Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья Защита от ransomware 2026: полный разбор тактик, Recovery Denial и оборона backup-инфраструктуры

  • 69
  • 0
Резервный NAS-накопитель на тёмном антистатическом коврике с красным OLED-дисплеем, отображающим системные предупреждения. Отключённый кабель уходит в тень, янтарный свет скользит по матовому метал...


🔍 57% организаций узнают о компрометации извне. А когда обнаруживают сами — бэкапы уже мертвы. VSS удалены, агенты Veeam остановлены, каталоги зашифрованы за сутки до удара.

Ransomware 2026 — это не шифрование "в лоб", а многоэтапная операция. Initial access через стилер-логи за $500, lateral movement до domain admin, Discovery backup-инфраструктуры, Recovery Denial (удаление VSS, остановка агентов), и только потом encryption. Dwell time сжался до 11 дней, а Akira и Medusa укладываются в 60 минут.

Защита — это не prevention, а recovery. Правило 3-2-1-1-0, immutable storage, air-gap, detection pre-ransomware активности (NTDS dump, backup discovery, vssadmin).

💡 100% инцидентов с выплатой выкупа объединяет одно — неработающее восстановление. Backup — это security-функция, а не IT-операционка.

Статья Защита от вредоносных расширений браузера: Chrome Enterprise политики, allowlisting и detection в SIEM

  • 100
  • 0
Распечатка матрицы MITRE ATT&CK на плотной бумаге с выделенной синим маркером техникой T1176. Рядом лежит перьевая ручка, латунный пресс-папье отбрасывает мягкую тень.


🧩 24 декабря 2024 года расширение Cyberhaven (400 000 установок) получило вредоносное обновление 24.10.4 — OAuth-фишинг обошёл MFA, C2 на cyberhavenext[.]pro сливал Facebook Ads cookies. EDR не сгенерировал ни одного алерта.

Расширение работало внутри легитимного chrome.exe — для EDR и файрвола это просто браузер, ходящий в интернет. MITRE T1176 (Browser Extensions): persistence без отдельного процесса, exfiltration через HTTPS, нулевых событий process start в Windows Event Log.

Защита строится на Chrome Enterprise GPO: ExtensionInstallBlocklist = *, явный allowlist по 32-символьным ID, ExtensionSettings с version pinning.

💡 Allowlist не спасает: Cyberhaven был в нём. Version pinning в ExtensionSettings — единственный контроль над supply chain расширений.

Статья Manifest V3 и безопасность расширений Chrome: что мониторить, как детектить и где MV3 не спасает

  • 123
  • 0
Распечатанный файл манифеста на кремовой бумаге с кодом и пометками чернилами. Рядом лежит открытая перьевая ручка, мягкий дневной свет падает слева.


🧩 Cyberhaven версия 24.10.4 с троянизированными worker.js и content.js скомпрометировала 2,6 млн пользователей — и все расширения работали на «безопасном» Manifest V3.

OAuth-токен разработчика перехвачен фишингом, вредоносная версия опубликована в Chrome Web Store. Content.js инжектировался через «matches»: «all_urls» с document_start — собирал cookie и сессии. MV3 не заблокировал ни один этап: webRequest остался read-only, но наблюдает за URL и телами запросов, content scripts работают как прежде, declarativeNetRequest допускает 30 000 динамических правил в рантайме.

💡 EDR молчит — расширение легитимный insider. MV3 убрал eval, но сохранил все data-access API.

Статья Уязвимости менеджеров паролей: DOM-based Extension Clickjacking — разбор и detection для SOC

  • 119
  • 0
Распечатанная схема DOM-дерева с наложенным всплывающим окном менеджера паролей лежит на светлом столе. Рядом — открытая перьевая ручка, мягкий дневной свет подчёркивает фактуру бумаги.


🔐 11 из 11 протестированных менеджеров паролей — 1Password, Bitwarden, LastPass, Dashlane — уязвимы к DOM-based Extension Clickjacking. Один клик на cookie-баннере сливает TOTP-секреты и кредитки через легитимное расширение.

Вредоносный скрипт находит DOM-элемент автозаполнения, выставляет opacity: 0 и накладывает поддельный UI поверх. Жертва кликает «принять cookies» — реальный клик уходит в скрытый dropdown расширения. MITRE T1555.005 + T1212. Между Initial Access и Valid Accounts — ноль сетевых артефактов.

EDR и SIEM молчат: компрометация происходит в браузере, за периметром мониторинга.

💡 SOC мониторит эндпоинты и сеть — а 40 млн пользователей сливают vault одним кликом в браузере.

Статья Threat Intelligence для SOC на практике: сбор, обработка и применение TI в малой команде

  • 253
  • 0
Ночной зал SOC: три монитора с лентой MISP, Python-скриптом и правилом Sigma освещают стол холодным сине-зелёным светом. Рядом блокнот с распечаткой матрицы ATT&CK под тёплой настольной лампой.


🧠 SOC из пяти человек сокращает цикл обработки IOC с шести часов до 15 минут — без коммерческих платформ: только Python-скрипт на cron, бесплатный MISP и восемь источников фидов от Abuse.ch до CIRCL OSINT.

Пайплайн строится вокруг MISP как ядра: URLhaus и ThreatFox отдают C2-домены и хеши каждые 5 минут, AbuseIPDB проверяет IP через `/api/v2/check` с порогом confidence 75+, Sigma-правила автоматически пушатся в SIEM. Lateral movement по данным CrowdStrike 2025 — 62 минуты в среднем, рекорд 51 секунда.

Атакующие мониторят VirusTotal и AbuseIPDB через MITRE T1597.001 — C2 стилера живёт 2–3 дня максимум.

💡 Фид полезен только если обрабатывается быстрее, чем атакующий ротирует инфраструктуру.

Статья DDoS-устойчивая архитектура приложения: autoscaling, circuit breaker, graceful degradation и очереди

  • 198
  • 0
Схема микросервисной архитектуры на тёмной бумаге с узлами-доминошками и символами автоматических выключателей. Янтарные линии на сине-зелёном фоне, латунный пресс-папье в углу, мягкий рассеянный с...


⚙️ L7-флуд 80–100k RPS положил платёжный API за 4 минуты — CDN устоял, WAF пропустил, PostgreSQL-пул иссяк первым, каскад прошёлся по 12 микросервисам. Circuit breaker не стоял нигде.

T1499.002 Service Exhaustion Flood обходит сетевые фильтры: каждый запрос валиден, WAF молчит. Пул соединений к PostgreSQL (100–200 по умолчанию) рушится первым — thread pool копит таймауты, балансировщик видит 502 от всех инстансов разом.

HPA без maxReplicas превращается в budget DDoS — $12k за ночь на AWS за обработку мусора.

💡 WAF дорогой — circuit breaker бесплатный. Архитектура внутри важнее забора снаружи.

Статья Rowhammer атака DRAM: эволюция от оригинала до Blacksmith и обход TRR

  • 176
  • 0
Модуль оперативной памяти DDR4 на чёрном антистатическом коврике с повреждённым чипом под жёстким белым светом. Макросъёмка выявляет трещины пайки и вздутый конденсатор на фоне глубоких теней.


🧬 Rowhammer эволюционировал от 139 000 активаций строки DDR3 до Blacksmith (CVE-2021-42114, CVSS 9.0) — и каждый раз, когда TRR закрывала вектор, исследователи находили следующий паттерн.

Физика бьёт мимо патчей: clflush + double-sided hammering переворачивает бит в PTE соседней строки без единой программной уязвимости. MITRE T1068 — непривилегированный процесс через bit flip получает kernel-level доступ, T1565.003 — произвольная запись в память. TRRespass (CVE-2020-10255) вскрыл non-uniform refresh, Blacksmith добавил нерегулярные многоагрессорные паттерны — оба обходят TRR производителей.

Защита: ECC RAM гасит одиночные bit flip, но не останавливает многократные.

💡 ПО полностью пропатчено, ядро актуально — уязвимость в физике кремния, EDR молчит.

Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости

  • 161
  • 0
Схема сегментации по модели Пёрду на плотной бумаге с уровнями от SIS до корпоративной сети. Красная аннотация обводит отсутствующую DMZ, рядом лежит перьевая ручка и латунный пресс-папье.


⚙️ На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.

NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.

💡 Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.

Статья APT-атаки на промышленные системы: kill chain Sandworm, Volt Typhoon и CHERNOVITE по MITRE ATT&CK for ICS

  • 129
  • 0
Крупный план промышленного ПЛК Modicon на чёрном антистатическом коврике со следами термического повреждения и щупом в серийном порту. Резкий белый свет выхватывает выжженные контакты из глубокой т...


💣 Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.

Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.

💡 Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 553
Сообщения
346 900
Пользователи
161 207
Новый пользователь
LonelyRaven