Форум информационной безопасности - Codeby.net
Статья MaxPatrol SIEM vs KUMA: сравнение архитектуры, правил корреляции и интеграций для SOC-аналитика
MaxPatrol SIEM vs KUMA: параллельная эксплуатация в боевых SOC-средах — не по даташитам, а по количеству бессонных ночей. Слепые пятна обеих систем глазами пентестера.XP + PDQL против визуального редактора — разные философии написания правил корреляции. Автоподавление в KUMA элегантно, но атакующий, знающий механику 100 срабатываний за минуту, может намеренно загнать детект в стоп-лист через T1562.006. MaxPatrol с моделью активов ловит аномальные входы под Valid Accounts (T1078) точнее, KUMA с periodical-правилами через correlator-ng перехватывает поведенческие аномалии нативно.
Security Software Discovery (T1518.001) — слепое пятно обеих: wmic-запрос к SecurityCenter2 SIEM не видит. Матрица выбора: гетерогенная среда → MaxPatrol; Kaspersky на эндпоинтах и Kubernetes → KUMA.
Сводная таблица по 15 критериям и рекомендация по Atomic Red Team для пилота.Статья Cloud Pentesting: методология тестирования облачной инфраструктуры
Cloud Pentesting: методология тестирования облачной инфраструктуры
Облачный пентест не заканчивается сканом публичных IP. Основной риск часто лежит глубже: в IAM-ролях, trust policy, metadata service, CI/CD-токенах, секретах и межаккаунтных связях, которые не видны классическому сетевому подходу.
В материале разбираем методологию cloud pentest: как строить разведку, проверять IAM-цепочки, искать риск в AssumeRole, оценивать SSRF к IMDS и понимать, когда отдельная misconfiguration превращается в рабочий attack path.
В финале разберём, как из разрозненных misconfigurations собрать понятную цепочку: от исходной identity до production-impact. Без длинных чеклистов - только то, что помогает доказать риск, показать blast radius и дать команде понятный маршрут исправления. Статья Карьера в кибербезопасности: Red Team, Blue Team и Purple Team — полная карта специализаций и пошаговый план роста
Red Team — это 80% отчётов, Blue Team — не скучный мониторинг, а адреналин от lateral movement в три ночи. Карта специализаций ИБ с честными описаниями ежедневной рутины.Хаб-навигатор по 16 spoke-материалам: от выбора между Red/Blue/Purple до первого оффера. Red Team — ищете лазейки и терпите отчёты. Blue Team — методичны и комфортны с неопределённостью. Purple Team — не стартовая позиция, а мост после 2–3 лет в одном из цветов.
Карьерные лестницы с конкретными ролями и зарплатами: junior 60–120k, senior 200–450k. Сертификации по уровням: eJPT на вход, OSCP как золотой стандарт. GRC, форензика, DevSecOps — за пределами трёх цветов. Дефицит кадров к 2027 году — 54–65 тысяч специалистов по оценке Positive Technologies.
Чек-лист самодиагностики: Red, Blue или Purple — что вас зарядит, а не высосет.Статья Российские сканеры уязвимостей: сравнение MaxPatrol VM, RedCheck и ScanFactory на реальной инфраструктуре
MaxPatrol VM vs RedCheck vs ScanFactory: сравнение на реальной инфраструктуре через comm -23. Маркетинговые таблицы врут — реальная разница проявляется только на одних и тех же хостах.На Astra Linux SE с PostgresPro RedCheck стабильно находит уязвимости, которые MaxPatrol VM пропускает — база детекции российского ПО у него полнее. На Huawei-оборудовании картина обратная. Backported patches дают до 40+ false positive на российских Linux-дистрибутивах у обоих сканеров.
Матрица выбора: КИИ 1-й категории с SOC — MaxPatrol VM с Continuous VM и интеграцией в стек PT. Госорган на российском ПО — RedCheck с нативными BDU-идентификаторами для инспектора ФСТЭК. DevSecOps и внешний периметр — ScanFactory. БДУ ФСТЭК покрывает около 10% от всех CVE в NVD, но 61% APT-релевантных уязвимостей.
Bash-скрипт для diff экспортов двух сканеров и чеклист проверки ФСТЭК по мере АНЗ.1.Статья Миграция на отечественный SIEM: перенос правил, дашбордов и интеграций с Splunk и QRadar
200 правил корреляции перенесено из Splunk и QRadar в MaxPatrol SIEM и KUMA — и ни один вендорский гайд не описывает и половины того, с чем сталкиваешься на практике.Конвертация SPL в PDQL — не синтаксический перевод, а семантический. Маппинг полей убивает детекции тихо: src_ip → event.src.host, и правило молчит без ошибок. CardinalOps: 21% покрытия ATT&CK и 13% нефункциональных правил в среднем по enterprise — при миграции эти цифры ухудшаются. Таблица техник, которые SOC теряет первыми: T1562.001, T1070.001, T1562.002 — окно для Red Team.
Пять фаз перехода: параллельная установка с дублированием потока, TOP-20 правил первыми, Windows-агенты последними, контроль «молчащих» источников, 30 дней параллельной работы до вывода старого SIEM. Сравнение транспортов и нативная интеграция с ГосСОПКА.
SPL-запрос для полного экспорта активных правил с метаданными.Статья Корпоративное обучение информационной безопасности: платформы, форматы и метрики для построения программы
68% утечек — человеческий фактор. Ежегодный вебинар — не программа, а ритуал: через месяц click rate возвращается к исходному. Строим корпоративный SAT с измеримым ROI.KnowBe4, Proofpoint, Adaptive Security, Hoxhunt, Phished — сравнение по шести параметрам: адаптивное обучение, AI-автоматизация, deepfake-тренинг, интеграция с экосистемой. Ролевая матрица контента: разработчику — OWASP Top 10 и CTF, бухгалтерии — BEC-сценарии, топ-менеджменту — deepfake-демонстрация раз в полгода.
Пятишаговый цикл: baseline-аудит без предупреждения → сегментация по риску → Smart Groups в KnowBe4 → непрерывный цикл microlearning + фишинг-симуляций → замер click rate (месяц 0: 20–30%, месяц 12: 3–5%). Формула ROI для отчёта CISO и таблица операционных метрик.
Маппинг угроз на MITRE ATT&CK T1566, T1204, T1598, T1656 по каждой роли.Статья Курсы по кибербезопасности 2026: честное сравнение Codeby, OTUS, Skillfactory и Нетология
Codeby Academy vs OTUS vs Skillfactory vs Нетология: разбор от человека, который одновременно учился и закрывал алерты в SOC. Без пересказа лендингов.На первом реальном пентесте пригодилось только то, что делал руками. Всё остальное испарилось за неделю. Критерии оценки: доля практики на стендах, глубина лабораторной инфраструктуры, подготовка к OSCP/eJPT, формат обратной связи от куратора.
Codeby — 540 часов, 80% практики, единственный с подготовкой к OSCP. OTUS — 220 часов, сильный AD-блок, лучшая стоимость. Skillfactory — 13 месяцев, менторская поддержка, часы не раскрыты. Нетология — широкий охват, 35 часов практики — для пентеста мало. Маппинг программ на MITRE ATT&CK и пошаговый алгоритм выбора курса под конкретную роль.
Стоимость часа обучения: от 266 до 750 рублей — считайте, прежде чем покупать.Статья Пентест веб-приложений по OWASP Top 10: что пропускают сканеры и как находить уязвимости в Burp Suite
За 50+ проектов выработал правило: полагаешься только на сканер — пропустишь треть критических находок. IDOR, SSRF, логические ошибки Burp Scanner не видит. Не понимает, что смотрит.Системный пентест по OWASP Top 10 2021 в Burp Suite: маппинг приложения через Proxy + ffuf, IDOR между аккаунтами в Repeater с перебором ID через Intruder, time-based SQLi с SLEEP(5) под конкретную СУБД, stored XSS с Collaborator вместо alert(1), blind SSRF через внутренние адреса AWS и Redis.
Log4Shell (CVE-2021-44228, CVSS 10.0) через `${jndi:ldap://}` в заголовках, CVE-2024-4367 в PDF.js — проверка версии pdfjs-dist. Почему WAF-байпасов без контекста не бывает и когда тайминг-атаки врут. Маппинг T1190, T1539, T1185, T1505.003 на MITRE ATT&CK.
Команда ffuf для скрытых API-эндпоинтов с токеном авторизации.Статья ShinyHunters группировка: анатомия атак — от вишинга до Salesforce-экфильтрации и шантажа жертв
ShinyHunters: анатомия группировки от 91 млн записей Tokopedia в 2020-м до Salesforce-кампании 2025–2026 — Google, Cisco, LVMH, Qantas. Без шифрования, только шантаж.UNC6040 + UNC6240, связь со Scattered Spider подтверждена через аккаунт Sp1d3rHunters и синхронные кампании. Эволюция за пять лет: GitHub-репозитории с паролями → Snowflake → вишинг + OAuth Device Flow → ransomware shinysp1d3r для ESXi. PowerSchool заплатила $2,85 млн — вымогательство перешло на школьные округа.
Kill chain 2026: T1566.004 (вишинг под IT-поддержку) → T1528 (кража OAuth-токена) → T1621 (MFA-бомбинг) → T1119 (автоматический экспорт Salesforce) → T1567.002 (экфильтрация). SOQL-запрос к SetupAuditTrail, корреляционное правило для SIEM и рекомендации D3FEND.
Инфраструктурные паттерны доменов ShinyHunters и признаки конвергенции с Scattered Spider.Статья Разработка Red Team инструментов: от архитектуры C2-фреймворков до кастомных имплантов и обхода EDR
Разработка Red Team инструментов: коммерческий C2 за $10 000 детектируется за 12 секунд, кастомный имплант живёт месяцами. Карта всей дисциплины — от loader'а до kernel rootkit'а.Cobalt Strike, Nighthawk, Brute Ratel, Sliver, Mythic, Havoc — матрица выбора с весовыми критериями. Архитектура: loader → redirector → teamserver, стейджинг в два слоя, транспорты DNS/HTTP/SMB. Выбор языка: C для минимального бинаря, Rust для производства, Nim за скорость разработки, Go — только для серверной части.
Process injection 2025: classic injection ловится любым EDR, thread pool injection через NtSetInformationWorkerFactory — пока в слепой зоне. Direct syscalls, indirect syscalls, unhooking ntdll — и почему AMSI-патч уже сам стал сигнатурой. Sleep с шифрованием стека и heap, stack spoofing, runtime polymorphism — принципы SECFORCE.
Таблица детектируемости 5 injection-техник и навигатор по 7 spoke-статьям кластера.