Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья MaxPatrol SIEM vs KUMA: сравнение архитектуры, правил корреляции и интеграций для SOC-аналитика
MaxPatrol SIEM vs KUMA: параллельная эксплуатация в боевых SOC-средах — не по даташитам, а по количеству бессонных ночей. Слепые пятна обеих систем глазами пентестера.XP + PDQL против визуального редактора — разные философии написания правил корреляции. Автоподавление в KUMA элегантно, но атакующий, знающий механику 100 срабатываний за минуту, может намеренно загнать детект в стоп-лист через T1562.006. MaxPatrol с моделью активов ловит аномальные входы под Valid Accounts (T1078) точнее, KUMA с periodical-правилами через correlator-ng перехватывает поведенческие аномалии нативно.
Security Software Discovery (T1518.001) — слепое пятно обеих: wmic-запрос к SecurityCenter2 SIEM не видит. Матрица выбора: гетерогенная среда → MaxPatrol; Kaspersky на эндпоинтах и Kubernetes → KUMA.
Сводная таблица по 15 критериям и рекомендация по Atomic Red Team для пилота.Статья Cloud Pentesting: методология тестирования облачной инфраструктуры
Cloud Pentesting: методология тестирования облачной инфраструктуры
Облачный пентест не заканчивается сканом публичных IP. Основной риск часто лежит глубже: в IAM-ролях, trust policy, metadata service, CI/CD-токенах, секретах и межаккаунтных связях, которые не видны классическому сетевому подходу.
В материале разбираем методологию cloud pentest: как строить разведку, проверять IAM-цепочки, искать риск в AssumeRole, оценивать SSRF к IMDS и понимать, когда отдельная misconfiguration превращается в рабочий attack path.
В финале разберём, как из разрозненных misconfigurations собрать понятную цепочку: от исходной identity до production-impact. Без длинных чеклистов - только то, что помогает доказать риск, показать blast radius и дать команде понятный маршрут исправления. Статья Российские сканеры уязвимостей: сравнение MaxPatrol VM, RedCheck и ScanFactory на реальной инфраструктуре
MaxPatrol VM vs RedCheck vs ScanFactory: сравнение на реальной инфраструктуре через comm -23. Маркетинговые таблицы врут — реальная разница проявляется только на одних и тех же хостах.На Astra Linux SE с PostgresPro RedCheck стабильно находит уязвимости, которые MaxPatrol VM пропускает — база детекции российского ПО у него полнее. На Huawei-оборудовании картина обратная. Backported patches дают до 40+ false positive на российских Linux-дистрибутивах у обоих сканеров.
Матрица выбора: КИИ 1-й категории с SOC — MaxPatrol VM с Continuous VM и интеграцией в стек PT. Госорган на российском ПО — RedCheck с нативными BDU-идентификаторами для инспектора ФСТЭК. DevSecOps и внешний периметр — ScanFactory. БДУ ФСТЭК покрывает около 10% от всех CVE в NVD, но 61% APT-релевантных уязвимостей.
Bash-скрипт для diff экспортов двух сканеров и чеклист проверки ФСТЭК по мере АНЗ.1.Статья Миграция на отечественный SIEM: перенос правил, дашбордов и интеграций с Splunk и QRadar
200 правил корреляции перенесено из Splunk и QRadar в MaxPatrol SIEM и KUMA — и ни один вендорский гайд не описывает и половины того, с чем сталкиваешься на практике.Конвертация SPL в PDQL — не синтаксический перевод, а семантический. Маппинг полей убивает детекции тихо: src_ip → event.src.host, и правило молчит без ошибок. CardinalOps: 21% покрытия ATT&CK и 13% нефункциональных правил в среднем по enterprise — при миграции эти цифры ухудшаются. Таблица техник, которые SOC теряет первыми: T1562.001, T1070.001, T1562.002 — окно для Red Team.
Пять фаз перехода: параллельная установка с дублированием потока, TOP-20 правил первыми, Windows-агенты последними, контроль «молчащих» источников, 30 дней параллельной работы до вывода старого SIEM. Сравнение транспортов и нативная интеграция с ГосСОПКА.
SPL-запрос для полного экспорта активных правил с метаданными.Статья ShinyHunters группировка: анатомия атак — от вишинга до Salesforce-экфильтрации и шантажа жертв
ShinyHunters: анатомия группировки от 91 млн записей Tokopedia в 2020-м до Salesforce-кампании 2025–2026 — Google, Cisco, LVMH, Qantas. Без шифрования, только шантаж.UNC6040 + UNC6240, связь со Scattered Spider подтверждена через аккаунт Sp1d3rHunters и синхронные кампании. Эволюция за пять лет: GitHub-репозитории с паролями → Snowflake → вишинг + OAuth Device Flow → ransomware shinysp1d3r для ESXi. PowerSchool заплатила $2,85 млн — вымогательство перешло на школьные округа.
Kill chain 2026: T1566.004 (вишинг под IT-поддержку) → T1528 (кража OAuth-токена) → T1621 (MFA-бомбинг) → T1119 (автоматический экспорт Salesforce) → T1567.002 (экфильтрация). SOQL-запрос к SetupAuditTrail, корреляционное правило для SIEM и рекомендации D3FEND.
Инфраструктурные паттерны доменов ShinyHunters и признаки конвергенции с Scattered Spider.Статья Мисконфигурации Salesforce: находим и закрываем до утечки — разбор атак и пошаговый аудит
Апрель 2026: McGraw Hill — 13,5 млн записей, Amtrak — 2,1 млн. Ни zero-day, ни сложной эксплуатации — только Guest User с включённым API Enabled и Sharing Rules без ограничений.Каждый сайт Experience Cloud имеет Guest User, который существует даже при отключённой гостевой авторизации. API Enabled на профиле — и атакующий через Aura-эндпоинт и GraphQL вытягивает Contact, Account, Case без единого логина. AuraInspector (Google Mandiant) автоматизирует весь цикл, GraphQL снимает ограничение в 2000 записей.
Пошаговый аудит: SOQL-запрос к ObjectPermissions для перечисления доступных Guest User объектов, проверка OWD Default External Access, тестирование Aura-эндпоинтов через Burp Suite, чеклист hardening из 8 мер. Маппинг на MITRE ATT&CK: T1190, T1078.004, T1213.004, T1530.
Secure Guest User Record Access и отключение self-registration — два шага, которые закрывают эскалацию из просмотра в аутентифицированную сессию.Статья ShinyHunters взлом Amtrak: разбор атаки через Salesforce, TTPs и detection-чеклист
ShinyHunters взломали Amtrak через Salesforce: 2,1 млн записей, ноль уязвимостей в коде — только вишинг, OAuth Device Flow и легитимный Data Loader. MFA прошла, EDR молчал.С середины 2025 года — 91 компания: Google, Chanel, Qantas, Allianz. Атакующий звонит сотруднику, представляется IT-поддержкой с номером реального тикета, предлагает установить «обновлённый» Data Loader. Сотрудник авторизует Connected App — токен уходит к атакующему. SOQL-запросы к Contact, Case, Account выглядят как обычный рабочий день.
Полный kill chain с маппингом T1528, T1213.004, T1567.002, хронология кампании с октября 2024 по апрель 2026, SOQL-запросы для Event Monitoring и чеклист hardening: аудит Connected Apps, запрет самостоятельной установки, IP-restriction для OAuth-токенов.
Почему «у нас стоит MFA» — ложная защита против этой атаки.Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.Статья Data Protection в облаке: шифрование, KMS, tokenization
Data Protection в облаке: шифрование, KMS и токенизация
Данные в облаке редко живут только в одной базе. Они уходят в бакеты, резервные копии, очереди, логи, тестовые дампы и отчёты. В статье разберём, как не потерять контроль над ПДн, платёжными данными и служебными секретами после первой же выгрузки.
Поговорим про шифрование в хранении и передаче: где хватает server-side encryption, когда нужен client-side подход, зачем выносить ключи в KMS, как работает DEK/KEK и почему право `decrypt` должно быть редким исключением, а не стандартной ролью приложения.
Отдельно разберём токенизацию: как заменить исходные значения токенами, сократить чувствительный контур и не пустить настоящие данные в логи, очереди, BI-выгрузки и интеграции. Материал для тех, кто хочет защищать данные не галочками в облаке, а нормальной архитектурой.Статья Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Три проблемы первого часа атаки на AD: LLMNR включён, LAPS не покрывает серверы, расширенный аудит Kerberos отключён. Закрываются за один рабочий день — штатными средствами Windows.Responder собирает NTLMv2-хеши за 20 минут в любой сети, где LLMNR не отключён через GPO. LAPS развёрнут на рабочих станциях, но серверная ферма открыта для Pass-the-Hash. Event ID 4769 не генерируется без подкатегории «Kerberos Service Ticket Operations» — Kerberoasting проходит мимо SIEM.
Пошаговый чеклист на 8 часов: проверка и отключение LLMNR/NBT-NS через реестр и PowerShell, аудит покрытия LAPS с Find-AdmPwdExtendedRights, расширенный аудит Kerberos через auditpol. Критический нюанс: SACL на корневом объекте домена с GUID DS-Replication-Get-Changes — без этого Event ID 4662 не зафиксирует DCSync.
Таблица Event ID с привязкой к конкретным атакам — Kerberoasting, DCSync, Pass-the-Hash.