Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Network Policies в Kubernetes: изоляция подов на практике
По умолчанию каждый под в вашем кластере видит все остальные - flat network без границ. Один скомпрометированный контейнер открывает атакующему полный доступ к production-сервисам, базам данных и внутренним API. Именно так выглядит lateral movement в реальных инцидентах.
В этой статье разберём, как Network Policies превращают хаотичную сеть кластера в управляемые сегменты: синтаксис и логику политик, почему стандартный K8s API - это только половина решения, и чем Calico с Cilium закрывают то, что ванильный Kubernetes не умеет.
Практический разбор: GlobalNetworkPolicy и DNS-based rules в Calico, L7-фильтрация HTTP-трафика и identity-based security в Cilium, паттерны default deny и микросегментации - с реальными YAML-манифестами и командами для проверки.Статья Харденинг Windows 10/11 после окончания поддержки: чеклист для пентестера и администратора
120 машин на Windows 10 22H2 после EOL — дефолтные GPO, открытый SMBv1, LSASS без RunAsPPL. Mimikatz снимал хеши без сопротивления. Три пентеста, один чеклист.После 14 октября 2025 каждая новая CVE в ядре Windows 10 — перманентный 0-day. Diff между патчем Windows 11 и непропатченной Win10 публикуется открыто — готовый Exploitation for Privilege Escalation T1068. Defender обновляет сигнатуры до 2028, но дыру в win32k.sys антивирусная сигнатура не заткнёт.
Три GPO за 15 минут закрывают 70% типового внутреннего пентеста: RunAsPPL + WDigest off (T1003.001), SMBv1 off (relay, legacy RCE), LLMNR/NBT-NS off (Responder за минуты). Таблица приоритетов из 8 мер: эффект к сложности, закрываемый ATT&CK-вектор для каждой.
HardeningKitty + PingCastle для автоматического аудита по CIS Benchmark v3.0.0.Статья Smoke тестирование и качество обратной связи: от прогона до действия в CI/CD
Smoke-тест поймал сломанный платёжный эндпоинт — но gate пропустил сборку по правилу «pass if >90%». В субботу клиенты не смогли оплатить заказ. Проблема не в тестах, а в feedback loop.Smoke без обратной связи — дымовой датчик с отключённой сиреной. allow_failure: true в GitLab CI превращает gate в декорацию. Уведомление в общий канал из 40 человек — никто не реагирует. Flaky rate выше 2% — команда перестаёт верить gate и начинает его обходить.
Четыре звена feedback loop: детекция → адресная нотификация автору коммита → диагностика с контекстом (Expected 200, got 503) → fix и перезапуск. Pytest + GitLab CI с allow_failure: false, маркеры critical/advisory для двух уровней gate, метрики: pass rate, MTTF, flaky rate, suite duration.
Проверка: уроните smoke намеренно и засеките, когда разработчик узнает.Статья CVE-2026-32202: уязвимость Windows Shell — zero-click кража NTLM-хешей через LNK-файлы
CVE-2026-32202: неполный патч февраля оставил zero-click кражу Net-NTLMv2 через .lnk — открыл папку в Explorer, хеш уже у атакующего. CVSS 4.3, но в домене это lateral movement.Microsoft залатал RCE (CVE-2026-21510, CVSS 8.8), но не тронул механизм аутентификации. Windows Shell резолвит UNC-путь из .lnk ещё до SmartScreen — SMB-хендшейк происходит на этапе path resolution. Responder перехватывает Net-NTLMv2 без единого клика. По документам UI:R, по факту — открытие папки в Explorer.
NTLM relay на Exchange/LDAP/SMB без SMB Signing, offline hashcat -m 5600 — C:L в CVSS не учитывает каскадный эффект. APT28 использовала тот же класс в январской кампании против Украины. CISA KEV, дедлайн 12 мая для федеральных агентств.
Sigma-правило: explorer.exe + outbound TCP 445 вне internal subnet — высокоприоритетный алерт.Статья Утечка данных криптобиржи в России 2026: взлом Grinex на $13,7 млн — разбор TTPs и detection-чеклист для SOC
Взлом Grinex: $13,7 млн за минуты. Преемник Garantex под санкциями США — и те же уязвимости в архитектуре. Kill chain по MITRE ATT&CK и Sigma-правила для SOC на реальных TTPs Q1 2026.Grinex запустился в марте 2026 как замена Garantex после блокировки FinCEN. Архитектура воспроизводилась в спешке — и воспроизвела уязвимости. Атака использовала скомпрометированные API-ключи и инсайдерский доступ к горячим кошелькам. Классический паттерн: privileged credential abuse без аномального детекта.
Разбор TTP: Initial Access через stolen API keys, lateral movement по внутренним сервисам без MFA, вывод через mixer-цепочку. Sigma-правила на аномальные API-запросы и массовый вывод. Чеклист для SOC финтех/крипто-платформ: privileged access audit, аномалии транзакций, мониторинг горячих кошельков.
Маппинг на MITRE ATT&CK и detection checklist.Статья APT28 кампания PRISMEX: анализ цепочки заражения, облачный C2 и detection для SOC
APT28 зарегистрировала WebDAV-домены за 14 дней до патча CVE-2026-21509. 72 часа — 29 писем с реальных госаккаунтов по девяти странам. Эксплойт готов раньше, чем фикс Microsoft.Открыл RTF → Shell.Explorer.2 через OLE инициирует WebDAV → загружается LNK → CVE-2026-21513 обходит MSHTML sandbox → шеллкод. Без макросов. Protected View не спасает. Два варианта после: MiniDoor пересылает входящую почту через SMTP с DeleteAfterSubmit, PRISMEX-цепочка прячет .NET-payload в PNG методом Bit Plane Round Robin и грузит Covenant Grunt через Filen.io.
COM hijacking EhStorShell.dll, scheduled task OneDriveHealth, CLR hosting fileless — модульная архитектура, где компоненты взаимозаменяемы. Октябрь 2025: wiper уничтожил все файлы в %USERPROFILE%.
Sigma-правило, IOC-таблица и маппинг на MITRE ATT&CK.Статья GitHub Enterprise RCE CVE-2026-3854: от реверса закрытых бинарников до полной компрометации сервера
CVE-2026-3854: один git push с semicolon в push option — RCE на GitHub.com и полная компрометация GHES. 40 минут на подтверждение, два часа на патч, 88% инстансов уязвимы.babeld берёт push option без санитизации, вставляет в X-Stat header как есть. Semicolon — делимитер протокола — ломает поле и создаёт новые. Last-write-wins парсинг в gitrpcd: инжектированный rails_env=test перезаписывает production — sandbox отключается. custom_hooks_dir указывает на контролируемую директорию. Произвольные shell-команды от git-пользователя.
Методология Wiz: AI-augmented реверс через IDA MCP ускорил декомпиляцию закрытых бинарников на порядок. Но обнаружение уязвимости — человеческий инсайт: semicolon в shared header это точка инъекции, last-write-wins превращает field injection в override security-полей.
IoC для GHES-администраторов и patch diffing для n-day research.Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку
DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.
Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.
Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов
LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.
Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.
Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.