Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Архитектура антифрод-платформы в банке: от событий до решений
Архитектура антифрод-платформы в банке: от событий до решений
Антифрод в банке давно перестал быть набором правил рядом с транзакцией. В статье разберём, как на самом деле устроен этот контур: от приёма событий из разных систем до скоринга, правил, ручного разбора и финального решения, которое нужно принять вовремя, а не “когда всё досчитается”.
По шагам посмотрим, зачем антифроду событийная шина, где без потоковой обработки уже не обойтись, почему признаки приходится делить на online и offline слои, и как в бою сочетаются модели, rule engine и оркестрация решений. Отдельно разберём, где такие платформы обычно начинают сыпаться: на задержках, рассинхроне данных, слабой маршрутизации кейсов и плохом возврате меток в обучение.Статья Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость
MFA защищает ровно один момент — ввод второго фактора. Кто владеет session token после аутентификации — тот в аккаунте. Без повторного MFA-челленджа. Атаки на MFA выросли на 32% в первой половине 2025 года.Семь техник с MITRE ATT&CK маппингом: SS7-перехват SMS (T1111), SIM-свопинг (T1451), push-бомбинг (T1621) — Uber 2022 и Cisco через vishing. Adversary-in-the-Middle через Evilginx2 обходит SMS, TOTP и push разом — 40 000 AiTM-инцидентов ежедневно, 11 Phishing-as-a-Service китов на рынке. Единственное, что устойчиво: FIDO2/WebAuthn благодаря origin binding.
Таблица устойчивости MFA-методов, KQL-правило для детекции impossible travel в Entra ID.
Number matching, Conditional Access + compliant device и отказ от SMS для привилегированных аккаунтов.Статья Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать
CERT-UA зафиксировал волну APT-атак через Signal по украинским госструктурам. Мессенджеры — уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа, который большинство SOC попросту не мониторит.APT28: Signal как канал доставки BeardShell → COM-hijacking в реестре, C2 через Icedrive API. Linked Devices: один QR-код — и атакующий читает все входящие без малвари. UAC-0184: Telegram → ZIP с LNK → Hijack Loader → Remcos RAT в памяти без записи на диск. Telegram Bot API как C2: `api.telegram.org` в корпоративных логах — не аномалия, но коррелируется.
Stealers семейств RedLine/Lumma целенаправленно собирают `%APPDATA%\Telegram Desktop\tdata` — кража сессии без пароля.
YARA-правило для детекции, IoC для SIEM и защитные меры для SOC-инженеров.Статья Sandbox escape в AI-агентах 2026: разбираем CVE-2026-39888 и CVE-2026-34208
Апрель 2026-го принёс два advisory, разносящих иллюзию безопасной изоляции в AI-агентах. CVE-2026-39888 (CVSS 9.9) — побег из PraisonAI через frame traversal. CVE-2026-34208 (CVSS 10.0) — prototype mutation в SandboxJS без аутентификации.PraisonAI: AST-блоклист subprocess-режима содержит 11 атрибутов вместо 30+. Цепочка __traceback__ → tb_frame → f_back → f_builtins извлекает неограниченный exec — полный RCE на хосте. SandboxJS: this.constructor.call() мутирует хостовые глобалы, и отравление живёт между сессиями разных пользователей.
Аналогичный класс уязвимостей (CBSE) найден в Claude Code, Gemini CLI и Codex CLI — архитектурная проблема, а не единичный баг.
Шестишаговый чеклист аудита sandbox AI + MITRE ATT&CK маппинг T1059.006, T1059.007, T1611.Статья Пентест контейнеров Docker и Kubernetes: от побега из контейнера до захвата кластера
На каждом втором red team-проекте с контейнерной инфраструктурой одна и та же картина: команда считает, что контейнер изолирует как виртуалка. Нет. Это группа процессов за Linux-примитивами, и один треснувший заборчик — выход на хост.Docker socket в CI/CD — container breakout за 30 секунд через curl к daemon API. CVE-2024-21626 (runc, CVSS 8.6) — побег без привилегированного режима. CVE-2025-9074 (Docker Desktop, CVSS 9.3) — доступ к Engine API без аутентификации через внутреннюю подсеть. В Kubernetes: `create pods` = DaemonSet на всех нодах, `create clusterrolebindings` = одна команда до cluster-admin.
Полная цепочка: разведка → ориентирование в поде → container breakout → RBAC abuse → захват кластера. Инструменты: CDK, kube-hunter, Peirates, kubesploit.
Восьмишаговый чеклист пентеста с MITRE ATT&CK маппингом и защита, которая реально останавливает атакующего.Статья Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
DAST-сканер слеп как крот, когда GET /api/v1/orders/1337 отдаёт чужой заказ при подмене ID. OWASP API Top 10 2023 — рабочая карта атакующего, а не чеклист для менеджеров.Три пункта из десяти — про контроль доступа: BOLA (подмена ID в Burp Repeater), BFLA (смена метода или пути на /admin/), Broken Object Property Level Authorization (mass assignment + excessive data exposure). Инъекции больше не выделены отдельно — логические баги статистически преобладают.
Каждая категория через HTTP-запросы, инструменты (Autorize, jwt_tool, Arjun, nuclei, InQL) и MITRE ATT&CK маппинг. GraphQL: интроспекция на production раскрывает всю схему, batch-запросы обходят rate limiting.
Шести шаговая методика API пентеста — за порогом регистрации.Статья Kubernetes Privilege Escalation: от скомпрометированного пода до cluster-admin через RBAC
⎈ Операции с кражей Kubernetes-токенов выросли на 282% за год. Подозрительная активность вокруг SA-токенов — в 22% облачных сред. Ключ лежит под ковриком.
Пять векторов RBAC-эскалации: create pods без admission controller = root на ноде; get secrets = все SA в namespace; impersonate = действуешь от имени кого угодно без новых объектов; bind и escalate — наименее известные, но наиболее разрушительные. Lazarus/Slow Pisces использовали этот паттерн на криптобирже в 2025. IngressNightmare (CVE-2025-1974, CVSS 9.8) — 43% облачных сред.
Полная цепочка «токен → разведка → под с привилегированным SA → cluster-admin» с командами через curl и kubectl.
Чеклист из 11 проверок для аудита RBAC и защита: PSA, Kyverno, аудит опасных verbs.Статья AD CS атаки эскалация привилегий: практический гайд по ESC1–ESC13 с Certipy
За два года — ни одного проекта с AD CS без мисконфигурации, ведущей к Domain Admin. Причина: админы воспринимают PKI как «просто работающий сервис», а не Tier 0 актив.ESC1 (Enrollee Supplies Subject) — самая частая и опасная. ESC4 — любимая: проверяют шаблоны, но забывают про ACL на объектах. ESC8 — единственная без учётных данных: NTLM relay на Web Enrollment через PetitPotam даёт сертификат DC. ESC13 — элегантная: OID Group Link временно добавляет SID привилегированной группы в PAC билета.
Полный разбор ESC1–ESC13 с командами Certipy и Certify, таблицей сложности и сводкой Event ID для Blue Team.
Практический чеклист из шести шагов — от certipy find до secretsdump.Статья Zero Trust Segmentation (ZTS): Микросегментация сетей в K8s и облаках
Zero Trust Segmentation в Kubernetes и облаках: микросегментация с Calico, Cilium и eBPF
В Kubernetes и облачных средах внутренняя сеть слишком часто остаётся “доверенной” просто по факту нахождения внутри кластера. В статье разберём, почему такой подход быстро ломается после компрометации одного pod, как начинается lateral movement и почему классические периметровые фаерволы плохо работают там, где рабочие нагрузки живут минутами, а адреса и связи постоянно меняются. По шагам посмотрим, как строится Zero Trust Segmentation на практике: от default deny и базовой NetworkPolicy до более зрелой модели с Calico, Cilium и eBPF. Разберём, где заканчиваются возможности native-политик Kubernetes, что дают GlobalNetworkPolicy и CiliumNetworkPolicy, как ограничивать ingress и egress, чем наблюдать east-west трафик и зачем здесь Hubble, Flow Logs и нормальная телеметрия.Статья Побег из Docker контейнера: техники эксплуатации от privileged mode до уязвимостей runc
Контейнер — не виртуальная машина. Между тобой и ядром хоста нет аппаратного гипервизора — только namespaces, cgroups, capabilities и seccomp. Любая из этих абстракций ломается мисконфигурацией.--privileged открывает блочные устройства хоста — chroot в хостовую ФС занимает секунды. Mounted Docker socket — эквивалент root SSH на хост. CAP_SYS_ADMIN + cgroups v1: release_agent выполняет payload в контексте хоста без ведома контейнера.
Leaky Vessels (CVE-2024-21626), свежие symlink/TOCTOU runc (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881), Dirty Pipe, CVE-2024-1086 — активно эксплуатируется RansomHub и Akira.
10-шаговый алгоритм пентеста контейнера и таблица векторов по сложности эксплуатации.