Вакансии по пентесту всё чаще требуют не только понимания принципов работы ключевых СЗИ (WAF, EDR, NAC), но и практических навыков их обхода. То же самое касается EDR/AV. В реальных отчётах о кибератаках также регулярно упоминается, как злоумышленники обходят средства защиты и остаются незамеченными.
Предлагаем рассмотреть пару приемов таких обходов и проверить, готовы ли ваши системы защиты к подобным вызовам.
Всем привет! Закрываем октябрь нашей традиционной подборкой главных CVE месяца. Критической уязвимостью под RCE отметился Redis, проверка концепции в наличии. CVE под произвольный код также исправили в Oracle EBS вместе с уязвимостью под доступ к данным в Oracle Configurator.
Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте под катом!
В соцсетях сидят все, от мала до велика. Причем входной порог постепенно снижается: дети, которым сейчас 8-11 лет, стали интернет-пользователями в 6-7 лет, а малыши 5-7 лет освоили этот навык в свои 4-5 лет.
В предыдущей статье я рассказывал, как я интегрировал EPSS (Exploit Prediction Scoring System) с системой приоритизации уязвимостей, чтобы уйти от ограничений классической CVSS-модели.
Из практики CVSS не подсказывает, будет ли уязвимость реально эксплуатироваться. Это приводит к перегрузке команд, неэффективному использованию ресурсов и пропуску уязвимостей, которые получат высокий уровень критичность в дальнейшем.
При анализе популярных на рынке решений я также обнаружил, что поддержка EPSS либо отсутствует, либо реализована формально.
В этой статье я покажу, какие результаты дало внедрение EPSS, как это измерялось и почему приоритизация, основанная на вероятности эксплуатации и значимости актива, работает лучше.
Народный SIEM Wazuh активно используется специалистами ИБ в различных организациях. Он может собирать и анализировать события безопасности получаемые с источников, генерировать уведомления об инцидентах и строить отчеты. Однако, было бы неплохо, чтобы он еще умел подавать кофе производить оценку конфигурации безопасности.
Оценка безопасности конфигурации — это процесс проверки соответствия всех систем набору предопределенных правил, касающихся параметров конфигурации и разрешенного использования приложений. Одним из наиболее надежных способов обеспечения безопасности ресурсов сети является усиление их защищенности. Таким образом, оценка безопасности конфигурации — это эффективный способ выявить слабые места в ваших конечных точках и устранить их, чтобы уменьшить вероятность атаки.
В Wazuh для этой цели используется специальный SCA-модуль. В данном случае SCA (Security Configuration Assessment) это именно оценка безопасности конфигурации, а не анализ используемых приложением зависимостей (Software Composition Analysis).
Представьте: ваш холодильник начинает майнить криптовалюту, камера наблюдения транслирует вашу личную жизнь на сторонние сервера, а умная колонка записывает семейные разговоры. Это не сценарий фантастического фильма — это реальные риски современного умного дома.
По данным исследования Palo Alto Networks, 98% трафика IoT-устройств не шифруется, а средняя квартира с умным домом содержит 10-15 уязвимых устройств. Каждое из них может стать точкой входа в вашу личную жизнь.
OKR — штука в целом полезная, если знаете, зачем и как её внедрять.
Сегодня я не собираюсь вам продавать OKR как «идею» или «мечту» как способ достичь того, что не получается с помощью обычных средств. Моя цель сейчас — скорее, рассказать вам, как сделать в инструменте удобный механизм ведения Целей и Результатов (а именно так переводятся Objectives and Key Results) их дальнейшего отслеживания. В качестве инструмента будет выступать Jira, в качестве дополнительного удобства — плагин Structure с его удобными фишками. Рассказ будет поделен на 2 части — о создании механизма и о создании мониторинга.
В конце вас ждёт инструмент, который поможет вам сэкономить на покупке платного плагина для Jira. И который вы сделаете сами с помощью этого гайда.
Часть 1. Создаём механизм
На этапе, когда в компании началось массовое внедрение и команды начали знакомиться с этим подходом, предлагалось ведение всех целей в таблицах и файлах-документах. Для одной команды — вполне себе неплохой вариант, но когда команд за 30 и часть Целей зависит от других Целей, то понять общую картину в куче Excel-таблиц, где каждая команда, хоть и соблюдая общие принципы, но всё же ведет все по-своему — становится крайне тяжело. И мне это очень не понравилось.
Я решил попробовать найти или сделать механизм для этого.
В предыдущей части мы начали рассказывать вам, как прошёл бизнес-день форума GIS DAYS. Сегодня мы завершим обзор и представим не менее интересные выступления, прошедшие 3 октября в московском кинотеатре «Октябрь».
В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации.
Сегодня мы, Лада Антипова и Александр Гантимуров, расскажем, что представляет собой фреймворк постэксплуатации AdaptixC2, как выявлять следы его использования и чем отличается выявленный способ эксплуатации фреймворка от всех описанных публично ранее.
В результате расследования компьютерного инцидента был выявлен инструмент злоумышленников, который использовался для закрепления в скомпрометированной системе. Он выгодно отличался от других видов типового и самописного ВПО, которые эти же злоумышленники использовали в ходе атаки. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности по конфигурации. После непродолжительного исследования стало ясно, что перед нами агент Beacon от фреймворка постэксплуатации AdaptixC2.
AdaptixC2 — это фреймворк для постэксплуатации, который часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub.
Ранее о его применении в кибератаках на другие страны сообщали Symantec, Palo Alto и «Лаборатория Касперского». Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих организации в России, было лишь вопросом времени.
С каждым годом число различных типов и видов СЗИ в инфраструктурах только увеличивается. Появляются новые классы решений, ужесточаются регламенты. Но без людей, которые умеют с ними работать, без правильной настройки и эксплуатации технические средства не имеют ценности, а компании оказываются беззащитны, даже если потратили миллионы на лицензии. Профессия администратора СЗИ отлично подойдет тем, кто хочет развивать карьеру в ИТ и ИБ, постоянного профессионально расти, решать интересные задачи и реально влиять на безопасность бизнеса.
В этой статье расскажем, из чего складывается ежедневная работа администратора СЗИ, какие навыки ему нужны, как встать на этот карьерный путь и, главное, зачем.
Подоспела страшно поучительная и интересная Хэллоуинская подборка ИБ-инцидентов и новостей. Сегодня в программе: сотрудник слил код отечественного ИБ-решения конкурентам, компания потеряла почти 100 млн руб. из-за ошибки сотрудника, а Бразильские мошенники заработали на ИИ-молитвах.
Прямо сейчас в отечественном сегменте быстро набирает обороты атака с эксплуатацией цепочки уязвимостей в ПО для видео-конференц-связи TrueConf. Если в вашей компании используется эта программа, срочно идите под кат. Там мы, команды специалистов по форензике центра мониторинга и реагирования на кибератаки RED Security SOC и компании CICADA8, собрали для вас краткое описание Kill Chain, дали индикаторы компрометации и рекомендации по защите.
Веб-сервер — одна из наиболее критических точек в инфраструктуре любой организации. Именно он отвечает за прием и обработку HTTP-запросов, взаимодействие с приложениями и передачу данных пользователям. Любая ошибка в его конфигурации может привести к компрометации системы, утечке информации или отказу в обслуживании. Снизить риски поможет харденинг веб-сервера — настройка конфигурации таким образом, чтобы минимизировать поверхность атаки и исключить наиболее распространенные векторы атак.
В этой статье мы перечислили основные механизмы защиты двух наиболее широко используемых в Linux-средах веб-серверов — Nginx и Apache HTTP Server. Рассмотрели риски, связанные с использованием этих веб-серверов, и описали практики их харденинга — от минимизации поверхности атаки и настройки TLS до организации журналирования и интеграции с системами безопасности.
От автора: это еще одна глава из моей книги «Прекрасный, опасный, кибербезопасный мир». Она была написана еще в благодатные доковидные времена, когда мир был совсем другим. Многое изменилось, но базовые вещи относительно безопасности остались те же, так что книжка по‑прежнему неплоха. Ее можно найти на сайте Ростелеком, если захотите прочитать целиком.
Что касается конкретно этой главы: в биометрии за эти годы был изрядный прогресс — но я же не новости рассказываю, а как оно в принципе устроено. А еще здесь много интересных историй.
Когда сервис, созданный для обновлений безопасности, становится самой большой уязвимостью — это уже ирония уровня Microsoft. В середине октября стало известно о критическом RCE-баге в WSUS (Windows Server Update Services), получившем CVE-2025-59287 и оценку 9,8 по CVSS. Достаточно лишь доступа к портам 8530 или 8531, чтобы без авторизации выполнить код на сервере и получить контроль над доменом.
И если вы думаете, что защищены, потому что ваш WSUS «спрятан» во внутренней сети, — не спешите выдыхать. Угроза уже ушла в паблик, эксплоиты на GitHub, а появление малвари под неё — вопрос времени.
3 октября в Москве в кинотеатре «Октябрь» состоялся бизнес-день форума по ИТ и ИБ GIS DAYS (Global Information Security Days). Форум проходил одновременно в двух залах, каждый из которых обладал насыщенной программой: она включала в себя различные выступления, от защиты искусственного интеллекта и итогов развития NGFW до финала «Биржи ИБ- и ИТ-стартапов» и дискуссии о прогнозировании в кибербезе. Всего форум собрал более 3 000 очных участников, а онлайн за программой следило 300 000 интернет-пользователей.
Когда все чеки зеленые, а клиентские чаты полыхают — это говорит о том, что где-то команда DevOps свернула не туда.
Рассказываем историю о том, как мы устали от лавины алертов и собрали свой инструмент распределенного внешнего мониторинга. В статье делимся «внутрянкой», как все устроено и тем, какие грабли словили при развертывании системы.
Привет, Хабр!
Мы тут выпустили информационно-просветительский подкаст «Под защитой», в котором наши эксперты обсуждают актуальные аспекты информационной безопасности. Будет полезен для самой широкой аудитории — не только для ИБ-шников, но и вообще для людей, которые живут и работают в цифре: ИТ-специалисты и топ-менеджеры технологических компаний, сотрудники госсектора и спецы по кибербезу, продакты и все остальные.
Старались рассказывать обо всём в дружелюбном и не занудном формате, так что форточку во время записи подкаста не тянуло открыть ни разу.
Вышло 6 выпусков, все уже доступны для просмотра или прослушивания, кто какой формат предпочитает.
Вот темы выпусков:
Неправильно выбранная стратегия тестирования в лучшем случае даст нулевой результат, а в худшем – приведет к неадекватной оценке возможностей системы или решения. Поэтому перед тем как начинать тесты, очень важно правильно определить задачи и выбрать соответствующую стратегию тестирования.
Фёдор Боков, Security Vision
В Security Vision я попал недавно и был приятно удивлен стремлению компании к обучению детей с малых лет. Мне, как будущему отцу, приятно видеть, что компании не всё равно, какие инструменты попадают в руки детям. Ведь за привычным «дай поиграть в телефон» кроется куда более важный вопрос: как сделать так, чтобы технологии стали для ребёнка не просто развлечением, а ступенькой в будущее?
Если вы хотите дать возможность ребёнку — школьнику, подростку или даже малышу — получить не просто игрушку, а настоящий инструмент для развития мышления и полезных навыков, давайте поговорим о Linux. Да-да, о той самой «непонятной» операционной системе, которую используют программисты и гики. На самом деле Linux — это не только про сложный код и терминал. Это ещё и идеальная платформа для обучения, творчества и безопасного освоения цифрового мира.
Почему? Давайте разбираться вместе!