Информационная безопасность *

Представьте, что дороги в вашем городе заменили за ночь: больше нет светофоров на каждом перекрёстке, машины едут быстрее, а пробки исчезают сами собой. 

Так же внезапно (и не так уж безболезненно) интернет получил новую «дорожно-транспортную» логику: QUIC и HTTP/3. В этой статье разберём, что конкретно дают HTTP/3/QUIC веб- и мобильным приложениям, где эффект заметен сразу, а где — только после тщательного теста. Детали под катом.

Привет! Меня зовут Иван Преображенский, я руковожу группой молодых и талантливых юристов, отвечающих за операционное направление в Positive Technologies. Любой коллега может прийти к нам за правовой помощью или советом: какой договор необходимо использовать для защиты компании и работников, нужно ли согласовывать использование того или иного визуала с правообладателем, как правильно соблюдать конфиденциальность в работе с заказчиком, где и какой потребуется добавить дисклеймер. И вопросов этих становится всё больше с каждым даже не годом, а месяцем. В этой статье расскажу про ключевые моменты, связанные с работой современного IT-юриста.

Давным-давно, в далекой галактике хакинга… была форма входа, построенная на Angular. Эта история о том, как я смог украсть учетные данные, используя инъекцию шаблона Angular, XSS-уязвимость, и про обход CSRF защиты. Настоящий целевой сайт раскрыть нельзя, поэтому назову его redacted.com.

Привет! Меня зовут Кирилл, я руковожу ИБ в OZON. Уже 15 лет занимаюсь ИБ, успел поработать в телекоме, в медиабизнесах, участвовал в построении SOC, AppSec, строил ИБ с нуля. В общем, успел много повидать, а сегодня расскажу, как, будучи CISO, снова оказался на позиции специалиста первой линии SOC.

Мы в OZON давно и плотно работаем с ИБ. Многими кейсами, знаниями и практиками уже делились на Хабре, но продолжаем регулярно проводить митапы, выступать на конференциях, поскольку собрали большую команду с крутой экспертизой.

В этой статье расскажу, как мы строили первую линию SOC, зачем отправляем туда действующих сотрудников на стажировку. Какие очевидные и неочевидные выводы можно сделать, отправляя сотрудников на вторую линию, но сначала разберёмся с SOC и некоторой терминологией вокруг.

Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений — IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.

В прошлой статье «Головоломка на 1000 BTC» рассказывалось об удивительных кошельках с дармовыми биткоинами, владелец которых буквально хочет, чтобы вы их себе забрали. И люди так это и делали до тех пор, пока не возникли криптопаразиты — хакеры, которые уводили добытые призы прямо из под носа счастливчиков.

О том, как это делается и как это избежать — сегодняшняя статья.

Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS.

Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры.

Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее.

Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину.

Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами.

Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.

Веб-приложения и API — это полноценные точки входа в бизнес. Через них проходят транзакции, данные, сценарии пользователей и интеграции с партнерами. Чем больше сервисов, тем шире поверхность атаки. И тем выше шанс, что в потоках легитимного трафика окажется что-то лишнее.

В первой половине 2025 года российские компании зафиксировали более 63 000 атак. Это на 27 % больше, чем в прошлом году!

Массовые автоматические штурмы уходят в прошлое, и чаще атака маскируется под легитимный запрос, но с параметрами, подобранными под уязвимость конкретного сервиса или бизнес-логики. Такие сценарии дольше остаются незамеченными и обходятся дороже, потому что бьют не по инфраструктуре в целом, а по конкретным процессам.

На внешнем рубеже работает WAF. Он фильтрует веб-трафик и отсекает известные угрозы. Но, у него есть слепая зона — внутренняя механика API, где решается, что именно сервису можно, а что нельзя. Здесь нужен API Firewall, который проверяет структуру запросов, ограничивает частоту обращений и анализирует поведение клиента. Вместе они формируют защиту, способную закрыть и технические, и логические векторы атак.

Как раз об этом всем и пойдет речь в этой статье. Она для тех, кто хочет понять, зачем нужны WAF и API Firewall вместе.

Привет, Хабр! На связи команда UserGate uFactor. В наших публикациях мы уже не раз разбирали примеры вредоносного ПО и способы его маскировки в системе. В одной из статей мы рассмотрели вредонос, имеющий возможность очищать журналы событий в Windows, столь важные для анализа инцидентов. В новом материале покажем, как можно восстановить удаленные журналы событий из дампа оперативной памяти и разберем типичные проблемы, возникающие при работе с поврежденными структурами.

Для анализа мы использовали тестовую среду, состоящую из двух виртуальных машин. Осуществили вход при помощи удаленного рабочего стола с одной машины на другую, оставили на ней закладку для очистки журналов, которая активировалась через планировщик заданий, и завершили RDP-сеанс. По истечении времени мы осуществили интерактивный вход в потенциально скомпрометированную систему, убедились, что журналы очищены, некоторое время имитировали пользовательскую активность, далее сняли дамп оперативной памяти.

Журналы событий хранятся в файлах с расширением .evtx и имеют одноименный формат. Извлечь их мы попробуем двумя способами. На наш взгляд, наиболее продуктивным будет извлечь EVTX-файлы при помощи фреймворка Volatility — он дает возможность получить имена журналов, в отличие, например, от Bulk Extractor, который при карвинге присваивает имена следующего вида.

Знаете, сколько времени нужно, чтобы взломать типичную российскую компанию? В среднем — меньше суток, а рекорд составил 34 минуты. Меньше, чем уходит на обед. Это данные недавнего эксперимента белых хакеров (пентестеров): они протестировали 74 компании и в двух из трёх случаях получили полный доступ. В 60% атак последствия были критичными: остановка бизнес-процессов, шифрование данных или кража средств.

Рынок кибербезопасности в России сегодня стремительно меняется: уходят западные вендоры, компании латают инфраструктуру, а хакеры используют всё — от дыр в коде до генеративного ИИ. И одно остаётся стабильным: спрос на специалистов ИБ всегда выше предложения. Только на hh.ru в 2024 году — 27,3 тысячи вакансий (+17% к прошлому году). И это не предел: уже появляется новая ниша — безопасность AI, но специалистов там почти нет.

Всем привет, меня зовут Никита Мотяжов, и я занимаюсь подбором ИБ-специалистов в SENSE. В статье разбираем, что происходит с ИБ в 2025-м: какие угрозы стали «новой нормой», кого ищут компании и как в профессию заходят джуны и опытные инженеры.

В современном мире киберугрозы становятся все более масштабными, что требует от организаций внедрения самых передовых методологий для обеспечения надежности и эффективности работы систем безопасности. Одним из таких подходов является Site Reliability Engineering (SRE), который изначально разработан для управления IT-инфраструктурой и сервисами с направлением на надежность, масштабируемость и производительность. Этот методологический фреймворк, созданный в Google, получил широкое распространение благодаря своей практичности и результативности. В контексте работы Security Operation Center (SOC) SRE открывает новые горизонты для повышения качества обнаружения и реагирования на киберугрозы. В данной статье мы рассмотрим, как принципы SRE могут быть адаптированы для SOC, какие преимущества они предоставляют и как их внедрение может помочь в достижении высокого уровня защищенности информационных систем. Особое внимание будет уделено интеграции SRE в SOAR (Security Orchestration, Automation and Response) системы, которые играют ключевую роль в автоматизации процессов реагирования на инциденты.

SRE представляет собой современный подход к управлению IT-инфраструктурой и сервисами. Этот методологический фреймворк, постепенно получает широкое распространение благодаря своей практичности и результативности. В контексте работы Security Operation Center SRE открывает новые горизонты для повышения качества обнаружения и реагирования на киберугрозы. Основополагающим принципом SRE является работа с показателями Service Level Objectives (SLO) и Service Level Indicators (SLI), которые адаптируются под нужды SOC через определение целевых метрик для времени обнаружения инцидентов и времени реагирования на угрозы. Например, можно установить SLO для обнаружения 95 процентов инцидентов в течение пяти минут после их возникновения. SLI в свою очередь будут включать такие параметры, как время реакции на инцидент, продолжительность устранения угрозы и процент ложноположительных срабатываний системы.

На Positive Hack Days любят белых хакеров, которые умеют не только атаковать, но и делать это тихо. Настолько тихо, что даже IDS ничего не заподозрит. Конкурс IDS Bypass именно об этом. Не просто получить флаг, а сделать это так, чтобы не сработало ни одно правило детектирования.

В этом году мы приготовили пять задач из самых разных областей. Хотите сдампить учетные записи через SAMR? Придется действовать нестандартно. Принять HTTPS-запрос? Прикиньтесь Superfish. А тем, кто привык использовать Responder вместе с Coercer, пришлось проявить изобретательность: встроенные методы были заблокированы.

В этой статье — подробный разбор всех задач конкурса с техническими деталями, попытками участников «не спалиться» и теми самыми моментами, когда смотришь в лог сработок и радуешься, что там пусто.

Меня зовут Арсений Савин, и я знаю, как бороться с вредоносными ботами. Почти два года я занимаюсь разработкой веб‑скраперов в компании Effective, и хорошо изучил, как они работают — и как их остановить.

За время реализации этого проекта я столкнулся с огромным количеством разнообразных и неочевидных способов скрапинга, о защите от которых я расскажу в этой статье. План такой: сначала разберём, что такое веб‑скрапинг и какие бывают типы ботов, а потом — то, чем чаще всего они выдают себя, и какие методы защиты от них действительно работают.

Эта статья написана по докладу для конференции Saint Highload++ и носит исключительно ознакомительный характер. Она создана для изучения уязвимостей веб‑сайтов в целях повышения устойчивости к атакам злоумышленников. Любые попытки несанкционированного доступа, взлома или нарушения работы сайтов — противоправны и преследуются по закону.

В этой статье мы разберём, как написать свой многопоточный TCP-порт-сканер на Python. Несмотря на то, что существуют готовые инструменты вроде nmap или masscan, иногда требуется минималистичное решение: встроить проверку в CI/CD, автоматизировать аудит небольшой сети или использовать сканер как обучающий пример. Мы рассмотрим два подхода — на ThreadPoolExecutor и на asyncio, добавим баннер-граббинг, HTTP-проверку и TLS-детекцию. В результате получится компактный инструмент с поддержкой JSON/CSV-вывода, возможностью тонко настраивать параллелизм и таймауты, а также учитывать нагрузку на сеть. Такой сканер удобен для внутренних задач админа и для изучения сетевого программирования.

Представьте, что весь фундамент современной цифровой безопасности — это могучий замок. Его секрет не в сложности механизма, а в том, что на подбор ключа уйдут тысячи лет. Теперь представьте, что у кого-то появилась машина, способная перебрать все ключи за минуты. Это не апокалиптика — это квантовые вычисления, и они несутся нам навстречу со скоростью, для которой у нас пока нет возможности остановить.

Пока полноценный квантовый компьютер — это largely теоретическая угроза. Но последствия его появления настолько катастрофичны, что готовиться к ним нужно уже вчера. В этой статье разберемся, какие именно алгоритмы падут, что придет им на смену и что делать IT-специалистам прямо сейчас, чтобы не остаться у разбитого корыта.

При веб парсинге сайтов рано или поздно приходится сталкиваться с механизмами защиты от ботов. Сайты могут блокировать массовые запросы по IP-адресу, выдавать сложные капчи или применять другие антибот меры. Я хочу рассмотреть как реализовать на Python парсинг сайта с обходом таких защит:

Выполнимый файл в процессе своей работы не должен изменяться, то есть его контрольная сумма должна оставаться неизменной. Законно выполнимый файл может измениться, только если мы установим обновление для нашего приложения, то есть фактически заменим этот файл на новый.

Но это вовсе не значит, что в выполнимые файлы нельзя вносить изменения. Если мы корректно заменим один или несколько байтов, приложение не перестанет работать, но его логика может измениться. Например, как мы все знаем по крякам, что программу можно отучить от жадности, просто заменив одну инструкцию условного перехода на безусловный. Да, контрольная сумма изменится, но кто ее проверяет?

Всем привет! Я работаю инженером-разработчиком в STEP LOGIC. Наша команда создает технологическую платформу для автоматизации анализа данных и расследования инцидентов STEP Security Data Lake (SDL). Мы были первыми на российском рынке, кто смог внедрить AI-ассистента в SIEM/SOAR. Поэтому в этой статье я хотел бы поразмышлять о перспективах развития и особенностях применения интеллектуальных помощников в системах мониторинга кибербезопасности.

В статье я рассмотрю, какие задачи поможет решить внедрение интеллектуального помощника, с какими рисками придётся столкнуться, разберу пример интеграции AI-ассистента и особенности интеллектуальных систем на базе RAG.

Всем привет!

Сегодня представляем нового эксперта в нашей команде: Дмитрий Белков, руководитель консалтинга Application Security ГК «Солар». В своей первой колонке для Habr Дмитрий оценил вероятность появления доверенного open source и поделился своим мнением о процессах в основе безопасной разработки. Поехали!

Open source дал разработчикам главное — скорость и гибкость. Сторонние библиотеки ускоряют вывод релизов, снижают стоимость лицензий, расширяют функциональность. Но вместе с удобством пришли и угрозы: атаки через зависимости, бэкдоры, эксплойты. Мы все помним Log4j и OpenSSL: когда до 80% библиотек остаются не обновленными, отсутствие контроля зависимостей становится системным риском.

Может ли на этом фоне появиться доверенный open source — открытые компоненты, которые можно использовать без компромиссов по безопасности? Да. Но важно договориться о критериях и инфраструктуре.

Docker и контейнеризация давно стали стандартом. Мы подписываем образы, сканируем их на уязвимости, используем приватные реестры. Кажется, что цепочка поставки надёжно защищена.

Но исследователи показали атаку gh0stEdit (arxiv.org, 2025), которая ломает привычные представления. Суть: можно внедрить вредоносный код в Docker-образ так, что это не видно в истории, подписях и стандартных сканерах.