Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья WebSocket Security: тестирование real-time приложений
WebSocket — двусторонний канал поверх TCP. После HTTP-handshake с кодом 101 заголовки больше не передаются, SOP не действует, встроенной аутентификации нет. Всё это — поверхность атаки, которую разработчики системно недооценивают.Разведка: поиск WS-эндпоинтов через JS-конструкторы new WebSocket(), схемы ws:// и wss://, библиотеки Socket.IO и SignalR. Перебор путей через ffuf с заголовками Upgrade, websocat для быстрой проверки.
Уязвимости: отсутствие проверки Origin → CSWSH (аналог CSRF для WebSocket); слепое доверие идентификаторам во фреймах → IDOR; XSS через Pub/Sub-бродкаст; SQLi и Command Injection в параметрах сообщений — WAF их не видит, трафик идёт внутри TLS после handshake. Ошибки JWT: смена алгоритма RS256→HS256, просроченные токены.
Инструменты: Burp Suite WebSocket History и Repeater, wscat, websocat, WebSocket Smuggler.
Большинство WAF инспектируют только фазу HTTP handshake — всё, что внутри фреймов, проходит мимо.Статья Метрики информационной безопасности: что реально измерять security-команде
Дашборд показывал MTTD = 4 часа — красная команда просидела в сети 11 дней без единого алерта, используя legitimate credentials и обходя шумные TTPs.Метрика «1 247 832 заблокированных атаки» выглядит убедительно на слайде CFO — и не говорит ровно ничего о реальной защищённости. Атакующий через T1562.001 отключает EDR-агент, а «покрытие EDR: 100%» остаётся зелёным. T1070.001 обнуляет MTTD для конкретного хоста — детектировать нечего, логов нет.
MTTD считают от первого алерта SIEM, а не от реального initial access — разрыв достигает 3–5x. В Splunk lookup-таблица `incident_timeline` с полем `first_compromise_ts` даёт честную картину.
SOC оптимизирует метрики по видимым инцидентам — слепые зоны в расчёт не входят.Статья Беспроводная разведка Wi-Fi сетей: что видит атакующий с парковки и как SOC это ловит
Alfa AWUS036ACH в monitor mode, Kismet с GPS — и за 12 минут с парковки: 47 BSSID, три «скрытых» сети, принтер с открытой точкой доступа. SOC заказчика не поймал ни одного алерта.Пассивная разведка через airodump-ng и Kismet не отправляет ни байта в эфир — только слушает 802.11 beacon и probe request фреймы. Адаптер в monitor mode вскрывает WPA2-Personal рядом с Enterprise-зоной, MAC вендоров, паттерны активности клиентов. IDS на проводном сегменте слепа: всё происходит до появления в Windows Event Log.
Детектирование строится на WIDS с корреляцией по BSSID-аномалиям и неожиданным probe request.
Проводной IDS молчит 12 минут — атакующий уже знает всю топологию беспроводной сети.Статья Атаки на endpoint management системы: разбор TTP 2026 и detection для SOC
CVE-2026-1731 (CVSS 9.9) в BeyondTrust Remote Support эксплуатировалась в ransomware-кампаниях Qilin и Akira до выхода патча — CISA дала 3 дня на устранение pre-auth RCE (CWE-78), пока атакующие уже шли по kill chain.BeyondTrust-сервер после эксплойта становится готовым C2: агент на каждом хосте принимает команды без доп. аутентификации — MITRE T1072. Далее Impacket smbexec и Pass-the-Hash (T1550.002) через NTLM-хеши из памяти сервисных процессов. CVE-2025-24054 добивает через .library-ms файлы и утечку NTLMv2.
SOC не трогает RMM-трафик — он baseline. Ransomware-группы живут внутри подписанного агента неделями.Статья Защита от инсайдерских угроз: access review, offboarding и политики ИБ на практике
Аккаунт уволенного 11 месяцев назад — с доступом к финансовым отчётам через SharePoint и действующим VPN-сертификатом. HR закрыл заявку в день ухода, IT получил тикет через неделю, IAM-команда не узнала вообще.Типовой kill chain инсайдера не требует эксплойтов: T1078 (Valid Accounts) даёт initial access бесплатно, T1213 — навигацию по SharePoint и Confluence без единого алерта, T1567.002 — эксфильтрацию через облако. BloodHound за первый час находит вложенные AD-группы с membership от пяти реорганизаций, а группы `all-employees-full-access` в Okta живут годами.
EDR молчит — инсайдер использует легитимные права. Окно в 11 месяцев закрывает только IAM, не SIEM.Статья Secrets scanning масштабирование организации: оркестрация пайплайнов, покрытие источников и валидация
Gitleaks на монорепо с 480 сервисами вернул 14 000 алертов — реальных секретов оказалось 340. Три дня ручного разбора, и security-чемпионы перестали смотреть на дашборд вообще. Вот архитектура, которая режет шум в 40 раз.Трёхслойная оркестрация: detect-secrets как pre-commit hook проверяет только diff за миллисекунды, TruffleHog v3 с флагом --only-verified на PR-этапе валидирует секреты через AWS IAM и GitHub API, scheduled deep scan прогоняет полную git-историю по расписанию. Каждый слой — своя скорость и глубина.
Покрытие выходит за пределы кода: CI/CD-переменные, Terraform и CloudFormation, Confluence, Jira, Slack.
Alert fatigue убивает программу secrets scanning быстрее, чем отсутствие сканера — без валидации через API инструмент просто замолкает.