Информационная безопасность

В финансовой отрасли давно сформировался устойчивый парадокс. Банки оказываются одними из самых защищённых с точки зрения технологий и регуляторного контроля, но при этом значительная часть усилий команд информационной безопасности уходит не на предупреждение угроз, а на подготовку к проверкам и подтверждение соответствия. Аудит воспринимается не как контроль за стабильностью и стимул для развития процессов, а как стресс-проект, который выбивает сотрудников из операционной работы на месяцы.

По мере роста требований регуляторов нагрузка увеличивается. Стандарт ГОСТ 57580, положения Банка России, международные стандарты, внутренние регламенты — всё это формирует массив нормативов, который необходимо не только исполнять, но и постоянно подтверждать доказательной базой. Для крупных банков это тысячи документов, десятки тысяч артефактов, сотни участников согласований. Каждое обновление нормативов заставляет команды заново пересматривать формы контроля, переписывать документы, изменять регламенты и собирать подтверждения. В результате процесс, который должен обеспечивать устойчивость, превращается в бесконечный цикл подготовки к проверкам.

Юрий Подгорбунский, Security Vision

Что же такое NIST CSF 2.0?

NIST Cybersecurity Framework 2.0 — это концепция кибербезопасности (CSF) разработана Национальным институтом стандартов и технологий США (NIST) для того, чтобы предоставить организациям комплексный, а также гибкий подход к управлению и снижению рисков кибербезопасности, используя таксономию общих показателей кибербезопасности, которая может применяться любой организацией независимо от ее размера, отрасли или уровня развития. Концепция призвана помочь организациям управлять рисками ИБ, тем самым повышая уровень кибербезопасности.

В последние годы веб-приложения стали основой цифровых сервисов, и поэтому их уязвимости все чаще используются злоумышленниками, в том числе хактивистами. Рост числа атак и утечек данных через API подчеркивает необходимость новых подходов к кибербезопасности.

Приветствую, Хабр!

Совсем недавно – в августе текущего года – Институт стандартов и технологий США NIST выпустил стандарт NIST SP 800-232 [1], описывающий четыре низкоресурсных криптографических алгоритма на базе семейства алгоритмов Ascon:

· алгоритм аутентифицированного шифрования с присоединенными данными Ascon-AEAD128;
· три алгоритма хеширования: Ascon-Hash256 (классическая хеш-функция), Ascon-XOF128 (хеш-функция с переменным размером выходного значения) и Ascon-CXOF128 (хеш-функция с кастомизацией и переменным размером выходного значения). 

Предыдущий опыт показывает, что криптографические стандарты США после их принятия обычно широко используются во всем мире, поэтому данный документ может представлять значительный интерес и достоин детального разбора (краткий обзор стандарта NIST SP 800-232 уже был опубликован на Хабре ранее здесь), который я и предлагаю вам в двух частях в этой (и следующей) статье.

В условиях изменяющейся сетевой инфраструктуры пользователи мобильного интернета сталкиваются с вопросами: какие ресурсы остаются доступными, и как это выглядит на техническом уровне? Этот материал — результат практического исследования с использованием стандартных инструментов сетевого анализа.

Никаких домыслов — только измерения, цифры и технические факты.

На прошлой неделе в Таиланде прошла ежегодная конференция Security Analyst Summit, организуемая «Лабораторией Касперского». Один из главных докладов конференции был посвящен операции «Форумный тролль» — кибершпионской кампании, нацеленной на организации в России. Обнаружение данной угрозы помогло экспертам «Лаборатории Касперского» еще в марте этого года выявить уязвимость нулевого дня в браузере Google Chrome, о которой было сообщено еще весной. Дальнейшее исследование атаки помогло связать ее с деятельностью компании Memento Labs, ранее известной как Hacking Team.

Атака начиналась с рассылки правдоподобных сообщений с приглашением на мероприятие. Открытие ссылки в этом письме в итоге приводило жертв на подлинный веб-сайт, но в процессе они также направлялись на вредоносную страницу, откуда загружался вредоносный скрипт. Этот код задействовал уязвимость в браузере Chrome, которая позволяла полностью обойти «песочницу» — технологию ограничения доступа к системным ресурсам. Как выяснилось, причиной возникновения уязвимости стала особенность работы Windows.

Здравствуйте, коллеги. Сегодня с вами будем настраивать GRE, как всегда, практическая реализация.

Информацию про GRE я добавлять не буду, потому что я уже говорил достаточно в прошлой статье, где мы настраивали его на Cisco устройствах и полностью разжевали его до мельчайших атомов.

Так что если не читал — советую глянуть ту статью, там всё есть.

Сегодня у нас другой случай. Будем настраивать его между Palo Alto и Cisco. Вот наша топология.

Как прошел ваш Хэллоуин? Вот мы в СайберОК качественно повеселились и попугались, потому что наши эксперты-охотники на привидений до самого рассвета рыскали по внешнему периметру Рунета и вытаскивали на свет главных монстров октября – как новых, так и хорошо забытых старых.

Всем привет! Закрываем октябрь подборкой самых горячих ИБ-новостей. В прошлом месяце инфобез-гигант F5 раскрыл масштабную компрометацию своих систем госхакерами. А у AWS произошёл коллапс облачной инфраструктуры, на сутки положивший тысячи сервисов.

У разработчика спайвари Trenchant случился шпионский скандал, британская военка отметилась очередным постыдным взломом. А OpenAI отметилась первым кейсом по взаимодействию с органами, в котором по запросу о содержимом чатов сдали киберпреступника. Об этом и других интересных событиях в мире инфобеза за октябрь читайте под катом!

История Solar appScreener началась в одной из российских IT-компаний, в которой тогда работала команда основателей «Солара». Они занимались консалтинговым бизнесом и наблюдали кардинальные изменения на рынке, которые стали почвой для будущей разработки продукта в сегменте application security.

К 2014-2015 гг. проблема безопасной разработки приложений стала острой и заметной не только для отраслевого сообщества, но и регулярно привлекала внимание общественности. Более чем в 75% успешных кибератак уже тогда эксплуатировались «дыры» в ПО, которое в то время было самых слабым звеном с т.з. технической защиты. Например, 15% от всего количества опубликованных уязвимостей приходилось на уязвимости для платформы Android. Громким событием первой половины 2010-х также был хакерский взлом AppStore, в ходе которого в ряд приложений был внедрен вредоносный код XCodeGhost.

Крупные утечки в результате взлома российских и иностранных приложений показали, насколько уязвимы привычные пользовательские сервисы, которые и сейчас страдают от тех же самых «болезней»: недостаточный контроль безопасности кода на этапе разработки, риски цепочек поставок, использование непроверенных библиотек открытого кода.

Так возникла идея российского AppSec-продукта: для отечественных компаний, на родном языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями под капотом.

Всех приветствую! Ещё год назад я играл в CTF и работал как SOC-аналитик L1, а сегодня в компании «Газинформсервис» занимаюсь тестированием веб-ресурсов. В свободное время багханчу, и больше слов о моих успехах скажет статистика в профиле амбассадора Standoff. На Standoff Talks я выступил с докладом об эффективном поиске уязвимостей и хочу поделиться этим опытом здесь.

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant. Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью.

В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

Контроллер домена лежит. Терминальные серверы уходят в синий экран один за другим, а триста сотрудников молча смотрят на неработающие АРМ. Это не атака хакеров. Это начался пентест.

К сожалению, такие истории иногда случаются. Один неосторожный запуск эксплойта, слишком агрессивное сканирование в пиковые часы или использование незнакомого инструмента в проде — и вот уже тестирование на проникновение приносит больше реального ущерба, чем гипотетическая угроза. 

Меня зовут Дмитрий Калинин, я руковожу отделом по работе с уязвимостями информационных систем в Бастионе, и за годы практики я видел достаточно ошибок. Включая свои собственные.

Дальше расскажу реальные истории о том, как ZeroLogon чуть не уничтожил домен заказчика, как утренний запуск Nmap парализовал офис на несколько часов, и почему некоторые пентестеры могут быть опаснее хакеров. А затем разберем, какие точки отказа в корпоративной сети ломаются первыми и как не превратить аудит безопасности в производственную катастрофу.

За последний год даже те, кто не связан с информационной безопасностью или ИТ-администрированием, узнали о хакерских атаках, в ходе которых уничтожаются или шифруются данные. Теоретически, массовая атака программ-вымогателей может временно парализовать важную инфраструктуру: остановить транспорт, лишить магазины, аптеки и АЗС возможности обслуживать клиентов. Хотя такая картина кажется гиперболизированной, она вполне возможна — особенно на фоне недавних событий и произошедших инцидентов.

В статье расскажем о масштабах угрозы и о том, как организации могут противостоять атакам программ-вымогателей. На основе реальных расследований поделимся не только техническими деталями, но и практическими рекомендациями, которые помогут снизить риски и вовремя отреагировать на инцидент.

Название: Bypass
Категория: Reversing
Сложность: Easy
Ссылка: https://app.hackthebox.com/challenges/Bypass

Разбираю задачу Bypass с Hack The Box. Путь от трех неудачных патчей в IDA Pro до элегантного решения с помощью dnSpy. Показываю, как выбор правильного инструмента решает всё.

В последние недели вокруг неофициального клиента Telega разгорелся скандал — одно из сообществ выяснило что у него имеются связи с VK.

Однако мы наткнулись на информацию куда более любопытную — возможное сотрудничество самой Telega с Telegram.

Мы попытались понять, каким образом Telega получила доступ к функциям, зарезервированным для официальных клиентов Telegram, и почему это может указывать на куда более тесное взаимодействие между ними, чем кажется на первый взгляд.

В 2025 году интернет-цензура в России, Китае и Иране достигла беспрецедентного уровня. Традиционные VPN-протоколы вроде OpenVPN и даже WireGuard обнаруживаются и блокируются системами Deep Packet Inspection (DPI) за считанные секунды. На сцену выходит VLESS — легковесный протокол, который становится последним работающим решением для обхода современной цензуры.

Эта статья объясняет, как работает VLESS на техническом уровне, почему он так эффективен в обходе обнаружения, и делится реальным опытом создания VPN-сервиса во враждебной среде России.

Зашифрованный DNS (Domain Name System) относится к современным протоколам, которые обеспечивают безопасность DNS запросов путем их шифрования между устройством пользователя и DNS-ресолвером. Вместо отправки DNS-запросов в открытом виде, где интернет-провайдеры, хакеры или третьи лица могут отслеживать или манипулировать ими, зашифрованный DNS скрывает эту информацию (DNS поверх HTTPS (DoH) или DNS поверх TLS (DoT)). Это обеспечивает большую степень конфиденциальности, безопасности и защиты от слежки.

Привет! Я Никита, инженер-инсталлятор в Selectel. Представьте ситуацию: вы нашли уязвимость и понимаете, что ее можно воспроизвести. Цель — помочь владельцу сервиса закрыть дыру быстро и безопасно. Но до контакта важно остановиться и взвешенно проанализировать собственные действия. Чтобы вам было чуть проще сориентироваться «на месте», собрали ключевые советы и рекомендации под катом. 

Более 50 тысяч информационных систем на российских предприятиях ― объекты критической инфраструктуры. Объясня., что это означает.

Еще в июле 2024 года Госдума приняла в первом чтении законопроект о переходе объектов критической информационной инфраструктуры на использование российского ПО.

Выполнение требований закона влечет рост расходов компаний, в том числе операторов связи, ведь все они ― субъекты КИИ. Как соответствовать требованиям и справляться с дополнительной нагрузкой на бизнес?