Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья CUPS RCE уязвимость: полный разбор цепочки CVE-2024-47176 и эксплуатация print spooler

  • 40
  • 0
Запечатанный конверт с бордовой сургучной печатью на чёрном антистатическом коврике. Сквозь печать продет сетевой кабель с коннектором RJ45, от сломанного воска поднимается тонкая струйка дыма.


💣 CVE-2024-47176 превращает cups-browsed в точку входа: один UDP-пакет на порт 631 — и демон сам подключается к IPP-серверу атакующего, регистрирует подставной принтер. От пакета до shell через foomatic-rip — меньше двух минут.

Цепочка из трёх CVE (CVE-2024-47176, CVE-2024-47075, CVE-2024-47175) работает только вместе. cups-browsed слушает UDP INADDR_ANY:631 без аутентификации, libcupsfilters принимает IPP-атрибуты без валидации, libppd записывает их в PPD без экранирования — атакующий инжектирует директиву FoomaticRIPCommandLine с произвольной командой.

Итог — shell от имени lp. Не root, но достаточно для T1105 и reverse shell.

💡 Print server без EDR и патчей — идеальный pivot. CUPS забывают обновлять, потому что «принтеры и так работают».

Статья DLP защита от инсайдеров: настройка политик для email, мессенджеров и облака

  • 30
  • 0
Женщина за кухонным столом в полутьме смотрит в экран ноутбука с текстом политики DLP. Телефон рядом показывает черновик письма со списком данных.


🕵️ Менеджер три месяца сливал выписки VIP-клиентов через личный Gmail — DLP молчала. Политика проверяла вложения .xlsx/.csv, а данные уходили в теле письма. Ponemon/Proofpoint 2022: средняя стоимость инсайдерского инцидента — $15,38 млн, рост 34% за два года.

Проблема не в отсутствии DLP, а в том, как настроены политики. Regex на номера карт и слово «конфиденциально» — не защита: инсайдер знает триггеры. Реальный контроль строится на трёх уровнях одновременно — контентный анализ через EDM/IDM fingerprinting, контекстный (время, устройство, получатель) и поведенческий UEBA с отклонениями от baseline.

💡 DLP-система стояла, лицензии оплачены — а канал утечки был легитимным. Инсайдер не ломает систему, он использует её штатно.

Статья Управление жизненным циклом Non-Human Identities: автоматизация provisioning, ротации и отзыва через policy-as-code

  • 42
  • 0
Распечатанный документ с правилами политики на светлом столе, строки кода выделены синим маркером. Латунное пресс-папье и перьевая ручка лежат рядом в мягком дневном свете.


🔐 28,65 млн захардкоженных секретов в GitHub за 2025 год — плюс 34% к прошлому году. AI-credentials выросли на 81%. Соотношение NHI к human identities в cloud-native достигает 144:1, а 85% организаций не способны остановить атаку через машинные аккаунты.

Kill chain через скомпрометированный NHI маппится на MITRE T1078.004 → T1552.005 → T1098.001: утёкший API-ключ из CI/CD-лога даёт Initial Access, затем Instance Metadata Service отдаёт временные credentials IAM-роли, атакующий добавляет резервные ключи — и ротация исходного секрета уже ничего не решает.

💡 SOC ловит аномальные логины людей — NHI работает от легитимного машинного трафика. 292 дня до обнаружения.

Статья Оценка киберрисков критической инфраструктуры: методология и фреймворки для OT/ICS

  • 51
  • 0
Схема модели Пурдью на плотной бумаге с уровнями от нуля до четырёх, красная линия пересекает границу уровней. Латунный пресс-папье и перьевая ручка на дубовом столе в мягком дневном свете.


⚙️ CVSS 6.5 на historian-сервере подстанции 110 кВ — и прямой канал до RTU, управляющих коммутационным оборудованием. Никаких ACL между Purdue Level 3 и Level 4. Физический импакт: обесточивание 40 тысяч жителей.

IT-фреймворки ломаются в OT: Modbus TCP не имеет аутентификации, любой узел с доступом к порту 502 отправляет FC16 и перезаписывает регистры PLC. EDR-агенты не ставятся на Siemens S7-1200, SIEM слеп к трафику на Purdue Level 1–2, а firmware на SIS не обновляли годами — остановка стоит десятки миллионов.

💡 CVSS считает риск в IT-метриках — в OT Medium может означать каскадное отключение района.

Статья ClickFix атака через SQL-инъекцию CMS: разбор кампании Ghost CMS (CVE-2026-26980) и техники обнаружения

  • 155
  • 0
Разобранная серверная плата на чёрном рабочем столе, окружённая распечатками терминала. Экран ноутбука светится зелёным текстом, руки в перчатках держат логический щуп.


💣 CVE-2026-26980 (CVSS 9.4): один HTTP-запрос к публичному Content API Ghost CMS — и атакующий забирает Admin API Key без единого credential. За 3 месяца после патча 700+ доменов, включая Harvard и Oxford, стали раздатчиками инфостилеров через ClickFix-цепочку.

Blind SQLi в модуле slug-filter-order.js: значение параметра slug подставляется напрямую в ORDER BY через конкатенацию вместо параметризованного binding. PR:N, UI:N — зайти может кто угодно из интернета. PoC n0bitaemon/CVE-2026-26980-PoC и EDB-52555 публичны. Cloudflare WAF в дефолте пропускает вектор — ordering-параметры не попадают в ruleset.

💡 SOC смотрит на PowerShell на эндпоинте — компрометация произошла на уровне CMS за 5 шагов до этого.

Статья Уязвимости Cisco SD-WAN: цепочка эксплойтов от auth bypass до root и детекшн для SOC

  • 220
  • 0
Восковая печать с символикой Cisco SD-WAN, разрезанная скальпелем пополам, обнажает внутренние кольца сетевой топологии. Резкий верхний свет, десатурированная палитра с красным акцентом на срезе.


🔐 UAT-8616 взломал Cisco SD-WAN без единого пароля: CVE-2026-20127 и CVE-2026-20182 (CVSS 10.0) дают административный доступ к vManage через DTLS-handshake bypass — CISA выпустила Emergency Directive 26-03, дедлайн устранения два дня.

Цепочка начинается с auth bypass сервиса vdaemon через DTLS — неаутентифицированный атакующий получает NETCONF-доступ ко всей SD-WAN-фабрике (T1190). Следующий шаг: CVE-2026-20133 — утечка ключа vmanage-admin через vshell при привилегиях netadmin. Финал — CVE-2026-20245, эскалация до root на vManage. Одна нода, сотни edge-устройств под контролем.

💡 CVSS 10.0 — а SOC смотрит на эндпоинты. vManage молчит в Windows Event Log.

Статья Утечка данных через Zendesk: kill chain, detection gap и чеклист для SOC

  • 222
  • 0
Распечатанный журнал аудита на плотной бумаге, освещённый мягким дневным светом. Строки API-запросов выделены синим маркером, рядом лежит перьевая ручка.


🕵️ Scattered Lapsus$ Hunters удерживала доступ к Zendesk Discord 58 часов — 8,4 млн тикетов, сканы паспортов, $3,5 млн выкупа. Вектор: BPO-агент, T1195 + T1078, без единого CVE.

Kill chain начинается не в Zendesk, а у аутсорсера: фишинг-кит под Okta крадёт OTP, сессия захвачена, Zenbar открыт. Дальше — T1213 через `/api/v2/tickets` и Incremental Export API: 700 req/min на Enterprise, никакого архитектурного лимита на объём выгрузки авторизованным агентом.

Detection gap: SIEM видит легитимный HTTPS из Zendesk-диапазона — T1567 в чистом виде.

💡 SOC мониторит эндпоинты — эксфильтрация идёт через helpdesk API. Windows Event Log молчит все 58 часов.

Статья Cloud Security платформы 2026: сравнение AI-driven CNAPP по реальному detection-покрытию

  • 246
  • 0
Тёмный SOC-центр с изогнутым видеоэкраном, отображающим граф атак в мультиоблачной среде. Красная линия бокового перемещения соединяет узлы AWS, Azure и GCP, экраны — единственный источник света.


🔍 Четыре CNAPP-платформы показывали compliance score 92%+ — и все четыре пропустили сервисный аккаунт с sts:AssumeRole на prod и неограниченным s3:GetObject. Ни одна не выстроила identity chain до T1530.

Финтех-аудит 2026 года вскрыл разрыв между feature checkbox и реальным detection-покрытием. Wiz, CrowdStrike Falcon Cloud, Defender for Cloud, Orca и Prisma Cloud — у каждого свой AI-движок, но глубина attack path analysis критически различается.

CSPM без CIEM-корреляции слеп к lateral movement через overprivileged roles.

💡 Зелёный compliance score — худший индикатор защищённости: attack path через IAM-цепочку невидим без графовой корреляции.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 722
Сообщения
347 113
Пользователи
161 494
Новый пользователь
VALdez