Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья WebSocket Security: тестирование real-time приложений
WebSocket — двусторонний канал поверх TCP. После HTTP-handshake с кодом 101 заголовки больше не передаются, SOP не действует, встроенной аутентификации нет. Всё это — поверхность атаки, которую разработчики системно недооценивают.Разведка: поиск WS-эндпоинтов через JS-конструкторы new WebSocket(), схемы ws:// и wss://, библиотеки Socket.IO и SignalR. Перебор путей через ffuf с заголовками Upgrade, websocat для быстрой проверки.
Уязвимости: отсутствие проверки Origin → CSWSH (аналог CSRF для WebSocket); слепое доверие идентификаторам во фреймах → IDOR; XSS через Pub/Sub-бродкаст; SQLi и Command Injection в параметрах сообщений — WAF их не видит, трафик идёт внутри TLS после handshake. Ошибки JWT: смена алгоритма RS256→HS256, просроченные токены.
Инструменты: Burp Suite WebSocket History и Repeater, wscat, websocat, WebSocket Smuggler.
Большинство WAF инспектируют только фазу HTTP handshake — всё, что внутри фреймов, проходит мимо.Статья Метрики информационной безопасности: что реально измерять security-команде
Дашборд показывал MTTD = 4 часа — красная команда просидела в сети 11 дней без единого алерта, используя legitimate credentials и обходя шумные TTPs.Метрика «1 247 832 заблокированных атаки» выглядит убедительно на слайде CFO — и не говорит ровно ничего о реальной защищённости. Атакующий через T1562.001 отключает EDR-агент, а «покрытие EDR: 100%» остаётся зелёным. T1070.001 обнуляет MTTD для конкретного хоста — детектировать нечего, логов нет.
MTTD считают от первого алерта SIEM, а не от реального initial access — разрыв достигает 3–5x. В Splunk lookup-таблица `incident_timeline` с полем `first_compromise_ts` даёт честную картину.
SOC оптимизирует метрики по видимым инцидентам — слепые зоны в расчёт не входят.Статья Беспроводная разведка Wi-Fi сетей: что видит атакующий с парковки и как SOC это ловит
Alfa AWUS036ACH в monitor mode, Kismet с GPS — и за 12 минут с парковки: 47 BSSID, три «скрытых» сети, принтер с открытой точкой доступа. SOC заказчика не поймал ни одного алерта.Пассивная разведка через airodump-ng и Kismet не отправляет ни байта в эфир — только слушает 802.11 beacon и probe request фреймы. Адаптер в monitor mode вскрывает WPA2-Personal рядом с Enterprise-зоной, MAC вендоров, паттерны активности клиентов. IDS на проводном сегменте слепа: всё происходит до появления в Windows Event Log.
Детектирование строится на WIDS с корреляцией по BSSID-аномалиям и неожиданным probe request.
Проводной IDS молчит 12 минут — атакующий уже знает всю топологию беспроводной сети.Статья Атаки на endpoint management системы: разбор TTP 2026 и detection для SOC
CVE-2026-1731 (CVSS 9.9) в BeyondTrust Remote Support эксплуатировалась в ransomware-кампаниях Qilin и Akira до выхода патча — CISA дала 3 дня на устранение pre-auth RCE (CWE-78), пока атакующие уже шли по kill chain.BeyondTrust-сервер после эксплойта становится готовым C2: агент на каждом хосте принимает команды без доп. аутентификации — MITRE T1072. Далее Impacket smbexec и Pass-the-Hash (T1550.002) через NTLM-хеши из памяти сервисных процессов. CVE-2025-24054 добивает через .library-ms файлы и утечку NTLMv2.
SOC не трогает RMM-трафик — он baseline. Ransomware-группы живут внутри подписанного агента неделями.Статья Защита от инсайдерских угроз: access review, offboarding и политики ИБ на практике
Аккаунт уволенного 11 месяцев назад — с доступом к финансовым отчётам через SharePoint и действующим VPN-сертификатом. HR закрыл заявку в день ухода, IT получил тикет через неделю, IAM-команда не узнала вообще.Типовой kill chain инсайдера не требует эксплойтов: T1078 (Valid Accounts) даёт initial access бесплатно, T1213 — навигацию по SharePoint и Confluence без единого алерта, T1567.002 — эксфильтрацию через облако. BloodHound за первый час находит вложенные AD-группы с membership от пяти реорганизаций, а группы `all-employees-full-access` в Okta живут годами.
EDR молчит — инсайдер использует легитимные права. Окно в 11 месяцев закрывает только IAM, не SIEM.Статья Secrets scanning масштабирование организации: оркестрация пайплайнов, покрытие источников и валидация
Gitleaks на монорепо с 480 сервисами вернул 14 000 алертов — реальных секретов оказалось 340. Три дня ручного разбора, и security-чемпионы перестали смотреть на дашборд вообще. Вот архитектура, которая режет шум в 40 раз.Трёхслойная оркестрация: detect-secrets как pre-commit hook проверяет только diff за миллисекунды, TruffleHog v3 с флагом --only-verified на PR-этапе валидирует секреты через AWS IAM и GitHub API, scheduled deep scan прогоняет полную git-историю по расписанию. Каждый слой — своя скорость и глубина.
Покрытие выходит за пределы кода: CI/CD-переменные, Terraform и CloudFormation, Confluence, Jira, Slack.
Alert fatigue убивает программу secrets scanning быстрее, чем отсутствие сканера — без валидации через API инструмент просто замолкает.Статья Антифрод-аналитика транзакций: фрод-паттерны и скоринговые правила на практике
Один device fingerprint, 12 карт, интервал 30 секунд — кардинг уже идёт. 43 из 47 алертов за ночь оказались false positive на командировочных транзакциях, четыре реальных кейса принесли 38 тыс. руб. убытка плюс 12 chargeback-диспутов втрое дороже.Velocity-правила — первая линия, но без контекста дают FP-рейтинг 40%+. Скоринговая модель должна считать сигналы в связке: card_hash за 5-минутное окно, количество уникальных карт с одного device_id, интервал менее 10 секунд как маркер автоматизации, BIN-страна против IP-юрисдикции.
Account takeover детектируется через смену device fingerprint за 24 часа до транзакции и превышение среднего чека клиента в 3+ раза.
Chargeback-штрафы по Visa VAMP втрое дороже самого фрода — антифрод это P&L, а не задача безопасников.Статья CI/CD для начинающих: Docker, GitLab CI и первый безопасный пайплайн
GitLab CI-пайплайн финтех-компании: от скомпрометированной учётки разработчика до AWS S3 с продуктовыми дампами — меньше часа. В трёх из пяти репозиториев .gitlab-ci.yml хранил AWS-ключи и пароль staging-базы открытым текстом.Initial access через low-priv credentials — и сразу grep по .gitlab-ci.yml. Захардкоженные секреты, Docker Registry токен, CI-переменные без маскировки. Lateral movement по T1552.001 → T1611: Runner с примонтированным /var/run/docker.sock и одна команда docker run -v /:/mnt --rm -it alpine chroot /mnt sh дают root на хосте.
Пентестер смотрит на порты и CVE — а пайплайн отдаёт production-доступ без единого эксплойта.Статья Уязвимости Ivanti Endpoint Manager: цепочки эксплуатации EPMM от auth bypass до pre-auth RCE
CVE-2025-4427 + CVE-2025-4428 и CVE-2026-1281 — цепочки от auth bypass до pre-auth RCE в Ivanti EPMM: 4 400 инстансов торчат в интернете, EPSS CVE-2023-35078 равен 1.0, публичный эксплоит EDB-52421 уже в Exploit-DB.Ivanti EPMM пять раз попадал в CISA KEV за три года. CVE-2025-4427 обходит аутентификацию через небезопасную реализацию Spring Framework, CVE-2025-4428 добивает RCE через Hibernate Validator — в связке это полный захват без учётных данных. CVE-2026-1281 и CVE-2026-1340 дают pre-auth RCE через bash arithmetic expansion.
Для детекции — шаблон CVE-2025-4427.yaml в nuclei-templates ProjectDiscovery.
До публикации CVE-2026-1281 атакующие уже разворачивали dormant backdoors — патч не гарантирует чистую систему.Статья Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика
Учётка svc_backup тихо ходила по 12 серверам 36 часов — Event ID 4624 Type 3 в логах, тишина в алертах. NTDS.dit скопирован, три файловых сервера зашифрованы. Не хватило одного: корреляции.SMB lateral movement (T1021.002) оставляет чёткий след — 4624 Type 3 с NtLmSsp и KeyLength=0, 4648 с явными кредентиалами, 5145 на ADMIN$/C$. Splunk-правило: dc(ComputerName) > 3 за 15-минутное окно от одного TargetUserName плюс explicit_creds > 0 — и алерт готов.
PsExec детектируется через Event ID 7045 с рандомным 4-символьным именем сервиса (Impacket-default), 5145 на ADMIN$ и дочерними процессами от psexesvc.exe.
4624 Type 3 пишется на цели, 4648 — на источнике. Корреляция по имени юзера, не по хосту — иначе правило слепое.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab