Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
L1-аналитик закрыл алерт как FP — через 3 дня тот же IP оказался активным C2, с которого атакующий управлял lateral movement 14 часов. Mandiant M-Trends 2025: медианное обнаружение — 11 дней, 57% узнают об инциденте от внешней стороны.
Разрыв между TI-подпиской и реальным детектом — это операционализация. Коммерческий фид выдаёт тысячи IOC в сутки без контекста TTPs и отраслевой релевантности. Pyramid of Pain Дэвида Бьянко объясняет почему: хеши и IP меняются за минуты, а фиды работают именно там.
Выбор между атомарными IOC и Sigma-правилами зависит от зрелости SOC. Свежий C2-домен — в lookup и на блокировку.
FP по IOC старше 30 дней — не шум детекта, а сломанный TI-пайплайн без ротации.
847 алертов за ночь — и только три реальных хита. Аналитик L1 потратил четыре часа на CDN-узлы Cloudflare и CGNAT-пулы, пока ThreatFox тихо поймал C2-callback к loader-инфраструктуре операторов Play (CISA AA23-352A).
Разбор восьми фидов — Abuse.ch, AlienVault OTX, CISA KEV, Spamhaus, MISP CIRCL OSINT против Recorded Future, CrowdStrike Falcon Intelligence, Mandiant — с реальными метриками: freshness, FP rate, TTL decay, покрытие MITRE ATT&CK. Интеграция тестировалась в Splunk ES, Microsoft Sentinel и RuSIEM через STIX/TAXII 2.1 и REST API.
Некурированный IP-фид за неделю поднимает FP rate до 40% — Abuse.ch с узким фокусом бьёт Recorded Future по точности в C2-нише.
ИТ-отдел насчитал 87 субдоменов — connectorless-перечисление через CT-логи, Passive DNS и Shodan вернуло 240. На трёх торчали дефолтные креды.
EASM-платформы строят цифровой отпечаток без единого запроса к внутренней инфраструктуре. Техники T1596.001 (Passive DNS), T1593.002 (Shodan/Censys) и Certificate Transparency дают полную карту внешней поверхности — включая staging-окружения и legacy API, о которых забыли создатели.
Цепочка: WHOIS → reverse WHOIS по registrant email → ASN lookup → IP-диапазоны в Censys → открытые порты и баннеры.
SOC мониторит периметр — атакующий уже собрал карту через публичные логи. Забытый staging — готовый foothold без единого алерта.
XMRig три недели молчал в антивирусе: conhost.exe из C:\ProgramData\Microsoft\Crypto\ держал CPU на 87% через process hollowing и порт 3333 — пока Process Explorer не выдал аномалию.
Kill chain типичного криптомайнера: PowerShell-загрузчик через T1190, закрепление по T1053.005 в планировщике задач, masquerading под svchost.exe из %AppData%. Семейство Smominru совмещает XMRig с DDoS и проксированием — машина уходит в ботнет незаметно.
MinerSearch бьёт по этапам 3–5 ATT&CK: проверяет цифровые подписи служб, сканирует Run-ключи реестра, ищет процессы вне System32.
Антивирус молчит — майнер работает в process hollow. Детект по пути процесса, а не сигнатуре.
MISP агрегировал 47 TI-фидов и слал IoC в Splunk — пока L3-аналитик не спросил: «Какие техники ATT&CK мы не покрываем?» MISP на этот вопрос не проектировался. OpenCTI — да, но ценой Elasticsearch, Redis, RabbitMQ и недель настройки коннекторов.
MISP работает по модели «индикатор + флаг to_ids → действие в детекции». PyMISP гонит IP, хеши, домены в Splunk через lookup-таблицы, в Palo Alto NGFW — через блоклисты. Для IoC-driven SOC этого хватает. Но граф «хеш → малварь → intrusion set → ATT&CK-техника» в MISP архитектурно не core: модель данных плоская, атрибуция — как карта метро в Excel.
50+ фидов без decay-политики топят SIEM в ложных срабатываниях — MISP об этом не предупредит.
Тридцать стажёров, одна ошибка: ставят Kali, запускают nmap -sV — и зависают. Роадмап 2026 привязывает каждый инструмент к этапу MITRE ATT&CK и конкретному месяцу с измеримым результатом.
Kill chain диктует порядок обучения жёстче любого куррикулума. Nmap (T1046) → Metasploit (T1190) → LinPEAS/WinPEAS (T1068) → Mimikatz T1003.001 → CrackMapExec Pass-the-Hash T1550.002. Пропустить звено — значит не понять следующее. Без хеша CrackMapExec бесполезен, без доступа к хосту Mimikatz не запустится.
Роадмап честно называет сроки: без IT-бэкграунда — 12–18 месяцев до джуниорской позиции, с опытом в администрировании — 8–12. Покрываются веб, инфраструктура, AD, облака AWS/Azure.
Большинство новичков учат инструменты — роадмап учит цепочке зависимостей между ними.
Pegasus, Predator, DevilsTongue — инструменты уровня спецслужб утекли на теневой рынок. Zero-click цепочка от iMessage до полного контроля iPhone теперь доступна без контракта с NSO Group — достаточно бюджета на хороший автомобиль.
Форензика sysdiagnose-дампов через MVT выдаёт IOC-паттерны Pegasus и Predator там, где пять лет назад их никто не ждал: корпоративный шпионаж, stalkerware, экономические конфликты. FORCEDENTRY (CVE-2021-30860) атаковал iMessage через JBIG2-stream, BLASTPASS шёл через PassKit/ImageIO — каждый закрытый вектор NSO заменяла новым.
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.