Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Детальный разбор цифровых подписей РЕ-файлов
В PE-файле цифровая подпись хранится как оверлей после всех секций в структуре WIN_CERTIFICATE — PKCS#7-контейнер с цепочкой доверия от корневого CA до разработчика. 25 КБ данных, которые большинство утилит показывают лишь поверхностно.Разбор изнутри: формат ASN.1 TLV (Type-Length-Value), теги типов данных, BigEndian-размеры блоков, OID-идентификаторы объектов. Структура SignedData по PKCS#7: version, digestAlgorithms, encapContentInfo, certificateSet, signerInfos. Разница между RSA encryption и RSA_signing, почему ECDSA-256 вытесняет RSA в современных сертификатах.
CVE-2013-3900: запись Security в IMAGE_DATA_DIRECTORY исключается из хэша — размер можно изменить. Как включить строгую валидацию через реестр HKLM\Software\Microsoft\Cryptography\Config. Практика: парсер на FASM читает сертификат и выводит поля в ListView.
Расценки на сертификаты: EV от $350/год у Sectigo, подпись драйверов через Microsoft Partner Center — бесплатно.Статья Обоснование инвестиций Zero Trust: метрики, формулы и аргументы для совета директоров
CFO спрашивает «покажите цифры» — IBM Cost of a Data Breach 2025 называет $4,44 млн средней стоимостью утечки. ROSI 92% и ALE-модель переводят Zero Trust из «архитектурной концепции» в строку бюджета.Статья разбирает два финансовых инструмента: ROSI = (ALE × снижение риска − TCO) / TCO × 100% и ALE = SLE × ARO. Для российских компаний SLE включает оборотные штрафы по ФЗ-420 — до 3% выручки за повторную утечку ПДн. Методология FAIR заменяет экспертные «высокий/средний» вероятностными распределениями.
Скрытые издержки периметровой модели — VPN-лицензии, разрастающиеся firewall-правила, простои при масштабировании — редко попадают в ИБ-бюджет, но реальны.
Совет директоров отклоняет Zero Trust не из-за цены — а потому что CISO не считает цену бездействия.Статья Ransomware за 60 минут: как Akira и Medusa/Storm-1175 ускорили атаки и как их детектировать
Akira и Storm-1175/Medusa ускорили lateral movement до 62 минут — рекорд 51 секунда. VPN без MFA, CVE-2023-20269 + CVE-2020-3259 на Cisco ASA, затем CVE-2023-27532 дампит Veeam-пароли в cleartext.Akira идёт по жёсткому playbook: brute force через SSL VPN → Veeam-Get-Creds.ps1 → RDP lateral movement → AnyDesk C2 → WinRAR + Rclone exfiltration → шифрование. Storm-1175 использует zero-day в веб-приложениях и разворачивает Medusa RaaS менее чем за 24 часа. MITRE T1021.001, T1562.001, T1486 — весь набор.
MTTR выше 4 часов — обе группировки финишируют до первого алерта. AnyDesk IT-отдела и AnyDesk Akira в логах неразличимы.Статья Phantom Stealer и Phantom Project: разбор MaaS-кита с инфостилером, криптером и RAT
Phantom Project — MaaS-кит из трёх компонентов (стилер + криптер + RAT), форк Stealerium с BouncyCastle и SQLite внутри. Group-IB зафиксировала 5 волн фишинга по логистике Европы; F6 связала инфраструктуру с Agent Tesla через общий Yandex SMTP.Infection chain стартует с ISO-образа в RAR-архиве: Windows монтирует диск автоматически, жертва кликает на «Bank transfer confirmation» — и .NET-бинарь 6,5 МБ уходит в память. Криптер (MITRE T1027.002) снимает детект; RAT закрепляется через T1219. Каналы эксфильтрации — Telegram, Discord, SMTP, Zulip, GoFile.
75% вторжений используют valid credentials — EDR молчит, пока стилер уже слил сессионные токены.Статья Детектирование инфостилеров: IOC, SIEM-правила и реагирование на credential leak
Lumma-стилер слил 47 валидных корпоративных пар логин/пароль на Russian Market — за 48 часов до credential stuffing по VPN-шлюзу. IBM X-Force 2025: инфостилеры — 32% всего malware, 6 000 свежих учёток в dark web ежедневно.Заражение идёт через ClickFix-фишинг или поддельные инсталляторы на личном BYOD-устройстве. Стилер копирует SQLite-базу Login Data (T1555.003), перехватывает cookie сессий, конфиги VPN и SSH-токены, упаковывает в архив и эксфильтрует через Telegram Bot API или HTTP POST на свежий C2-домен (T1041).
EDR молчит: заражение на личном ноутбуке, корпоративный хост чист. Detection живёт в сетевом трафике и мониторинге утечек.Статья КИИ и персональные данные: совмещение требований ФЗ-187 и ФЗ-152 для операторов критической инфраструктуры
СКУД на подстанции хранил биометрию 340 сотрудников — и это одновременно ЗОКИИ по ФЗ-187 и ИСПДн с биометрическими ПДн по ФЗ-152. Два регулятора, два реестра, два комплекта документов — и ни один не закрыт.Акт категорирования ФСТЭК фиксирует систему как объект КИИ, но политика обработки ПДн биометрию не учитывает вовсе. При инциденте оператор обязан уведомить и ГосСОПКА, и Роскомнадзор — с разными сроками и форматами. Приказ ФСТЭК №239 закрывает технические меры, но не касается правовых оснований обработки, согласий субъектов и локализации баз данных по ст. 18 ФЗ-152.
Приказ №239 не закрывает ФЗ-152. Уголовка по ст. 274.1 УК РФ — до 10 лет — идёт отдельно от оборотных штрафов за утечку ПДн.Статья Модели зрелости информационной безопасности: CMMC, C2M2, SSE-CMM и BSIMM — выбор фреймворка и self-assessment
Gap-анализ по CMMC, C2M2, SSE-CMM и BSIMM в 12 организациях дал один итог: dormant accounts и flat network числились «Implemented» в Excel — и ломались за час на внутреннем пентесте.Автор разбирает, почему self-assessment врёт: фреймворк выбирается по инерции, оценка проводится «по памяти» без верификации. CMMC Level 2 требует 110 контролей по NIST SP 800-171 — аудитор смотрит не на политику, а на лог и конфигурацию. C2M2 MIL1 в домене Threat and Vulnerability Management означает, что `nmap -sV` даёт полную картину без evasion.
Радиальная диаграмма в PDF не детектирует T1078 — пентест опровергает скоркарту быстрее, чем её читает CISO.Статья macOS kernel exploit на Apple M5: data-only LPE через слепую зону Memory Integrity Enforcement
Команда Calif за 5 дней получила root shell на Apple M5 с включённым Memory Integrity Enforcement — data-only LPE обошёл MTE и PAC, ни разу не нарушив tag boundary.Exploit стартует с непривилегированного аккаунта и эксплуатирует архитектурную слепую зону MTE: 4-битный тег даёт лишь 15 рабочих значений, вероятность коллизии при heap grooming — 1/15. Два объекта в соседних granules с одинаковым тегом позволяют OOB-записью модифицировать данные ядра без единого tag mismatch fault.
Никакого redirect control flow — PAC не задействован. Ядро само выполняет привилегированную операцию, читая испорченные данные. CVE не присвоен, публичный PoC отсутствует, патч ожидается.
MIE блокирует каждую публичную exploit-цепочку — кроме той, где MTE слеп by design.