Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья PowerShell для Blue Team: detection и response скрипты
PowerShell 7 для Blue Team - это уже не “админская консоль”, а полноценный инструмент охоты и реагированияВ статье разберём, как использовать PowerShell 7 для анализа Windows-логов, поиска IOC, аудита персистентности, работы с Sysmon и автоматического реагирования, когда времени на ручной разбор просто нет. В центре внимания - реальная Blue Team-практика: не теория ради теории, а то, что помогает видеть атаку в логах и быстро превращать находки в действия.
Покажем, как выжимать из Event Log и Sysmon максимум пользыВы увидите, как через Get-WinEvent вытаскивать важные события вроде 4624, 4625, 4688 и 4720, находить аномалии в Scheduled Tasks и Run-ключах, анализировать ScriptBlock Logging, AMSI и транскрипцию PowerShell, а затем связывать всё это с Sysmon-телеметрией по процессам и сетевым соединениям.
Отдельный фокус статьи - на том, как превратить телеметрию в реальное действиеРазберём, как PowerShell...
Статья Пишем службу для расшифровки паролей Wi-Fi
Windows-службы - это не абстрактный системный фон, а отдельный слой архитектуры со своими правиламиВ статье разберём, как устроены службы в Windows, почему они живут в своём контексте, как взаимодействуют с SCM и чем реально отличается код, который запускается как обычное приложение, от кода, который должен работать как сервис в сессии 0.
Немного практики: от регистрации службы до обмена данными с пользовательским приложениемВы увидите, как выглядит базовый сервисный цикл, зачем нужны StartServiceCtrlDispatcher, RegisterServiceCtrlHandlerEx, SetServiceStatus, события синхронизации и named pipe, и как всё это собирается в рабочую связку “служба + управляющая программа”.
Отдельный интерес статьи - в связке Windows Services и DPAPIНа практическом примере разбирается, как служба в нужном контексте может работать с зашифрованными данными Wi-Fi-профилей, почему здесь критичны сессия, учётная запись и DPAPI, и где...
Статья Протокол Modbus/TCP: как анализировать трафик, выявлять аномалии и защищать промышленные контроллеры
Modbus/TCP до сих пор остаётся одним из самых массовых протоколов в промышленных сетях - и одним из самых слабых с точки зрения встроенной защиты. В статье разбираем, почему для него решает не “магическая безопасность протокола”, а то, как устроены сегментация, маршруты, инженерный доступ и видимость трафика в OT-среде.
Ты увидишь, как читать Modbus/TCP в захвате: из чего состоит пакет, что дают MBAP Header и коды функций, как отличать обычный цикл опроса от записи, на какие диапазоны адресов и ответы с ошибками смотреть в первую очередь. Разберём, какие признаки в трафике действительно выбиваются из нормы: новый источник, запись там, где раньше были только чтения, другой ритм обмена, редкие функции и серия исключений.
Это практический материал для тех, кто работает с безопасностью АСУ ТП, SCADA и OT-сетей. Отдельно покажем, как строить detection для Modbus/TCP, где полезны Suricata, Snort и DPI, зачем...Статья Управление уязвимостями в Kubernetes: сравнение Trivy, Clair и Anchore для сканирования образов
Контейнерный образ приносит в кластер не только приложение, но и весь накопленный риск - базовый слой, системные пакеты, зависимости языка, ошибки сборки и лишние артефакты. В этой статье разбираем, почему сканирование образов в Kubernetes давно стало не дополнительной проверкой, а частью нормального процесса поставки.
Мы сравним Trivy, Clair и Anchore не по рекламным обещаниям, а по тому, что действительно важно в работе: скорость холодного и повторного сканирования, полнота покрытия CVE, уровень шума, работа со SBOM и поведение на образах разной сложности - от Alpine и Ubuntu до Node.js, Python и multi-stage сборок. Это практический разбор для DevSecOps, Platform и SRE-команд, которым нужно выбрать сканер под свой реальный процесс. Отдельно покажем, как эти инструменты встраиваются в CI/CD, реестры и Kubernetes-среду, и где между ними проходит разница - быстрый повседневный контроль, сервисная модель вокруг...Статья Pivoting и tunneling в Active Directory: как это видит Blue Team
После foothold в Active Directory атака редко остаётся локальной. В статье разбираем, как скрытые каналы появляются в постэксплуатационной цепочке, почему атакующие прячут управление в DNS, HTTP/S, SSH и ICMP и чем такие сценарии опасны именно для защитника, а не только для красной команды.
Вы увидите, как такие каналы выглядят в телеметрии: от странного DNS-профиля и нетипичного веб-трафика до связки процесс → сетевое соединение → учётная запись → маршрут внутри доменной среды. Отдельно разберём, почему tunneling почти никогда не ловится одной сигнатурой и как собирать его через корреляцию, hunting-гипотезы и AD-контекст. Это практический разбор для Blue Team, Threat Hunting и Detection Engineering: что действительно искать в сети и на хостах, как отличать скрытый канал от легитимного администрирования и какие меры реально ломают удобство post-exploitation - контроль исходящих соединений, дисциплина DNS...Статья Атаки на XML-структуры: XPath Injection и XXE на практике
XML в 2026 году - это не “наследие прошлого”, а живая поверхность атакиВ статье разберём, почему XML до сих пор остаётся источником реальных проблем в enterprise-среде: SOAP-сервисы, SAML SSO, SVG, DOCX, XML-RPC и старые интеграции никуда не исчезли, а вместе с ними живут XXE, XPath Injection и ошибки конфигурации парсеров.
Покажем, где искать XML и как не пропустить уязвимый эндпоинтВы увидите, как распознавать XML-processing endpoints в трафике и приложении, на какие признаки смотреть в SOAP, SAML, RSS, SVG и Office Open XML, и почему “у нас же всё давно на JSON” очень часто не имеет ничего общего с реальной корпоративной архитектурой.
Отдельно разберём две самые недооценённые проблемы - XXE и XPath InjectionСтатья покажет, как работают XPath-бейпасы, blind XPath, чтение файлов через XXE, SSRF через XML-парсер и почему безопасность здесь ломается не только на коде, но и на дефолтных настройках...
Статья Kong и Nginx как точка контроля безопасности для API
API Gateway давно перестал быть просто удобной точкой входа для маршрутизации. В статье разбираем, какие меры безопасности действительно стоит выносить на шлюз, почему это упрощает жизнь платформенной команде и где проходит граница, после которой централизация превращается уже не в пользу, а в архитектурную ошибку. Вы увидите, как на уровне шлюза работают разные модели доверия: проверка JWT, интроспекция OAuth2 и mTLS. Разберём, когда каждая из них уместна, чем они отличаются по цене эксплуатации и почему одна и та же схема аутентификации не подходит одинаково хорошо для всех API сразу. Отдельно посмотрим на практику: что именно шлюз может фильтровать на входе, как через него выравнивать CORS, заголовки и технические ответы, и чем отличается готовый подход Kong от более ручной сборки на Nginx/OpenResty. Это не обзор ради обзора, а разбор того, где API Gateway реально усиливает безопасность, а где от него начинают...Статья NAC в SCADA: как защитить OT-сеть от внутренних угроз
Внутренние угрозы в OT-сети редко начинаются с громкой атаки. Намного чаще это сервисный ноутбук подрядчика, временная инженерная станция или неучтённое устройство, которое оказалось в технологическом сегменте без нормального контроля доступа. В статье разбираем, почему для SCADA этого уже достаточно, чтобы создать риск для процесса, оборудования и всей логики эксплуатации. Вы увидите, почему NAC в промышленной среде нельзя внедрять по офисному шаблону: устаревшие устройства не поддерживают современные схемы аутентификации, критичные узлы нельзя случайно изолировать, а жёсткая политика без подготовки сама становится источником проблем. Разберём, как работает поэтапный подход - от пассивного обнаружения до режима наблюдения, оповещения и точечного ограничения доступа. Отдельно посмотрим на практическую сторону: чем отличаются Forescout, Cisco ISE и Claroty, как связать NAC с SIEM и SOC, и какую роль такой...Статья Adversarial Attacks против статических PE-классификаторов: где feature-space атака превращается в реальный malware обходах
Статические ML-классификаторы давно стали привычной частью malware detection, но вместе с точностью и скоростью они принесли новую проблему - поверхность для adversarial attacks. В этой статье разбираем, почему модель, которая уверенно ловит вредоносные PE-файлы на датасете, может начать ошибаться после вполне допустимых модификаций самого бинарника. Вы увидите, как устроен этот разрыв между feature space и реальным PE-файлом: почему FGSM и PGD хорошо показывают хрупкость classifier на уровне признаков, но не всякая успешная атака из пространства признаков переживает перенос в рабочий исполняемый файл. Отдельно разберём practical evasion-техники - append attack, section injection и import manipulation - и посмотрим, какие PE-артефакты они двигают, почему это влияет на verdict модели и где заканчивается красивая robustness на бумаге, а начинается реальная проблема для static ML detection.Статья PWN: Buffer Overflow с обходом ASLR через ret2libc
PWN: Buffer Overflow с обходом ASLR через ret2libcОбычного переполнения буфера уже давно недостаточно, чтобы просто записать shellcode в стек и забрать управление. В реальной эксплуатации всё упирается в защитный профиль бинарника: NX запрещает исполнение из данных, ASLR ломает фиксированные адреса, а значит эксплоит приходится собирать уже не грубой силой, а аккуратной логикой.
В статье разберём полный путь ret2libc: как читать защиты через checksec, как находить уязвимую функцию, определять точный offset, получать утечку адреса из libc через PLT/GOT и вычислять базу библиотеки для текущего запуска процесса.
Дальше соберём рабочую ROP-цепочку до system("/bin/sh"), разберём выравнивание стека, поиск гаджетов и оформим всё это в полноценный эксплоит на Pwntools - сначала локально, потом с прицелом на удалённую эксплуатацию.