Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Кибербезопасность критической инфраструктуры: полная карта защиты энергосетей, SCADA и OT-систем
Оператор водоочистной станции в Олдсмаре увидел, как курсор двигается сам. Кто-то через legacy-инструмент удалённого доступа пытался поднять концентрацию гидроксида натрия до уровня яда. Не было сегментации, не было мониторинга, не было MFA. Между 15 000 жителей и катастрофой — один внимательный сотрудник.Навигационный хаб по 9 материалам кластера: атаки на SCADA, сегментация OT по Purdue Model и Zero Trust, пентест Modbus, lateral movement из IT в OT, kill chain до ПЛК, иранские APT, ransomware в OT, VNC без аутентификации.
7 принципиальных отличий OT от IT: приоритет доступности, протоколы без аутентификации, цикл патчинга 29 месяцев, сканирование = риск аварии, жизненный цикл 25 лет, слепота стандартных EDR. IEC 62443, NERC CIP, NIST CSF 2.0 с адаптацией под промышленные среды. Чеклист 12 мер защиты критической инфраструктуры.
Air gap — миф. На каждом объекте найдётся Historian, dual-homed инженерная станция или забытый VPN-туннель вендора.Статья Detection Engineering: Sigma и YARA правила для детекции стеганографии и облачного C2 APT28
APT28 держала 42 хоста украинских военных структур под контролем — IOC-фиды молчали. C2 шёл через Icedrive, Filen и Koofr, шеллкод прятался в PNG. SigmaHQ (8000+ правил) не покрывает ни один из этих провайдеров.Operation Phantom Net Voxel: BEARDSHELL опрашивает Icedrive API каждые 4 часа, имя директории — FNV1a-хеш hardware fingerprint. COVENANT тянет C2-адреса из PNG через стеганографию T1027.003, трафик — ChaCha20-Poly1305 поверх TLS на порту 443.
Статья закрывает оба gap-а: Sigma-правило детектирует DNS-запросы к облачным провайдерам от non-browser процессов (svchost.exe на Icedrive — немедленный триггер), YARA бьёт по энтропийным аномалиям PNG, а не байт
SOC мониторит исполняемые файлы — PNG с шеллкодом sandbox не запустит, AV не сработает, DLP пропустит.Статья VNC без аутентификации в промышленных системах: от разведки Shodan до контроля HMI
40 секунд от Shodan до насосной станции: VNC без аутентификации на Wonderware InTouch открыл прямой доступ к HMI водоочистных сооружений — nmap -p 5900-5910 --script vnc-info, затем vncviewer, и физический процесс под контролем.На реальном пентесте три VNC-сервера на портах 5900–5902 работали без пароля. Kill chain по MITRE ATT&CK: T1596.005 — разведка через Shodan с запросом port:5900 "Authentication: (1) None", T1133 — прямое подключение, T1113 — скриншоты мнемосхемы, T1489 — модификация уставок давления мышкой через GUI.
IDS молчит — VNC-трафик легитимен. От initial access до физического воздействия один шаг, без C2 и payload.Статья Кибератаки на юридические фирмы: kill chain вымогателей и detection-чеклист для SOC
Группировка Play слила данные Dallis Law Firm — одна из семи жертв за неделю. ALPHV/BlackCat вынесла 3,6 ТБ из HWL Ebsworth за 72 часа: от spearphishing-вложения до шифрования через T1566.001 → T1078 → T1213 → T1490 → T1486.Kill chain стартует в 09:15 понедельника — партнёр открывает «график заседаний» с макросом. К 02:00 вторника атакующие уже в iManage или NetDocuments: один аккаунт без matter-сегрегации — доступ ко всему хранилищу. В 03:00 среды: vssadmin delete shadows /all /quiet, bcdedit, запуск шифровальщика.
SOC-чеклист: алерты на массовый доступ к DMS ночью, запуск 7z.exe с ключом -p, обращения к vssadmin и wmic shadowcopy.
Юрфирма хранит данные уровня Fortune 500 — при защите уровня SMB без IR-плана.Статья Защита от DDoS-атак 2026: сравнение стратегий, detection и чеклист для SOC
340 Gbps UDP-флуда в 9:15 — и ровно в 10:10 WAF фиксирует 2400 rps на эндпоинт авторизации. Пока SOC разгребал NTP reflection/amplification (T1498.002), L7-вектор T1499.003 уже шёл в обход.Многовекторная атака — классическая дымовая завеса: volumetric-удар по L3/L4 отвлекает дежурную смену, второй вектор стартует в окно хаоса. Финтех из постмортема потерял 55 минут и миллионы на незавершённых транзакциях. DDoS-as-a-Service платформы опустили порог входа ниже Netflix-подписки.
Статья разбирает архитектурные стратегии 2026 — cloud scrubbing (DDoS-Guard, Qrator), on-premise (Arbor TMS, Radware DefensePro), гибрид по модели Kentik и BGP blackholing.
SIEM без корреляции T1498+T1499 как единого инцидента видит два алерта вместо одной атаки.Статья Аудит соответствия ФЗ-152: чеклист внутренней проверки и подготовка к инспекции Роскомнадзора
РКН приходит через 10 дней — реестр ИСПДн не обновлялся год, согласия для мобильного приложения не оформлены, поручение облачному провайдеру отсутствует. Чеклист из 12 пунктов и detection-правила для SIEM, чтобы закрыть дыры до визита инспектора.Инспектор РКН не идёт сразу в серверную — первые 30 минут чисто документарные: реестр на pd.rkn.gov.ru, приказ по ст. 22.1, политика на сайте без авторизации, 5–10 случайных согласий против фактических полей CRM. Расхождение между задекларированными целями и реальными потоками ПДн — первое замечание в акте.
Большинство замечаний в актах РКН — про бумаги, а не про железо. SIEM настроен, СрЗИ сертифицированы, поручение провайдеру не подписано.Статья Детальный разбор цифровых подписей РЕ-файлов
В PE-файле цифровая подпись хранится как оверлей после всех секций в структуре WIN_CERTIFICATE — PKCS#7-контейнер с цепочкой доверия от корневого CA до разработчика. 25 КБ данных, которые большинство утилит показывают лишь поверхностно.Разбор изнутри: формат ASN.1 TLV (Type-Length-Value), теги типов данных, BigEndian-размеры блоков, OID-идентификаторы объектов. Структура SignedData по PKCS#7: version, digestAlgorithms, encapContentInfo, certificateSet, signerInfos. Разница между RSA encryption и RSA_signing, почему ECDSA-256 вытесняет RSA в современных сертификатах.
CVE-2013-3900: запись Security в IMAGE_DATA_DIRECTORY исключается из хэша — размер можно изменить. Как включить строгую валидацию через реестр HKLM\Software\Microsoft\Cryptography\Config. Практика: парсер на FASM читает сертификат и выводит поля в ListView.
Расценки на сертификаты: EV от $350/год у Sectigo, подпись драйверов через Microsoft Partner Center — бесплатно.Статья Обоснование инвестиций Zero Trust: метрики, формулы и аргументы для совета директоров
CFO спрашивает «покажите цифры» — IBM Cost of a Data Breach 2025 называет $4,44 млн средней стоимостью утечки. ROSI 92% и ALE-модель переводят Zero Trust из «архитектурной концепции» в строку бюджета.Статья разбирает два финансовых инструмента: ROSI = (ALE × снижение риска − TCO) / TCO × 100% и ALE = SLE × ARO. Для российских компаний SLE включает оборотные штрафы по ФЗ-420 — до 3% выручки за повторную утечку ПДн. Методология FAIR заменяет экспертные «высокий/средний» вероятностными распределениями.
Скрытые издержки периметровой модели — VPN-лицензии, разрастающиеся firewall-правила, простои при масштабировании — редко попадают в ИБ-бюджет, но реальны.
Совет директоров отклоняет Zero Trust не из-за цены — а потому что CISO не считает цену бездействия.Статья Ransomware за 60 минут: как Akira и Medusa/Storm-1175 ускорили атаки и как их детектировать
Akira и Storm-1175/Medusa ускорили lateral movement до 62 минут — рекорд 51 секунда. VPN без MFA, CVE-2023-20269 + CVE-2020-3259 на Cisco ASA, затем CVE-2023-27532 дампит Veeam-пароли в cleartext.Akira идёт по жёсткому playbook: brute force через SSL VPN → Veeam-Get-Creds.ps1 → RDP lateral movement → AnyDesk C2 → WinRAR + Rclone exfiltration → шифрование. Storm-1175 использует zero-day в веб-приложениях и разворачивает Medusa RaaS менее чем за 24 часа. MITRE T1021.001, T1562.001, T1486 — весь набор.
MTTR выше 4 часов — обе группировки финишируют до первого алерта. AnyDesk IT-отдела и AnyDesk Akira в логах неразличимы.