Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.Статья Обход EDR российские решения: PT Sandbox, Kaspersky EDR и SEKOIA — тестируем с позиции Red Team
Kaspersky EDR Expert, PT Sandbox и SEKOIA XDR глазами Red Team: где слепые пятна, какие техники обхода живые, а какие уже мертвы.Каждый второй «обзор EDR» — пересказ маркетинговых PDF. Ни слова о том, что реально детектируется. Исправляем: Direct Syscalls без доработки call stack Kaspersky уже ловит. Классический DLL Injection и Process Hollowing — в сигнатурах у всех трёх. BYOVD остаётся рабочим при наличии admin-прав, но шумный. BYOI через прерванный инсталлятор — атака класса, а не продукта.
Инкрементальная методология: сначала RWX-аллокация, потом запись, потом execution — замеряем точку срабатывания. Canary-тест vs стелс-тест на VirtualProtect RW→RX. Сводная таблица 10 техник с оценкой по трём решениям.
PE-sieve для картирования хуков ntdll и код C для точной локализации момента детектирования.Статья Техники руткитов: полная классификация, матрица обнаружения и противодействие
Руткиты — менее 1% малвари, но ProjectSauron пять лет жил в инфраструктурах незамеченным. Полная карта техник от Ring 3 до Ring -2 с методами обнаружения каждого уровня.Четыре уровня — четыре принципиально разных подхода к детекту. Ring 3: IAT hooking, LD_PRELOAD, inline hooking. Ring 0: DKOM отсоединяет процесс из ActiveProcessLinks — планировщик его видит, NtQuerySystemInformation нет. Ring -1: EPT-abuse показывает сканеру чистый код, процессор исполняет пропатченный. Ring -2: BlackLotus обходит Secure Boot, имплант переживает переустановку ОС.
DirtyMoe вырос с 10 000 до 100 000 машин пока антивирусы молчали. UNC3886 в 2024-м использовала публичный Reptile с GitHub на VMware ESXi — APT-группа с госресурсами выбрала готовый LKM вместо кастомной разработки. Матрица: 6 методов обнаружения против 4 уровней, 8 техник MITRE ATT&CK.
Чеклист 8 уровней защиты и навигатор по 7 spoke-статьям кластера.Статья Российские WAF и NGFW сравнение: PT AF, UserGate и Континент глазами пентестера
PT Application Firewall, UserGate NGFW и Континент WAF глазами пентестера: разбор архитектуры, реального поведения и техник обхода — без пересказа даташитов.WAF в мониторинге — дорогой логгер. NGFW вместо WAF — архитектурная ошибка, которую эксплуатируют в первую очередь. PT AF стабильно ловит базовые инъекции, но ML-модуль часто выключают через неделю. Chunked encoding с chunk extensions — по-прежнему рабочий вектор против ряда продуктов.
Пять техник обхода с командами: sqlmap с tamper-скриптами, chunked TE с extensions, HTTP Request Smuggling через расхождение Content-Length/Transfer-Encoding, Protocol Tunneling (T1572) через chisel/ligolo-ng мимо UserGate, IP-фрагментация через Scapy. IDOR и Broken Access Control (94% приложений по OWASP) — слепое пятно любого WAF.
Пятишаговая методология fingerprinting → определение режима → кодировки → логирование → документирование bypass.Статья Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения
Сертификат ФСТЭК или ФСБ — и чем они отличаются: одно правило, которое расставляет всё по местам. Разбор глазами того, кто настраивал Dallas Lock под класс К1.ФСТЭК — некриптографическая защита (МЭ, АВЗ, СОВ, Dallas Lock, Secret Net). ФСБ — СКЗИ (КриптоПро, ViPNet). Один продукт может нести оба сертификата. Класс СКЗИ — не только свойство продукта, но и среды: КриптоПро CSP в КС3 требует сертифицированного СЗИ от НСД рядом.
Приказ №117 с 1 марта 2026 года: критические уязвимости — устранение за 24 часа, сертифицированного патча в эти 24 часа почти никогда нет. Расхождение версий в реестре ФСТЭК — главная находка при аудите. Семишаговый чеклист для объекта КИИ и таблица типичных СЗИ с практическими ограничениями.
Для SIEM отдельных требований ФСТЭК пока нет — и что это значит на практике.Статья Импортозамещение ИБ решения сравнение: честный обзор российских SIEM, EDR и сканеров глазами пентестера
Splunk отключился за ночь. SIEM показал пустую консоль. Три года тестирования российского стека глазами пентестера — без маркетинга, с результатами Red Team проектов.MaxPatrol SIEM ловит Discovery и Lateral Movement, но миграция 200+ правил со Splunk — 6-12 месяцев ручной работы. KUMA нативна в стеке Kaspersky, но парсеры сторонних источников придётся дописывать руками. RuSIEM на одном проекте выдал единственный алерт на сканирование — весь остальной kill chain прошёл насквозь.
Кастомный дампер lsass обходит Kaspersky EDR Expert там, где Mimikatz блокируется. ViPNet EDR не среагировал на PowerShell reverse shell с AMSI bypass. Три связки по уровню защиты: боевая, оптимальная и «для галочки». Миграция послойно: сначала сканер, затем EDR, последним SIEM.
Bash-чеклист инвентаризации правил Splunk перед переходом.Статья MaxPatrol SIEM vs KUMA: сравнение архитектуры, правил корреляции и интеграций для SOC-аналитика
MaxPatrol SIEM vs KUMA: параллельная эксплуатация в боевых SOC-средах — не по даташитам, а по количеству бессонных ночей. Слепые пятна обеих систем глазами пентестера.XP + PDQL против визуального редактора — разные философии написания правил корреляции. Автоподавление в KUMA элегантно, но атакующий, знающий механику 100 срабатываний за минуту, может намеренно загнать детект в стоп-лист через T1562.006. MaxPatrol с моделью активов ловит аномальные входы под Valid Accounts (T1078) точнее, KUMA с periodical-правилами через correlator-ng перехватывает поведенческие аномалии нативно.
Security Software Discovery (T1518.001) — слепое пятно обеих: wmic-запрос к SecurityCenter2 SIEM не видит. Матрица выбора: гетерогенная среда → MaxPatrol; Kaspersky на эндпоинтах и Kubernetes → KUMA.
Сводная таблица по 15 критериям и рекомендация по Atomic Red Team для пилота.Статья Cloud Pentesting: методология тестирования облачной инфраструктуры
Cloud Pentesting: методология тестирования облачной инфраструктуры Облачный пентест не заканчивается сканом публичных IP. Основной риск часто лежит глубже: в IAM-ролях, trust policy, metadata service, CI/CD-токенах, секретах и межаккаунтных связях, которые не видны классическому сетевому подходу.
В материале разбираем методологию cloud pentest: как строить разведку, проверять IAM-цепочки, искать риск в AssumeRole, оценивать SSRF к IMDS и понимать, когда отдельная misconfiguration превращается в рабочий attack path.
В финале разберём, как из разрозненных misconfigurations собрать понятную цепочку: от исходной identity до production-impact. Без длинных чеклистов - только то, что помогает доказать риск, показать blast radius и дать команде понятный маршрут исправления. Статья Российские сканеры уязвимостей: сравнение MaxPatrol VM, RedCheck и ScanFactory на реальной инфраструктуре
MaxPatrol VM vs RedCheck vs ScanFactory: сравнение на реальной инфраструктуре через comm -23. Маркетинговые таблицы врут — реальная разница проявляется только на одних и тех же хостах.На Astra Linux SE с PostgresPro RedCheck стабильно находит уязвимости, которые MaxPatrol VM пропускает — база детекции российского ПО у него полнее. На Huawei-оборудовании картина обратная. Backported patches дают до 40+ false positive на российских Linux-дистрибутивах у обоих сканеров.
Матрица выбора: КИИ 1-й категории с SOC — MaxPatrol VM с Continuous VM и интеграцией в стек PT. Госорган на российском ПО — RedCheck с нативными BDU-идентификаторами для инспектора ФСТЭК. DevSecOps и внешний периметр — ScanFactory. БДУ ФСТЭК покрывает около 10% от всех CVE в NVD, но 61% APT-релевантных уязвимостей.
Bash-скрипт для diff экспортов двух сканеров и чеклист проверки ФСТЭК по мере АНЗ.1.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab