Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Уязвимости Ivanti Endpoint Manager: цепочки эксплуатации EPMM от auth bypass до pre-auth RCE
CVE-2025-4427 + CVE-2025-4428 и CVE-2026-1281 — цепочки от auth bypass до pre-auth RCE в Ivanti EPMM: 4 400 инстансов торчат в интернете, EPSS CVE-2023-35078 равен 1.0, публичный эксплоит EDB-52421 уже в Exploit-DB.Ivanti EPMM пять раз попадал в CISA KEV за три года. CVE-2025-4427 обходит аутентификацию через небезопасную реализацию Spring Framework, CVE-2025-4428 добивает RCE через Hibernate Validator — в связке это полный захват без учётных данных. CVE-2026-1281 и CVE-2026-1340 дают pre-auth RCE через bash arithmetic expansion.
Для детекции — шаблон CVE-2025-4427.yaml в nuclei-templates ProjectDiscovery.
До публикации CVE-2026-1281 атакующие уже разворачивали dormant backdoors — патч не гарантирует чистую систему.Статья Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика
Учётка svc_backup тихо ходила по 12 серверам 36 часов — Event ID 4624 Type 3 в логах, тишина в алертах. NTDS.dit скопирован, три файловых сервера зашифрованы. Не хватило одного: корреляции.SMB lateral movement (T1021.002) оставляет чёткий след — 4624 Type 3 с NtLmSsp и KeyLength=0, 4648 с явными кредентиалами, 5145 на ADMIN$/C$. Splunk-правило: dc(ComputerName) > 3 за 15-минутное окно от одного TargetUserName плюс explicit_creds > 0 — и алерт готов.
PsExec детектируется через Event ID 7045 с рандомным 4-символьным именем сервиса (Impacket-default), 5145 на ADMIN$ и дочерними процессами от psexesvc.exe.
4624 Type 3 пишется на цели, 4648 — на источнике. Корреляция по имени юзера, не по хосту — иначе правило слепое.Статья FASM - многоязычный интерфейс программ Win-MUI
Многоязычный интерфейс — обязательное требование заказчиков. Готовые решения либо платные, либо раздувают размер программы, либо хранят строки внутри скомпилированных DLL. Разбираем два метода на WinAPI без сторонних библиотек.Метод 1: двойные ресурсы в PE-файле. Один и тот же ID диалога и меню описывается дважды — для LCID_RUSSIAN (0x0419) и LCID_ENGLISH (0x0409). Загрузчик Windows сам выбирает нужный по предпочтительному языку через GetSystemPreferredUILanguages(). SetThreadPreferredUILanguages() подменяет его до создания окна — тогда интерфейс переключается без перезапуска программы.
Метод 2: внешние .LNG-файлы в формате INI. FindNextFile() перебирает все LNG в директории, GetPrivateProfileString() читает строки по числовым ключам в цикле, SendMessage() перезаписывает элементы окна. Добавить новый язык — создать файл рядом с EXE.
Строковые ключи 3001=Процессор вместо имён позволяют читать все строки в одном цикле. Осмысленные имена — ад при сотнях строк.Статья Типы инсайдерских угроз: malicious, negligent и compromised — индикаторы, kill chain и модели риска
Учётка бухгалтера в 2:47 ночи запустила PsExec — DLP молчал четыре дня, пока compromised insider сливал финотчётность на Dropbox. Один тикет, 40 человеко-часов реагирования и полный пересмотр модели привилегированного доступа.Malicious, negligent и compromised — три разных kill chain, три разных набора индикаторов. Malicious инсайдер эксфильтрует 300 МБ за 14 дней мелкими порциями — DLP слеп к такому ритму. Negligent сотрудник копирует данные в ChatGPT «для быстрого анализа» — классические политики этот канал не покрывают.
Compromised insider — внешний атакующий за рулём легитимной сессии.
SOC ловит все три типа одним правилом — именно поэтому compromised insider сидит в сети незамеченным неделями.Статья Мониторинг безопасности OT-сетей: Nozomi, Claroty, Dragos — что выбрать и как интегрировать в SOC
Dragos зафиксировал 708 ransomware-инцидентов в промышленном секторе за Q1 2025 — 68% в manufacturing. Модель Purdue мертва: лишь 8,2% организаций держат OT полностью изолированными, а корпоративный SIEM не парсит Modbus TCP.Nozomi Guardian, Claroty и Dragos — три принципиально разные архитектуры. Nozomi строит поведенческий baseline через SPAN-порт и масштабируется на 50+ площадок, но containment требует ручных действий. Claroty делает ставку на глубокий разбор протоколов — DNP3, Profinet, EtherNet/IP. Dragos заточен под threat intelligence с привязкой к конкретным группировкам: CHERNOVITE, BENTONITE, VOLTZITE.
EDR молчит, Windows Event Log пуст — атака идёт на уровне Modbus-команд между легитимными хостами.Hackerlab 🔄 Глобальное обновление на HackerLab!
Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное:
- Новый облик
Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий.
- Уровни и XP
Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно.
- Серия (Streak)
Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК).
- Рейтинг стал нагляднее
Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции.
- Живая главная
Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность.
- Профиль
Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций.
- Удобнее искать задания
В категориях заработали поиск, фильтры и...
Статья Governance информационной безопасности: оргструктура, роли, RACI и reporting для зрелой ИБ-программы
Утечка на $4.45 млн — это не дыра в периметре. Post-mortem показывает: никто не знал, кто изолирует сегмент, кто уведомляет регулятора, кто несёт accountability. Организационный хаос дороже любого CVE.NIST CSF 2.0 ввёл функцию GOVERN (GV) как отдельную — её не было в предыдущей версии. Субкатегория GV.OC-01 требует привязки киберрисков к бизнес-целям. MITRE T1078, T1098, T1484 эксплуатируют именно governance-пробелы: нет рецертификации привилегий — атакующий закрепляется. T1562 отключает телеметрию, если никто не accountable за конфигурацию SIEM.
Статья разбирает три оргмодели ИБ — централизованную, распределённую, гибридную — с критериями выбора.
Defender мониторит эндпоинты — хаос в RACI оставляет атакующего незамеченным без единого алерта.Статья Roadmap повышения зрелости ИБ: пошаговый план перехода между уровнями
Финтех на 400 сотрудников заказал gap-анализ по CIS Controls v8 «для аудитора». Итог: из 56 safeguards IG1 закрыто 11. Инвентарь активов — выгрузка из AD трёхмесячной давности. Политика ИБ — PDF 2019 года, не открывавшийся 14 месяцев.Семь из десяти компаний переоценивают зрелость минимум на два уровня — self-assessment bias без злого умысла. Статья даёт честный 15-пунктный чеклист по CIS Controls v8 и NIST CSF v2.0: от инвентаризации активов (CIS 1.1) до tabletop-учений по IR.
Аудитор ставит «средний уровень» — реальность: нижняя граница начального. Разрыв живёт в self-assessment.