Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Threat Intelligence для SOC на практике: сбор, обработка и применение TI в малой команде
SOC из пяти человек сокращает цикл обработки IOC с шести часов до 15 минут — без коммерческих платформ: только Python-скрипт на cron, бесплатный MISP и восемь источников фидов от Abuse.ch до CIRCL OSINT.Пайплайн строится вокруг MISP как ядра: URLhaus и ThreatFox отдают C2-домены и хеши каждые 5 минут, AbuseIPDB проверяет IP через `/api/v2/check` с порогом confidence 75+, Sigma-правила автоматически пушатся в SIEM. Lateral movement по данным CrowdStrike 2025 — 62 минуты в среднем, рекорд 51 секунда.
Атакующие мониторят VirusTotal и AbuseIPDB через MITRE T1597.001 — C2 стилера живёт 2–3 дня максимум.
Фид полезен только если обрабатывается быстрее, чем атакующий ротирует инфраструктуру.Статья DDoS-устойчивая архитектура приложения: autoscaling, circuit breaker, graceful degradation и очереди
L7-флуд 80–100k RPS положил платёжный API за 4 минуты — CDN устоял, WAF пропустил, PostgreSQL-пул иссяк первым, каскад прошёлся по 12 микросервисам. Circuit breaker не стоял нигде.T1499.002 Service Exhaustion Flood обходит сетевые фильтры: каждый запрос валиден, WAF молчит. Пул соединений к PostgreSQL (100–200 по умолчанию) рушится первым — thread pool копит таймауты, балансировщик видит 502 от всех инстансов разом.
HPA без maxReplicas превращается в budget DDoS — $12k за ночь на AWS за обработку мусора.
WAF дорогой — circuit breaker бесплатный. Архитектура внутри важнее забора снаружи.Статья Rowhammer атака DRAM: эволюция от оригинала до Blacksmith и обход TRR
Rowhammer эволюционировал от 139 000 активаций строки DDR3 до Blacksmith (CVE-2021-42114, CVSS 9.0) — и каждый раз, когда TRR закрывала вектор, исследователи находили следующий паттерн.Физика бьёт мимо патчей: clflush + double-sided hammering переворачивает бит в PTE соседней строки без единой программной уязвимости. MITRE T1068 — непривилегированный процесс через bit flip получает kernel-level доступ, T1565.003 — произвольная запись в память. TRRespass (CVE-2020-10255) вскрыл non-uniform refresh, Blacksmith добавил нерегулярные многоагрессорные паттерны — оба обходят TRR производителей.
Защита: ECC RAM гасит одиночные bit flip, но не останавливает многократные.
ПО полностью пропатчено, ядро актуально — уязвимость в физике кремния, EDR молчит.Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости
На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.
Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.Статья APT-атаки на промышленные системы: kill chain Sandworm, Volt Typhoon и CHERNOVITE по MITRE ATT&CK for ICS
Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.
Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.Статья ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента
Qilin не пишет ICS-эксплойты — группа шифрует historian и ERP, роняя завод за часы. CVE-2024-21762 (CVSS 9.8) в FortiOS без патча на IT/OT DMZ — точка входа. 1020 ransomware-инцидентов в промышленности за один квартал по данным Dragos.Kill chain стартует с эксплуатации CVE-2024-21762: out-of-bounds write в FortiOS 7.0–7.4 без аутентификации (PR:N). Далее — lateral movement через historian на непатченном Windows Server, Modbus без аутентификации, ERP в той же flat-сети. Специализированный ICS-malware не нужен: каскадный эффект от шифрования IT-слоя останавливает линию.
SOC видит Windows-эндпоинты — Qilin идёт через FortiGate в OT-DMZ, где EDR молчит.Статья Asset Management для пентестера: полная карта атакуемой инфраструктуры и охота на забытые активы
Большинство организаций не знает, чем владеет буквально. В 9 из 10 проектов заказчик не видит собственной инфраструктуры целиком. Забытый dev-сервер, VPN-концентратор пятилетней давности, S3-бакет от уволившегося подрядчика — всё это реальные точки входа.Навигационный хаб по 15 материалам: пассивная разведка через robots.txt, sitemap и .well-known; subdomain enumeration через Amass, Subfinder и dnsx; Passive DNS и CT-логи; Shadow IT от забытого поддомена до initial access; EASM-платформы и connectorless-перечисление; сравнение Shodan, Censys, FOFA и Netlas; SpiderFoot vs Recon-ng vs Amass; PhoneInfoga.
Decision tree по выбору стека: 1-3 домена за 1-2 дня — ручной workflow; корпорация с десятками доменов — автоматизированный pipeline; red team — continuous discovery через Certstream.
Качественная инвентаризация определяет результат пентеста задолго до первого эксплойта. CMDB показывает узлы — пентестер видит пути.