Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Фаззинг веб-приложений и API: от AFL++ и LibFuzzer до обнаружения 0-day в реальных проектах
Два heap-buffer-overflow и use-after-free в JSON/XML парсерах трёх open-source фреймворков. Ноль из трёх нашли юнит-тесты, статический анализ и code review. AFL++ за 20 минут после правильного harness.Coverage-guided фаззинг vs black-box через HTTP — как рентген против стука по стене. WAF и фреймворк-валидация не видят данные, поданные напрямую в целевую функцию через harness. Два harness для одной библиотеки — разница в coverage 4x за первый час. Плохой harness: глобальное состояние не сбрасывается, I/O замедляет до 50 exec/sec — месяц фаззинга, ноль результатов.
AFL_LOOP(10000) — persistent mode, прирост скорости 10-20x. CmpLog/RedQueen для магических байтов (0xDEADBEEF угадать мутацией невозможно). ASan без AFL++ пропустит subtle corruption: тонкая heap-buffer-overflow без SIGSEGV проскочит незамеченной.
Heap-buffer-overflow WRITE = вероятный RCE. READ = information disclosure. Null dereference = DoS.Статья Импортозамещение в информационной безопасности: полная карта российских SIEM, EDR, сканеров и WAF для практика
20% субъектов КИИ к дедлайну указа №250 — «не готовы». Ещё треть «частично». Навигационный хаб: 7 детальных разборов от SIEM до сертификации ФСТЭК для тех, кто мигрирует руками.Три указа — три разных обязательства: №166 (запрет закупки ИПО для ЗОКИИ), №250 (запрет использования СЗИ из недружественных стран), №309 (расширение круга субъектов ГосСОПКА). Перенос 400 правил корреляции с Splunk на MaxPatrol SIEM — 8 месяцев с командой из четырёх аналитиков. SPL в PDQL автоматически не конвертируется.
Слепые зоны: российские EDR работают через user-mode перехват — техники обхода CrowdStrike через direct syscalls неприменимы к Kaspersky EDR Expert. NGFW 40+ Гбит/с с включённым DPI — Palo Alto и Fortinet впереди. CSPM для Yandex Cloud/VK Cloud — ранние стадии.
Самая дорогая часть миграции — 6-12 месяцев параллельной работы двух SIEM.Статья SOC vs Red Team: как построить внутренний пентест-процесс в enterprise
Четыре дня от компрометации до обнаружения: Valid Accounts → LSASS dump через Sqldumper.exe → Pass the Hash до Domain Admin. SOC из 15 аналитиков, Splunk, CrowdStrike — ноль алертов.Разовый пентест отвечает на вопрос «можно ли нас взломать?» Ответ всегда — да. SOC при этом не участвует, detection engineering не получает обратной связи, SIEM-правила не валидируются на реальных TTP. Если SOC не детектирует стабильно PowerShell execution и LSASS dump — red team engagement пустая трата бюджета.
Purple team: SOC видит экран red team в реальном времени. Execution → gap analysis → написание Sigma-правила → retest в одной сессии. MTTD по T1003.001 — цель менее 5 минут. T1078 Valid Accounts — часы и дни: принципиально другой класс задачи, нужен baseline.
Через 3-4 квартальных цикла — измеримый тренд MTTD для CISO и бюджетного комитета.Статья Атаки на облачные аккаунты AWS и Azure: техники, detection и реальные кейсы
83% организаций в 2024 году — минимум один cloud account takeover. T1078.004 на первом месте по частоте у Red Canary: выше ransomware и spear phishing. В рунете — «включите двухфакторку».AWS Amplify CLI до 12.10.1 (CVE-2024-28056, CVSS 9.8): удаление Auth-компонента оставляет AssumeRoleWithWebIdentity без Condition — three API calls до полного доступа. SSRF к IMDSv1 — GET-запрос к 169.254.169.254 без аутентификации. AiTM-маркер в Azure AD: OfficeHome + user agent Axios — relay-аутентификация через JS-прокси.
Service Principals без MFA и Conditional Access — слепая зона SOC. OAuth app registration переживает смену пароля. Cryptomining-кампания трое суток: ConsoleLogin → CreateAccessKey → RunInstances GPU по отдельности medium, цепочкой за 60 минут — Critical. CloudTrail без правил корреляции — дорогой логгер.
87% организаций ждут защиту от ATO от провайдера. Провайдеры — не security-компании.Статья Modbus и OPC UA Security защита промышленных протоколов p.2
70% промышленных устройств используют протоколы, созданные в эпоху, когда слова «кибербезопасность» не существовало. Modbus: sniffing, command injection, flooding — и всё это без единого механизма защиты.Wireshark + фильтр tcp.port 502 — видишь всё: Function Codes, адреса регистров, значения. Код 5 для записи coil управляет двигателем, код 16 меняет уставку давления. Защита только сетевая: сегментация в Control Zone, protocol-aware firewall (фильтрация конкретных Function Codes), DPI от Claroty/Nozomi, VPN для удалённого доступа.
OPC UA с Security Mode None и anonymous access — это Modbus в красивой обёртке. SignAndEncrypt + certificate-based auth + RBAC — правильная конфигурация. Главное правило OT Security: доступность превыше всего. Самый защищённый протокол бесполезен, если производство стоит.
Гибридная схема: Modbus внизу, OPC UA-шлюз в DMZ — без замены legacy.Статья Повышение привилегий AWS IAM: техники эскалации через роли, политики и misconfiguration
CI/CD-пользователь с единственным «лишним» разрешением — iam:CreatePolicyVersion. Три команды aws-cli, пять минут — AdministratorAccess на весь аккаунт. Считался readonly по документации.Три поколения IAM privilege escalation: прямая модификация политик (высокий шум, гарантированный результат), удаление Permission Boundary (снимает ограничения вместо добавления прав — мониторинг не замечает), PassRole как ключевой примитив — создать Lambda с привилегированной ролью тише EC2 и без SSH. Новый вектор: PassRole + bedrock-agentcore:InvokeCodeInterpreter.
SCP не поддерживает resource-level ARN для iam:CreatePolicyVersion — только полный запрет, что ломает CI/CD. PassRole + Lambda сливается с легитимным шумом в dev-аккаунтах. Lateral через S3 фактически невидим без data events — большинство аккаунтов их не включает.
pmapper query 'who can do iam:* with *' — сразу видны все пути до admin.Статья Machine learning в кибербезопасности: как ML-scoring сократил триаж SOC с тысяч алертов до десятков
3 847 алертов за смену — lateral movement по легитимной учётке нашли через 48 часов по жалобе пользователя. Isolation Forest поднимает аналогичный паттерн до risk score 94/100 за секунды.Правила корреляции линейны: условие, порог, действие. Valid Accounts (T1078) — каждый логин выглядит нормально, порога нет. ML строит baseline и измеряет отклонения. Три алгоритма под три задачи: Isolation Forest для агрегированных метрик аутентификации, Autoencoder для UEBA и time-series, One-Class SVM для индивидуального baseline привилегированных учёток.
contamination=0.02 — 2% аномалий. При 50 000 событий в сутки это 1 000 эскалаций — порог risk_score калибруется под пропускную способность L1. Из восьми внедрений пять деактивированы за три месяца: не занимались feature engineering. CVE-2025-32434 в PyTorch (CVSS 9.3): RCE при загрузке модели — ML-пайплайн такой же артефакт инфраструктуры, как любое ПО.
ML в SOC — процесс, а не продукт. Переобучение каждые 2-4...Статья Пентест как сервис (PTaaS): сравнение платформ, модели работы и когда платформа заменяет классический проект
Классика за четыре дня — SQL injection до lateral movement во внутреннюю сеть. PTaaS за месяц — 47 уязвимостей веб-периметра, но не прикоснулась к AD. Это про «когда что применять», а не «что лучше».Deployment velocity gap: при еженедельных деплоях окно обнаружения при годовом пентесте — 180 дней. Баг из января всплывёт при следующем тестировании через полгода. PDF, описывающий призрак: система уже не та, что при скоупинге.
Hybrid — стандарт зрелых платформ. Autonomous — не видит business logic, не адаптируется к кастомной ролевой модели. Провайдер не объясняет, какие артефакты покрывают какие контроли SOC 2 — compliance-обещание пустое. Ни один PTaaS не дошёл до domain admin.
Середина рынка — «Nessus + ручная Top 10 за $20K» — сжимается. Через два-три года: senior с глубокими цепочками или оператор PTaaS.Статья SSRF атака на облачные credentials: эксплуатация metadata endpoint от IMDSv1 до постэксплуатации
PDF-генератор принял http://169.254.169.254 как URL документа. Три GET-запроса — JSON с AccessKeyId, SecretAccessKey и SessionToken. Одиннадцать минут от SSRF до aws s3 ls.IMDSv1 не требует заголовков — любой GET с инстанса возвращает IAM credentials. IMDSv2 блокирует базовый SSRF, но HttpTokens: optional оставляет IMDSv1 в качестве fallback. На каждом втором cloud-пентесте тикет в Jira создан полгода назад, а optional до сих пор стоит. Кампания марта 2025: автоматизированный перебор шести параметров и четырёх subpath с ASN 34534 — ковровая бомбардировка EC2 в поиске SSRF.
WAF на строку 169.254.169.254 пропускает decimal (2852039166), hex (0xA9FEA9FE), octal и DNS rebinding. GuardDuty ловит exfiltration по source IP — работайте с украденными credentials через свой EC2 в том же регионе. 452% рост SSRF-атак 2023→2024.
Одна команда: aws ec2 modify-instance-metadata-options --http-tokens required.Статья Банковский троян Casbaneiro: техники уклонения от детекции и механизмы самораспространения
Casbaneiro 2023: трёхкратный рост активности у трояна, которого списали со счетов. Четыре криптоалгоритма, два метода через доверенные PE, UAC bypass, Dead Drop через YouTube — это поддерживаемый продукт с версионированием.Строковая таблица уничтожается после каждого обращения — в memory dump строки живут доли секунды. XOR с зависимостью от предыдущего байта, ключ конструируется из десятков фрагментов в рантайме. AutoIt-скрипт вызывает экспортируемую функцию вида F0x000102030405... через DllCall в контексте подписанного PE. DLL side-loading через Oracle Java kinit.exe — unsigned jli.dll без подписи Oracle.
Самораспространение через Outlook MAPI: письма из легитимного ящика, SPF/DKIM/DMARC проходят. Horabot 2025 — динамически генерируемый PDF с уникальным PIN ломает сигнатурный детект. WhatsApp и ClickFix как дополнительные каналы.
«Нацелен на Латинскую Америку» — устарело: семплы из Испании и США с 2023 года.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab