Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Вредоносные расширения Chrome: анализ кампании с 108 малварными аддонами и методы обнаружения
108 вредоносных расширений Chrome сливали cookies Facebook Business и токены ChatGPT через CSP-stripping — кампания шла 7 месяцев, пока Cyberhaven не поймала свой аддон версии 24.10.4 за руку.Атака стартовала с OAuth-фишинга: разработчики авторизовывали приложение с правом публикации в Chrome Web Store — MFA обходился полностью, токен давал прямой доступ без повторной аутентификации. Малварный код в service worker делал heartbeat на C2, получал JSON-конфиг и через declarativeNetRequest зачищал заголовок Content-Security-Policy — после чего инжектил скрипты в любую страницу.
Chrome Web Store удалил расширения — но деинсталляции у пользователей не произошло. Миллионы остались скомпрометированы.Статья Реагирование на инциденты в промышленных сетях: форензика PLC, TTPs атакующих и восстановление без остановки
Modbus FC 0x10 на реакторе, TIA Portal с учётками инженера в отпуске — SOC увидел аномалию через 12 минут, но TRITON-подобный payload уже переписывал ladder logic Siemens S7.На PLC нет диска для dd и нет ОС для Volatility. Форензика начинается с SPAN-порта и tcpdump, затем — historian OSIsoft PI для timeline, потом побайтовое сравнение OB/FC/FB-блоков с эталоном через TIA Portal. Modbus FC 0x05 и 0x06 EDR не видит: легитимный TCP на порт 502.
Защита строится на Zeek с ICS-плагинами и Claroty вместо слепого SIEM, whitelist Modbus function codes на уровне ACL, верификации .ACD-файлов через RSLogix diff.
В OT приоритет Safety → Availability → Integrity. Изоляция скомпрометированного PLC может убить людей — IT-playbook здесь не работает.Статья Утечки данных Россия 2026: 4,5 млрд записей за три года — как детектировать утечку до штрафа
4,5 млрд записей за три года — и 48% инцидентов без установленного объёма компрометации. С 30 мая 2025 повторная утечка ПДн бьёт оборотным штрафом 1–3% выручки, минимум 25 млн руб.InfoWatch фиксирует 592 инцидента в 2024-м при взрывном росте объёма — один мегаслив перекрывает сотню мелких. Kill chain типичный: Shodan-разведка периметра → эксплуатация веб-уязвимости → дамп БД → credential stuffing из аутентификационных записей.
Detection до штрафа требует UEBA на аномальный SELECT-объём, DLP-контроль облачных хранилищ (рост случайных утечек до 10%), алертинг на Rclone/exfil-паттерны. Уведомление в РКН — 24 часа на первичное, 72 — на развёрнутый отчёт.
IBM считает средний цикл инцидента 258 дней — РКН узнаёт из Telegram раньше, чем SOC закрывает тикет.Статья Атака Evil Twin на точку доступа: detection-playbook от deauth до алерта в SIEM
Evil Twin с парковки: за 12 минут — поддельная AP, через 22 — сброс паролей в AD. WIDS молчал два месяца после обновления инфраструктуры. Шесть комплектов доменных учёток ушли через captive portal.Атакующий клонирует SSID через hostapd-wpe, шлёт deauth-фреймы aireplay-ng от имени легитимной AP — клиенты отваливаются и переподключаются к Rogue AP. dnsmasq перехватывает DNS, iptables редиректит HTTP. В WPA Enterprise hostapd-wpe поднимает фейковый RADIUS, захватывает MSCHAPv2-хеши — дальше hashcat. MITRE T1557.004, T1056.003, T1111.
SOC смотрит в Windows Event Log — Evil Twin живёт в эфире. WIDS отключён? Kill chain закрыт за 22 минуты.Статья Vaultjacking: фишинг Google Password Manager через один PIN — от AiTM до полного vault dump
Vaultjacking: один AiTM-поток + шестизначный PIN от Google Password Manager — и атакующий получает полный vault dump со всеми паролями и synced passkeys жертвы. Persistence переживает смену пароля.Стандартный AiTM через Evilginx2 перехватывает сессию Google — но куки живут минуты, DBSC привязывает их к TPM. Vaultjacking добавляет JavaScript-шим (T1056.002), рендерящий PIN-модалку под нативный Google UI. После перехвата PIN атакующий join'ит своё устройство к Security Domain жертвы и через `trusted_vault` API получает Security Domain Secret — ключ ко всему хранилищу.
SOC видит «новый вход на Windows» — стандартное уведомление. Push на существующие устройства Google не шлёт.Статья Операционализация Threat Intelligence: от сырых IOC до детектирующих правил SIEM
L1-аналитик закрыл алерт как FP — через 3 дня тот же IP оказался активным C2, с которого атакующий управлял lateral movement 14 часов. Mandiant M-Trends 2025: медианное обнаружение — 11 дней, 57% узнают об инциденте от внешней стороны.Разрыв между TI-подпиской и реальным детектом — это операционализация. Коммерческий фид выдаёт тысячи IOC в сутки без контекста TTPs и отраслевой релевантности. Pyramid of Pain Дэвида Бьянко объясняет почему: хеши и IP меняются за минуты, а фиды работают именно там.
Выбор между атомарными IOC и Sigma-правилами зависит от зрелости SOC. Свежий C2-домен — в lookup и на блокировку.
FP по IOC старше 30 дней — не шум детекта, а сломанный TI-пайплайн без ротации.Статья Threat intelligence feeds сравнение: бесплатные и коммерческие IOC-фиды для SOC
847 алертов за ночь — и только три реальных хита. Аналитик L1 потратил четыре часа на CDN-узлы Cloudflare и CGNAT-пулы, пока ThreatFox тихо поймал C2-callback к loader-инфраструктуре операторов Play (CISA AA23-352A).Разбор восьми фидов — Abuse.ch, AlienVault OTX, CISA KEV, Spamhaus, MISP CIRCL OSINT против Recorded Future, CrowdStrike Falcon Intelligence, Mandiant — с реальными метриками: freshness, FP rate, TTL decay, покрытие MITRE ATT&CK. Интеграция тестировалась в Splunk ES, Microsoft Sentinel и RuSIEM через STIX/TAXII 2.1 и REST API.
Некурированный IP-фид за неделю поднимает FP rate до 40% — Abuse.ch с узким фокусом бьёт Recorded Future по точности в C2-нише.Статья MinerSearch: обнаружение майнера в Windows — от ручного анализа до автоматического удаления
XMRig три недели молчал в антивирусе: conhost.exe из C:\ProgramData\Microsoft\Crypto\ держал CPU на 87% через process hollowing и порт 3333 — пока Process Explorer не выдал аномалию.Kill chain типичного криптомайнера: PowerShell-загрузчик через T1190, закрепление по T1053.005 в планировщике задач, masquerading под svchost.exe из %AppData%. Семейство Smominru совмещает XMRig с DDoS и проксированием — машина уходит в ботнет незаметно.
MinerSearch бьёт по этапам 3–5 ATT&CK: проверяет цифровые подписи служб, сканирует Run-ключи реестра, ищет процессы вне System32.
Антивирус молчит — майнер работает в process hollow. Детект по пути процесса, а не сигнатуре.Статья OpenCTI vs MISP: сравнение open-source TI-платформ для корпоративного SOC
MISP агрегировал 47 TI-фидов и слал IoC в Splunk — пока L3-аналитик не спросил: «Какие техники ATT&CK мы не покрываем?» MISP на этот вопрос не проектировался. OpenCTI — да, но ценой Elasticsearch, Redis, RabbitMQ и недель настройки коннекторов.MISP работает по модели «индикатор + флаг to_ids → действие в детекции». PyMISP гонит IP, хеши, домены в Splunk через lookup-таблицы, в Palo Alto NGFW — через блоклисты. Для IoC-driven SOC этого хватает. Но граф «хеш → малварь → intrusion set → ATT&CK-техника» в MISP архитектурно не core: модель данных плоская, атрибуция — как карта метро в Excel.
50+ фидов без decay-политики топят SIEM в ложных срабатываниях — MISP об этом не предупредит.Статья WebSocket Security: тестирование real-time приложений
WebSocket — двусторонний канал поверх TCP. После HTTP-handshake с кодом 101 заголовки больше не передаются, SOP не действует, встроенной аутентификации нет. Всё это — поверхность атаки, которую разработчики системно недооценивают.Разведка: поиск WS-эндпоинтов через JS-конструкторы new WebSocket(), схемы ws:// и wss://, библиотеки Socket.IO и SignalR. Перебор путей через ffuf с заголовками Upgrade, websocat для быстрой проверки.
Уязвимости: отсутствие проверки Origin → CSWSH (аналог CSRF для WebSocket); слепое доверие идентификаторам во фреймах → IDOR; XSS через Pub/Sub-бродкаст; SQLi и Command Injection в параметрах сообщений — WAF их не видит, трафик идёт внутри TLS после handshake. Ошибки JWT: смена алгоритма RS256→HS256, просроченные токены.
Инструменты: Burp Suite WebSocket History и Repeater, wscat, websocat, WebSocket Smuggler.
Большинство WAF инспектируют только фазу HTTP handshake — всё, что внутри фреймов, проходит мимо.