Суть пентеста Это не про сканеры, которыми проверяют сайт на заезженные уязвимости. Так делают все, и это скорее аудит. Пентест же — симуляция реального вторжения с конкретной целью: закрепиться, углубиться, найти цепочку уязвимостей и доказать, что абстрактная угроза «несанкционированный доступ», это операция, которую можно провести здесь и сейчас…
Введение в проблему протокольной безопасности NTLM до сих пор поддерживается в операционных системах Windows, несмотря на появление Kerberos еще в 1990-х. Причина – необходимость обратной совместимости для легаси-приложений, устройств и специфического администрирования. Оставляя эту составляющую активной, организации невольно расширяют атакуемую поверхность: сохраненная поддержка NTLM позволяет злоумышленникам реализовать атаки…
"Государства, банки и корпорации сейчас собирают наши данные как мёд, но мёд может засахариться и потрескаться — потерять актуальность, стать мишенью, устареть. Sovereign digital identity (SDID), это попытка вернуть человеку ключи от его цифровой жизни, отвязать идентификацию от посредников. Что будет, если эту технологию дать с рождения? Не…
"Если утечки данных, это всегда трагедия для бизнеса и пользователей, почему их количество не снижается, а растёт? Потому что в этой экосистеме есть те, для кого кража данных — не побочный эффект, а стабильный и прибыльный бизнес. Государства, которые десятилетиями делали вид, что не замечают этот рынок, оказались…
"Боты в Telegram, это не просто инструменты. Это каналы, через которые ваши данные утекают в непрозрачные базы. Многие из них собирают не только то, что вы им явно отправляете, но и контекст, метаданные и связи. В российском IT-секторе, где регуляторика ФСТЭК и 152-ФЗ задают рамки, эта слепая зона…
"Главная опасность в Active Directory не в сложных уязвимостях ядра, а в простом накоплении прав доступа, которое десятилетиями оставалось невидимым. BloodHound делает эти скрытые, но легитимные пути власти доступными для анализа, превращая теоретическую эскалацию в наглядную карту."BloodHound — Анализ зависимостей в Active DirectoryActive Directory (AD), это фундаментальная служба…
"Статья не о квантовых компьютерах и даже не о криптографии. Статья о том, как крупная организация, запертая в сети устаревших систем и зависимостей, заставляет всю эту конструкцию медленно и необратимо двигаться в одном направлении. Это инженерное перепрошивание легаси, где единственная ошибка — не начинать". С чем мы переходим:…
"Обновление, это не про новые иконки. Это про контроль над системой. Откладывая его, ты не просто пропускаешь фичи, а добровольно передаёшь ключи от своей инфраструктуры в руки времени, которое рано или поздно захлопнет дверь. В российском ИТ, где регуляторные требования по 152-ФЗ и ФСТЭК требуют постоянного контроля, эта…
Российский рынок: тенденции, драйверы и тренды Спрос на IT-специалистов в России формируется под влиянием нескольких ключевых факторов, которые в ближайшие три года будут не просто сохраняться, но и усиливаться. Основным драйвером остается импортозамещение: компании и государственные структуры активно переходят на отечественное программное обеспечение и инфраструктуру. Этот процесс давно…
Простая привычка сохранять пароли в браузере, казалось бы, экономит время. Но для рабочего аккаунта это не удобство, это прямая линия для атаки на всю организацию. Утечка одного пароля из личного браузера сотрудника может стать поводом для проверки регулятора, если система является частью ИТ-инфраструктуры объекта КИИ. Инцидент с правами…
"Действительно страхуем киберриски или выписываем плацебо с тысячей исключений? В основе неполноценности современной киберстрахования лежат две фундаментальные экономические ловушки — неблагоприятный отбор и моральный риск. Они не просто искажают премии, а системно превращают полис в документ, который помогает виновным оставаться безнаказанными, а добросовестных ставит в проигрышное положение. Разбираемся,…
“Роли в управлении данными, это не про должности в HR, а про распределение власти и ответственности. Их правильное разделение создаёт не «защиту», а архитектуру контроля, где ни у одного человека нет полной власти над информацией. Слияние ролей — не экономия, а создание системной дыры, которая делает бессмысленными любые…
"Киберпреступность для Северной Кореи, это не просто способ заработка, а системный инструмент государственной политики, замещающий традиционную экономику и позволяющий обходить санкции. Западные аналитики часто недооценивают её масштаб и изощрённость, списывая на примитивный вымогательский софт, но реальность, это высокоорганизованная индустрия с чёткими KPI, внутренней конкуренцией и стратегическим планированием, которая…
«Информационная безопасность в российском контексте, это дисциплина, где техническое решение всегда оценивается через призму нормативного акта, а умение объяснить бизнесу стоимость риска становится ключевым навыком. Специалист здесь выступает переводчиком между языком кода, законодательства и экономики.»Технический фундамент: без чего не обойтисьЭто база, которую ожидают увидеть даже на стартовых позициях.…
«Проблема не в том, что сотрудники — ленивые вредители. Проблема в том, что мы говорим с ними на языке угроз и запретов, забывая, что их главная задача — не думать об ИБ, а выполнять свою работу. Чтобы политики начали работать, их нужно встроить в ежедневные процессы так, чтобы…
«Регуляторика, это не только про формальные требования, а про управление рисками. Истинный контроль возникает не из толстых папок с актами, а из систематического и наглядного сведения разрозненных данных в единую картину, доступную в один клик. Проще всего это сделать, автоматизировав рутинную отчётность, которая пылится в почте, превратив её…
"В России документ, который все привыкли считать формальной 'бумажкой', стал ключевым инженерным элементом для обхода проверок ФСТЭК. Без него план восстановления после сбоя — просто фантазия, а с ним — рабочий механизм, позволяющий пережить даже полный отказ своей инфраструктуры за счёт резервов партнёра". Регуляторный контекст: почему устные договорённости,…
Восприятие электронной подписи в российской IT-среде часто упрощено: она представляется лишь «цифровым штампом» под документом. Однако это лишь видимая часть; за ней стоит многоступенчатая система доверия, где юридическая сила подписи обеспечивается не только техникой, но и процедурой, верифицируемой на каждом этапе и способной быть предметом независимой проверки. Что…
Глубокое понимание своего дела приходит, когда ты можешь объяснить его ребёнку, но истинное мастерство — когда можешь объяснить человеку, чья жизнь строилась на других технологиях. Это не просто задача по упрощению, а проверка, насколько ты сам видишь суть. Если объяснение вызывает у бабушки не пустую улыбку, а вопрос…
Что такое транзакционные издержки в контексте безопасности Транзакционные издержки, это затраты, возникающие при организации и поддержании любой деятельности, включая управление информационной безопасностью. В отличие от прямых затрат на приобретение средств защиты (например, на межсетевой экран или систему DLP), транзакционные издержки часто скрыты и включают в себя расходы на…
"Безопасность, это не про технологии, а про деньги и репутацию. CEO не заботится о безопасности, потому что вы говорите с ним на языке угроз, а не на языке бизнеса. Чтобы его «заставить», нужно перестать быть инженером и стать переводчиком." Почему CEO игнорирует безопасность Типичная ошибка — начинать разговор…
"Инвентаризация, это не бюрократический отчёт, а единственный способ понять, что именно и от кого вы защищаете. Без полной карты активов все остальные меры безопасности — политики, системы обнаружения, шифрование — работают вслепую. В условиях требований 152-ФЗ и приказов ФСТЭК отсутствие такого учёта становится прямым нарушением, потому что невозможно…
"Умный дом, это не про удобство, а про новую плоскость уязвимости. Тот, кто ставит умный замок, не покупает безопасность, а меняет физический ключ на цифровой, который может быть скопирован, взломан или просто отозван производителем. История моего знакомого — не анекдот про глючную технику, а частный случай системной проблемы,…
"На бумаге Purple Team выглядит как логичное слияние красной и синей команд, но на практике это превращается в соревнование за отчёт. Реальная ценность не в том, чтобы просто «провести» мероприятие, а в том, чтобы создать замкнутый механизм, который превращает каждую симуляцию в необратимое изменение в защитной инфраструктуре. Если…
"Что происходит, когда вы покупаете компанию и вместе с активами получаете приложение на PHP 5.3, пароли в таблице 'users' и открытый RDP-шлюз в корпоративную сеть? Как за два дня понять, что скрывается под слоем маркетинговых презентаций и не стать заложником чужих долгов в виде уязвимостей и инцидентов?" Что…
"Момент подключения к 'Free Hotel Wi-Fi', это не начало удобства, а конец вашей приватности. За кулисами гостеприимства сети уже ждут ваши пароли, сессии банков и данные карт. Это не киберпанк, а стандартная практика многих отелей и кафе." Как публичный Wi-Fi становится шлюзом для атаки С точки зрения устройства,…
"Проверка компании перед трудоустройством, это не просто сбор отзывов. Это аудит её юридического лица, анализ реальных бизнес-процессов и выявление рисков, которые могут стоить тебе не только времени, но и репутации в закрытом профессиональном сообществе." Зачем это нужно: от мошенничества до некомпетентности Собеседование прошло идеально, предложение выглядит заманчиво, но…
"Проще говоря, классическая разведка уже давно переселилась в провода, а контрразведка отчаянно пытается понять, что она там делает. Официально это называется «киберразведка и киберконтрразведка», но суть — в тотальном игре в прятки с цифровыми следами, где ошибка стоит дороже, чем один взлом." Что такое киберразведка? Киберразведка, это систематический…
“Электронная почта, это не просто инструмент для переписки, а один из самых уязвимых векторов атак в корпоративной среде. Большинство инцидентов начинается именно с письма, и стандартные правила «не открывать подозрительные вложения» уже не работают. Безопасность почты, это многослойная система, где технические меры бессильны без понимания человеческой психологии и…
"Безопасная передача файлов, это не про выбор одного инструмента, а про понимание, что именно ты защищаешь, от кого и на каком этапе. Большинство утечек происходит не из-за взлома шифрования, а из-за ошибок в процессе." Почему обычные способы передачи не подходят Отправка конфиденциальных документов через обычную почту, мессенджеры или…
«Часто считают, что моделирование угроз, это бумажная работа для регулятора. На деле это ядро проектирования реальной защиты. Оно переводит абстрактные требования в конкретные архитектурные решения, от выбора шифрования до политик аудита. Правильный метод превращает защиту из стоимости в конкурентное преимущество.» Безопасность по умолчанию: SDL Когда Microsoft создавала Security…
Это не просто вирус, это оружие, которое сожгло цифровую инфраструктуру крупнейшей логистической компании мира дотла за несколько часов. История показывает, что даже самые защищённые корпоративные сети могут быть уничтожены не из-за сложной атаки, а из-за одного устаревшего сервера и слепой веры в антивирус. Что такое NotPetya и почему…
"Безопасность, это не про отчет для регулятора, а про создание среды, где правильный код писать проще, чем неправильный. Речь о том, чтобы инструменты работали на команду, а не против неё, превращая требования 152-ФЗ из угрозы штрафа в рабочие инструкции для CI/CD." Практический план: от хаоса к защищенному пайплайну…
"Принципы системного подхода к обоснованию затрат, это не про скучные таблицы с цифрами, а про перевод ваших интуитивных 'хотелок' на язык управленческих решений, понятный и вам, и тому, кто принимает решение о бюджете. Это искусство показывать ценность, а не просто стоимость." От «хочется» к «необходимо»: что такое финансовое…
Почему задача «просто прочитать файл» оказывается нетривиальной Ситуация, кажущаяся снаружи простой, на деле полна скрытых нюансов инфраструктуры безопасности. Вот корпоративный HR-портал, через который сотрудники получают доступ к своим расчётным листкам и другой личной информации. Портал работает как служба Windows под сервисной учётной записью svc_hrportal. Это не обычный пользователь:…
"Security by Design — не панацея, а скорее стратегия, которую проще декларировать, чем внедрить. Он сталкивается не с техническими, а с человеческими и организационными барьерами, и его российская специфика заключается в попытке вписать западную философию в парадигму формального 'соответствия требованиям'. Это создаёт разрыв между декларируемым и реальным, где…
«Shift-left, это не про то, чтобы заставить разработчиков за месяц выучить ГОСТ'ы. Это про то, как встроить безопасность так, чтобы она не ломала процесс, а становилась его частью. Метрика успеха — не количество замечаний из ревью, а неспособность небезопасного кода добраться до production». Сдвиг, который застревает на старте…
Уязвимость конкурента — не повод для злорадства, а уникальный шанс для бесплатного аудита собственной защиты. Взлом можно разобрать как кейс, чтобы увидеть, где ты уязвим по той же схеме, и выстроить защиту там, где конкурент не заметил угрозы. Твой конкурент уязвим — а ты? Когда в отрасли происходит…
"Отношения между государством и интернетом, вопрос о том, кто кого контролирует и для чего, — центральная ось, вокруг которой выстраиваются все остальные различия." Исходные позиции: кто строит, тот и правит Чтобы понять различия в подходах США, ЕС и Китая, нужно начать не с директив и законов, а с…
“Передача риска, это не побег от ответственности, а стратегический выбор. Решение оставить риск у себя — не всегда признак мужества, а часто результат плохого анализа. Настоящий вопрос в том, кто может управлять риском эффективнее: вы или кто-то другой.” Что значит «принять» или «передать» риск? Управление рисками строится на…