2», «утёкшие исходники Claude Code» — бинарник в Releases, накрученные звёзды, и жертва сама тащит троян к себе на машину.
В статье — технический разбор Vidar 2.0: серверный криптор с уникальным хэшем на каждую раздачу, многопоточный сбор данных за секунды, C2 через dead drop в Steam-профилях. Пошаговый воркфлоу анализа образца, YARA-правило на поведенческие паттерны, Sigma-запрос для SIEM и Python-скрипт для охоты на вредоносные репозитории через GitHub API.
Для SOC-аналитиков, threat intelligence инженеров и всех, кто скачивает инструменты с GitHub.Статья Recovery Denial: защита резервных копий от ransomware — тактики атакующих и методы противодействия
Recovery Denial: почему ваши бэкапы — первое, что уничтожит шифровальщикЕжедневное копирование на Veeam, еженедельный вынос на tape, правило 3-2-1 — всё по учебнику. А потом ransomware отработал за 47 минут: репозиторий зашифрован, каталог tape удалён, VSS-снимки стёрты ещё за двое суток до запуска payload. Сначала сожгли спасательные шлюпки — потом подожгли корабль.
В статье — полный разбор тактик Recovery Denial по MITRE ATT&CK (T1490, T1485, T1489): от удаления теневых копий и компрометации Veeam через доменные учётки до тихой подмены retention policy. Внутри — Sigma-правила для SIEM, PowerShell-скрипты аудита backup-заданий, hardening через immutable storage (S3 Object Lock, Linux Hardened Repo) и пошаговый план восстановления после атаки.
Практическое руководство со стратегией 3-2-1-1-0 и чеклистом hardening —...Статья Взлом Signal аккаунта: полный разбор атак через linked devices и QR-фишинг
Взлом Signal без единого эксплойта: как QR-код крадёт ваш аккаунт целикомВы сканируете QR — думаете, это приглашение в группу. А на самом деле только что привязали свой Signal к чужому устройству. Все сообщения теперь читают двое.
В статье — полный разбор техник, которые APT-группы уже применяют в реальных операциях: подмена URI в инвайт-ссылках (sgnl://linkdevice вместо sgnl://signal.group), фишинговые страницы с QR-кодами под видом уведомлений Signal Security и извлечение БД переписки через WAVESIGN и PowerShell-скрипты. С MITRE ATT&CK-маппингом и конкретными мерами защиты.
Практическое руководство для тех, кто считает Signal неуязвимым — и для тех, кто проверяет это на практике.