Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья MITRE ATT&CK и ISO 27001: как объединить фреймворки для реальной защиты инфраструктуры

  • 33
  • 0
Распечатанная тепловая карта MITRE ATT&CK на плотной бумаге лежит на светлом столе рядом с перьевой ручкой. В верхнем поле — рукописная пометка чернилами, латунное пресс-папье удерживает угол листа.


🛡️ ISO 27001 с сертификатом на стене и нулём алертов: три дня атакующий гулял по сети через T1021 Remote Services и T1550 — SIEM жевал Windows-логи, аудитор ставил галочку напротив A.8.16.

Gap-анализ реальной ISMS вскрыл классическую ловушку: 93 контроля Annex A покрыты на бумаге, но без ATT&CK-маппинга между ними зияют операционные пустоты. A.8.5 требует MFA — и молчит про кражу OAuth-токенов infostealers. A.8.16 требует мониторинга — без baseline для RDP/SMB/WinRM lateral movement невидим.

Статья даёт таблицу маппинга ISO 27001:2022 → MITRE ATT&CK с конкретными пробелами: T1078, T1190, T1071 C2 через DNS tunneling, T1059 без корреляции PowerShell.

💡 Сертификат ISO 27001 фиксирует governance — APT проходит сквозь него там, где нет TTPs-покрытия.

Статья Supply chain attack npm: реверс-инжиниринг двухступенчатого payload от bootstrap до C2

  • 60
  • 0
Схема цепочки атаки на кремовой бумаге, снятая сверху на светлом столе. Карандашные стрелки соединяют узлы цепочки, рядом лежат латунное пресс-папье и перьевая ручка.


🧬 11 мая 2026 года вредоносные версии @tanstack/react-router и @opensearch-project/opensearch (GHSA-27f5-xjrr-q9ff) прошли CI/CD с валидной SLSA Build Level 3 аттестацией Sigstore — статические сканеры промолчали.

Дроппер Stage 1 прячется в optionalDependencies через github:owner/repo#SHA — визуально легитимный URL TanStack. Lifecycle-хук prepare запускает обфусцированный payload (hex → XOR → AES-256-GCM) до любого runtime-контроля. Stage 2 читает /proc/PID/mem Runner.Worker, вытаскивает AWS/GCP/Vault-токены и сливает их через GitHub GraphQL dead-drop коммиты на C2.

💡 SLSA Level 3 подписывает артефакт пайплайна — но не гарантирует, что сам пайплайн не скомпрометирован.

Статья Обоснование red team для бизнеса: фреймворк ROI и шаблон питча для CFO

  • 74
  • 0
Распечатанная таблица ROI на плотной кремовой бумаге с тремя колонками и пометкой «RED TEAM ROI · 72h TO DOMAIN ADMIN». Рядом лежит перьевая ручка, мягкий дневной свет падает из окна на светлый стол.


🔐 Red team получил Domain Admin за 72 часа, но бюджет сократили на 30%: проблема не в технике, а в языке — бизнесу нужны не CVE, а деньги, риски и ROI.

Статья показывает, как переводить offensive security в финансовые метрики через ALE: \(ALE = SLE \times ARO\) → расчёт ROI, где снижение риска даёт до 4.6x возврата инвестиций. Вместо “14 critical” — “минус 45 млн руб. потенциальных потерь”. Даётся шаблон executive summary на 1 страницу: бизнес-импакт, цепочки атак, ROI, динамика.

💡 Кто считает risk в рублях — получает бюджет; кто считает CVSS — получает урезание.

Статья Уязвимости умных зданий и ICS безопасность: три UDP-пакета до root на EnOcean SmartServer

  • 157
  • 0
Разрезанный пополам модуль термостата системы автоматизации здания на чёрном антистатическом коврике с обнажёнными платами. Вдоль линии разлома — призрачные схемы UDP-пакетов в пурпурно-голубом све...


💣 Claroty Team82 вскрыла EnOcean SmartServer IoT: CVE-2026-20761 (CWE-77, CVSS 8.1) даёт pre-auth RCE через три UDP-пакета на порт 1628 — без логина, без привилегий, с root на контроллере HVAC дата-центра.

Вектор атаки — парсер IP-852 пакетов. Функция LtSetTimeZone в libLonStack.so берёт строку часового пояса из UDP-датаграммы и скармливает её system() без валидации. Шаг 1: PKTTYPE_REQDEVCONFIG раскрывает адрес конфиг-сервера. Шаг 2: имперсонация сервера через расширенный CNIP-заголовок. Шаг 3: инъекция в поле timezone — и shell.

BAS-контроллеры живут под службами эксплуатации здания, а не ИБ. Они выпадают из patch management и IR-процессов.

💡 SOC смотрит в EDR — а root на HVAC-контроллере тихо меняет уставки охлаждения серверной.

Статья CVE-2026-41089: Windows Netlogon RCE — от переполнения стека CLDAP до захвата контроллера домена

  • 153
  • 0
Сетевая карта сервера на чёрном рабочем столе с подключённым обрезанным кабелем. Диагностический дисплей показывает глитч-текст об уязвимости, рука в перчатке касается чипсета логическим щупом.


🔐 CVE-2026-41089 — один UDP-пакет на порт 389 превращает любой непропатченный DC в SYSTEM-шелл без аутентификации. CVSS 9.8, EPSS 0.72, wormable, CCB подтвердил активную эксплуатацию через 17 дней после Patch Tuesday.

Стековое переполнение в netlogon.dll: обработчик CLDAP-запросов копирует доменное имя в фиксированный буфер без проверки размера — классический CWE-121. Перезапись адреса возврата даёт RCE в контексте lsass.exe. Чекер LongLogon верифицирует предусловие по длине имени DC без отправки exploit-пакета. Затронуты все Windows Server 2012–2025, KB5087471/5087470/5087537.

💡 lsass.exe не генерирует Event ID 4624 при pre-auth RCE — Windows Event Log молчит, пока DC уже скомпрометирован.

Статья CUPS RCE уязвимость: полный разбор цепочки CVE-2024-47176 и эксплуатация print spooler

  • 133
  • 0
Запечатанный конверт с бордовой сургучной печатью на чёрном антистатическом коврике. Сквозь печать продет сетевой кабель с коннектором RJ45, от сломанного воска поднимается тонкая струйка дыма.


💣 CVE-2024-47176 превращает cups-browsed в точку входа: один UDP-пакет на порт 631 — и демон сам подключается к IPP-серверу атакующего, регистрирует подставной принтер. От пакета до shell через foomatic-rip — меньше двух минут.

Цепочка из трёх CVE (CVE-2024-47176, CVE-2024-47075, CVE-2024-47175) работает только вместе. cups-browsed слушает UDP INADDR_ANY:631 без аутентификации, libcupsfilters принимает IPP-атрибуты без валидации, libppd записывает их в PPD без экранирования — атакующий инжектирует директиву FoomaticRIPCommandLine с произвольной командой.

Итог — shell от имени lp. Не root, но достаточно для T1105 и reverse shell.

💡 Print server без EDR и патчей — идеальный pivot. CUPS забывают обновлять, потому что «принтеры и так работают».
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 740
Сообщения
347 136
Пользователи
161 530
Новый пользователь
davey