Информационная безопасность *

Всем привет! Меня зовут Александр Барыков, я руковожу платформенной командой DevOps и являюсь лидером DevOps-комьюнити в нашей компании.

Сегодня хочу поделиться опытом, который мы накопили за последние четыре года. Речь пойдет о достаточно специфической, но знакомой многим теме – организации процесса скачивания и проверки внешних артефактов для размещения во внутреннем закрытом контуре. Эта статья будет полезна разработчикам, DevOps-инженерам и архитекторам, которые сталкиваются с необходимостью соблюдения строгих требований безопасности без потери темпа разработки, особенно в финансовом секторе, где есть регуляторные требования.

Пытаемся найти логику в очередном наезде Трампа и Карра на иностранные гаджеты.

Вы наверняка слышали: правительство США запретило потребительские Wi-Fi роутеры иностранного производства из-за «угроз национальной безопасности».

И вы, скорее всего, задаетесь вопросом: «Что за фигня происходит?»

Обычные будни в Америке времен Дональда Трампа и председателя FCC (Федеральной комиссии по связи) Брендана Карра. Пока что вам, скорее всего, ничего не грозит, но если хотите понять, откуда столько шума — читайте дальше.

Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил.

Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.).

Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах.

Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно.

Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

За последние дни произошло сразу несколько событий вокруг VPN, которые в совокупности кардинально меняют правила игры для миллионов пользователей.

В этой статье мы рассмотрим, какие именно изменения могут быть приняты в отношении VPN, как операторы выявляют использование VPN, чем будущие возможные ограничения грозят пользователям и что делать, чтобы сохранить доступ к привычным сервисам.

Привет, Хабр! Меня зовут Иван Костыря, и я работаю в команде SOC UserGate.

Сегодня хочу поделиться с вами мыслями о том, как правильно оформлять и доносить информацию об инцидентах информационной безопасности. Кроме очевидных моментов, что надо обнаружить, сдержать, нейтрализовать и восстановиться, есть ещё и весьма сложная задача — составить грамотный и информативный отчёт. Каждый аналитик, администратор и инженер по-разному видит нужный уровень информирования и по-разному относится к глубине и детальности описания происходящего. В рамках данной статьи постараюсь озвучить некоторые важные пункты, на которых стоит заострить внимание, чтобы сформировать более профессиональный отчёт о случившемся. Эта тема кажется простой только на первый взгляд, но на практике именно качество коммуникации нередко определяет успех или провал в реагировании на инциденты.

Первое, о чём стоит сказать, — информационная безопасность строится на фактах. Факты нужно не только собирать, но и правильно доносить до разных аудиторий — от команды реагирования до топ-менеджмента. Неправильно оформленный отчёт может привести к неверным решениям, потере времени и ресурсов, а в худшем случае — к эскалации инцидента.

Прежде чем говорить о коммуникации, определимся с терминами:

Всем привет. Сегодня поговорим про доверие в ИБ. Но не про сертификаты и «мировых лидеров», а про физику, математику и алгоритмы. Разберём, почему квантовый ПАК надёжнее межсетевого экрана, как оценить реальную защищённость и можно ли управлять «поверхностью атаки» как выключателем света.

На рынке ИБ для технологических объектов (АСУ ТП, промышленность) сейчас модно создавать «вербально-визуальные конструкции» — красивые слайды, умные слова, обещания доверия. Но доверие бывает разное:

AI-фильтр удалил мой блог и навсегда заблокировал аккаунт — без объяснений... Разбираю, как работает автоматическая модерация, почему она ошибается и кто в итоге отвечает за такие решения.

В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю). Злоумышленник получил доступ к аккаунту одного из ведущих мейнтейнеров проекта и опубликовал две вредоносные версии пакета: axios@1.14.1 и axios@0.30.4.

На первый взгляд это выглядит как обычное обновление зависимости. Но на деле установка этих версий могла привести к заражению системы трояном удалённого доступа.

Начну немного с вводной, кому неинтересно, можно сразу перейти к технической части статьи.

Недавно я пробовал пройти собеседование в Kaspersky. Ну, как пробовал, если честно даже не дошел до технического этапа :) В общем, я получил реджект. Причина отказа: "решили выйти с предложением к кандидату, который прошел все финальные встречи". Не сказать, что у меня не было опыта в реверсе. Я пару раз реверсил прошивки, но в основном тестировал способы обхода лицензий в продуктах компании. Но вот именно анализом malware как таковым не занимался. Поэтому, буду восполнять этот пробел, ну и попутно буду документировать это все в небольших статьях, поскольку когда пробуешь что-то объяснить другим, сам разбираешься в вопросе еще глубже.

VPN шифрует ваш трафик, но не скрывает сам факт использования VPN. Провайдер знает — и вот как именно. Разбираю четыре уровня обнаружения: от проверки IP по базам до DPI-анализа TLS fingerprint’ов и российских ТСПУ с пропускной способностью 132 Тбит/с, которые в марте 2026-го ушли в bypass из-за перегрузки.

Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко является разовым событием. Да, не стоит забывать об инсайдерах, выносящих данные на флешках, но как правило это носит разовый характер.

А в подавляющем большинстве случаев системные утечки — это процесс, управляемый извне. И ключ к расследованию, минимизации ущерба и построению защиты лежит в детектировании инфраструктуры Command & Control (C2). Без понимания того, как работает C2, SOC превращается в пожарную команду, тушащую искры, но не видящую самого пожара.

В этой статье мы разберем, почему C2 — это не просто «вирус», а архитектурный принцип современных атак, и как выстроить расследование вокруг этого понятия.

Громкой новостью прошлой недели стал взлом библиотеки LiteLLM, используемой в качестве посредника для коммуникации с большим количеством языковых моделей (сообщение от разработчиков, новость на Хабре). Через другое вредоносное приложение на Python была взломана учетная запись мейнтейнера проекта, после чего сразу две версии LiteLLM (1.82.7 и 1.82.8) с вредоносными модулями были загружены в репозиторий PyPI. Отчет с анализом вредоносного кода опубликовали эксперты «Лаборатории Касперского».

В версии 1.82.7 вредоносный код был встроен в файл proxy_server.py. В версии 1.82.8 дополнительно появился .pth-файл, благодаря которому вредоносный код выполнялся при каждом запуске интерпретатора, даже если зараженная библиотека не использовалась. После запуска зараженный скрипт начинал рекурсивный обход рабочих директорий в системе жертвы. В каждой директории скрипт просматривал содержимое файлов, которое выводил в буфер stdout и сохранял в файл для последующей отправки на командный сервер злоумышленников. Далее скрипт собирал информацию о системе и также сохранял в файл. После этого он переходил к поиску конфиденциальных данных, включая следующие типы: 

Недавно я почитал про будущих ИИ-хакеров (ИИ-агенты на базе рассуждающих моделей, натренированные для взлома систем) и понял, что проблема намного больше, чем «станет больше кибератак». Это уже не выглядит фантазией. OpenAI прямо пишет, что готовится к моделям уровня, способного создавать рабочие zero-day-эксплойты против хорошо защищённых систем или существенно помогать в сложных скрытных вторжениях и уже показывает оборонительную версию той же идеи: их agentic security researcher Aardvark ищет уязвимости в кодовых базах, предлагает патчи и уже находил новые CVE. Anthropic и другие лидеры отрасли также ведут работу в этом направлении и уже демонстрируют сильные результаты по части обнаружения уязвимостей в кодовых базах.

Главная проблема тут не в том, что ИИ начнёт взламывать лучше человека. Главная проблема в другом: он почти обнулит стоимость ещё одной попытки атаки.

До сих пор интернет держался на простом, хотя и неявном компромиссе. Да, системы ломали, деньги крали, базы утекали, людей фишили. Но хорошая атака всё ещё стоила дорого. Чтобы реально атаковать сложные системы, нужны были люди, квалификация, время, инфраструктура, терпение. Защитник не обязан был быть идеальным. Ему часто было достаточно сделать атаку слишком сложной, слишком долгой или слишком дорогой.

ИИ меняет именно это.

Он не просто помогает писать код или искать баги. Он удешевляет всю цепочку: поиск поверхности атаки, перебор гипотез, написание и адаптацию эксплойтов, анализ ошибок, обход защит, повторные попытки, смену тактики, масштабирование сработавшего сценария на тысячи целей. Не получилось с первого раза - попробует со второго, с сотого, с тысячного. Без усталости. Без дефицита специалистов. Почти без предельной стоимости каждой новой попытки.

Исследования IBM, ReliaQuest и Resilience показывают, что ИИ сделал киберпреступность гораздо эффективней. У злоумышленников стало меньше барьеров для входа, больше возможностей для масштабирования. При этом главные слабые места остаются прежними: слабые процедуры help desk, плохая видимость устройств, ошибки в управлении доступом, компрометация почты и мошеннические переводы. Искусственный интеллект ускорил старые схемы, удешевил их и масштабировал. Теперь черные страшные хакеры используют генеративные модели для правдоподобного фишинга, социальной инженерии и ускорения вторжений, а окно на реакцию у светлой стороны силы — старых добрых безопасников — резко сжалось до нескольких минут. Попробуй успей… 

Разберем основные тезисы отчета Cyber Risk Report 2025, выпущенного компанией Resilience совместно с ее аналитическим подразделением ROC (Resilience Risk Operations Center).

Как уже сообщалось на Хабре, с 1 апреля 2026 года операторы мобильной связи отключат россиянам возможность оплачивать сервисы Apple через мобильные счета. Ни купить подарочную карту Apple, ни оплатить Apple Music теперь не получится, рассказали РБК три источника на телеком-рынке. Соответствующее указание операторы получили от Минцифры, а оно — от кого-то выше.

Мобильный счёт оператора был самым удобным способом оплатить зарубежные санкционные сервисы, которые не принимают российские банковские карты. Apple сама полностью заблокировала возможность привязки российских карт с марта 2022 года, а ранее привязанные карты были деактивированы.

Теперь этот канал перекрывают, причём не западные компании, а с российской стороны. Как в том анекдоте — не надо накладывать на нас санкции, мы сами это сделаем.

Недавно Microsoft объявила о плане из семи пунктов по исправлению Windows 11, и технологическая пресса восприняла его, как акт искупления. Президент Windows Паван Давулури в январе 2026 признал, что «Windows 11 сошла с рельс», и сообщил, что Microsoft переходит в режим «роения»: разработчиков будут переводить с реализации новых фич на устранение существующих проблем.

Когда я увидел этот заголовок, то сразу подумал, что это похоже на участие в абьюзивных отношениях. Партнёр тебя бьёт, а потом приходит с цветами и говорит, что изменился. А все окружающие говорят: «Видишь, он стал лучше». Но синяки не прошли, а извиняется он только за те побои, которые заметили люди.

Я хочу пройтись по всему тому, что Microsoft делала с Windows 11 на протяжении последних четырёх лет, потому что понять, как относиться к объявлению об «улучшениях», можно только в контексте всего ущерба; при этом мы осознаём, что самое худшее в план исправлений не попало.

Привет, Хабр! На связи команда SoftStore. В последнее время информационное поле бурлит: СМИ открыто заявляют о финальной блокировке Telegram уже в первых числах апреля 2026 года, WhatsApp давно находится под жесткими ограничениями и регулярно сбоит, а мобильные операторы вовсю обкатывают пресловутые «Белые списки» (White Lists). Панические настроения множатся каждый день, обрастая мифами и неработающими советами.

Давайте остановимся, выдохнем и посмотрим на ситуацию через призму инженерии. Эмоции в IT не работают, работают протоколы и физика сетей.

Реальность такова: механизмы белых списков появились не сегодня. Это планомерное развитие систем ТСПУ (Технические средства противодействия угрозам). На данный момент эти ограничения наиболее агрессивно применяются на сетях мобильного интернета. В моменты активации такого режима логика DPI (Deep Packet Inspection) меняется на противоположную: вместо того чтобы блокировать запрещенное (Black List), система начинает отбрасывать (drop) все пакеты, кроме тех, что идут к явно разрешенным ресурсам.

Анатомия мобильного White List: Трафик ходит только до инфраструктуры экосистем: Яндекс, VK, Сбер, личные кабинеты операторов связи, маркетплейсы (WB, Ozon) и ограниченный пул банков. Если вы попытаетесь отправить TCP-пакет на любой другой IP-адрес — он просто исчезнет. ТСПУ не будет ждать передачи 16 КБ данных для анализа сессии, пакет дропнется на этапе хендшейка.

BIP39 вместо номера телефона, ECDH P-256 + AES-256-GCM, non-extractable CryptoKey, трафик неотличимый от HTTPS. Как это устроено, что сломалось в процессе и почему некоторые решения были болезненными.

В корпоративной инфраструктуре точек входа почти всегда больше, чем хотелось бы. Почта, VPN, внутренние порталы, системы разработки, облачные сервисы — у каждого ресурса свой механизм аутентификации, свои требования к паролю и, как следствие, своя зона риска.

Со временем это приводит к типичным проблемам: пользователи начинают повторно использовать пароли, записывать их в заметки, клеить стикеры с паролями на монитор или просто забывать. ИТ-поддержка тратит время на сбросы, а служба информационной безопасности получает дополнительные точки потенциальной компрометации.

На этом фоне технология Single Sign-On (SSO) из удобной опции превратилась в базовый элемент современной инфраструктуры доступа. Она позволяет централизовать аутентификацию и убрать избыточные проверки, не снижая (а при правильной реализации — повышая) уровень безопасности.

Разберёмся, как SSO устроен на уровне протоколов и архитектуры, и как эта технология реализована в системе для многофакторной аутентификации и контроля доступа MULTIFACTOR.

Средний и малый бизнес тратит на ИТ-инфраструктуру по остаточному принципу — пока что-то не упадёт. Необслуживаемая сеть, устаревшее железо или резервная копия «на тот же сервер» обходятся дороже, чем год профилактики. В статье я продолжаю искать баланс и стараюсь наглядно показать конкретные инструменты с ценами, российские альтернативы и свободно распространяемые решения по каждой категории. Плюс калькулятор чтобы наглядно.

Есть условный «ИТ-отдел» из одного-двух, может 5 и более человек на 200\300\500 сотрудников. Они тушат пожары. Постоянно. Потому что система не обслуживается — она латается. Сервера куплены в 2015-м, обновления откладываются, документации нет в принципе, резервные копии «вроде настроены», политики паролей — «у всех одинаковые, зато никто не звонит в службу поддержки».

Это не катастрофа. Это хроническое заболевание. И у него есть вполне понятная цена.