Информационная безопасность

В наш век технологий обработка данных и мониторинг систем становятся критически важными. Поэтому для обеспечения бесперебойной работы я часто использую в своих проектах Elastic Stack (ранее известный как ELK Stack), позволяющий собирать, хранить и визуализировать огромные объемы данных. Этот подход широко применяется для анализа логов, мониторинга инфраструктуры, создания отчетов, а также для обнаружения аномалий и ошибок. 

Одной из ключевых задач при работе с Elastic Stack является настройка эффективной системы уведомлений. Это позволяет оперативно реагировать на происходящие события и минимизировать последствия сбоев или атак. В таком контексте фреймворк ElastAlert 2 представляет собой мощный инструмент, который значительно расширяет возможности встроенных уведомлений Elastic Stack, обеспечивая гибкость и детализацию алертов.

В этой статье в блоге ЛАНИТ я расскажу о том, какое одно универсальное правило для мониторинга событий в ElastAlert 2 охватывает все основные варианты условий срабатывания. Рассмотрим, как можно использовать ElastAlert 2 для расширения функциональности алертинга в Kibana и как интегрировать оба инструмента для более эффективного мониторинга событий.

Системным аналитикам часто приходится проектировать процессы авторизации, выбирать протоколы и описывать требования к аутентификации. Но когда дело доходит до SSO (Single Sign‑On) — архитектурных решений становится неожиданно много:
OIDC, SAML, Kerberos… Что из этого выбрать и почему?

В статье — подробный разбор SSO:

• Что это такое, как работает и где мы сталкиваемся с этим каждый день (вход через Google, корпоративные порталы, файловые ресурсы Windows);

• Как устроены OIDC, SAML и Kerberos — и чем они отличаются на каждом этапе: от запроса до logout;

• Кому какой протокол подходит и как избежать архитектурных ловушек (например, использование SAML в мобильном приложении — это боль);

• И, конечно, схемы, псевдокод и чек‑листы выбора.

Всем привет! Сегодня разбираем тему, интересную любому цифровому детективу и просто каждому, у кого есть причины опасаться слежки. А именно обнаружение Bluetooth-трекеров. Какой софт лучше всего подойдёт для их выявления? Как не пропустить цифровой хвост, фильтровать лишний шум и правильно анализировать контекст? И где заканчивается здравая цифровая гигиена и начинается паранойя? Обо всём этом и других ключевых моментах обнаружения BLE-слежки читайте под катом!

Зачем вообще этим заморачиваться?

Некоторые образцы malware выполняют различные проверки, чтобы определить, запущены ли они в виртуальной машине. Один из самых частых способов — проверка наличия определённых аппаратных компонентов, обычно не эмулируемых в виртуальных средах. Один из таких компонентов — кулер процессора. Например, malware может проверять наличие кулера процессора, поискав в WMI класс Win32_Fan:

wmic path Win32_Fan get *

Они делают это, чтобы не запускаться в виртуальных машинах, усложнив таким образом процесс анализа для исследователей безопасности.

Зловредное ПО может определять, запущено ли оно в виртуальной машине, множеством разных способов. Есть различные классы WMI, позволяющие обнаружит присутствие виртуальной машины, например, Win32_CacheMemory, Win32_VoltageProbe и множество других.

В этом посте я расскажу о кулере процессора. Мне просто понравилась идея убедить виртуальную машину, что он у неё есть. Однако такой же подход можно применить к другим аппаратным компонентам и классам WMI.

Доброго времени суток!
В этой статье мы подробно рассмотрим работу с протоколом SMB (Server Message Block) . Мы узнаем, как работать с этим протоколом и в конце попробуем добраться до флага.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Трудно переоценить значение стратегии и тактики в мире информационной безопасности. Атакующий выбирает момент, место и способ воздействия. Современные Red Team операции, имитирующие действия реальных нападающих, аналогично строятся не на хаотичных попытках прорыва, а на системном применении проверенных принципов, во многом восходящих к древним учениям о войне и манипуляции. Тактики позволяют не просто найти уязвимости, но и использовать их максимально эффективно. Стратегия же определяет, какие цели выбирать, в какой последовательности их атаковать и как маскировать истинные намерения под прикрытием легитимных действий.

Сочетание стратегического мышления и тактической гибкости делает Red Team не просто техническим инструментом тестирования безопасности, а полноценным симулятором реальных APT-угроз. В этом смысле каждая операция становится полем для применения древних стратагем, адаптированных под цифровую эпоху.

Трактат о 36 стратагемах условно делится на шесть блоков: стратагемы победоносных сражений, стратагемы сражений при равновесии сил, стратагемы наступательных сражений, стратагемы сражений с несколькими участниками, стратагемы сражений совместно с третьей стороной и стратагемы проигрышных сражений. В данной части статьи речь пойдёт о стратагемах победоносных сражений и стратагемах сражений при равновесии сил.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про то, как Минцифры предлагает запретить смену IMEI, WordPress снова под атакой, американцы запретили себе WhatsApp, clickfix перерождается в filefix, Brother такой Brother и другие только самые важные и интересные новости из мира информационной безопасности.

Долго собирался с духом, чтобы написать первую статью. В открытых источников СТОЛЬКО интересной и полезной информации, что вызывает восхищение уровень подготовленности коллег по цеху. 

Сразу предупрежу: вы не найдёте здесь сенсационных "ноу-хау", которыми можно поразить гуру информационной безопасности. Зато тем, кто только выстраивает защиту с нуля или топ менеджменту, эти заметки, я уверен, окажутся практичными.

Чем дольше наблюдаю за отраслью, тем чаще ловлю себя на мысли: публичные дискуссии о развитии SOC сводятся к витрине из мощных SIEM-ов, SOAR-ов и "прокачанных" ML-движков. Да, для компаний с крупным бюджетом и зрелой инфраструктурой это актуально. Но что делать тем, кто только выходит на рынок или просто не дорос до подобных затрат?

В большинстве материалов всё звучит примерно так: "нужно внедрить средства защиты, и ИБ обязана всё контролировать". А что означает это "всё"? Конкретные болевые точки команды безопасности остаются за кадром. Выходит, что советов много, но реальной опоры для тех, кто начинает с чистого листа - минимум.

И ещё одна ремарка. Дорогой и прокаченный софт - не "золотая пуля", а лишь инструмент, который помогает вам, если прежде проделана подготовительная работа: описаны процессы, понятна модель угроз и расставлены приоритеты. Без этого даже самый "умный" продукт рискует стать очередной дорогой коробкой в серверной.

Я не претендую на истину в последней инстанции. Многие из моих более опытных коллег и так знают всё, о чём пойдёт речь. Но если этот текст сэкономит время тем, кто только выстраивает ИБ-функцию, значит, задача выполнена.

С распространением ИИ-ассистентов и чат-ботов появляется новая категория угроз, о которой пока мало кто говорит, но бизнес уже несёт реальные убытки. Не хватало нам DDOS атак и клик фрода, как активно начали применять:

Всем привет! Сегодня я хочу поделиться историей одного странного и затянувшегося расследования, главным героем которого стал мой компьютер, а антагонистом — веб-версия Telegram. Эта история не только о поиске прожорливого процесса, но и о глубоких аномалиях в поведении современных веб-приложений, которые вызывают серьезные вопросы.

Всех приветствую! В этой статье разберем базовую настройку защищенного удаленного доступа к сетевым устройствам через SSH в учебной лабораторной работе на эмуляторе GNS3. В сети будут задействованы два маршрутизатора - Cisco и MikroTik, а также виртуальные машины с Windows 10 и Kali Linux, что позволит максимально приблизить работу к реальным условиям. В ходе работы настроим IP-адресацию, обеспечим маршрутизацию между подсетями и организуем безопасное управление оборудованием через SSH.

Полный список команд для настройки Cisco, MikroTik и ПК, с краткими комментариями к каждой команде можно посмотреть здесь. Подробно разбирать каждую из них мы не будем, чтобы не растягивать материал, но обязательно сделаем общий разбор ключевых этапов настройки и поясним логику, чтобы было проще понять, зачем выполняется та или иная команда.

Число пользователей мобильных устройств по всему миру огромно. Согласно отчёту Facts and Figures 2023, опубликованном Международным союзом электросвязи (МСЭ) в ноябре 2023 года, доля владельцев мобильных телефонов среди населения мира в возрасте 10 лет и старше составляет 78%, а охват мобильной широкополосной связью 3G и выше среди всего населения мира составляет 95%. Смартфоны больше не ограничиваются традиционной коммуникационной функцией операторов, а становятся основным средством для ежедневных покупок, развлечений, социального взаимодействия, учебы и бытовых услуг. Они также являются узлами для мобильных офисов и даже идентификационными токенами для доступа к различным государственным и корпоративным сетям.

Но в то же время мобильные смарт устройства, такие как мобильные телефоны, таят в себе огромные риски кибербезопасности. По сравнению с традиционными ПК, они обладают более широкими возможностями распознавания и оснащены высокоточными датчиками, а также устройствами сбора информации, такими как камеры и микрофоны. Посредством сбора и анализа источников данных на устройстве можно проводить целенаправленный, точный портретный анализ личной трудовой и жизненной деятельности, поведенческих привычек, психологических характеристик, социальных отношений и окружающей среды, и даже управлять мобильным телефоном посредством использования уязвимостей и доставки вредоносного ПО, чтобы осуществлять всестороннее прослушивание телефонных разговоров и скрытое наблюдение за его владельцем. Скомпрометированный мобильный телефон — это как «жучок на ногах». Куда бы он ни пошёл, никакие секреты не могут быть сохранены: всё прозрачно для нападающего, смотрящего с позиции «Всевидящего ока». Смарт-устройства, таких как мобильные телефоны, которые используются в окружении мобильных офисов, однажды будучи скомпрометированными, могут привести к утечке чувствительных данных всей сети. Более того, они могут стать точкой входа и трамплином для вторжения во внутренние сети государственных и корпоративных структур.

Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год.

Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро!

Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем.

Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы.

Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!

Всем привет, меня зовут Денис, и я старший инженер инфраструктурной безопасности в Ozon. Эта статья — продолжение цикла про osquery и Fleet.
Предыдущие статьи вы можете почитать здесь и здесь.

В статье хочу поделиться радостью и «болью» опыта эксплуатации связки Fleet и osquery в масштабе e-commerce/highload.
Этот опыт будет полезен тем, кто ещё только думает об этой связке и планирует её внедрять, а также тем, кто уже внедрил и эксплуатирует.
Osquery мы эксплуатируем на рабочих станциях и серверах под управлением операционных систем MacOS, Windows и Linux.
Для начала стоит напомнить, что такое osquery и Fleet и почему они так классно друг друга дополняют.

Osquery — opensource, написанный на С++, представляет собой агента, запущенного на хостовой (и не только) ОС, который может предоставить большое количество информации о вашей системе и событиях в виде СУБД.

Также osquery имеет два вида запросов:

Доброго времени суток всем!
Это вторая статья из серии Starting Point на HackTheBox. В ней попробуем разобраться в работе FTP-протокола и выполним несложные задачи.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Аналитики Центра кибербезопасности компании F6 обнаружили новую волну вредоносных рассылок от киберпреступной группы Werewolves. Злоумышленники направляют фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.

Вокруг DDoS-атак и защиты от них сформировался целый рынок страха, где услуги нередко продаются втридорога, а реальная потребность большинства сайтов в дорогих анти-DDoS-решениях сильно преувеличена. В этой статье я разберу, как устроены DDoS-атаки, почему большинство сайтов не нуждаются в дорогостоящей защите и как можно эффективно и недорого обезопасить свой ресурс.

По полочкам:
- Чего действительно стоит бояться, а что — просто маркетинг;
- «Бесплатный анти-DDoS» — провайдер защищает себя, но, типа, нас;
- 1000 скачиваний одной картинки — это и есть DDoS от которого падают наши сайты;
- Как отсеивать HTTP-бото-мусор одной проверкой JavaScript;
- Как развернуть страницу верификации на своем сервере и эффективно отсеивать ботов;

В наше время разработчики уже не так беспокоятся о размере приложений. Некоторые простейшие приложения требуют под 200-300 МБ, а игра вообще может весить более 100 ГБ. Я уже не говорю про "Hello World", который иногда занимет под 180-260 КБ!

К счастью, есть возможность сократить размер приложения. О мусоре в exe'шнике и о способах его удаления написано в этой статье.

На прошлой неделе я решил испытать возможности iScan.today, так как видел о нем много положительных отзывов.

Как только мне прислали ответ, я сразу начал тестировать свои цели.

Как получить денежную компенсацию за вред, причиненный спамерами, перестать злиться самому и заставить злиться спамеров. Продолжение статьи.

Начало: https://habr.com/ru/articles/883802/.
Вторая часть: https://habr.com/ru/articles/891994/