Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Пентест банка: векторы атак и техники проникновения в финансовую инфраструктуру
Kill chain банка: от фишингового письма до мошеннического SWIFT-перевода.Сервисная учётка АБС с паролем admin/admin, API интеграционной шины без авторизации, «временное» правило any-any на файрволе Secure Zone — и это не выдумка, а реальность финансового сектора в 2025 году.
В статье — полная цепочка атаки на банковскую инфраструктуру: spearphishing → BloodHound → Kerberoasting → Golden Ticket → компрометация SWIFT. Пошаговая методика пентеста, архитектуры SWIFT A1–A4, маппинг на MITRE ATT&CK и конкретные рекомендации по защите.
Практический гайд для пентестеров финсектора и security-инженеров, отвечающих за безопасность платёжных систем.Статья Обход EDR Windows: техники bypass CrowdStrike, SentinelOne и Defender for Endpoint
🛡 Обход EDR: как атакующие ослепляют CrowdStrike, SentinelOne и Defender.
Ваш EDR-агент рапортует «всё чисто»? Возможно, он просто перестал видеть. Indirect syscalls минуют хуки, BYOVD нейтрализует драйвер ядра, а WFP-фильтры отрезают агент от облака — и всё это без единого алерта.
В статье — три уровня телеметрии EDR и конкретные техники их обхода с кодом: от unhooking NTDLL и ETW-патчинга до загрузки уязвимых драйверов. Плюс таблица детектов и рекомендации для защитников.
Полный арсенал Red Team оператора и чеклист для security-инженера — в одном гайде.Статья Runtime Hardening для K8s: Использование eBPF и Falco для детектирования эксплойтов
Admission controller отклонил опасный pod, image scanner нашёл CVE, network policy закрыла лишний трафик - а атакующий всё равно оказался внутри контейнера и начал работать уже после запуска workload. В этой статье разбираем, почему runtime security в Kubernetes перестал быть дополнительной опцией и превратился в обязательный слой защиты для прод-кластеров.
Покажем, как eBPF даёт наблюдение на уровне системных вызовов, как Falco собирает и обогащает события из ядра, чем modern eBPF отличается от kernel module, и как писать свои правила под container escape, reverse shell, cryptominer и доступ к чувствительным файлам. Отдельно разберём, где Falco заканчивается как detector и где Tetragon уже уместен как инструмент enforcement прямо в ядре.
Это практический разбор: с Helm-деплоем, Falcosidekick, false positives, exceptions, baseline profiling, метриками, kernel drops и теми местами, где runtime hardening...Статья BloodHound Active Directory: разведка домена, построение графа атак и эксплуатация ACL
Тысячи объектов AD — один граф. BloodHound покажет путь, который ты не найдёшь руками.Три хопа через вложенные группы и забытый WriteDACL на OU — и рядовой пользователь превращается в Domain Admin. Вручную такую цепочку через 50 000 строк LDAP-дампа искать можно сутками. BloodHound находит её за секунды.
В этом гайде — полный рабочий процесс: сбор данных SharpHound с OPSEC-параметрами, чтение рёбер графа от GenericAll до AddMember, кастомные Cypher-запросы для Neo4j, и три реальных сценария эксплуатации ACL — от сброса пароля до захвата целого подразделения через наследование прав.
Практическое руководство для пентестеров и red team: превратите хаос доменных связей в пошаговый маршрут к цели.Статья Повышение привилегий Linux: пошаговое руководство от первого шелла до root
Permission denied? Не надолго. Четыре пути от www-data до root.Ты получил шелл через дыру в веб-приложении, но /etc/shadow возвращает отказ. Между тобой и полным контролем — один этап, и он решает всё.
В этом руководстве — четыре ключевых вектора эскалации привилегий Linux: SUID-бинари с выходом на root через find и vim, writable cron-скрипты, capabilities вроде cap_setuid на Python, и kernel exploits включая свежий CVE-2024-1086. Каждый приём — с реальными командами, выводом терминала и объяснением механики Unix-прав.
Пошаговый workflow для пентестеров и CTF-игроков: от стабилизации шелла до proof.txt за 10 минут.Статья Пентест Active Directory: полный гайд от разведки до Domain Admin в 2026
От доменного юзера до Domain Admin за 15 минут — реальность или миф?Типовые мисконфиги Active Directory живут в продакшене годами. Сервисные аккаунты с паролем от 2016-го, включённый LLMNR и права GenericWrite, о которых все забыли — каждый из них открывает дверь атакующему.
В этом гайде — полный цикл AD exploitation в 5 фазах: разведка через nmap и BloodHound, перехват хешей Responder'ом, Kerberoasting и ACL Abuse для эскалации, lateral movement через Pass-the-Hash и финальный DCSync с выходом на Golden Ticket. С конкретными командами, разбором флагов и чек-листом для каждого этапа.
Практическое руководство для пентестеров: разверните лабу за час и отработайте каждую фазу — от первого скана до полного захвата домена.Статья Коммерческое шпионское ПО: разбор рынка NSO Group, Intellexa, Candiru и QuaDream
👁 Surveillance-as-a-Service: индустрия за Pegasus — 561 компания и санкции, которые не работают
За каждым заражённым iPhone — не хакер-одиночка, а корпорация с SLA, годовыми лицензиями и инвесторами с Уолл-стрит. 561 организация в 46 странах, а США — крупнейший инвестор в рынок, который сами же санкционируют.
В статье — бизнес-модели NSO Group, Intellexa, Candiru и QuaDream: zero-click цепочки FORCEDENTRY и BLASTPASS с CVE, корпоративные матрёшки для обхода санкций, роль брокеров и причины провала регулирования. MITRE ATT&CK-маппинг mercenary spyware, обнаружение через MVT и анализ C2-инфраструктуры.
Для TI-аналитиков и security-специалистов — прогоните MVT по бэкапу iPhone, пока он не понадобился по-настоящему.Статья Атаки на сервисные аккаунты и токены: разбор TTP и детектирование Non-Human Identities
Non-Human Identities: 68% SaaS-инцидентов — через OAuth-токены и сервисные аккаунты, а не фишингПока SOC ловит фишинг, атакующие угоняют OAuth credentials из .env-файлов, дампят секреты через скомпрометированные GitHub Actions и крадут Kubernetes SA-токены из подов. Забытый тестовый аккаунт без MFA — и APT29 читает почту Microsoft. Один незаротированный токен из пяти тысяч — и через Okta ломают Cloudflare.
В статье — три TTP-цепочки: OAuth Client Credentials abuse (Salesloft-Drift, Midnight Blizzard), каскадная атака на GitHub Actions (tj-actions, 23 000 репозиториев под угрозой) и эскалация через Kubernetes SA-токены. Sigma-правила, KQL для Entra ID, Falco-правила для K8s и чеклист hardening NHI.
Для security-инженеров и DevSecOps — проверьте machine credentials через trufflehog прямо сейчас.Статья Threat hunting ransomware: обнаружение pre-ransomware активности в корпоративной сети через SIEM-правила и IOC
Threat hunting ransomware: ловим шифровальщик за дни до шифрованияАлерт о массовом шифровании в 3 ночи — расследовать уже поздно. Шифрование — финальный акт пьесы, которая шла в сети неделями. Единственный шанс — поймать атаку на стадии pre-ransomware: credential dumping, lateral movement через RDP и PsExec, отключение EDR и удаление теневых копий.
В статье — Sigma-правила и SPL/KQL-запросы для каждой фазы kill chain по MITRE ATT&CK: от дампа LSASS через comsvcs.dll до корреляционного правила, сводящего 3+ индикатора на одном хосте в приоритетный кейс. Плюс таблица типичных false positives и пошаговый процесс: гипотеза → baseline → охотничьи запросы → триаж.
Для SOC-аналитиков и threat hunter'ов — берите запросы и запускайте на своих логах прямо сейчас.Статья ROI кибербезопасности: как измерить эффективность ИБ-инвестиций и обосновать бюджет перед бизнесом
ROI кибербезопасности: как перестать терять бюджет и начать говорить с CFO на языке денег«Мы заблокировали 10 000 атак за квартал» — и CFO зевает. «Мы предотвратили 14,3 млн рублей убытков при затратах 6,8 млн, ROSI = 110%» — и CFO кивает через 30 секунд. Разница — не в безопасности, а в языке.
В статье — конкретные формулы ROSI и ALE с пошаговым расчётом на реальных кейсах, перевод MTTD/MTTR в рубли, готовый шаблон таблицы для бюджетного комитета, структура бюджета по NIST CSF 2.0 с ROSI для каждого блока, и антипаттерны, которые гарантированно проваливают защиту бюджета. Плюс фреймворки FAIR и sensitivity analysis для крупных инвестиций.
Для CISO, которые устали объяснять, зачем платить за то, что «и так работает».