Информационная безопасность *

Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности — Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня — пятая часть обзора Главы 3 CyBOK, в которой описываются особенности договорных взаимоотношений, условия заключения договоров и разрешение контрактных споров.

И в мире ИБ есть свои детективы. Они исследуют, наблюдают, собирают информацию и занимаются профилактикой, как и коллеги из юридической сферы, только их деятельность направлена на безопасность информационную. Как они это делают? Как происходит расследование инцидентов? Что нужно знать, чтобы стать кибердетективом? В статье поговорим об этапах киберрасследования, анализе логов, дампов и не только, а также о том, где этому можно научиться.

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 4 трендовые уязвимости.

По традиции начнем с Windows.

Один клик по вредоносной ссылке — и контроль над аккаунтом потерян. Без фишинга, без вредоносного ПО.

Я обнаружил уязвимость в механизме OAuth аутентификации популярного десктоп-приложения, позволяющую похитить учетную запись любого пользователя всего в один клик. Основные причины проблемы: отсутствие проверки состояния (state validation), хранение долгоживущих токенов после перенаправления (loopback redirect) и слепое доверие параметру remote_key. В данном посте я подробно расскажу обо всех этапах атаки, почему она сработала настолько эффективно, и каким образом разработчики могут устранить данную проблему.

Несколько месяцев назад я решил заняться поиском уязвимостей в десктоп-приложениях. Для ясности поясню: говоря о поиске ошибок в десктоп-программах, я имею в виду взаимодействие приложений с веб-сервисами (процесс аутентификации, обмен данными или любые точки интеграции). Целью моего исследования стала известная компания, и я не вправе раскрывать ее название, поэтому на протяжении всей статьи буду использовать redacted.com.

Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.

Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.

Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.

Компании инвестируют в ИИ миллиарды долларов. На обучение нейросети могут уйти месяцы, много денег и труда. При этом сами по себе нейросети не так уж хорошо защищены от кражи и копирования. У патентных ведомств разные мнения насчет того, к чему их относить, а у экспертов по кибербезопасности есть несколько способов защиты, но все они имеют свои недостатки. Рассказываем, как обстоят дела с копированием нейросетей и как их от этого защищают. 

Расскажем о том, что прячется в детской платформе Roblox. Приводим статистику и собираем факты.

За 2024 год из DeFi-протоколов было похищено более $2.2 млрд. В первом полугодии 2025 года эта цифра уже превысила $2.17 млрд — и это только середина года. При этом 60%+ взломанных протоколов имели аудит от известных компаний.

Эта статья — не пересказ новостей. Это технический разбор четырёх ключевых эксплойтов, которые я воспроизводил в тестовой среде при подготовке к аудитам. Для каждого кейса разберём: корневую причину, почему это прошло аудит, как воспроизвести атаку в Foundry, и какие паттерны защиты реально работают.

В первой статье этого сериала мы собрали известные нам примеры платформ и проектов, которые можно прямо или условно назвать «биржами данных» (data exchange). После этого мы попытались разложить эти данные по кучкам, громко назвав этот процесс построением типологии. До типологии тут еще далеко, но какая-то ясность наступила. Более того, один из комментаторов не поленился скормить эту недо-типологию своему ИИ-ассистенту и тот выдал визуализацию этой мультифасеточной конструкции. Там есть на что посмотреть и о чем подумать, рекомендую.

Мы же, как и обещали, приступаем к анализу отдельных кейсов в попытке извлечь из них больше деталей и полезных идей для построения биржи данных на заказ.

Многие из наших собеседников предлагали немедленно изучить опыт «китайских товарищей» и взять его за образец при построении бирж данных в РФ. Их аргументация вполне понятна — тенденция к возвращению роли и участия государства в инфраструктурных проектах, которую можно наблюдать в РФ за последние 20 лет, похоже стремится к тому образцу, который сложился в Китае за последние три тысячи лет после реформ Дэн Сяопина. Достаточно сильный мотив, чтобы исследовать систему региональных бирж, созданную в КНР, однако из всего увиденного меня больше всего поразила история цифровой трансформации в Индии, которая привела к появлению нового Тадж-Махала, который называют «индийским стеком».

Хабр, привет! Меня зовут Александр Леонов. Я ведущий эксперт PT Expert Security Center и среди прочего отвечаю в компании за ежемесячные подборки наиболее критичных (трендовых) уязвимостей, обзоры которых мы каждый месяц публикуем на Хабре.

С 2020 года я развиваю проект Vulristics. Изначально это был мой личный инструмент для анализа уязвимостей из ежемесячных обновлений Microsoft Patch Tuesday. Но постепенно я расширял его функциональность. Теперь утилите можно подавать на вход любой набор идентификаторов CVE и БДУ.

Главная задача Vulristics — оценивать и приоритизировать уязвимости. Для этого утилита анализирует несколько ключевых факторов: наличие признаков публичной эксплуатации, наличие публичного эксплойта, тип уязвимости, популярность ПО, а также оценки CVSS (Common Vulnerability Scoring System) и EPSS (Exploit Prediction Scoring System).

Под катом — история создания Vulristics и рассказ о том, как этот инструмент экономит часы ручной работы, помогая аналитику не утонуть в потоке уязвимостей.

Сложно ли взломать вашу инфраструктуру? Во время аудита у меня на это уходит от 15 минут до 8 часов.

И это не потому, что у клиентов нет SOC, NGFW, WAF, MFA и других атрибутов безопасности — тот же SOC весьма успешно рапортует о взломе… когда всё уже сделано.

И не потому, что я супер-хакер — используются стандартные инструменты и инструкции, доступные любому «скрипт-кидди».

Чаще всего причина в том, что не настроена БАЗА — та самая рутина, про которую не принято и не модно вещать со сцены. И через которую всех обычно и ломают.

Ниже — список требований для оценки уровня вашей защиты:

Первый список OWASP Top Ten был выпущен в 2004 году. И с того момента появилось 7 обновлений, последнее из которых представлено в ноябре 2025 (пока в статусе Release Candidate). Эксперты WMX проанализировали все выпуски, чтобы разобраться, как с каждым годом и даже десятилетием менялась оценка угроз.

Представьте: вы открываете письмо, кликаете по безобидной ссылке, и ваш корпоративный аккаунт теперь принадлежит кому-то другому. И это лишь один из четырех критических багов в коробочном SSO-решении, которые мы обнаружили во время рутинного пентеста.

Мы покажем, как одна логическая ошибка в продукте может привести к полному захвату аккаунтов, и объясним, как действовать, когда находишь подобный «подарок» в своей инфраструктуре.

Прошло 18 лет с появления первого смартфона и 12 июня 2025 года исполнилось ровно 10 лет с анонса Android Enterprise инициативы, десятилетию которой Google посвятил отдельную статью в своём блоге. Идея готовилась совместно и была поддержана Samsung платформой KNOX.

За эти десять лет на нашем рынке люди узнали, что такое Mobile Device Management, появилась небольшая, но прочная ниша на рынке IT специалистов. Количество идей с предложениями рутовать телефон, чтобы запилить корпоративную фишку, сократилось почти до нуля за эти годы.

Однако ниша широко известна в узких кругах, поэтому мы решили познакомить непосвященную часть IT сообщества с тем, что в реальности означает загадочное словосочетание: «политики на устройстве», как работает и для чего используют. Несколько примеров и возможность попробовать «не отходя от кассы» свяжут абстракции с опытом на осязаемом и наблюдаемом уровне.

Когда инфраструктура растет, команды множатся, а сервисы переходят на распределенную архитектуру, специалистам становится сложнее отслеживать события, которые происходят в системе. Рано или поздно наступает момент, когда кто-то произносит фразу: «А кто это сделал?» Иногда она звучит спокойно, а иногда — с легкой дрожью в голосе, например, когда исчезла виртуальная машина, изменились права доступа или сбились настройки сети. 

Здесь и начинается расследование. Если у компаний нет централизованных логов, анализ действий напоминает детектив без улик: много версий, мало фактуры. Чтобы со всем этим разобраться, мы создали сервис аудит-логов — это те самые факты, с помощью которых можно найти первопричину инцидента. 

Привет! Меня зовут Кристина, я старший менеджер продуктов клиентских сервисов в Selectel. В этой статье расскажу, как устроен сервис, какие задачи решает, из чего состоят логи, а также — как интегрировать их с системами безопасности и аналитики. 

Всем привет!

В сентябре 2025 года мы в Angie Software получили долгожданные лицензии ФСТЭК, которые позволят нам заняться сертификацией продуктов. К этой точке в пространстве и времени мы шли почти год, хотя изначально казалось, что сама по себе процедура представляет довольно простой алгоритм. И не должна отнимать столько времени.

В этом тексте мы попробуем рассказать нормальным русским языком - что такое лицензии ФСТЭК, зачем они вам нужны, как все это связано с сертификацией продуктов, чем это, в теории, будет вам полезно. И укажем, какие ошибки мы допустили по дороге. Возможно, вам это сэкономит кучу времени и спасет тонны нервных клеток. Нам бы такой текст точно пригодился. Но мы его в свое время не нашли...

Информационная безопасность часто ассоциируется с хакерами в худи или с важными людьми в костюмах, которые ходят по офисам с кипой документов. Это близко к правде, но на самом деле информационная безопасность — это целая экосистема, связанная с защитой данных, систем и сервисов.

В Яндекс Практикуме прошёл вебинар «Как новичку найти работу в информационной безопасности» — эксперт в сфере Андрей Шамарин рассказал, чем занимаются специалисты в этой области, как найти в ней своё направление и начать карьеру. Делимся самым важным.

Вы подносите карту к считывателю — дверь открывается.

Классический черный ящик технологий в привычном бытовом действии. На самом деле за этим действием скрывается множество процессов: от формирования электромагнитных полей, модуляции сигналов до применения криптографических протоколов.

Как это работает? Как пассивная карта без батарейки получает энергию? Как она передаёт данные?

В статье от менеджера продукта в разработчике систем контроля доступа, разберём процессы: от физики ближнего поля до защищённого обмена.

18 ноября 2025 года, на следующий день после того как Microsoft отразили атаку ботнета AISURU в 15 Tbps, по всему миру на несколько часов фактически перестал работать провайдер Cloudflare. За два месяца до этого Cloudflare отчитался об успешном отражении атаки того же AISURU в 22 Tbps (мировой рекорд, который, видимо, этот ботнет решил обновлять каждый месяц). Хотя два инцидента оказались в итоге не связаны, учитывая фантастические темпы роста AISURU, время задуматься — как скоро придет момент, когда мощь этого ботнета превысит все защитные ресурсы провайдеров мирового уровня?

3 декабря разработчики JavaScript-библиотеки для создания веб-приложений React сообщили об обнаружении критической уязвимости в компоненте React Server Components. Уязвимость с наивысшим, десятибалльным рейтингом опасности по шкале CVSS v3 получила идентификатор CVE-2025-55182. Еще один идентификатор CVE-2025-66478 является дублирующим — он относится к интеграции React Server Components во фреймворке Next.js. Уязвимые веб-приложения в худшем случае позволяют злоумышленнику без какой-либо аутентификации получить контроль над сервером, отправив специально подготовленный запрос. Отсюда название уязвимости, точнее два варианта — React4Shell и React2Shell.

Быстрое развитие ситуации вокруг уязвимости можно оценить как «идеальный шторм», максимально сложную ситуацию для администраторов уязвимых систем, происходящую все же достаточно редко. Уже в день публикации бюллетеня React началась эксплуатация уязвимости, предположительно, организованными группировками из Китая. На следующий день, 4 декабря, примеры кода для эксплуатации уязвимости были доступны публично. Потенциально уязвимы сотни тысяч сайтов и веб-приложений, использующих либо React, либо Next.js, хотя реально подвержены атаке не все из них.