Информационная безопасность

Продолжая серию разборов в рамках сезонного ивента Season of the Gacha на HackTheBox, хочу поделиться прохождением MonitorsFour. Машина оказалась не самой сложной, но с неочевидным подвохом: Windows-хост с Docker Desktop, что добавило головной боли на этапе повышения привилегий. Признаюсь, меня поначалу сбило с толку, почему Nmap показывает Windows, а shell получается Linux, но об этом чуть позже.

В машине реализованы IDOR, актуальные CVE и побег из Docker-контейнера, и на мой взгляд, отличный набор для отработки навыков. Давайте разбираться!

Представьте, что вы наконец-то выстроили надежный периметр вокруг своих контейнеров, сканируете образы и настраиваете политики в соответствии с общепринятыми стандартами безопасности. И кажется, всё под контролем. Но что, если атака началась в уже запущенном контейнере? Как обнаружить, что прямо сейчас легитимный микросервис крадет ваши данные или майнит криптовалюту?

В данном случае на классические средства защиты рассчитывать не приходится: они охраняют контейнеры снаружи и не видят, что происходит внутри. А большинство инструментов для выявления угроз в среде выполнения — сложные и дорогие. Тем не менее выход есть: недавно специалисты из команды PT Container Security представили рынку первое в России открытое решение для защиты рантайма контейнерных сред — Runtime Radar. Подробнее о нем в нашей статье рассказывают руководитель разработки Никита Ладошкин и эксперт Виталий Шишкин (@JCD3nt0n).

Привет! Это Angara Security и наш эксперт отдела безопасной разработки Андрей Быстров. Совсем недавно состоялся релиз OSA Proxy, нового модуля продукта CodeScoring.OSA. В этой статье попробуем разобраться в задачах данного модуля и подходах к его использованию.
Начать стоит с основ: каким образом реализуется проверка программного обеспечения с открытым исходным кодом в инструментах композиционного анализа на этапе OSA? Для наглядности приведем простую схему. Она также будет полезна в дальнейшем для сравнения архитектурных подходов к задаче проверки Open Source зависимостей.

Да, именно так. Конечно, появились пароли, когда никакой индустрии информационной безопасности ещё и в планах не было, но это legacy мы тащим за собой уже несколько тысяч лет. Проблема с паролями в том, что придуманы они для людей, а для людей нет ничего более противоестественного, чем запоминать последовательности букв и цифр. И вот об этом мы сегодня вместе подумаем.

Shadow Data — данные, которые существуют вне поля зрения ИБ и compliance-команд. 

Хорошая новость в том, что такие теневые данные легко найти даже в очень крупной облачной инфраструктуре. В этой статье разберем, как сделать все без ручного перебора и буквально за час найти и геолоцировать данные.

По результатам внутренних тестов на проникновение, проведенных нашей командой для компаний из различных отраслей, в 79% случаев организации оказались незащищенными от атак потенциального злоумышленника. Эта цифра показывает, насколько уязвима может быть внутренняя инфраструктура компаний. Полагаться на абстрактные модели угроз в таких условиях — уже недостаточно. Ключ к построению эффективной защиты — понимание реальных векторов атак, которые используют злоумышленники прямо сейчас.

В этой статье мы расскажем о реальных векторах атак, которые сработали в уходящем году, разберем ключевые тренды, а также дадим прогноз на 2026 год и предложим рекомендации по усилению защиты.

Эксперты «СёрчИнформ» подвели итоги 2025 года и поделились ожиданиями от 2026–го. Повестку сформировали три ключевых тренда: нейросети, расширение ИБ–регулирования и подготовка рынка к изменениям.

В понедельник в 13:01 мою маму добавили в рабочий чат в Telegram.
Группа называлась точно так же, как клиника, где она проработала больше десяти лет уже будучи на пенсии и из которой уволилась около пяти лет назад.

В чате были знакомые фамилии с реальными фотографиями, а ещё деловой тон, обсуждение «приказов Минцифры», «стажа» и «пенсии». А уже через сорок пять минут этот же чат превратился в поток угроз, оскорблений, фейковых уведомлений о входе в «Госуслуги» и попытку оформить на неё десятки микрозаймов.

Ни один рубль украден не был — но не потому, что схема не работала.

То, что я увидел в этот день, было не просто мошенничеством. Это была тщательно срежиссированная постановка: фальшивые коллеги, заранее подготовленные диалоги, правильная терминология, давление авторитетом и временем. Слово «оцифровка» стало наживкой. «Госуслуги» — оружием. А страх потерять стаж, пенсию и «оказаться вне реестров» — рычагом.

Но эта история — не про деньги. Это история о краже личности в прямом эфире. О том, как за считаные минуты человека лишают ощущения безопасности, контроля и достоинства. Я пишу её не как айтишник. Я пишу её как сын, который в реальном времени вытаскивал мать из цифровой ловушки — и понял, насколько беззащитными мы все оказались перед новой формой насилия.

Как правильно связывать разрозненные данные в интернет-расследованиях: методы, примеры и логика построения рабочих гипотез и связей.

Привет, эксперты!

В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов.

Наступил декабрь, пришла пора посмотреть, что произошло за год.

С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security.

Спойлер: читать придется немного!

Проект Россельхозбанка (РСХБ) и К2Тех признан лучшим в номинации «Проект года по импортозамещению мониторинга ИТ-инфраструктуры для банков» Национальной банковской премии.

Награда была присуждена за комплексную работу по созданию единого консолидированного контура мониторинга на базе отечественной платформы Monq, которую внедрили специалисты К2Тех под руководством кроссфункциональной команды РСХБ.Цифра.

Внедренное решение используется в банке для сбора, хранения и обработки поступающих из информационных систем метрик. В системе сейчас обрабатывается более 2 млн метрик, а разработанный К2 по техническому заданию банка интеграционный слой объединяет более 20 000 источников.

Для реализации методологии банка специалисты К2Тех использовали интеграционное решение с low-code обработчиками и разработали каскадную систему управления метриками, охватывающую все процессы банка. Решение сократило «шторм» алертов на 90%. 

Россельхозбанк — один и крупнейших банков страны — располагает сложной многоуровневой ИТ-инфраструктурой, к которой предъявляются высокие требования по стабильности и отказоустойчивости. Обладая экспертизой в работе с крупными корпоративными заказчиками, специалисты К2Тех под руководством высококвалифицированной проектной команды РСХБ.Цифра обеспечили плавный переход на новую систему мониторинга, сохранив бесперебойность контроля бизнес-процессов. Внедренная платформа обрабатывает миллионы метрик в режиме реального времени, что позволяет предупреждать возможные инциденты и минимизировать их влияние на клиентов банка.

Всем привет! На связи Титов Антон, ведущий эксперт компании Angara Security по направлению защиты веба.

Зачем нужен WAF

WAF (Web Application Firewall) — сервис защиты веб-приложений от хакерских атак и угроз в интернете на прикладном уровне. Он отслеживает и проверяет весь входящий и исходящий трафик преимущественно по протоколам HTTP/HTTPS, блокируя подозрительные запросы ещё до того, как они доберутся до приложения.

По данным Red Team Angara Security, в более 50% случаев первичное проникновение во внутреннюю сеть организаций происходило через уязвимости публично доступных веб-приложений. Согласно исследованию Positive Research от 2025, в 44% случаев точкой входа в инфраструктуру были уязвимые веб-приложения, похожие цифры дает и Лаборатория Касперского» (39%). По данным исследований Angara MTDR, первоначальный доступ в каждую шестую организацию был связан с эксплуатациями уязвимостей на публично-доступных серверах, причем злоумышленники преимущественно используют «проверенные временем» бреши.

Таким образом, можно сделать вывод, насколько важно иметь защиту своих веб-ресурсов в лице WAF. Однако…

Проблема внедрения и использования WAF

WAF – всего лишь инструмент, и как с любым инструментом, с ним необходимо правильно обращаться. Как пример из жизни, вряд ли вы захотите сверлить отверткой, или, допустим, окружать свой участок забором без ворот. К слову, о воротах…

Привет, Хабр!

Скорее всего каждое ваше утро начинается также как и моё: беру в руки телефон, и прежде чем проверить сообщения, мой палец сам тянется к экрану. И, честно признаться, я даже не вспоминаю о пин-коде — я просто смотрю на камеру, и устройство открывается. Это стало настолько обыденным, что уже даже кажется, что так было всегда.

ИИ-ассистенты не только помогают писать код, но и прекрасно могут оценить ваши ноу-хау по степени полезности для владельцев своих компаний. Как с этим жить? Как этому противостоять?

Сегодня в ТОП-5 — MITRE опубликовала список самых опасных уязвимостей в 2025 году, Adex выявили использование рекламных сетей для распространения ВПО Triada, Google внедряет в Chrome многоуровневую защиту ИИ-агентов, обнаружен новый бэкдор GhostPenguin для Linux, Akira атакует Hyper-V и VMware ESXi с помощью программ-вымогателей.

Представьте, что вы остановили атаку шифровальщика, залатали уязвимость и восстановили системы из бэкапа. Через неделю в той же сети всплывает майнер. Еще через месяц документы утекают в открытый доступ. Следы каждый раз ведут к одной и той же уязвимости. Что происходит: резвится один упорный хакер или ваша сеть превратилась в «коммуналку» для злоумышленников?

С каждым годом становится всё труднее ответить на этот вопрос. Атрибуция кибератак превратилась в гадание на кофейной гуще. Атакующие используют одни и те же open-source-инструменты, а хорошая телеметрия блокирует атаки так быстро, что после инцидента остается слишком мало данных для полноценного расследования.

Чтобы разобраться в ситуации, мы позвали Семена Рогачёва, руководителя отдела реагирования на инциденты Бастиона. Он уже выступал с докладом на эту тему. 

Рассмотрим три реальных кейса: от простого подсчета атакующих до полной неопределенности с двумя группировками на одном сервере. Сразу предупреждаем: простых ответов не будет. 

* Если вам не нравится слово отпечаток, заменяйте его на слово hash.

* В статье фигурируют два отпечатка: отпечаток (hash) публичного ключа и отпечаток (hash) файла с данными. Будьте внимательны, чтобы понимать, о каком отпечатке мы говорим в данный момент.

Предположим, что у нас есть:

file_name — файл данных, подлинность которого мы хотим проверить.

file_name.asc — файл с цифровой подписью, который содержит:

Исследователи «Лаборатории Касперского» опубликовали подробный анализ беспроводного протокола с низким энергопотреблением Zigbee, используемого для автоматизации как в домашних условиях, так и в промышленности. В статье исследуется безопасность систем на базе данного протокола и предлагаются варианты потенциальных атак, которые стоит учесть при разработке методик защиты для индустриальных систем.

Важными преимуществами протокола являются низкое энергопотребление и поддержка ячеистой топологии: устройства могут передавать данные по цепочке, таким образом расширяя покрытие сети. Большая площадь покрытия также обеспечивается благодаря возможности объединения в единую сеть большого количества устройств — до нескольких тысяч. Протоколом предусмотрены три основных типа устройств: координатор, осуществляющий контроль устройств, маршрутизатор и конечные устройства. В статье анализируются потенциальные атаки прикладного уровня (в отличие от, например, низкоуровневых радиоатак) и рассматриваются два вектора: инъекция поддельных пакетов данных и подмена координатора.

Сегодня у нас по‑своему уникальный разбор. Мы будем разбирать ещё идущую (на момент написания статьи) массовую криптоскам‑схему. В некотором роде автор статьи (то есть я) рискует, потому что обламывает ловким ребятам стотысячедолларовую схему по радостному отьему денежек у отрицательных счастливчиков!

Будет всё: имена, пароли, явки, количество обманутых прогретых инвесторов и объемы успешно проинвестированного. Спешите читать!

Всем привет! На связи Angara Security. Сегодня Лариса Карпан, старший специалист по безопасной разработке, подготовила статью для AppSec- и DevSecOps-специалистов, а также для CISO, которые уже столкнулись с интеграцией ИИ в свои процессы и системы, но пока не знают, с какой стороны подойти к вопросам безопасности. Это, по сути, «MLSecOps для самых маленьких».

Просим опытных экспертов в области безопасности AI проходить мимо и не бросаться помидорами, статья рассчитана на новичков в данной области. Также хотим подчеркнуть, что данный материал относится ко всем типам ML-моделей, включая генеративный ИИ (GenAI) и предиктивный ИИ (PredAI).