Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья MinerSearch: обнаружение майнера в Windows — от ручного анализа до автоматического удаления

  • 389
  • 0
Планшет для пентеста на тёмном антистатическом коврике. На ярком экране — интерфейс MinerSearch с деревом процессов, строкой обнаружения майнера и красной кнопкой завершения процесса.


🔍 XMRig три недели молчал в антивирусе: conhost.exe из C:\ProgramData\Microsoft\Crypto\ держал CPU на 87% через process hollowing и порт 3333 — пока Process Explorer не выдал аномалию.

Kill chain типичного криптомайнера: PowerShell-загрузчик через T1190, закрепление по T1053.005 в планировщике задач, masquerading под svchost.exe из %AppData%. Семейство Smominru совмещает XMRig с DDoS и проксированием — машина уходит в ботнет незаметно.

MinerSearch бьёт по этапам 3–5 ATT&CK: проверяет цифровые подписи служб, сканирует Run-ключи реестра, ищет процессы вне System32.

💡 Антивирус молчит — майнер работает в process hollow. Детект по пути процесса, а не сигнатуре.

Статья OpenCTI vs MISP: сравнение open-source TI-платформ для корпоративного SOC

  • 287
  • 0
Два монитора стоят друг напротив друга на чёрном столе в тёмном зале SOC: слева интерфейс с таблицей индикаторов, справа граф знаний с узлами ATT&CK.


🔍 MISP агрегировал 47 TI-фидов и слал IoC в Splunk — пока L3-аналитик не спросил: «Какие техники ATT&CK мы не покрываем?» MISP на этот вопрос не проектировался. OpenCTI — да, но ценой Elasticsearch, Redis, RabbitMQ и недель настройки коннекторов.

MISP работает по модели «индикатор + флаг to_ids → действие в детекции». PyMISP гонит IP, хеши, домены в Splunk через lookup-таблицы, в Palo Alto NGFW — через блоклисты. Для IoC-driven SOC этого хватает. Но граф «хеш → малварь → intrusion set → ATT&CK-техника» в MISP архитектурно не core: модель данных плоская, атрибуция — как карта метро в Excel.

💡 50+ фидов без decay-политики топят SIEM в ложных срабатываниях — MISP об этом не предупредит.

Статья WebSocket Security: тестирование real-time приложений

  • 335
  • 0
image.webp


🌐 WebSocket — двусторонний канал поверх TCP. После HTTP-handshake с кодом 101 заголовки больше не передаются, SOP не действует, встроенной аутентификации нет. Всё это — поверхность атаки, которую разработчики системно недооценивают.

Разведка: поиск WS-эндпоинтов через JS-конструкторы new WebSocket(), схемы ws:// и wss://, библиотеки Socket.IO и SignalR. Перебор путей через ffuf с заголовками Upgrade, websocat для быстрой проверки.

Уязвимости: отсутствие проверки Origin → CSWSH (аналог CSRF для WebSocket); слепое доверие идентификаторам во фреймах → IDOR; XSS через Pub/Sub-бродкаст; SQLi и Command Injection в параметрах сообщений — WAF их не видит, трафик идёт внутри TLS после handshake. Ошибки JWT: смена алгоритма RS256→HS256, просроченные токены.

Инструменты: Burp Suite WebSocket History и Repeater, wscat, websocat, WebSocket Smuggler.

💡 Большинство WAF инспектируют только фазу HTTP handshake — всё, что внутри фреймов, проходит мимо.

Статья Метрики информационной безопасности: что реально измерять security-команде

  • 298
  • 0
Радарная диаграмма с пятью осями метрик ИБ на плотной бумаге. Синий полигон отражает текущее состояние, пунктирный янтарный — целевую зрелость; рядом латунный пресс-папье и перо.


📊 Дашборд показывал MTTD = 4 часа — красная команда просидела в сети 11 дней без единого алерта, используя legitimate credentials и обходя шумные TTPs.

Метрика «1 247 832 заблокированных атаки» выглядит убедительно на слайде CFO — и не говорит ровно ничего о реальной защищённости. Атакующий через T1562.001 отключает EDR-агент, а «покрытие EDR: 100%» остаётся зелёным. T1070.001 обнуляет MTTD для конкретного хоста — детектировать нечего, логов нет.

MTTD считают от первого алерта SIEM, а не от реального initial access — разрыв достигает 3–5x. В Splunk lookup-таблица `incident_timeline` с полем `first_compromise_ts` даёт честную картину.

💡 SOC оптимизирует метрики по видимым инцидентам — слепые зоны в расчёт не входят.

Статья Беспроводная разведка Wi-Fi сетей: что видит атакующий с парковки и как SOC это ловит

  • 758
  • 2
Крупный план USB-адаптера Wi-Fi на тёмном антистатическом коврике. Корпус устройства освещён жёстким голубым боковым светом, в глубине фона мерцают зелёные огни оборудования.


📡 Alfa AWUS036ACH в monitor mode, Kismet с GPS — и за 12 минут с парковки: 47 BSSID, три «скрытых» сети, принтер с открытой точкой доступа. SOC заказчика не поймал ни одного алерта.

Пассивная разведка через airodump-ng и Kismet не отправляет ни байта в эфир — только слушает 802.11 beacon и probe request фреймы. Адаптер в monitor mode вскрывает WPA2-Personal рядом с Enterprise-зоной, MAC вендоров, паттерны активности клиентов. IDS на проводном сегменте слепа: всё происходит до появления в Windows Event Log.

Детектирование строится на WIDS с корреляцией по BSSID-аномалиям и неожиданным probe request.

💡 Проводной IDS молчит 12 минут — атакующий уже знает всю топологию беспроводной сети.

Статья Атаки на endpoint management системы: разбор TTP 2026 и detection для SOC

  • 351
  • 0
Плата устройства удалённой поддержки с выжженным процессором, обнажающим медные дорожки. Над повреждением нависает лупа, рядом виден JTAG-разъём с щупом.


🚨 CVE-2026-1731 (CVSS 9.9) в BeyondTrust Remote Support эксплуатировалась в ransomware-кампаниях Qilin и Akira до выхода патча — CISA дала 3 дня на устранение pre-auth RCE (CWE-78), пока атакующие уже шли по kill chain.

BeyondTrust-сервер после эксплойта становится готовым C2: агент на каждом хосте принимает команды без доп. аутентификации — MITRE T1072. Далее Impacket smbexec и Pass-the-Hash (T1550.002) через NTLM-хеши из памяти сервисных процессов. CVE-2025-24054 добивает через .library-ms файлы и утечку NTLMv2.

💡 SOC не трогает RMM-трафик — он baseline. Ransomware-группы живут внутри подписанного агента неделями.

Статья Защита от инсайдерских угроз: access review, offboarding и политики ИБ на практике

  • 383
  • 1
Женщина за корпоративным столом смотрит на экран ноутбука с панелью проверки доступа, её лицо наполовину освещено монитором. Зернистая монохромная атмосфера позднего рабочего дня.


🕵️ Аккаунт уволенного 11 месяцев назад — с доступом к финансовым отчётам через SharePoint и действующим VPN-сертификатом. HR закрыл заявку в день ухода, IT получил тикет через неделю, IAM-команда не узнала вообще.

Типовой kill chain инсайдера не требует эксплойтов: T1078 (Valid Accounts) даёт initial access бесплатно, T1213 — навигацию по SharePoint и Confluence без единого алерта, T1567.002 — эксфильтрацию через облако. BloodHound за первый час находит вложенные AD-группы с membership от пяти реорганизаций, а группы `all-employees-full-access` в Okta живут годами.

💡 EDR молчит — инсайдер использует легитимные права. Окно в 11 месяцев закрывает только IAM, не SIEM.

Статья Secrets scanning масштабирование организации: оркестрация пайплайнов, покрытие источников и валидация

  • 258
  • 0
Распечатанная матрица валидации секретов на плотной бумаге, прижатой латунными грузами. Строки с категориями источников, столбцы со статусами, 340 синих ячеек среди тысяч серых.


⚙️ Gitleaks на монорепо с 480 сервисами вернул 14 000 алертов — реальных секретов оказалось 340. Три дня ручного разбора, и security-чемпионы перестали смотреть на дашборд вообще. Вот архитектура, которая режет шум в 40 раз.

Трёхслойная оркестрация: detect-secrets как pre-commit hook проверяет только diff за миллисекунды, TruffleHog v3 с флагом --only-verified на PR-этапе валидирует секреты через AWS IAM и GitHub API, scheduled deep scan прогоняет полную git-историю по расписанию. Каждый слой — своя скорость и глубина.

Покрытие выходит за пределы кода: CI/CD-переменные, Terraform и CloudFormation, Confluence, Jira, Slack.

💡 Alert fatigue убивает программу secrets scanning быстрее, чем отсутствие сканера — без валидации через API инструмент просто замолкает.

Статья Антифрод-аналитика транзакций: фрод-паттерны и скоринговые правила на практике

  • 317
  • 0
Тёмный зал мониторинга с изогнутым экраном, отображающим дашборд скоринга фрода в янтарных и голубых тонах. На мониторе — временная шкала транзакций с предупреждением о подозрительной активности, с...


📡 Один device fingerprint, 12 карт, интервал 30 секунд — кардинг уже идёт. 43 из 47 алертов за ночь оказались false positive на командировочных транзакциях, четыре реальных кейса принесли 38 тыс. руб. убытка плюс 12 chargeback-диспутов втрое дороже.

Velocity-правила — первая линия, но без контекста дают FP-рейтинг 40%+. Скоринговая модель должна считать сигналы в связке: card_hash за 5-минутное окно, количество уникальных карт с одного device_id, интервал менее 10 секунд как маркер автоматизации, BIN-страна против IP-юрисдикции.

Account takeover детектируется через смену device fingerprint за 24 часа до транзакции и превышение среднего чека клиента в 3+ раза.

💡 Chargeback-штрафы по Visa VAMP втрое дороже самого фрода — антифрод это P&L, а не задача безопасников.

Статья CI/CD для начинающих: Docker, GitLab CI и первый безопасный пайплайн

  • 335
  • 0
Ноутбук на тёмном антистатическом коврике с экраном, отображающим дашборд GitLab CI/CD с заблокированным этапом безопасности и подсвеченными ключами в терминале. Жёсткий голубой свет подчёркивает к...


💣 GitLab CI-пайплайн финтех-компании: от скомпрометированной учётки разработчика до AWS S3 с продуктовыми дампами — меньше часа. В трёх из пяти репозиториев .gitlab-ci.yml хранил AWS-ключи и пароль staging-базы открытым текстом.

Initial access через low-priv credentials — и сразу grep по .gitlab-ci.yml. Захардкоженные секреты, Docker Registry токен, CI-переменные без маскировки. Lateral movement по T1552.001 → T1611: Runner с примонтированным /var/run/docker.sock и одна команда docker run -v /:/mnt --rm -it alpine chroot /mnt sh дают root на хосте.

💡 Пентестер смотрит на порты и CVE — а пайплайн отдаёт production-доступ без единого эксплойта.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 556
Сообщения
346 903
Пользователи
161 210
Новый пользователь
leni_2