За две недели апреля 2026-го один анонимный исследователь выложил в открытый доступ три рабочих эксплойта против Microsoft Defender. Все три позволяют обычному пользователю без прав администратора получить SYSTEM. Два из них на момент публикации этого текста всё ещё без патча, и Huntress уже ловит их в реальных атаках.

Самое неприятное: в двух случаях антивирус используют не как цель обхода, а как инструмент доставки. Defender сам, со своими SYSTEM-правами, пишет вредоносный файл в C:\Windows\System32 — потому что ему так сказали.

Ниже — что именно произошло, почему это работает и что с этим делать, если у вас парк Windows-машин.

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей.

Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать.

Никакой рекламы. Только разбор.

Откуда взялась платформа и почему это не маркетинг

Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно.

Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути.

По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

Kaspersky выпустил глобальный отчёт по киберугрозам на основе данных своих сервисов MDR, Incident Response и Compromise Assessment. Внутри — статистика по реальным атакам на 200 000 корпоративных клиентов, разбор тактик злоумышленников и неожиданные цифры о том, насколько плохо большинство SOC используют собственные данные.

Разбираю главное

Сегодня ночью кто-то провернул трюк, который выглядит одновременно впечатляюще и грустно. Атакующий отчеканил 1 миллиард бриджевых DOT на Ethereum и тут же слил весь объём в одной транзакции, получив 108,2 ETH — примерно $237 000. Цифра «миллиард токенов» звучит катастрофически. Реальный ущерб — меньше недельного бюджета на рекламу среднего крипто-проекта.

Разбираемся, что именно сломалось и почему это важно — даже если потери оказались смешными.

TL;DR

ИТ-гигиена — чтобы не упасть. ИБ-гигиена — чтобы не потерять. Цифровая зрелость — чтобы расти. Три уровня одной пирамиды, которые большинство компаний строят в обратном порядке или вообще по отдельности.

В статье: чем цифровая зрелость отличается от ИТ и ИБ зрелости, как устроена шкала от 0 до 4 и где на ней реально находится средний бизнес в России, шесть доменов оценки, шесть ловушек в которые попадают почти все — и шесть шагов чтобы начать без консалтинга и лишних трат.

Полезно CDTO, CTO, CIO и всем, кто отвечает за цифровизацию в компании от 50 до 500 человек.

Схема простая и злая: антиспам-системы операторов научились определять мошеннические номера и показывать предупреждения на экране. Мошенники это поняли — и просто перестали звонить первыми.

С 26 марта 2026 года компания F6 фиксирует массовую рассылку писем от имени федеральных ведомств. В письме говорится, что в ваш аккаунт зашли через электронную подпись и выгрузили документы. Дальше — номер телефона и просьба «перезвонить для уточнения». Человек звонит сам. Антифрод молчит. Мошенник берёт трубку.

Разобрал схему технически — там есть несколько интересных деталей

Средний и малый бизнес тратит на ИТ-инфраструктуру по остаточному принципу — пока что-то не упадёт. Необслуживаемая сеть, устаревшее железо или резервная копия «на тот же сервер» обходятся дороже, чем год профилактики. В статье я продолжаю искать баланс и стараюсь наглядно показать конкретные инструменты с ценами, российские альтернативы и свободно распространяемые решения по каждой категории. Плюс калькулятор чтобы наглядно.

Есть условный «ИТ-отдел» из одного-двух, может 5 и более человек на 200\300\500 сотрудников. Они тушат пожары. Постоянно. Потому что система не обслуживается — она латается. Сервера куплены в 2015-м, обновления откладываются, документации нет в принципе, резервные копии «вроде настроены», политики паролей — «у всех одинаковые, зато никто не звонит в службу поддержки».

Это не катастрофа. Это хроническое заболевание. И у него есть вполне понятная цена.

Я работаю директором по цифровой трансформации. И каждый раз, когда собираю бюджет, вижу одну и ту же картину: на ИТ денег мало, на ИБ — ещё меньше. При этом требования растут, угрозы множатся, а формулировка от бизнеса : «сделай так, чтобы работало удобно, из любого места и без пароля желательно, ну и не ломалось».

Как и многие я ищу идеальную формулу: минимум вложений → максимум защиты. Не «купить всё и сразу», не «внедрить SOC за 10 миллионов в год», а именно базовую базу по ИТ и ИБ, которая закрывает 80% рисков и не требует армии сотрудников для ее поддержания.

Эта статья — про то, как за разумные деньги выстроить защиту основывая на собственных ошибках и опыте. С цифрами, с инструментами, с калькулятором.

ИБ‑гигиена — это не SOC, не «киберщит» и не магический короб. Это несколько приземлённых вещей: MFA, антивирус, бэкапы, ролевая модель и обучение людей. Всё это стоит сильно дешевле одного серьёзного инцидента.

23 марта с Плесецка ушла «Союз-2.1б» с 16 серийными спутниками «Рассвета». Я поймал себя на странном чувстве: уважение к инженерам — и одновременно лёгкое раздражение от пресс-релиза.

Сейчас объясню и то, и другое.

Что сделали

«Бюро 1440» основали в 2020-м внутри «ИКС Холдинга». За шесть лет — три миссии, испытания лазерной межспутниковой связи на орбите, и теперь первый серийный запуск. Спутники работают в 5G NTN, умеют передавать данные между собой лазером на расстоянии тысячи километров, обещают 1 Гбит/с пользователю с задержкой около 60 мс.

Почему это не «наш Starlink» — и почему это нормально

Starlink сегодня — почти 10 000 аппаратов. «Рассвет» 23 марта — 16.

Agentic SOC — это не «ещё один модный модуль с ИИ», а переход от ручной обработки инцидентов и цепочек автоматизации к более самостоятельной модели, где агенты собирают контекст, обогащают инциденты, предлагают действия и иногда запускают безопасные реакции под контролем человека.
Проблема в том, что вместе с ускорением появляются новые риски: слишком широкие полномочия, ошибки сопоставления, внедрение вредоносных подсказок, неверные решения по изоляции и ложная уверенность в «умной автоматизации».

ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать архитектура и безопасность.

В марте в обзорах уязвимостей рядом всплыли несколько критичных багов именно в этих штуках. Там есть и SQL‑инъекции, и JSONPath‑инъекции, и обход проверки доверия при загрузке моделей. В статье разбираю, что это значит для тех, кто уже тащит ИИ в прод, и даю чек‑лист, который можно прямо отнести своей команде.

Telega обещала «тот же Telegram, только без VPN». На деле выдали MITM-комбайн с прокси в РФ, вырубленным PFS и нейросетевым Cerberus, который нюхает ваши чаты на лету. В статье разбираем, как «клиент для удобства» тихо превращается в домашний Роскомнадзор в телефоне CIO, и почему один такой апк на смартфоне топа делает бессмысленной всю вашу стратегию по ИБ.

что это за роль, зачем она появилась и кому она вообще подходит

В последние несколько лет в финтех-компаниях всё чаще появляется новая роль — BISO (Business Information Security Officer).

Когда я с этим столкнулся, я подумал только об одном: «Это просто новое модное название безопасника или всё-таки отдельная профессия?»

Чем больше я наблюдал за тем, как эта роль появляется в компаниях, тем больше становилось понятно, что это действительно новая организационная модель безопасности, а не просто переименование должности.

Причём особенно активно она появляется именно в финтехе.

Чтобы понять почему, нужно сначала посмотреть на то, как вообще устроена безопасность в технологических компаниях.

Почему классическая модель безопасности перестала работать

Исорически информационная безопасность в компаниях строилась довольно централизованно.

Обычно структура выглядела примерно так:

Как реально ломают бизнес через людей

tl;dr

Если коротко:

90% атак начинается с фишинга

взломать человека проще, чем сервер

одна ошибка сотрудника может открыть доступ ко всей инфраструктуре

обучение персонала — самая дешёвая защита

Теперь разберёмся как это работает на практике.

Если посмотреть на отчёты по кибербезопасности последних лет, можно заметить одну интересную вещь.

Количество атак растёт.
Сложность атак растёт.
Стоимость атак растёт.

А вот уровень защиты компаний — не всегда.

Проблема в том, что многие организации до сих пор думают о безопасности примерно так:

Исследование само тут, можно забрать, там тоже с картинками 😍

Последние пару лет в разговорах с безопасниками и топами всё чаще звучит одна и та же мысль

Мы перестали задаваться вопросом будет ли атака
Мы начали думать что будет когда она произойдёт

И это очень показательный сдвиг

Финансовая отрасль всегда была мишенью Деньги данные инфраструктура доверие Всё в одном месте Но сейчас изменилось не только количество атак Изменилась их логика

Если раньше злоумышленник пытался проникнуть в систему
то теперь он пытается остановить бизнес

И это совсем другой уровень игры

Сейчас будет неприятный текст.

Если вы ждёте очередную историю успеха в духе «был бариста — стал тестировщиком за три месяца», лучше закрыть вкладку.

Потому что проблема не в курсах. Проблема в экономике.

Если спросить любую финтех-команду, какой стандарт безопасности они используют, ответ будет примерно одинаковый: NIST, ISO 27001, CIS Controls — у кого что ближе.

Но есть нюанс.

В реальности почти никто не внедряет их «как есть». Особенно в российском финтехе, где безопасность живёт на пересечении регуляторов, локализации данных и импортозамещения.

Недавнее исследование Ассоциации ФинТех — редкий пример документа, который пытается честно разобрать, что происходит с международными фреймворками, когда они сталкиваются с реальной практикой.

Источник: Ассоциация_Финтех_Compliance_Control_Security_resilience_Подходы

TL;DR: Вы покупаете дорогие security-решения, но при инциденте всё равно паника и хаос? Проблема не в инструментах, а в том, что делаете не на своём уровне зрелости. Разбираем 6 уровней развития ИБ — от «всё на общих паролях» до «безопасность как конкурентное преимущество».

Типичная история: компания тратит на ИБ миллионы, покупает модные SIEM/DLP/EDR, нанимает специалистов, проводит аудиты. А потом прилетает шифровальщик — и выясняется, что бэкапы лежат на том же сервере, доступы раздавали «как у Васи, чтобы не бегать», а план реагирования существует только на бумаге.

Проблема одна: делаете не на своём уровне зрелости.

Зрелость ИБ — это не про стандарты ISO и не про сертификаты SOC2. Это способность не развалиться от типовых проблем и при этом не убить бизнес параноидальным контролем. Это баланс между «нас точно взломают» и «давайте проверять каждый клик сотрудника».

Что внутри статьи:

5 уровней зрелости — от уровня 0 («пароли в общем чате», этот уровень вообще не считаем за уровень) до уровня 5 («ИБ как фактор выигрыша тендеров»)

Портреты компаний на каждом уровне — узнаете себя в первом абзаце

Типичные факапы и почему они происходят именно на вашей стадии

Инструменты и процессы — какие имеют смысл на каждом этапе

Никаких переводов западных фреймворков. Только то, что работает в наших реалиях.

Главный месседж: нормально быть на уровне 2-3, если вы там стабильны и честны с собой. Гораздо хуже притворяться зрелыми на бумаге и гореть на практике. Модель зрелости — это не экзамен на оценку.

Под катом — разбор уровней с примерами, рисками и конкретными действиями. Если хоть раз ловили себя на мысли «мы вроде что-то делаем, но непонятно, достаточно ли этого» — welcome.

Виртуальный директор по информационной безопасности (vCISO) — это внешний эксперт высшего уровня, который берет на себя стратегическое руководство программой информационной безопасности организации на условиях частичной занятости или проектной работы. В отличие от штатного директора по ИБ, который работает в компании на постоянной основе с полным рабочим днем, виртуальный специалист предоставляет свои услуги гибко — это может быть несколько дней в неделю, определенное количество часов в месяц или работа над конкретными проектами.

Эта модель особенно востребована среди средних и малых компаний, которым критически необходима экспертиза уровня крупных корпораций, но которые не могут позволить себе содержать полноценную должность директора по безопасности с зарплатой много млн в год плюс социальный пакет. Виртуальный директор приносит кросс-индустриальный опыт, накопленный при работе с десятками организаций в разных отраслях, что обеспечивает более широкий взгляд на угрозы и решения по сравнению со специалистом, проработавшим годы в одной компании.