Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Защита корпоративных учётных данных: infostealer-кампании, MFA-харденинг и PAM на практике
Три из четырёх вторжений в 2024 году начались с обычного логина — не с zero-day. CrowdStrike фиксирует 75% intrusions через Valid Accounts (T1078), IBM X-Force — рост infostealers на 71%: Redline, Raccoon, Lumma забирают cookies и NTLM-хеши за 3–5 минут.Kill chain выглядит так: фишинг в 9:15 — stealerдампит LSASS (T1003.001) и браузеры (T1555.003) — в 10:00 атакующий в VPN и почте — в 11:20 SOC подтверждает инцидент, но злоумышленник уже domain admin. Два часа от письма до AD.
Detection строится на Sysmon Event ID 10 с фильтром TargetImage: lsass.exe и Sigma-правиле по GrantedAccess 0x1010/0x1410.
EDR молчит на валидный RDP-логин. SOC получает алерт через 47 минут — стилер ушёл за 10.Статья Стеганография в вредоносном ПО: как APT-группировки прячут C2-каналы и пейлоады в изображениях
Загрузчик Zero.T скачивал три BMP-файла — корпоративный DPI пропустил их без единого алерта. Внутри: модули Enfal, упакованные в младшие биты пикселей. Восемь семейств малвари используют стеганографию как C2-транспорт, и ни один антивирус не сработал.LSB-стеганография в BMP/PNG — не экзотика, а рабочий инструмент APT. Загрузчик скачивает «картинку» по HTTP/HTTPS, DPI видит Content-Type: image/png и пропускает. Внутри — шелл-код или конфиг следующего C2-этапа. MITRE T1027.003 и T1001.002 в одном флаконе.
DPI проверяет заголовок файла — а пейлоад сидит в пикселях. 11 дней медианного присутствия APT именно здесь.Статья Зрелость процессов информационной безопасности vs бюджеты: как выстроить защиту без карго-культа
Финтех вложил 80 млн в SIEM, EDR и аутсорс-SOC — пентестер получил доменного админа за 4 часа. SIEM покрывал 40% инфраструктуры, ни одно правило корреляции не настроено под реальные TTPs, EDR отсутствовал на контроллерах домена.Mandiant M-Trends 2025: 57% компаний узнают об инциденте от внешних сторон. Медиана — 11 дней в сети до обнаружения. IBM X-Force: среднее время между публикацией CVE и патчем — 29 месяцев. CrowdStrike фиксирует: 75% вторжений в 2024-м через Valid Accounts (T1078) — дефолтный SIEM это не детектирует.
Разница между уровнями зрелости — не в бюджете.
SOC смотрит на алерты — APT работает через легитимный вход. Инструменты без процессов дороже, чем их отсутствие.Статья Технические меры защиты ПДн по ФСТЭК: что реально требуется и как реализовать
Аттестат ФСТЭК подписан, техпроект красивый — а папка с ПДн клиентов открыта с правами Everyone:Full Control. Межсетевой экран в permit any/any «временно». SIEM слеп четыре месяца. С оборотными штрафами цена такого разрыва — проценты от выручки.Приказ ФСТЭК №21 делит меры на 15 групп: ИАФ, УПД, РСБ, АВЗ, СОВ — каждая закрывает конкретные техники MITRE ATT&CK. УЗ-3 требует СЗИ не ниже 6 класса, УЗ-1 — не ниже 4-го. Завышение типа угроз «для перестраховки» поднимает УЗ и бюджет втрое — без реального снижения риска.
Статья разбирает маппинг мер на ATT&CK: ИАФ.4 блокирует T1110 Brute Force, СОВ — T1190 и T1071, РСБ — T1562.
Проверяющий открывает не документы — он смотрит права на папку с ПДн и журнал SIEM.Статья Управление секретами DevSecOps: архитектура, ротация и детект утечек в Vault, AWS Secrets Manager и Azure Key Vault
OIDC-токен из лога GitHub Actions — и атакующий за 32 минуты получил connection string к RDS, дампнул 12 000 PII-записей. Vault стоял, CloudTrail молчал: 340 вызовов GetSecretValue против baseline 8–10/час никто не мониторил.Kill chain не ломает Vault — он использует легитимный доступ скомпрометированного сервисного аккаунта CI/CD. CVE-2026-9133 (CVSS 8.3, CWE-489) в rabbitmq-aws читала TLS-ключи прямо с файловой системы, минуя Secrets Manager API полностью — CloudTrail этого не видел.
Пять из шести инцидентов — секрет лежал в менеджере, но паттерны обращений не мониторились.Статья Снижение false positives в SOC: ML-детекторы и автоматизация триажа от алерта до тикета
В понедельник 9:15 в очереди SIEM — 2 847 алертов за выходные. 2 300 из них — FP от трёх правил корреляции. Пока аналитики разгребали шум три дня, lateral movement через скомпрометированный сервисный аккаунт закрыли «как FP». Данные ушли.Статические правила корреляции бьют одним порогом по всей инфраструктуре — brute-force и плановая ротация паролей дают идентичный алерт. Атакующий эксплуатирует это через T1562.011: генерирует шквал ложных срабатываний, пока T1070 зачищает следы.
Трёхстадийный пайплайн — pre-filter → Isolation Forest scoring → contextual enrichment с TI-фидами и AD-ролями — снижает FP-рейтинг с 40% до 8%.
SOC мониторит правила — APT работает в шуме. Lateral movement прячется среди FP-алертов, пока аналитик выгорает.Статья Workload Identity в Kubernetes: SPIFFE/SPIRE, pod identity и отказ от long-lived credentials
SSRF в микросервисе дёрнул IMDS на 169.254.163.254, атакующий вытащил IAM-ключ из метаданных EC2, за 47 минут выгрузил клиентские данные из S3. Ключ создан 14 месяцев назад и ни разу не ротировался. Проблема не в SSRF — в статичном IAM-ключе, которому не было причин существовать.SPIFFE/SPIRE: вместо секретов каждый workload получает X.509-сертификат с TTL 1 час через аттестацию окружения. IRSA на AWS, GKE Workload Identity, Entra Workload ID — нативные механизмы привязки ServiceAccount к IAM-роли без AKIA*-ключей в env-переменных. IMDSv2 с hop limit = 1 закрывает доступ к IMDS из подов без hostNetwork.
Detection в SIEM: baseline маппингов SA → IAM Role через kubectl + jq, burst запросов к STS (10+ за минуту от одного пода), Falco-правило на connect() к 169.254.163.254. Attack paths при workload identity: T1611 escape to host, T1098.006 новый ClusterRoleBinding, JWT-SVID replay за окно TTL.
Short-lived credentials...Статья Session hijacking атаки JWT токены: от перехвата до detection в SIEM
PAT, слитый в историю чата ChatGPT, оставался валидным месяцами и давал admin-доступ к production-репозиториям нескольких организаций. Два API-вызова — и весь периметр замаппирован. Без единой записи в аудит-логе.JWT none algorithm: алг подменяется на none, подпись удаляется — legacy-библиотеки принимают. Key confusion RS256→HS256: публичный ключ RSA как HMAC-секрет. Hashcat -m 16500 на слабом секрете — 4 секунды до генерации произвольных токенов с role: admin. AITM-прокси (Evilginx) перехватывает session cookie после легитимного MFA — Conditional Access Policies не спасают.
Таблица behavioral detection: impossible travel HIGH, refresh token reuse CRITICAL, velocity anomaly HIGH, User-Agent switch MEDIUM. Псевдоправило корреляции для любого SIEM. Hardening-чеклист из девяти пунктов с готовой строкой Set-Cookie с HttpOnly, Secure, SameSite=Strict.
Восемь техник ATT&CK — восемь точек где нужны правила. Большинство SOC покрывают две-три.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
JumuroCodeby Team