Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Основы сетей для пентестера: модель OSI, TCP/IP и протоколы, которые нужно знать
Запустил ARP-спуфинг в корпоративной сети — не перехватил ни одного пакета. Сорок минут перебирал настройки, пока коллега не спросил: «А ты проверил, что цель в одном VLAN с тобой?» ARP-фреймы не выходят за пределы broadcast-домена. Сорок минут впустую.Модель OSI для пентестера — не определения из учебника, а карта: «На каком уровне я сейчас и что здесь возможно?» ARP-спуфинг — L2, работает только внутри сегмента. Responder — L2 и L7 одновременно. SQL-инъекция — чисто L7. Три разных вектора, три разных набора ограничений.
TCP-рукопожатие, SYN-скан, почему open/closed/filtered — это разные вещи. Wireshark живьём: каждый SYN-пакет и SYN-ACK в реальном трафике, не на картинке.
Когда обёртка не работает — два пути: вслепую перебирать инструменты или открыть Wireshark. Второй экономит часы.Статья Атаки через Microsoft Teams: кража учётных данных и обход MFA — техники и защита
Вишинг через Teams, Quick Assist, MSI с вредоносной DLL — и C2-канал. Device code phishing: пользователь проходит настоящую аутентификацию на настоящем microsoft.com, FIDO2 подтверждает домен — токен уходит атакующему. MFA не при делах by design.Teams — не мессенджер. OAuth-клиент с доступом к Microsoft Graph API, SharePoint и Entra ID. Компрометация через чат даёт живой токен внутри тенанта — почтовые фильтры вообще не задействованы.
Три вектора: вишинг через External Access, device code phishing через штатный OAuth-флоу, AiTM-прокси с перехватом сессии после любой MFA. Таблица: какой второй фактор от чего защищает — и где не защищает ничего.
CA policy для блокировки device code flow — пять минут настройки. Остановила бы целые кампании Storm-2372 на уровне аутентификации.ми и Sigma-правилами под разные SIEM-стеки.Статья Malware Analysis для CTF: anti-debug, anti-VM, кастомные шифры и автоматизация с angr и Frida
Три уровня защиты в одном бинаре: TLS callback с IsDebuggerPresent, CPUID-запрос на гипервизор, кастомный XOR с динамическим ключом. Ручной разбор в Ghidra — от получаса. angr-скрипт на 15 строк — секунды.Разница между «два таска за восемь часов» и «шесть за то же время» — не талант, а понимание паттернов anti-analysis. Те же техники, что авторы CTF тащат из реального malware: IsDebuggerPresent, RDTSC timing checks, CPUID hypervisor bit, UPX с модифицированным заголовком, RC4 по S-box паттерну, TEA по константе 0x9E3779B9.
Decision tree: когда angr закрывает задачу за 30 секунд, когда Frida перехватывает крипто в рантайме, когда только ручной разбор. ScyllaHide, Findcrypt, Frida Stalker для VM-обфускации.
angr не замена пониманию — мультипликатор. Без чтения asm не будете знать, какой адрес передать в find.Статья Атаки на аутентификацию: полный разбор техник компрометации OAuth, MFA, Kerberos и identity-инфраструктуры
Три из четырёх вторжений в 2024 году — без единого эксплойта. Атакующие просто вошли с валидными учётными данными. Среднее время от входа до латерального перемещения — 62 минуты. Рекорд — 51 секунда.Identity — новый периметр, и он уже скомпрометирован. Четыре уровня цепочки: получение кредов → обход MFA → перехват токенов и билетов → Golden Ticket и domain takeover. Kerberoasting без привилегий, AS-REP Roasting без учётки, AiTM с перехватом сессии через Evilginx, OAuth Device Flow против Microsoft 365, Pass-the-Hash из lsass, Pass-the-PRT в обход Conditional Access.
Decision tree для внешнего и внутреннего пентеста по всем сценариям. Sigma-правила, Event ID и D3FEND-контрмеры для каждой техники.
«У нас есть MFA» звучит убедительно на совещании. Ничего не значит при атаке через push-усталость или AiTM-прокси.Статья SSRF уязвимость: поиск, эксплуатация и цепочки атак в пентесте
Параметр callback_url, Burp Collaborator, DNS-запрос с внутреннего IP — и через 20 минут временные IAM-креды AWS через 169.254.169.254. Вся цепочка до S3-бакетов — меньше часа. При наличии WAF на входе.
SSRF — не финальная цель, а прыжок за периметр: один HTTP-запрос превращает внешний пентест во внутренний. Где искать: webhook-обработчики, загрузка файлов по URL, OAuth callback, заголовки Host и X-Forwarded-Host.
Blind SSRF через OOB-канал, bypass WAF через decimal/hex/IPv6 и redirect-цепочки, IMDSv1 vs IMDSv2, gopher:// к Redis — разобрано пошагово. CVE-2024-4084: regex-denylist в AnythingLLM обходится за 5 минут.
Regex на 127.0.0.1 — не защита. 2130706433 проходит незамеченным.Статья Purple Team на практике: workflow валидации детектов и закрытия gaps в покрытии ATT&CK
SOC поставил зелёную ячейку на T1003.001 — «Mimikatz ловим». Purple Team за полтора часа: coverage 33%. comsvcs.dll через rundll32 и ProcDump прошли мимо Elastic 8.x и CrowdStrike Falcon незамеченными.Три системных провала Red→PDF→Jira: информационная асимметрия — Blue видит результат, не технику; ложное покрытие — одна сигнатура не равна закрытой технике; временной лаг — отчёт за месяц стреляет по координатам, где цели уже нет.
Purple Team цикл: Red называет технику заранее → Blue смотрит в реальном времени → root cause → fix → верификация на месте. Detection Rate первого цикла — 25–40%. Третьего — 70+. Это измеримый прогресс, а не PDF в Jira.
Coverage ATT&CK после первого честного прогона — ниже 30% в большинстве компаний. Это не катастрофа. Это стартовая точка.Статья Метрики эффективности пентеста: формулы ROI, KPI-дашборд и обоснование бюджета
CFO каждый квартал: «47 уязвимостей — и что изменилось?» Ответ «стали безопаснее» не конвертируется в подпись на бюджете. Конвертируется дельта risk exposure в рублях.Три причины, почему количество находок бесполезно: зависит от scope, severity распределена неравномерно, 47 уязвимостей без ремедиации не снижают риск. Среднее время патчинга — 202 дня, weaponization эксплойта — 8 дней. Окно уязвимости 7 месяцев.
Breach Risk = Likelihood (%) × Impact (руб.). RCE на внешнем периметре — Likelihood 15%, Impact 45 млн = 6,75 млн risk exposure. После ремедиации Critical — 1,35 млн. ROI = (5,4 млн - 2,8 млн) / 2,8 млн = 92,8%. Каждый рубль вернул 1,93 рубля.
80% компаний не имеют ни одной метрики ремедиации. Отчёт уходит в PDF, через год — те же находки.Статья Фаззинг веб-приложений и API: от AFL++ и LibFuzzer до обнаружения 0-day в реальных проектах
Два heap-buffer-overflow и use-after-free в JSON/XML парсерах трёх open-source фреймворков. Ноль из трёх нашли юнит-тесты, статический анализ и code review. AFL++ за 20 минут после правильного harness.Coverage-guided фаззинг vs black-box через HTTP — как рентген против стука по стене. WAF и фреймворк-валидация не видят данные, поданные напрямую в целевую функцию через harness. Два harness для одной библиотеки — разница в coverage 4x за первый час. Плохой harness: глобальное состояние не сбрасывается, I/O замедляет до 50 exec/sec — месяц фаззинга, ноль результатов.
AFL_LOOP(10000) — persistent mode, прирост скорости 10-20x. CmpLog/RedQueen для магических байтов (0xDEADBEEF угадать мутацией невозможно). ASan без AFL++ пропустит subtle corruption: тонкая heap-buffer-overflow без SIGSEGV проскочит незамеченной.
Heap-buffer-overflow WRITE = вероятный RCE. READ = information disclosure. Null dereference = DoS.Статья Импортозамещение в информационной безопасности: полная карта российских SIEM, EDR, сканеров и WAF для практика
20% субъектов КИИ к дедлайну указа №250 — «не готовы». Ещё треть «частично». Навигационный хаб: 7 детальных разборов от SIEM до сертификации ФСТЭК для тех, кто мигрирует руками.Три указа — три разных обязательства: №166 (запрет закупки ИПО для ЗОКИИ), №250 (запрет использования СЗИ из недружественных стран), №309 (расширение круга субъектов ГосСОПКА). Перенос 400 правил корреляции с Splunk на MaxPatrol SIEM — 8 месяцев с командой из четырёх аналитиков. SPL в PDQL автоматически не конвертируется.
Слепые зоны: российские EDR работают через user-mode перехват — техники обхода CrowdStrike через direct syscalls неприменимы к Kaspersky EDR Expert. NGFW 40+ Гбит/с с включённым DPI — Palo Alto и Fortinet впереди. CSPM для Yandex Cloud/VK Cloud — ранние стадии.
Самая дорогая часть миграции — 6-12 месяцев параллельной работы двух SIEM.Статья SOC vs Red Team: как построить внутренний пентест-процесс в enterprise
Четыре дня от компрометации до обнаружения: Valid Accounts → LSASS dump через Sqldumper.exe → Pass the Hash до Domain Admin. SOC из 15 аналитиков, Splunk, CrowdStrike — ноль алертов.Разовый пентест отвечает на вопрос «можно ли нас взломать?» Ответ всегда — да. SOC при этом не участвует, detection engineering не получает обратной связи, SIEM-правила не валидируются на реальных TTP. Если SOC не детектирует стабильно PowerShell execution и LSASS dump — red team engagement пустая трата бюджета.
Purple team: SOC видит экран red team в реальном времени. Execution → gap analysis → написание Sigma-правила → retest в одной сессии. MTTD по T1003.001 — цель менее 5 минут. T1078 Valid Accounts — часы и дни: принципиально другой класс задачи, нужен baseline.
Через 3-4 квартальных цикла — измеримый тренд MTTD для CISO и бюджетного комитета.