В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту.
В сегодняшей статье расследуем атаку, используя дамп сетевой трафик, дамп оперативной памяти атакованного хоста, а также изучим образец ВПО.
С вводом DPI и белых списков технические средства интернет-цензуры поменялись.
Буквально несколько лет назад ркн не могли заблокировать телеграм из-за того, что вместо сервиса они пытались блокировать АЙПИ адреса и из-за этого отшибнули пол российского интернета. Сейчас большинство впн протоколов заблокированы и один из оставшихся рабочих это VLESS.
К сожалению, у этого протокола есть серьезные проблемы, из-за которых заблокировать его будет проще простого.
В этой статье мы расскажем обо всем.
Привет! На связи Виктор из Cloud4Y. Хочу поделиться практической историей о том, как сделать fail2ban-подобную механику для Exchange на Windows: быстрое обнаружение brute-force по IIS-логам и автоматическая блокировка атакующих IP.
Fail2ban и аналоги привычны для Linux, но когда у тебя on-prem Exchange на Windows, нужен свой инструмент для быстрого обнаружения массовых неудачных логинов и такой же быстрой блокировки источника.
В сентябре2025 на просторах Хабра была опубликована статья «Облачные сервисы на Tcl/Tk». Спустя полчаса после опубликования появился комментарий от CloudTk-JeffSmith , который приятно удивил меня:
Дисклеймер: Эта статья — не руководство по взлому (How-to) и не сборник эксплойтов. Это попытка системного анализа архитектурных ограничений LLM, которые делают промпт-инъекции фундаментальной проблемой на текущем этапе развития технологий. Мы рассмотрим уязвимости через призму механики Attention, токенизации и RLHF, чтобы понять, почему классические детерминированные методы защиты (Black Box) здесь перестают работать.
Сейчас уникальное время, когда заблокировали почти все мессенджеры в стране и продвигается единый и национальный WeChat макс.
У китайцев есть свой макс, и если вас там забанят, то это катастрофа и вам придется идти писать заявление на разблокировку. (это не шутка, вот источник)
Представили...? Вас забанили в максе, а вы в слезах идете в кремль извиняться за мат в сообщении.
Мы обсудим смогут ли нас пересадить с телеги на какой-то там мессенджер с упором на реальную историю
2025 год стал для компании МУЛЬТИФАКТОР временем комплексных изменений. Вместо точечных доработок мы сосредоточились на развитии продуктовой системы в целом: полностью переработали логику аутентификации и запустили новый облачный сервис для внешнего мониторинга доступности.
В этой статье мы собрали ключевые обновления продуктов МУЛЬТИФАКТОР за год.
Разговоры про ИИ давно перестали быть чем-то необычным: LLM внедряют везде — от банков до ритейла. Здравоохранение не стало исключением. Но если в e-commerce ошибки алгоритма могут повлиять исключительно на конверсию, то в медицине уровень ответственности совсем другой. Поэтому процесс запуска ИИ-инструментов, способных отвечать на вопросы, связанные со здоровьем, требует особого подхода и тщательной проработки многих аспектов.
Привет, Хабр. Меня зовут Орлан. Я ведущий специалист по обеспечению безопасности данных в команде медицинской компании СберЗдоровье. В этой статье я расскажу, как мы запускали AI-помощника по здоровью в мобильном приложении, с какими вызовами столкнулись и какие решения в итоге сработали — с точки зрения комплаенса, защиты данных и безопасности пациента.
Меня зовут Юрий Морозов, я главный архитектор компании «Гарда».
В этой статье я расскажу, как можно организовать обработку трафика на высоких скоростях. Актуальность этой задачи для современной сетевой безопасности напрямую связана с эволюцией технологий передачи и обработки данных: за последние годы скорости выросли на порядок, и вместе с ними резко изменились требования к производительности систем анализа и фильтрации трафика.
Всем привет! Если вы хоть раз ловили себя на мысли, что устали от рутины однотипных действий при проведении пентеста или, что после N-го часа пентеста потеряли нить атаки — эта статья для вас.
Всё чаще и чаще звучат идеи внедрения AI‑агентов в работу пентестеров, но не в виде кнопки «взломать всё», а в виде универсального помощника для автоматизации рутины и роста общей эффективности процессов.
В этой статье очень подробно разберём установку и настройку такого AI‑агента ну и, конечно же, испытаем.
Как руководитель отдела методологии и экспертизы ИБ SECURITM с 15-летним опытом ИБ в различных сферах деятельности компаний, я вижу, что у специалистов есть два самых сложных вызова.
Первый — в самом начале пути, когда нужно из множества регуляторных требований и разрозненных процессов собрать работающую систему, которая не будет тормозить бизнес, но даст реальную защиту.
Второй — когда все стандарты формально соблюдены. Именно тогда возникает самый правильный вопрос: «А наша система действительно защищает компанию или мы просто красиво закрываем чек-листы для аудиторов?»
Оба сценария сводятся к одной проблеме: формальное соответствие не равно реальной безопасности. Именно на стыке этих вызовов нужен практический инструмент, который превращает методологию из теории в рабочий механизм управления рисками.
Такой инструмент существует.
Всем привет, в этой статье я расскажу, о том как у многих прокатывает обойти белые списки, и в чем вообще корень проблемы, если вы "чайник" и не хотите запариваться со всей настройкой в <a href="#services"> конце статьи</a> привел сервисы которые упоминают в обсуждениях
Прямой коннект VLESS + Reality до Европы (Амстердам, Германия, Финка) почти у всех под шейпингом. ТСПУ освоили новую тактику: они не рвут сессию через RST, а просто «фризят» её. Как только объем данных в одной TCP-сессии переваливает за 15-20 КБ, пакеты перестают приходить. Коннект висит, пока клиент не отвалится по таймауту.
Когда волна компрометаций в NPM накрывает экосистему, выясняется неприятное: «знать свои зависимости» недостаточно, если вредонос успевает отработать ещё на этапе установки и сборки. В этом разборе — почему популярные SCA/SBOM-сканеры то молчат, то шумят ложняками на кейсе Shai-Hulud, как решает (или не решает) вопрос выбор источника уязвимостей, и почему malware-advisories оказываются невидимкой для части инструментов. В итоге речь не про очередной чеклист, а про реальные границы автоматического контроля цепочки поставок.
Продолжаем серию обзоров правовых инициатив, проектов законов и постановлений, новых актов регулирования, касающихся вопросов информационной безопасности. В этом дайджесте – о том, что изменилось в ИБ-регулировании в 4 квартале 2025 года.
Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – шестая часть обзора Главы 3 CyBOK, в которой описываются правонарушения, рассматриваемые при оценке рисков привлечения к ответственности за причинение вреда в сфере кибербезопасности.
Это руководство объединяет две методологически таблицы - одну для концептуальных моделей (OSI и TCP/IP) и одну для конкретных протоколов и технологий. При обнаружении ошибок / неточностей - сообщите в комментариях, после проверки действительно ли есть ошибки / неточность - информация дополниться.
Раньше я думал, что ИБ — во многом история про деньги. Что по-настоящему серьезное внимание информационной безопасности уделяется в крупных организациях, которые могут позволить себе выделить на ИБ бюджет со множеством нулей, нанять дорогих специалистов, купить решения высокого класса, внедрить и администрировать их на экспертном уровне.
Размер бюджета на ИБ, вероятно, действительно напрямую влияет на защищенность компании. У больших компаний с дорогими департаментами ИБ дела с защитой действительно обстоят хорошо: больше персонала, выше квалификация, лучше решения (но это не точно). Однако этот факт никак не доказывает того, что в небольших организациях (условно 150–200 хостов) ситуация с защитой от кибератак должна быть обязательно плачевной.
Парадокс в том, что даже при полном отсутствии средств на ИБ организация всё равно может — и должна — защищаться. Эта статья — не про идеальную безопасность, а про то, что приемлемую ИБ вполне можно построить с использованием бесплатных и встроенных средств.
Привет, Хабр! Меня зовут Сергей Померанцев, я работаю в компании Avanpost и являюсь владельцем продукта Avanpost SmartPAM.
Я заметил, что на Хабре не так много действительно интересной информации о системах класса PAM (Privileged Access Management). Попробую это исправить и постараюсь периодически, скажем, пару раз в квартал, публиковать что-нибудь любопытное.
Итак, о Privileged Access Management. В целом, этот класс ПО оформился как обособленный, самостоятельный, в начале 2010-х гг, то есть – давно. Как это ни странно для столь зрелого направления, разные продукты абсолютно по-разному реализуют ключевую функцию: встраивание в привилегированную сессию и контроль происходящего там. Как следствие, одна и та же строчка о поддерживаемом протоколе в спецификациях (скажем, что поддерживается HTTP или RDP) у разных производителей означает совершенно разный пользовательский опыт.
Так что эту - свою первую здесь - статью я как раз и посвящу тому, чтобы разобраться в том, как архитектура PAM может влиять на эксплуатацию и ключевые свойства продукта.
Очевидно, что для решения задач управления привилегированным доступом PAM должен как-то встроиться в «механику» происходящего в сессиях. При этом привилегированные сессии разных типов имеют колоссальные различия в технологиях, при помощи которых организуются подключения (например, сеанс в конфигураторе 1С с точки зрения технологий – совсем не то же самое, что подключение к веб-консоли администрирования Unisphere дисковых массивов Dell/EMC Unity).
Привет, Хабр! В AKTIV.CONSULTING я руковожу центром технической экспертизы по анализу защищённости. В фокусе нашей команды — спектр задач по проверке безопасности ПО, тестирование на проникновения внешнего и внутреннего периметра организации, проведение Red Team, расследований киберинцидентов, а также внедрения процесса DevSecOps. Проанализировав результаты сотен тестов на проникновение, мы увидели четкую закономерность: большинство успешных атак объясняются не сложностью инструментов злоумышленников, а игнорированием базовых мер защиты. Реальность такова, что злоумышленники берут то, что плохо лежит: используют слабые пароли, вовремя не закрытые уязвимости и эксплуатируют человеческий фактор. Сложные многоступенчатые атаки чаще бывают исключением. Как правило, злоумышленники используют атаки, выстроенные с помощью стандартных методов и утилит.
В этой статье мы систематизировали инструменты, которыми может воспользоваться любой пентестер при аудите инфраструктуры и внешнего периметра. Понимание этого набора — первый и критически важный шаг к выстраиванию адекватной системы защиты.
Каждый раз, скачивая новое приложение, мы своего рода совершаем акт доверия, вручая разработчику ключи от своей цифровой жизни: личные данные, контакты, банковские реквизиты, а иногда и доступ к деньгам. Но что, если вместо безобидного фонарика или игры вы устанавливаете на свой смартфон цифрового шпиона?
В статье расскажем по каким признакам отличить поддельное приложение от настоящего, какие разрешения в вашем смартфоне самые опасные, и почему доступ к фото для игры может быть «троянским конем». А также, как провести аудит разрешений на Android и iOS и отозвать доступ у слишком «любопытных» программ.