Информационная безопасность

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей.

Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать.

Никакой рекламы. Только разбор.

Откуда взялась платформа и почему это не маркетинг

Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно.

Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути.

По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

Промышленные трехфазные источники бесперебойного питания (ИБП) — это не просто «усиленная версия» решений для серверных или дата-центров. Это отдельный класс оборудования, спроектированный под специфические условия эксплуатации: агрессивные среды, нестабильные сети, высокие пусковые токи. Ошибка в выборе здесь может стоить не только издержек, связанных с простоем, но и повреждения оборудования или нарушения производственного процесса, что особенно критично для непрерывных процессов, например, переработки сырья.

В этой статье разберем, чем промышленные трехфазные ИБП отличаются от решений для ЦОД, какие требования к ним предъявляются, и отдельно остановимся на важных технических особенностях. В завершение кратко рассмотрим пример решения — промышленные ИБП Uniprom Industrial от Systeme Electric.

Почему правил корреляции больше недостаточно?

Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей).

Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы.

Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”).

На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой  принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его  возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

Ваши пароли, TLS, блокчейны — всё под ударом. Единственный щит, который не взломать даже квантовым алгоритмом, спрятан внутри фотона. Добро пожаловать в мир, где законы физики важнее вычислительной мощности.

В современной ИТ-инфраструктуре источники событий разрознены: firewall, серверы, АРМ, облако – все они формируют собственные потоки данных. Уже на их основе можно создать единую картину киберинцендента. Для этой задачи подойдет SIEM-система (Security Information and Event Management). Она помогает объединять логи в единое окно контроля, коррелировать разрозненные события и выявлять скрытые атаки, которые невозможно заметить при изолированном анализе. В итоге вместо хаотичных данных команда получает основу для оперативного реагирования и соблюдения регуляторных требований.

Однако нередко после внедрения SIEM превращается в дорогостоящее хранилище логов, которое не подвергается анализу со стороны командой. В этом материале ответим на несколько вопросов о данном типе решений: кому и зачем оно нужно, как правильно настроить систему и как определить ее эффективность. Подробнее расскажет Илья Куриленко, заместитель генерального директора по развитию компании «Анлим», центра компетенций по информационной безопасности.

Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает.

На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

Главный секрет успеха фишинга — в социальной инженерии, в умении сыграть на человеческих слабостях и эмоциях. Чтобы подцепить жертву на крючок, злоумышленникам не нужны сложные дорогостоящие технологии.

В этой статье расскажем о работе аналитика SOC, когда ему нужно проверить письмо на вредоносность. 

Начинаем цикл статей о SOC. Разберем, как устроена работа аналитика: теоретические основы и ключевые элементы практики.

Эти материалы помогут системно анализировать события кибербезопасности, сопоставлять артефакты, восстанавливать логику действий злоумышленника и выстраивать обоснованные выводы по инцидентам. 

В первой статье рассмотрим основные инструменты и компетенции аналитика.

В апреле 2026 года мы выпускаем обновление Ideco NGFW Novum. Это плановый релиз, в котором развиваются пять направлений: централизованное управление, защита DNS, управление удалённым доступом, SD-WAN и кластеризация. Ниже разбираем, что именно изменилось и какие задачи это решает.

Искусственный интеллект пока несовершенен, ему свойственны предвзятость, необъяснимость, а то и простое вранье, которое принято дипломатично называть «галлюцинациями». Эти проблемы актуальны и для мышления человека, поэтому люди давно изобрели способы их решения. В частности, Федор Достоевский пытался решить их в своем проекте «Дневник писателя», и будь он жив в наши дни, он предложил бы свой метод обучения ИИ.

Писатель в своем творчестве использовал особенный способ рассуждений: он стремился все рассматривать в полноте, то есть проникнуть вглубь явлений, найти их первопричины, описать те факторы и процессы, которые остаются без наблюдения со стороны общества, и рассматривать явления вместе со способами рассуждений о них.

В частности, писатель обнаружил существование областей общественной жизни, которые остаются без наблюдения: «огромная часть русского строя жизни осталась вовсе без наблюдения и без историка, … У нас есть бесспорно жизнь разлагающаяся …. Но есть, необходимо, и жизнь вновь складывающаяся, на новых уже началах. Кто их подметит, и кто их укажет? Кто хоть чуть-чуть может определить и выразить законы и этого разложения, и нового созидания?» Он как раз и стремился подметить законы и разложения, и созидания.

Метод позволил самому Достоевскому стать всемирно известным писателем и повлиять не только на российскую и мировую литературу и культуру, но и на науку. Альберт Эйнштейн писал, что Достоевский дал ему необычайно много, больше чем величайший математик Гаусс. Физик не объяснил, чему именно научился он у писателя, но можно предположить, что это касается способа мышления, который у них обоих совпадает в ключевом моменте.

Данный таск был частью 5 сезона CTF, который проходил на площадке ACLabs. Машина необычная с увлекательным сюжетом и интересными уязвимостями.

Условие задачи:

Борис — старый почтовый голубь. Катя, его голубка, улетела к наглому Воробью. Три дня Борис пил дешёвое пойло и строчил план мести. Теперь этот план у тебя. Помоги Борису пробраться в цифровое гнездо Воробья, украсть его аккаунт и стать рутом. Следуй за пьяными записками — там всё сказано и даже больше. Внимание, стенд будет полностью готов только по истечении обратного времени отсчета, даже если адрес появился раньше!

Цепочка атаки

Атакующая цепочка «PigeonsRevenge» комбинирует одну реальную критическую CVE (Webmin 1.910 — CVE-2019-15107, 9.8 CRITICAL) с набором классических техник ATT&CK: активная разведка → port knocking → эксплуатация публичного приложения → Metasploit reverse-shell → туннелирование Ligolo-ng → инъекция через переменную окружения в кастомный бинарник → обход фильтра табуляцией → закрепление с root-привилегиями.

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак, проведенных Mandiant в 2025.

Делимся с вами подробностями.

Вы открываете YouTube, Twitch или просто обновляете приложение — и, возможно, уже скоро за это придётся платить как за «иностранный трафик».

По обсуждаемым инициативам, после 15 ГБ в месяц каждый дополнительный гигабайт может стоить около 150 рублей — формально для борьбы с VPN.

Звучит просто: VPN = зарубежный сервер = иностранный трафик.
Значит, нужно просто посчитать и ограничить.

Проблема в том, что интернет так не работает.

Тот же Twitch сегодня может отдавать вам видео из локального кэша в вашем городе, а завтра — из Франкфурта. API вашего приложения может находиться в Нидерландах, а сайт с российским доменом — работать через зарубежный CDN.

И в какой-то момент становится непонятно: где вообще проходит граница между «нашим» и «чужим» трафиком?

Я решил разобраться в этом с технической стороны:

- что на самом деле видит провайдер

- почему он не может «заглянуть внутрь» вашего трафика

- как устроены VPN и чем они отличаются (или не отличаются) от обычного HTTPS

- можно ли реально отличить VPN от обычного трафика

- и почему идея считать «иностранные гигабайты» выглядит куда более спорной, чем кажется

И главный вопрос, к которому всё это приводит: можно ли вообще технически корректно реализовать такие ограничения да так, чтобы не сломать половину интернета?

Если коротко — всё чуть сложнее, чем звучит в новостях.

Вторая статья цикла о криптографии, в котором мы рассказываем, как человечество училось прятать и расшифровывать секреты — от древних методов до современных алгоритмов.

Сегодня мы перенесемся в эпоху Возрождения — время, когда шифрование превратилось из ремесла в науку. В этой статье вы узнаете, как Леон Баттиста Альберти изобрел первый шифровальный диск, заложив основы многоалфавитной замены, познакомитесь с забытым шифром Тритемиуса, увидите, как коммерсанты учились защищать свои секреты и как криптография проникла в литературу.

В первой части статьи про KNGFW мы разобрали, как собрать контур управления, связать компоненты и получить рабочую основу. Но на этом этапе NGFW всё ещё остаётся «правильно собранным железом». Оно готово к работе, но само по себе ещё ничего не защищает.

В этой статье начинается самое интересное: момент, когда устройство начинает «оживать». Появляются реальные правила, через него идёт трафик уже не в тестовом, а в рабочем режиме, а сама система из набора компонентов превращается в полноценный элемент инфраструктуры.

Дальше материал будет максимально прикладным. Сначала собирем базовую конфигурацию: сеть, доступы, NAT, логирование, интеграции. Всё, на чём держится повседневная работа. А затем переходим к модулям безопасности и той задаче, ради которой NGFW в принципе и внедряется.

Привет, Хабр! На связи Владислав Пермяков, ведущий пресейл-инженер К2 Кибербезопасность.

Давайте честно: в картине мира среднестатистического инженера любой человек с приставкой Sale скорее вызывает легкое раздражение, чем симпатию. Не потому, что «сейлы плохие», а потому, что красивая коммерческая идея слишком часто не выдерживает столкновения с реальностью. Вот, например, приходит радостный сейл, кладет на стол подписанный контракт со словами: «Мы продали им весь наш портфель!» Ты открываешь спецификацию, смотришь на инфраструктуру заказчика и понимаешь, что такие костыли не взлетят. Устаревший парк серверов, каналы связи не потянут трафик, а совместимость с легаси-софтом никто не проверял. Но сейл уже оформляет новую сделку, а тебе нужно заставить работать решение, которое технически не подходит под задачи клиента.

Качество внедрения и жизнь инженеров во многом зависят от того, о чем договорились на этапе продажи. В какой-то момент я захотел взять это под контроль, и внезапно оказался на «темной стороне» — стал пресейл-инженером и собрал целый отдел таких же отступников.

Пятница, 18:00: сотрудники одной достаточно крупной компании спокойно заканчивают работу. Понедельник, 08:00: все рабочие компьютеры показывают экран восстановления BitLocker, контроллер домена скомпрометирован, а ключи у злоумышленника. Между этими точками четыре шага, и ни один из них не был сложным.

Ни одна из уязвимостей не была чем-то необычным. Вы почти наверняка видели каждую из них в какой-нибудь инфраструктуре. Но здесь они сложились в цепочку, и никто не заметил, пока она не отработала до конца.

Offensive Security Web Expert (OSWE) – продвинутая сертификация offsec по безопасности WEB приложений. Причем ключевым отличием от менее известного Offensive Security Web Assessor (OSWA) является упор на анализ исходного кода приложения, то есть поиск уязвимостей в формате «белого» ящика.

Окончательное решение сдавать этот экз я принял на бизнес съезде в Турции, когда познакомился с предпринимателем, который проходил ironman (ссылка) дважды.  Мой поздний достигатель сразу загорелся идеей о стремительной подготовке. Однако товарищ председатель кооператива задал мне закономерный вопрос: «А OSWE сдать ты не хочешь?».

9 апреля 2025 года, в своём телеграм-канале PathSecure я опубликовал новость о приобретении курса :)

Привет, Хабр! 

Меня зовут Андрей Кузнецов, я ML-директор в Positive Technologies. Недавно я решил разобраться, какие бенчмарки измеряют способности языковых моделей в контексте задач кибербезопасности. Думал, что это займет вечер, — увы! Все оказалось куда хаотичнее, чем предполагалось. Поэтому делюсь тем, что собрал сам.

Первое, что бросилось в глаза, — полный бардак и отсутствие системы. Бенчи, про которые все пишут в 2024-м, могут вообще не упоминаться в свежих статьях 2025-го. А некоторые широко цитируемые датасеты при ближайшем рассмотрении оказываются сделанными очень небрежно, из-за чего непонятно, что они вообще измеряют. Поэтому, прежде чем лезть в конкретные примеры, давайте определимся, какими они бывают.