Информационная безопасность *

Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение - и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum.

Две команды, одна сеть, ноль координации

В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа - команда ИБ. Инструменты разные, консоли разные, приоритеты разные.

На бумаге это выглядит как разумное разделение ответственности. На практике - как разрыв, который стоит больших денег на решения и времени на администрирование.

В этом интервью мы поговорили с Chief AI Architect Андреем Носовым о феномене OpenClaw, который набрал популярность на GitHub быстрее, чем Linux. Мы честно обсудили, как обуздать недетерминированный хаос с помощью Kafka и Pydantic-схем, зачем нужен трейсинг естественного языка, в каких случаях подход Human-in-the-Loop спасает жизни. Видео интервью можно посмотреть по ссылке, а задать вопросы спикеру и обсудить - в телеграм-канале Ai4Dev в котором уже 5 000 разработчиков.

«— А трактор случайно не в залоге?» — с такого вопроса обычно и начинался рабочий день сотрудников департамента залогового обеспечения в нашем банке. За ним стоит однотипная рутина, на которую раньше уходила большая часть времени: открыть Реестр уведомлений о залоге движимого имущества, ввести данные клиента, подождать результат, проанализировать, принять решение — и так по каждому.

Проверка одного заемщика занимает не больше пяти минут, но, когда за час приходит сотня заявок, ручной режим превращается в узкое горлышко.

Так в 2024 году перед нами встала задача: автоматизировать выгрузку данных о залогах движимого имущества из реестра, оператором которого является Федеральная нотариальная палата. Я выступала системным аналитиком от системы, отвечающей за взаимодействие банка с внешними сервисами, — оказалась в самом интересном месте: между банком и внешним миром.

В этой статье расскажу, как мы подружили банк с ФЦИИТ, с какими трудностями столкнулись и что из этого вышло.

Материал будет полезен системным и бизнес-аналитикам, которые только начинают проектировать интеграции с внешними системами.

Design by Contract Мейера не взлетел в 1986 из-за двойной работы. AI-агент убирает вторую половину. Я построил PKI-систему с аппаратным TRNG, формальными контрактами на криптографию и открытым репозиторием, чтобы это доказать.

Можно ли смотреть на подпись Schnorr и MuSig2 не как на «чёрный ящик», а как на математическую систему наблюдаемых структур? В статье разбирается строгий BIP340 membership bridge, affine-представление скрытых нонсов, compression/connectivity-метрики и protocol-valid affine-линеаризация MuSig2 partial signatures. Без сенсаций и без заявлений о «магическом взломе» — только формальная модель, подтверждённые артефакты и аккуратный разбор того, что действительно доказано на практике.

Контента по информационной безопасности стало много. Проблема в том, что количество давно перестало означать качество. Большинство материалов твердит, что «угрозы растут» и «защита необходима», но почти не отвечает на главный вопрос - как именно работает атака. Получается странная ситуация. Информации много, понимания мало.

Идея SEBERD IT Base появилась как попытка это исправить. Не через очередную подборку новостей или пересказ документации, а через разбор механики. Того, что происходит внутри атаки на уровне действий, протоколов и логики.

Про главные страницы и почему я не стал делать обычную

Честно говоря, я никогда не читаю главные страницы сайтов. Совсем. Мне нужна конкретная информация. Я открываю поиск, иду по прямой ссылке или через навигацию. Главная страница большинства проектов - маркетинговый буклет для тех, кто ещё не решил, нужен ли ему этот сайт вообще. Красивый заголовок, три иконки с преимуществами, кнопка «Начать» и раздел «Нам доверяют».

Я решил не делать такой главной. Вместо неё стоит живая лента угроз. Это агрегатор, который тянет актуальные данные через RSS и API с десятка источников. Он работает с лентами в форматах RSS/Atom и структурированными ответами сервисов, а не парсит чужой HTML вручную.

Источники:

Пока все обсуждают очередные сливы баз и особенности модерации в популярных «безопасных» мессенджерах, решил попробовать пойти другим путем. В этой статье рассказываю, как я скрестил Flutter и Go через CGO, прикрутил libp2p для создания P2P-сети и реализовал честное E2EE шифрование (Double Ratchet для личек и MLS для групп). Никакой централизации, никаких единых точек отказа. Делюсь результатами эксперимента.

Ещё один агент сегодня.

Это по всему реддиту, в каждой телеграмме. "Я собрал за выходные". "Он нашёл 0-day". "Он пишет код лучше". Скрины, демки, восторг, паника.

Когда в конце 80-х мы гоняли ASCII-человечков по бескрайним полям зелёных терминалов, на асме и фокале, никто не думал, что из этого получится индустрия на триллионы. Мы просто хотели, чтобы машина слушалась нас, а не наоборот.

Сейчас она слушается сама себя. И не мы устанавливаем правила. Правила устанавливают нас.

Давайте разберёмcя.

GEOINT (Geospatial Intelligence — геопространственная разведка) — это сбор, анализ и интерпретация изображений, карт и геоданных (GPS, метаданные) для описания и оценки физических особенностей и событий на Земле.

Это направление OSINT, соединяющее спутниковые снимки, карты и геотеги из соцсетей для точного установления времени и места.

Давно хотел поднять свой C2-сервер. Ну, чтобы как большие мальчики с доменом, прокси, шифрованным туннелем. Но покупать VPS с 8GB RAM и платить за Cobalt Strike как‑то жирновато. Решил: будет малинка.

ВНИМАНИЕ: Эта статья предназначена для ознакомления начинающим исследователям в области Кибербезопасности. Я не предоставляю инструкций по атакам на инфраструктуру. Я не буду тут показывать как обходить защиту windows и какие либо системы обнаружения угроз. Перед загрузкой вредоносного файла я отключил защиту в windows. Такая атака не сработает в боевых условиях это лишь материал для начального ознакомления!

Обратил внимание на радужку глаза человека как на неповторимую биометрическую характеристику сродни отпечатку пальца Фрэнсис Гальтон. В 1888 году в своей статье в журнале «Nature» «Personal identification and description («Идентификация личности и ее характеристики») он писал, что тело человека можно порезать на микротоме на 800 миллионов слоев толщиной в одну десятитысячную дюйма, и на каждом их них мы под микроскопом увидим неповторимую картинку. В случае же бороздок на коже подушечки пальца и в радужке глаза никого резать не надо, природа предоставляет нам уникальные узоры уже в готовом виде. При этом, добавляет он, «отметины на радужной оболочке глаза никогда не были должным образом изучены, разве что производителями глазных протезов, которые распознают тысячи их разновидностей. Эти отметины вполне заслуживают того, чтобы их сфотографировали с натуры в увеличенном масштабе».

Их фотографировали много раз и довольно быстро убедились, что узор радужки каждого человека действительно не менее уникален, чем отпечатки пальцев. В 1935 году криминолог Карлтон Саймон и главный врач отделения офтальмологии нью-йоркской больницы Маунт-Синай Исидор Гольдштейн опубликовали в «New York medical journal» статью под заголовком «Новый научный метод идентификации», где как раз утверждалось, что рисунок радужки глаза уникален и потому подходит для идентификации человека. В том же году они доложили об этом на ежегодном съезде полицейских начальников в Нью-Йорке. Разумеется, утверждать это Саймон и Гольштейн могли лишь с определенной степенью вероятности, больница Маунт-Синай хоть была самой большой в городе, но выборка проверенных на сходство радужки ее пациентов удовлетворяла только 95% порогу вероятности. Спустя ровно 20 лет другой окулист доктор Пол Тауэр показал, что рисунки радужки отличаются, причем сильно, у шести исследованных им пар гомозиготных (однояйцовых) близнецов, что произвело гораздо большее впечатление на криминалистов, чем доклад Гольдштейна и Саймона.

Государство усиливает заботу о гражданах: крупные сервисы и государственные приложения на Android всё активнее выявляют использование Перехватчиков трафика. Разбираемся, какими методами ведётся это наблюдение — и что Ненадёжные элементы противопоставляют Праведному взору Государства.

Одной из самых актуальных уязвимостей в Windows Server Update Services (WSUS) стала критическая ошибка с идентификатором CVE-2025-59287 и оценкой CVSS 9.8. Она связана с десериализацией недоверенных данных в службе обновления Windows Server и позволяет неавторизованному удаленному злоумышленнику выполнить код на сервере, отправив специально сформированное событие.

В разборах эксплуатации шаги были указаны некорректно, так как их взяли из статьи. Однако позже авторы сами ее исправили и указали, что разбор относится к CVE-2023-35317, тогда как анализ CVE-2025-59287 перенесли в отдельную статью.

Это вызвало путаницу в многочисленных репостах, поэтому мы решили расставить все точки над i и заодно показать, как атакующий может восстановить оснастку после эксплуатации уязвимости.

VPN в России формально не запрещён.
Но если вы попробуете сегодня поднять свой VPN на российском VPS — есть шанс, что завтра вам просто отключат сервер.

Без суда. Без объяснений. Просто потому что «так надо».

В пакет «Антифрод 2.0» тихо добавили правки, которые превращают хостинг-провайдеров из нейтральных посредников в контролёров. Теперь они должны проверять клиентов, сверяться с базами Роскомнадзора и, если что — разрывать договор.

Как хостер должен понять, что у вас внутри VPS — корпоративный VPN или «неправильный» туннель?
Как отличить разработчика, который подключается к серверу, от человека, который просто смотрит YouTube?
И главное — кто будет платить за весь этот контроль?

Параллельно происходит ещё кое-что:
- операторы замораживают расширение каналов в Европу
- крупные сервисы уже режут пользователей с VPN
- из App Store исчезают десятки "неугодных" VPN-сервисов
- бизнесу рассылают методички «как искать VPN»

Всё это начинает складываться в систему.
Не запретить напрямую — а сделать использование максимально неудобным, дорогим и рискованным.

Гайки закручиваются. И в этот раз — не только для «обходчиков блокировок».

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей.

Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать.

Никакой рекламы. Только разбор.

Откуда взялась платформа и почему это не маркетинг

Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно.

Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути.

По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

Почему правил корреляции больше недостаточно?

Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей).

Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы.

Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”).

На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой  принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его  возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

Дипфейком уже никого не удивить. И слава Богу мы научились более-менее отличать их от реальности. Возможно в игру здесь вступил какой-то пока еще не открытый, может принципиально новый механизм эволюции.

Но AI продолжает тренироваться с упорством олимпийского фехтовальщика. И некоторые виды AI-медиа для экспертизы невооруженным глазом (или ухом) фактически уже потеряны. Особенно это касается текста.

Что же нас ждет в недалеком будущем такими темпами?

Ваши пароли, TLS, блокчейны — всё под ударом. Единственный щит, который не взломать даже квантовым алгоритмом, спрятан внутри фотона. Добро пожаловать в мир, где законы физики важнее вычислительной мощности.

В современной ИТ-инфраструктуре источники событий разрознены: firewall, серверы, АРМ, облако – все они формируют собственные потоки данных. Уже на их основе можно создать единую картину киберинцендента. Для этой задачи подойдет SIEM-система (Security Information and Event Management). Она помогает объединять логи в единое окно контроля, коррелировать разрозненные события и выявлять скрытые атаки, которые невозможно заметить при изолированном анализе. В итоге вместо хаотичных данных команда получает основу для оперативного реагирования и соблюдения регуляторных требований.

Однако нередко после внедрения SIEM превращается в дорогостоящее хранилище логов, которое не подвергается анализу со стороны командой. В этом материале ответим на несколько вопросов о данном типе решений: кому и зачем оно нужно, как правильно настроить систему и как определить ее эффективность. Подробнее расскажет Илья Куриленко, заместитель генерального директора по развитию компании «Анлим», центра компетенций по информационной безопасности.

Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает.