Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Требования ИБ в финансовых организациях: ГОСТ Р 57580, PCI DSS и Банк России — практика выполнения
Журнал пересмотра прав за квартал — аудитор спрашивает, тишина. Оценка блока упала с 0.85 до 0.41 за час. Один пропущенный процесс — и весь блок в «частичном несоответствии».ГОСТ Р 57580 и 683-П — не взаимозаменяемые документы. Пять процессов, где банки стабильно теряют баллы: управление доступом (журнал пересмотра), логирование (АБС пишет в файл на локальном диске), управление инцидентами (table-top exercises не проводились), уязвимости (отчёт ложится в папку до следующего аудита).
PCI DSS покрывает часть ГОСТ 57580 уровня 2, но ГОСТ добавляет бумагу там, где PCI DSS просто спрашивает «сделано?». ОУД4 для ДБО при трёх релизах в квартал — боль без разъяснений ЦБ по частоте. Sigma-правила: dormant-аккаунты с привилегиями и brute force под парольную политику.
Compliance как процесс — ежеквартальный пересмотр прав в календаре, а не папка за две недели до аудитора.Статья Threat hunting в банке: IOC, SIEM-правила и поиск APT-активности в финансовой сети
Четверг 14:23 — svhost.exe обращается к lsass.exe из SWIFT-сегмента. Одна лишняя буква «v». 11 дней медианный dwell time, 57% узнают от ЦБ. Threat hunting начинается с гипотез, а не алертов.60+ группировок на российский финансовый сектор, 65% атак в финансах — ransomware. Valid Accounts (T1078) — атакующий входит через легитимные ключи, антивирус молчит. SPL-запрос на lsass.exe с GrantedAccess без whitelist → 300 алертов за смену и аналитик перестаёт смотреть. CV < 0.1 при count > 50 — beaconing даже с jitter.
EID 1102 в банке — критический алерт без исключений. Golden Ticket: TGS без предшествующего AS-REQ, EncryptionType 0x17 в AES-среде. NTLM Logon Type 3 в Kerberos-сети — lateral movement. Impossible travel — сессия из Москвы и Амстердама с разницей 20 минут.
Без 30 дней baseline и тюнинга whitelist — правила парализуют SOC, а не защищают.Статья Red team отчёт MITRE ATT&CK: как документировать пентест для Blue Team и бизнеса
В трёх случаях из четырёх Blue Team не может конвертировать Red Team отчёт в детекшн-правила. «Оператор получил domain admin за 4 дня» — факт без маршрута к действию.TTP-based отчёт меняет суть: не «мы вас взломали», а «вот точки, где ваш стек слеп». Detection Rate 25%, Block Rate 0%, MTTD 47 минут — при рекорде lateral movement 51 секунда. ATT&CK Navigator heatmap: красный/жёлтый/зелёный для CISO, JSON-layer для SOC-инженера.
Шаблон находки: ATT&CK ID → тактика → действие оператора → артефакты → причина gap → Sigma-правило → D3FEND-контрмера. T1566.001 не детектирован → D3-ISVA + D3-CSPP + ссылка на sigma. 192 правила SigmaHQ для T1059.001 — Blue Team получает файл, конвертируемый в Splunk/Elastic за минуты.
Machine-readable JSON экспорт — отчёт как часть pipeline, а не PDF на SharePoint.Статья Артефакты Linux для пентестера: от credentials до следов атаки
Три символа в .pgpass — root PostgreSQL и SSH на четырёх серверах. Ни одного эксплойта, ни одного CVE. Только знание файловой системы Linux и find с правильными флагами..bash_history хранит mysql -u admin -pPassword123 и sshpass -p 'qwerty' в открытом виде. .pgpass, .my.cnf, .netrc, .aws/credentials — стандартные стоянки паролей. Один grep по /etc/ и /var/www/.env даёт четыре production-пароля за одну команду. /proc/[PID]/environ раскрывает DB_PASSWORD и API_KEY без чтения конфигов.
Decision tree первых 60 секунд: уровень привилегий → наличие auditd → порядок действий. LinPEAS вызывает поведенческий алерт в CrowdStrike за секунды — ручной точечный сбор неотличим от легитимной активности. auditd видит каждый open() на /etc/shadow с вашим UID и timestamp.
Vault-миграция идёт медленно — .env с правами 644 живут ещё пять-семь лет.Статья Фаззинг бинарных приложений: AFL++, libFuzzer и coverage-guided fuzzing на практике
23 уникальных crash-а за три месяца AFL++ против закрытого парсера. Coverage застрял на 2000 путей — правильные seed-ы вытащили на 3400+. 80% усилий не в ожидании crash-ей, а в работе с покрытием.AFL++ QEMU-mode для binary-only (1000–15000 exec/s с persistent mode), libFuzzer для source-based in-process фаззинга. CMPLOG перехватывает магические числа и подсказывает мутатору. Словарь из 40 токенов поднял покрытие с 18% до 52% за два часа. Decision tree: плато наступило — причина застоя → seed, словарь или ручной harness для непокрытой ветки.
Crash triage: afl-tmin минимизирует, Casr дедуплицирует по стеку. Маппинг ASan на CWE: heap-buffer-overflow (CWE-122) — высокая эксплуатируемость, null-dereference (CWE-476) — обычно DoS. Без анализа покрытия — работа вслепую, и persistent mode это не компенсирует.
Sydr-fuzz комбинирует символьное исполнение с AFL++ для глубоких путей.Статья Linux EDR изнутри: как агенты собирают телеметрию и где у них слепые зоны
eBPF-агент видит execve и connect, но пропускает ptrace-инъекцию в легитимный процесс. Три механизма сбора телеметрии Linux EDR — и у каждого своя слепая зона.eBPF (менее 2% CPU, ring buffer с 5.8+), auditd (монопольный режим или неполные данные, legacy с 2.6+), LKM (полный доступ, риск kernel panic). LD_PRELOAD hijacking — два из трёх коммерческих агентов пропустили. ptrace injection не создаёт нового процесса — execve-хук молчит. Отключение eBPF-программы через bpf(BPF_PROG_DETACH) с CAP_SYS_ADMIN ослепляет агент. CVE-2025-32463 в sudo (CVSS 9.3, CISA KEV) даёт root.
Falco (CNCF, real-time eBPF), osquery (SQL polling, short-lived процессы пропускает), Wazuh (legacy + auditd). Decision tree по инфраструктуре. Fingerprinting агента: ps aux, bpftool prog list, lsmod — три команды определяют стратегию evasion.
eBPF-rootkitы не закрывает ни один open-source HIDS.Статья Уязвимости банковских API: методология пентеста от разведки до эксплуатации
Один параметр в URL — баланс чужого счёта. Банк прошёл PCI DSS месяц назад, использовал OAuth 2.0 и API Gateway от крупного вендора. BOLA остаётся уязвимостью №1 уже который год.OWASP API Top 10: BOLA (подмена account_id в GET-запросе), BFLA (вызов /api/internal/refund с пользовательским токеном без проверки роли), race condition через single-packet attack в Burp — два одновременных списания до обновления баланса. JWT algorithm confusion: RS256→HS256 с публичным ключом через jwt_tool -X a.
WAF не видит BOLA и BFLA — запросы синтаксически легитимны. PCI DSS не проверяет, может ли User A увидеть баланс User B — буквально вне скоупа. Burp Autorize автоматизирует подстановку токенов. Decision tree: два аккаунта → BOLA/BFLA первыми, платёжные эндпоинты → race condition.
Shadow API (v1/ при живой v3/) — вектор без fraud-detection и rate limiting.Статья Кибератаки на финансовый сектор 2025–2026: TTPs, kill chain и detection-правила для SOC
43% рост атак на финансовый сектор России за 2025 год. Банкеры выросли в 4 раза, шифровальщики — максимум за два года, supply chain — 26% инцидентов. И каждый шаг выглядит легитимно.GodRAT через SCR с стеганографией, Cobalt Strike Beacon через DLL Hijacking легитимных утилит, FunkSec останавливает 50+ процессов до шифрования. AiTM обходит MFA как класс защиты. 68% инцидентов — фишинг, но GenAI ускоряет генерацию писем в 11,4 раза. Подрядчиков взломать проще и дешевле — 26% атак идут через supply chain.
Типовой kill chain от SCR-вложения до SWIFT-сегмента с маппингом T1566.001, T1027, T1562.001, T1486, T1657. Два Sigma-правила: запуск SCR из %TEMP% и остановка защитных сервисов. Корреляционная цепочка за 60 минут — три события по отдельности шум, три в цепочке — critical alert.
Оборотный штраф + выкуп = цена пропущенного инцидента в 2026 году.Статья Атаки на SWIFT и межбанковские системы: kill chain от фишинга до вывода средств
19 дней от spear-phishing до операторского АРМ SWIFT в банке из топ-30. Один сервисный аккаунт с правами на обе зоны превратил формальную сегментацию в декорацию.Bangladesh Bank — $81 млн за одну ночь, Lazarus модифицировал Alliance Access для подавления печати подтверждений. «Глобэкс» — первый SWIFT-вывод в России, Cobalt от initial access до вывода за 3-4 недели. Valid Accounts (T1078) с реальными credentials оператора: аутентификация выглядит легитимно — SIEM молчит.
Полный kill chain с маппингом MITRE ATT&CK: T1566.001 → T1056.001 → T1078 → T1565.002 → T1657. Два Sigma-правила: логин оператора вне рабочего времени и создание файлов в директории Alliance Access. Матрица контролей SWIFT CSP против каждой фазы — и почему CSP не защищает от атаки через офисный сегмент.
Cobalt и Lazarus приходят изнутри, а не из интернета.Статья Реагирование на инциденты информационной безопасности: от алерта до изоляции за 30 минут
Понедельник 9:15 — mass file encryption. Через 12 минут ещё три хоста. Атакующие сидели неделю, данные уже ушли. Разница между «под контролем» и «на DLS» — первые 30 минут триажа.75% вторжений используют валидные credentials, медианный dwell time — 11 дней, 57% организаций узнают от внешней стороны. Decision tree триажа: единичный алерт или кластер → маппинг TTPs на MITRE ATT&CK → критичность актива → lateral movement. Lateral movement — проверяйте первым, а не последним.
Три параллельных потока для определения масштаба: EDR-телеметрия, SIEM за 14 дней назад, NetFlow на beaconing. Memory dump — до любых действий. Chain of custody — SHA256 + UTC + ФИО аналитика. Sigma-правило на mass share access и минимальный detection-чеклист для SOC.
Главный вывод: decision matrix «кто нажимает isolate без согласования» важнее любого playbook.