Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Управление секретами DevSecOps: архитектура, ротация и детект утечек в Vault, AWS Secrets Manager и Azure Key Vault
OIDC-токен из лога GitHub Actions — и атакующий за 32 минуты получил connection string к RDS, дампнул 12 000 PII-записей. Vault стоял, CloudTrail молчал: 340 вызовов GetSecretValue против baseline 8–10/час никто не мониторил.Kill chain не ломает Vault — он использует легитимный доступ скомпрометированного сервисного аккаунта CI/CD. CVE-2026-9133 (CVSS 8.3, CWE-489) в rabbitmq-aws читала TLS-ключи прямо с файловой системы, минуя Secrets Manager API полностью — CloudTrail этого не видел.
Пять из шести инцидентов — секрет лежал в менеджере, но паттерны обращений не мониторились.Статья Снижение false positives в SOC: ML-детекторы и автоматизация триажа от алерта до тикета
В понедельник 9:15 в очереди SIEM — 2 847 алертов за выходные. 2 300 из них — FP от трёх правил корреляции. Пока аналитики разгребали шум три дня, lateral movement через скомпрометированный сервисный аккаунт закрыли «как FP». Данные ушли.Статические правила корреляции бьют одним порогом по всей инфраструктуре — brute-force и плановая ротация паролей дают идентичный алерт. Атакующий эксплуатирует это через T1562.011: генерирует шквал ложных срабатываний, пока T1070 зачищает следы.
Трёхстадийный пайплайн — pre-filter → Isolation Forest scoring → contextual enrichment с TI-фидами и AD-ролями — снижает FP-рейтинг с 40% до 8%.
SOC мониторит правила — APT работает в шуме. Lateral movement прячется среди FP-алертов, пока аналитик выгорает.Статья Workload Identity в Kubernetes: SPIFFE/SPIRE, pod identity и отказ от long-lived credentials
SSRF в микросервисе дёрнул IMDS на 169.254.163.254, атакующий вытащил IAM-ключ из метаданных EC2, за 47 минут выгрузил клиентские данные из S3. Ключ создан 14 месяцев назад и ни разу не ротировался. Проблема не в SSRF — в статичном IAM-ключе, которому не было причин существовать.SPIFFE/SPIRE: вместо секретов каждый workload получает X.509-сертификат с TTL 1 час через аттестацию окружения. IRSA на AWS, GKE Workload Identity, Entra Workload ID — нативные механизмы привязки ServiceAccount к IAM-роли без AKIA*-ключей в env-переменных. IMDSv2 с hop limit = 1 закрывает доступ к IMDS из подов без hostNetwork.
Detection в SIEM: baseline маппингов SA → IAM Role через kubectl + jq, burst запросов к STS (10+ за минуту от одного пода), Falco-правило на connect() к 169.254.163.254. Attack paths при workload identity: T1611 escape to host, T1098.006 новый ClusterRoleBinding, JWT-SVID replay за окно TTL.
Short-lived credentials...Статья Session hijacking атаки JWT токены: от перехвата до detection в SIEM
PAT, слитый в историю чата ChatGPT, оставался валидным месяцами и давал admin-доступ к production-репозиториям нескольких организаций. Два API-вызова — и весь периметр замаппирован. Без единой записи в аудит-логе.JWT none algorithm: алг подменяется на none, подпись удаляется — legacy-библиотеки принимают. Key confusion RS256→HS256: публичный ключ RSA как HMAC-секрет. Hashcat -m 16500 на слабом секрете — 4 секунды до генерации произвольных токенов с role: admin. AITM-прокси (Evilginx) перехватывает session cookie после легитимного MFA — Conditional Access Policies не спасают.
Таблица behavioral detection: impossible travel HIGH, refresh token reuse CRITICAL, velocity anomaly HIGH, User-Agent switch MEDIUM. Псевдоправило корреляции для любого SIEM. Hardening-чеклист из девяти пунктов с готовой строкой Set-Cookie с HttpOnly, Secure, SameSite=Strict.
Восемь техник ATT&CK — восемь точек где нужны правила. Большинство SOC покрывают две-три.Статья Malware разработка на Rust: стелс-агент для red team, обход EDR и сравнение с C++
Функционально идентичный шеллкод-лоадер: 71.7 КБ на C и 151.5 КБ на Rust. Бинарь вырос вдвое — детект упал. Ghidra превращает Rust-код в нечитаемое месиво: monomorphization, ownership-модель, pattern matching ломают привычные паттерны статического анализа.OPSEC-конфигурация Cargo.toml: opt-level = "z", LTO, strip = true, panic = "abort". Флаги nightly: location-detail=none убирает пути к файлам, fmt-debug=none исключает Debug-имена типов, build-std пересобирает std без строк. Шифрование строк в compile-time через str_crypter — URL C2 невидим для FLARE-FLOSS. C-style enum с transmute вместо serde — ни одного строкового литерала поля структуры в бинаре.
Что Rust реально меняет: сигнатурный match с известными семействами и время ручного triage аналитика. Что не меняет: VirtualProtect+CreateThread детектируется одинаково на любом языке. Против ETW-TI в Elastic 8.x+ переписывание на Rust ничего не даёт.
Агент, падающий из-за use-after-free на третью неделю операции, обходится...