Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
57% организаций узнают о компрометации извне. А когда обнаруживают сами — бэкапы уже мертвы. VSS удалены, агенты Veeam остановлены, каталоги зашифрованы за сутки до удара.
Ransomware 2026 — это не шифрование "в лоб", а многоэтапная операция. Initial access через стилер-логи за $500, lateral movement до domain admin, Discovery backup-инфраструктуры, Recovery Denial (удаление VSS, остановка агентов), и только потом encryption. Dwell time сжался до 11 дней, а Akira и Medusa укладываются в 60 минут.
Защита — это не prevention, а recovery. Правило 3-2-1-1-0, immutable storage, air-gap, detection pre-ransomware активности (NTDS dump, backup discovery, vssadmin).
100% инцидентов с выплатой выкупа объединяет одно — неработающее восстановление. Backup — это security-функция, а не IT-операционка.
24 декабря 2024 года расширение Cyberhaven (400 000 установок) получило вредоносное обновление 24.10.4 — OAuth-фишинг обошёл MFA, C2 на cyberhavenext[.]pro сливал Facebook Ads cookies. EDR не сгенерировал ни одного алерта.
Расширение работало внутри легитимного chrome.exe — для EDR и файрвола это просто браузер, ходящий в интернет. MITRE T1176 (Browser Extensions): persistence без отдельного процесса, exfiltration через HTTPS, нулевых событий process start в Windows Event Log.
Защита строится на Chrome Enterprise GPO: ExtensionInstallBlocklist = *, явный allowlist по 32-символьным ID, ExtensionSettings с version pinning.
Allowlist не спасает: Cyberhaven был в нём. Version pinning в ExtensionSettings — единственный контроль над supply chain расширений.
Cyberhaven версия 24.10.4 с троянизированными worker.js и content.js скомпрометировала 2,6 млн пользователей — и все расширения работали на «безопасном» Manifest V3.
OAuth-токен разработчика перехвачен фишингом, вредоносная версия опубликована в Chrome Web Store. Content.js инжектировался через «matches»: «all_urls» с document_start — собирал cookie и сессии. MV3 не заблокировал ни один этап: webRequest остался read-only, но наблюдает за URL и телами запросов, content scripts работают как прежде, declarativeNetRequest допускает 30 000 динамических правил в рантайме.
EDR молчит — расширение легитимный insider. MV3 убрал eval, но сохранил все data-access API.
11 из 11 протестированных менеджеров паролей — 1Password, Bitwarden, LastPass, Dashlane — уязвимы к DOM-based Extension Clickjacking. Один клик на cookie-баннере сливает TOTP-секреты и кредитки через легитимное расширение.
Вредоносный скрипт находит DOM-элемент автозаполнения, выставляет opacity: 0 и накладывает поддельный UI поверх. Жертва кликает «принять cookies» — реальный клик уходит в скрытый dropdown расширения. MITRE T1555.005 + T1212. Между Initial Access и Valid Accounts — ноль сетевых артефактов.
EDR и SIEM молчат: компрометация происходит в браузере, за периметром мониторинга.
SOC мониторит эндпоинты и сеть — а 40 млн пользователей сливают vault одним кликом в браузере.
SOC из пяти человек сокращает цикл обработки IOC с шести часов до 15 минут — без коммерческих платформ: только Python-скрипт на cron, бесплатный MISP и восемь источников фидов от Abuse.ch до CIRCL OSINT.
Пайплайн строится вокруг MISP как ядра: URLhaus и ThreatFox отдают C2-домены и хеши каждые 5 минут, AbuseIPDB проверяет IP через `/api/v2/check` с порогом confidence 75+, Sigma-правила автоматически пушатся в SIEM. Lateral movement по данным CrowdStrike 2025 — 62 минуты в среднем, рекорд 51 секунда.
Атакующие мониторят VirusTotal и AbuseIPDB через MITRE T1597.001 — C2 стилера живёт 2–3 дня максимум.
Фид полезен только если обрабатывается быстрее, чем атакующий ротирует инфраструктуру.
L7-флуд 80–100k RPS положил платёжный API за 4 минуты — CDN устоял, WAF пропустил, PostgreSQL-пул иссяк первым, каскад прошёлся по 12 микросервисам. Circuit breaker не стоял нигде.
T1499.002 Service Exhaustion Flood обходит сетевые фильтры: каждый запрос валиден, WAF молчит. Пул соединений к PostgreSQL (100–200 по умолчанию) рушится первым — thread pool копит таймауты, балансировщик видит 502 от всех инстансов разом.
HPA без maxReplicas превращается в budget DDoS — $12k за ночь на AWS за обработку мусора.
Rowhammer эволюционировал от 139 000 активаций строки DDR3 до Blacksmith (CVE-2021-42114, CVSS 9.0) — и каждый раз, когда TRR закрывала вектор, исследователи находили следующий паттерн.
Физика бьёт мимо патчей: clflush + double-sided hammering переворачивает бит в PTE соседней строки без единой программной уязвимости. MITRE T1068 — непривилегированный процесс через bit flip получает kernel-level доступ, T1565.003 — произвольная запись в память. TRRespass (CVE-2020-10255) вскрыл non-uniform refresh, Blacksmith добавил нерегулярные многоагрессорные паттерны — оба обходят TRR производителей.
Защита: ECC RAM гасит одиночные bit flip, но не останавливает многократные.
ПО полностью пропатчено, ядро актуально — уязвимость в физике кремния, EDR молчит.
На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.
NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.
Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.
Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.
Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.
Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.