Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку
DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.
Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.
Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов
LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.
Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.
Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.Статья Уязвимость уведомлений iOS: как ФБР читало удалённые сообщения Signal через push-базу
CVE-2026-28950: ФБР читало «удалённые» сообщения Signal через системную базу push-уведомлений iOS. E2E-шифрование не тронули — iOS кешировала расшифрованный контент сама.Сообщения с таймером самоуничтожения 30 секунд лежали в notification database четыре месяца. Signal сделал свою работу — iOS подвела: приложение живёт в песочнице, а база уведомлений за её пределами. Только входящие: через APNs проходят входящие, исходящие уходят напрямую на сервер — следа нет.
Федеральный суд Техаса, дело Линетт Шарп, апрель 2026. Патч iOS 26.4.2 вышел сразу после публикации 404 Media. CVSS 6.2 по метрикам, но именно эта «средняя» уязвимость раскрыла переписку, которую пользователь считал уничтоженной.
idevicebackup2 + sqlite3 для forensic-анализа и decision tree: когда notification DB релевантна.Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.Статья Обход EDR российские решения: PT Sandbox, Kaspersky EDR и SEKOIA — тестируем с позиции Red Team
Kaspersky EDR Expert, PT Sandbox и SEKOIA XDR глазами Red Team: где слепые пятна, какие техники обхода живые, а какие уже мертвы.Каждый второй «обзор EDR» — пересказ маркетинговых PDF. Ни слова о том, что реально детектируется. Исправляем: Direct Syscalls без доработки call stack Kaspersky уже ловит. Классический DLL Injection и Process Hollowing — в сигнатурах у всех трёх. BYOVD остаётся рабочим при наличии admin-прав, но шумный. BYOI через прерванный инсталлятор — атака класса, а не продукта.
Инкрементальная методология: сначала RWX-аллокация, потом запись, потом execution — замеряем точку срабатывания. Canary-тест vs стелс-тест на VirtualProtect RW→RX. Сводная таблица 10 техник с оценкой по трём решениям.
PE-sieve для картирования хуков ntdll и код C для точной локализации момента детектирования.Статья Техники руткитов: полная классификация, матрица обнаружения и противодействие
Руткиты — менее 1% малвари, но ProjectSauron пять лет жил в инфраструктурах незамеченным. Полная карта техник от Ring 3 до Ring -2 с методами обнаружения каждого уровня.Четыре уровня — четыре принципиально разных подхода к детекту. Ring 3: IAT hooking, LD_PRELOAD, inline hooking. Ring 0: DKOM отсоединяет процесс из ActiveProcessLinks — планировщик его видит, NtQuerySystemInformation нет. Ring -1: EPT-abuse показывает сканеру чистый код, процессор исполняет пропатченный. Ring -2: BlackLotus обходит Secure Boot, имплант переживает переустановку ОС.
DirtyMoe вырос с 10 000 до 100 000 машин пока антивирусы молчали. UNC3886 в 2024-м использовала публичный Reptile с GitHub на VMware ESXi — APT-группа с госресурсами выбрала готовый LKM вместо кастомной разработки. Матрица: 6 методов обнаружения против 4 уровней, 8 техник MITRE ATT&CK.
Чеклист 8 уровней защиты и навигатор по 7 spoke-статьям кластера.Статья Российские WAF и NGFW сравнение: PT AF, UserGate и Континент глазами пентестера
PT Application Firewall, UserGate NGFW и Континент WAF глазами пентестера: разбор архитектуры, реального поведения и техник обхода — без пересказа даташитов.WAF в мониторинге — дорогой логгер. NGFW вместо WAF — архитектурная ошибка, которую эксплуатируют в первую очередь. PT AF стабильно ловит базовые инъекции, но ML-модуль часто выключают через неделю. Chunked encoding с chunk extensions — по-прежнему рабочий вектор против ряда продуктов.
Пять техник обхода с командами: sqlmap с tamper-скриптами, chunked TE с extensions, HTTP Request Smuggling через расхождение Content-Length/Transfer-Encoding, Protocol Tunneling (T1572) через chisel/ligolo-ng мимо UserGate, IP-фрагментация через Scapy. IDOR и Broken Access Control (94% приложений по OWASP) — слепое пятно любого WAF.
Пятишаговая методология fingerprinting → определение режима → кодировки → логирование → документирование bypass.Статья Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения
Сертификат ФСТЭК или ФСБ — и чем они отличаются: одно правило, которое расставляет всё по местам. Разбор глазами того, кто настраивал Dallas Lock под класс К1.ФСТЭК — некриптографическая защита (МЭ, АВЗ, СОВ, Dallas Lock, Secret Net). ФСБ — СКЗИ (КриптоПро, ViPNet). Один продукт может нести оба сертификата. Класс СКЗИ — не только свойство продукта, но и среды: КриптоПро CSP в КС3 требует сертифицированного СЗИ от НСД рядом.
Приказ №117 с 1 марта 2026 года: критические уязвимости — устранение за 24 часа, сертифицированного патча в эти 24 часа почти никогда нет. Расхождение версий в реестре ФСТЭК — главная находка при аудите. Семишаговый чеклист для объекта КИИ и таблица типичных СЗИ с практическими ограничениями.
Для SIEM отдельных требований ФСТЭК пока нет — и что это значит на практике.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team