Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента
Qilin не пишет ICS-эксплойты — группа шифрует historian и ERP, роняя завод за часы. CVE-2024-21762 (CVSS 9.8) в FortiOS без патча на IT/OT DMZ — точка входа. 1020 ransomware-инцидентов в промышленности за один квартал по данным Dragos.Kill chain стартует с эксплуатации CVE-2024-21762: out-of-bounds write в FortiOS 7.0–7.4 без аутентификации (PR:N). Далее — lateral movement через historian на непатченном Windows Server, Modbus без аутентификации, ERP в той же flat-сети. Специализированный ICS-malware не нужен: каскадный эффект от шифрования IT-слоя останавливает линию.
SOC видит Windows-эндпоинты — Qilin идёт через FortiGate в OT-DMZ, где EDR молчит.Статья Asset Management для пентестера: полная карта атакуемой инфраструктуры и охота на забытые активы
Большинство организаций не знает, чем владеет буквально. В 9 из 10 проектов заказчик не видит собственной инфраструктуры целиком. Забытый dev-сервер, VPN-концентратор пятилетней давности, S3-бакет от уволившегося подрядчика — всё это реальные точки входа.Навигационный хаб по 15 материалам: пассивная разведка через robots.txt, sitemap и .well-known; subdomain enumeration через Amass, Subfinder и dnsx; Passive DNS и CT-логи; Shadow IT от забытого поддомена до initial access; EASM-платформы и connectorless-перечисление; сравнение Shodan, Censys, FOFA и Netlas; SpiderFoot vs Recon-ng vs Amass; PhoneInfoga.
Decision tree по выбору стека: 1-3 домена за 1-2 дня — ручной workflow; корпорация с десятками доменов — автоматизированный pipeline; red team — continuous discovery через Certstream.
Качественная инвентаризация определяет результат пентеста задолго до первого эксплойта. CMDB показывает узлы — пентестер видит пути.Статья PageFile.sys - подкачка страниц в Windows
Виртуализация памяти — реальная магия MMU. Pagefile.sys существует не из-за нехватки ОЗУ: спрос разработчиков всегда опережает железо. Разбираем механизм от GetPerformanceInfo() до побайтового содержимого PTE в WinDbg.Глобальная база PFN: каждый 4-КБ фрейм физической памяти имеет 48-байтный паспорт MMPFN по адресу 0xFFFFFA80`00000000. Шесть списков WorkingSet — от MmZeroedPageListHead до MmBadPageListHead — определяют судьбу каждого фрейма. В своп сбрасываются только «грязные» (Dirty) страницы.
Каталог страниц процесса (CR3): четырёхуровневые таблицы PXE→PPE→PDE→PTE заполняются динамически обработчиком PageFault. При сбросе в своп бит Valid обнуляется, тип PTE меняется с Hardware на Software, старшие 32 бита хранят номер слота в Pagefile. При восстановлении — PageFrameNumber в PTE меняется на новый физический фрейм.
Поле OriginalPte в MMPFN — ключ к восстановлению: именно оттуда берутся атрибуты при возврате страницы из свопа в рабочий набор.