Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения
Сертификат ФСТЭК или ФСБ — и чем они отличаются: одно правило, которое расставляет всё по местам. Разбор глазами того, кто настраивал Dallas Lock под класс К1.ФСТЭК — некриптографическая защита (МЭ, АВЗ, СОВ, Dallas Lock, Secret Net). ФСБ — СКЗИ (КриптоПро, ViPNet). Один продукт может нести оба сертификата. Класс СКЗИ — не только свойство продукта, но и среды: КриптоПро CSP в КС3 требует сертифицированного СЗИ от НСД рядом.
Приказ №117 с 1 марта 2026 года: критические уязвимости — устранение за 24 часа, сертифицированного патча в эти 24 часа почти никогда нет. Расхождение версий в реестре ФСТЭК — главная находка при аудите. Семишаговый чеклист для объекта КИИ и таблица типичных СЗИ с практическими ограничениями.
Для SIEM отдельных требований ФСТЭК пока нет — и что это значит на практике.Статья Импортозамещение ИБ решения сравнение: честный обзор российских SIEM, EDR и сканеров глазами пентестера
Splunk отключился за ночь. SIEM показал пустую консоль. Три года тестирования российского стека глазами пентестера — без маркетинга, с результатами Red Team проектов.MaxPatrol SIEM ловит Discovery и Lateral Movement, но миграция 200+ правил со Splunk — 6-12 месяцев ручной работы. KUMA нативна в стеке Kaspersky, но парсеры сторонних источников придётся дописывать руками. RuSIEM на одном проекте выдал единственный алерт на сканирование — весь остальной kill chain прошёл насквозь.
Кастомный дампер lsass обходит Kaspersky EDR Expert там, где Mimikatz блокируется. ViPNet EDR не среагировал на PowerShell reverse shell с AMSI bypass. Три связки по уровню защиты: боевая, оптимальная и «для галочки». Миграция послойно: сначала сканер, затем EDR, последним SIEM.
Bash-чеклист инвентаризации правил Splunk перед переходом.Статья MaxPatrol SIEM vs KUMA: сравнение архитектуры, правил корреляции и интеграций для SOC-аналитика
MaxPatrol SIEM vs KUMA: параллельная эксплуатация в боевых SOC-средах — не по даташитам, а по количеству бессонных ночей. Слепые пятна обеих систем глазами пентестера.XP + PDQL против визуального редактора — разные философии написания правил корреляции. Автоподавление в KUMA элегантно, но атакующий, знающий механику 100 срабатываний за минуту, может намеренно загнать детект в стоп-лист через T1562.006. MaxPatrol с моделью активов ловит аномальные входы под Valid Accounts (T1078) точнее, KUMA с periodical-правилами через correlator-ng перехватывает поведенческие аномалии нативно.
Security Software Discovery (T1518.001) — слепое пятно обеих: wmic-запрос к SecurityCenter2 SIEM не видит. Матрица выбора: гетерогенная среда → MaxPatrol; Kaspersky на эндпоинтах и Kubernetes → KUMA.
Сводная таблица по 15 критериям и рекомендация по Atomic Red Team для пилота.Статья Cloud Pentesting: методология тестирования облачной инфраструктуры
Cloud Pentesting: методология тестирования облачной инфраструктуры
Облачный пентест не заканчивается сканом публичных IP. Основной риск часто лежит глубже: в IAM-ролях, trust policy, metadata service, CI/CD-токенах, секретах и межаккаунтных связях, которые не видны классическому сетевому подходу.
В материале разбираем методологию cloud pentest: как строить разведку, проверять IAM-цепочки, искать риск в AssumeRole, оценивать SSRF к IMDS и понимать, когда отдельная misconfiguration превращается в рабочий attack path.
В финале разберём, как из разрозненных misconfigurations собрать понятную цепочку: от исходной identity до production-impact. Без длинных чеклистов - только то, что помогает доказать риск, показать blast radius и дать команде понятный маршрут исправления. Статья Российские сканеры уязвимостей: сравнение MaxPatrol VM, RedCheck и ScanFactory на реальной инфраструктуре
MaxPatrol VM vs RedCheck vs ScanFactory: сравнение на реальной инфраструктуре через comm -23. Маркетинговые таблицы врут — реальная разница проявляется только на одних и тех же хостах.На Astra Linux SE с PostgresPro RedCheck стабильно находит уязвимости, которые MaxPatrol VM пропускает — база детекции российского ПО у него полнее. На Huawei-оборудовании картина обратная. Backported patches дают до 40+ false positive на российских Linux-дистрибутивах у обоих сканеров.
Матрица выбора: КИИ 1-й категории с SOC — MaxPatrol VM с Continuous VM и интеграцией в стек PT. Госорган на российском ПО — RedCheck с нативными BDU-идентификаторами для инспектора ФСТЭК. DevSecOps и внешний периметр — ScanFactory. БДУ ФСТЭК покрывает около 10% от всех CVE в NVD, но 61% APT-релевантных уязвимостей.
Bash-скрипт для diff экспортов двух сканеров и чеклист проверки ФСТЭК по мере АНЗ.1.Статья Миграция на отечественный SIEM: перенос правил, дашбордов и интеграций с Splunk и QRadar
200 правил корреляции перенесено из Splunk и QRadar в MaxPatrol SIEM и KUMA — и ни один вендорский гайд не описывает и половины того, с чем сталкиваешься на практике.Конвертация SPL в PDQL — не синтаксический перевод, а семантический. Маппинг полей убивает детекции тихо: src_ip → event.src.host, и правило молчит без ошибок. CardinalOps: 21% покрытия ATT&CK и 13% нефункциональных правил в среднем по enterprise — при миграции эти цифры ухудшаются. Таблица техник, которые SOC теряет первыми: T1562.001, T1070.001, T1562.002 — окно для Red Team.
Пять фаз перехода: параллельная установка с дублированием потока, TOP-20 правил первыми, Windows-агенты последними, контроль «молчащих» источников, 30 дней параллельной работы до вывода старого SIEM. Сравнение транспортов и нативная интеграция с ГосСОПКА.
SPL-запрос для полного экспорта активных правил с метаданными.Статья ShinyHunters группировка: анатомия атак — от вишинга до Salesforce-экфильтрации и шантажа жертв
ShinyHunters: анатомия группировки от 91 млн записей Tokopedia в 2020-м до Salesforce-кампании 2025–2026 — Google, Cisco, LVMH, Qantas. Без шифрования, только шантаж.UNC6040 + UNC6240, связь со Scattered Spider подтверждена через аккаунт Sp1d3rHunters и синхронные кампании. Эволюция за пять лет: GitHub-репозитории с паролями → Snowflake → вишинг + OAuth Device Flow → ransomware shinysp1d3r для ESXi. PowerSchool заплатила $2,85 млн — вымогательство перешло на школьные округа.
Kill chain 2026: T1566.004 (вишинг под IT-поддержку) → T1528 (кража OAuth-токена) → T1621 (MFA-бомбинг) → T1119 (автоматический экспорт Salesforce) → T1567.002 (экфильтрация). SOQL-запрос к SetupAuditTrail, корреляционное правило для SIEM и рекомендации D3FEND.
Инфраструктурные паттерны доменов ShinyHunters и признаки конвергенции с Scattered Spider.Статья Мисконфигурации Salesforce: находим и закрываем до утечки — разбор атак и пошаговый аудит
Апрель 2026: McGraw Hill — 13,5 млн записей, Amtrak — 2,1 млн. Ни zero-day, ни сложной эксплуатации — только Guest User с включённым API Enabled и Sharing Rules без ограничений.Каждый сайт Experience Cloud имеет Guest User, который существует даже при отключённой гостевой авторизации. API Enabled на профиле — и атакующий через Aura-эндпоинт и GraphQL вытягивает Contact, Account, Case без единого логина. AuraInspector (Google Mandiant) автоматизирует весь цикл, GraphQL снимает ограничение в 2000 записей.
Пошаговый аудит: SOQL-запрос к ObjectPermissions для перечисления доступных Guest User объектов, проверка OWD Default External Access, тестирование Aura-эндпоинтов через Burp Suite, чеклист hardening из 8 мер. Маппинг на MITRE ATT&CK: T1190, T1078.004, T1213.004, T1530.
Secure Guest User Record Access и отключение self-registration — два шага, которые закрывают эскалацию из просмотра в аутентифицированную сессию.Статья ShinyHunters взлом Amtrak: разбор атаки через Salesforce, TTPs и detection-чеклист
ShinyHunters взломали Amtrak через Salesforce: 2,1 млн записей, ноль уязвимостей в коде — только вишинг, OAuth Device Flow и легитимный Data Loader. MFA прошла, EDR молчал.С середины 2025 года — 91 компания: Google, Chanel, Qantas, Allianz. Атакующий звонит сотруднику, представляется IT-поддержкой с номером реального тикета, предлагает установить «обновлённый» Data Loader. Сотрудник авторизует Connected App — токен уходит к атакующему. SOQL-запросы к Contact, Case, Account выглядят как обычный рабочий день.
Полный kill chain с маппингом T1528, T1213.004, T1567.002, хронология кампании с октября 2024 по апрель 2026, SOQL-запросы для Event Monitoring и чеклист hardening: аудит Connected Apps, запрет самостоятельной установки, IP-restriction для OAuth-токенов.
Почему «у нас стоит MFA» — ложная защита против этой атаки.Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.