Форум информационной безопасности - yg140.servegame.com
Статья Миграция на отечественный SIEM: перенос правил, дашбордов и интеграций с Splunk и QRadar
200 правил корреляции перенесено из Splunk и QRadar в MaxPatrol SIEM и KUMA — и ни один вендорский гайд не описывает и половины того, с чем сталкиваешься на практике.Конвертация SPL в PDQL — не синтаксический перевод, а семантический. Маппинг полей убивает детекции тихо: src_ip → event.src.host, и правило молчит без ошибок. CardinalOps: 21% покрытия ATT&CK и 13% нефункциональных правил в среднем по enterprise — при миграции эти цифры ухудшаются. Таблица техник, которые SOC теряет первыми: T1562.001, T1070.001, T1562.002 — окно для Red Team.
Пять фаз перехода: параллельная установка с дублированием потока, TOP-20 правил первыми, Windows-агенты последними, контроль «молчащих» источников, 30 дней параллельной работы до вывода старого SIEM. Сравнение транспортов и нативная интеграция с ГосСОПКА.
SPL-запрос для полного экспорта активных правил с метаданными.Статья Корпоративное обучение информационной безопасности: платформы, форматы и метрики для построения программы
68% утечек — человеческий фактор. Ежегодный вебинар — не программа, а ритуал: через месяц click rate возвращается к исходному. Строим корпоративный SAT с измеримым ROI.KnowBe4, Proofpoint, Adaptive Security, Hoxhunt, Phished — сравнение по шести параметрам: адаптивное обучение, AI-автоматизация, deepfake-тренинг, интеграция с экосистемой. Ролевая матрица контента: разработчику — OWASP Top 10 и CTF, бухгалтерии — BEC-сценарии, топ-менеджменту — deepfake-демонстрация раз в полгода.
Пятишаговый цикл: baseline-аудит без предупреждения → сегментация по риску → Smart Groups в KnowBe4 → непрерывный цикл microlearning + фишинг-симуляций → замер click rate (месяц 0: 20–30%, месяц 12: 3–5%). Формула ROI для отчёта CISO и таблица операционных метрик.
Маппинг угроз на MITRE ATT&CK T1566, T1204, T1598, T1656 по каждой роли.Статья Курсы по кибербезопасности 2026: честное сравнение Codeby, OTUS, Skillfactory и Нетология
Codeby Academy vs OTUS vs Skillfactory vs Нетология: разбор от человека, который одновременно учился и закрывал алерты в SOC. Без пересказа лендингов.На первом реальном пентесте пригодилось только то, что делал руками. Всё остальное испарилось за неделю. Критерии оценки: доля практики на стендах, глубина лабораторной инфраструктуры, подготовка к OSCP/eJPT, формат обратной связи от куратора.
Codeby — 540 часов, 80% практики, единственный с подготовкой к OSCP. OTUS — 220 часов, сильный AD-блок, лучшая стоимость. Skillfactory — 13 месяцев, менторская поддержка, часы не раскрыты. Нетология — широкий охват, 35 часов практики — для пентеста мало. Маппинг программ на MITRE ATT&CK и пошаговый алгоритм выбора курса под конкретную роль.
Стоимость часа обучения: от 266 до 750 рублей — считайте, прежде чем покупать.Статья Пентест веб-приложений по OWASP Top 10: что пропускают сканеры и как находить уязвимости в Burp Suite
За 50+ проектов выработал правило: полагаешься только на сканер — пропустишь треть критических находок. IDOR, SSRF, логические ошибки Burp Scanner не видит. Не понимает, что смотрит.Системный пентест по OWASP Top 10 2021 в Burp Suite: маппинг приложения через Proxy + ffuf, IDOR между аккаунтами в Repeater с перебором ID через Intruder, time-based SQLi с SLEEP(5) под конкретную СУБД, stored XSS с Collaborator вместо alert(1), blind SSRF через внутренние адреса AWS и Redis.
Log4Shell (CVE-2021-44228, CVSS 10.0) через `${jndi:ldap://}` в заголовках, CVE-2024-4367 в PDF.js — проверка версии pdfjs-dist. Почему WAF-байпасов без контекста не бывает и когда тайминг-атаки врут. Маппинг T1190, T1539, T1185, T1505.003 на MITRE ATT&CK.
Команда ffuf для скрытых API-эндпоинтов с токеном авторизации.Статья ShinyHunters группировка: анатомия атак — от вишинга до Salesforce-экфильтрации и шантажа жертв
ShinyHunters: анатомия группировки от 91 млн записей Tokopedia в 2020-м до Salesforce-кампании 2025–2026 — Google, Cisco, LVMH, Qantas. Без шифрования, только шантаж.UNC6040 + UNC6240, связь со Scattered Spider подтверждена через аккаунт Sp1d3rHunters и синхронные кампании. Эволюция за пять лет: GitHub-репозитории с паролями → Snowflake → вишинг + OAuth Device Flow → ransomware shinysp1d3r для ESXi. PowerSchool заплатила $2,85 млн — вымогательство перешло на школьные округа.
Kill chain 2026: T1566.004 (вишинг под IT-поддержку) → T1528 (кража OAuth-токена) → T1621 (MFA-бомбинг) → T1119 (автоматический экспорт Salesforce) → T1567.002 (экфильтрация). SOQL-запрос к SetupAuditTrail, корреляционное правило для SIEM и рекомендации D3FEND.
Инфраструктурные паттерны доменов ShinyHunters и признаки конвергенции с Scattered Spider.Статья Разработка Red Team инструментов: от архитектуры C2-фреймворков до кастомных имплантов и обхода EDR
Разработка Red Team инструментов: коммерческий C2 за $10 000 детектируется за 12 секунд, кастомный имплант живёт месяцами. Карта всей дисциплины — от loader'а до kernel rootkit'а.Cobalt Strike, Nighthawk, Brute Ratel, Sliver, Mythic, Havoc — матрица выбора с весовыми критериями. Архитектура: loader → redirector → teamserver, стейджинг в два слоя, транспорты DNS/HTTP/SMB. Выбор языка: C для минимального бинаря, Rust для производства, Nim за скорость разработки, Go — только для серверной части.
Process injection 2025: classic injection ловится любым EDR, thread pool injection через NtSetInformationWorkerFactory — пока в слепой зоне. Direct syscalls, indirect syscalls, unhooking ntdll — и почему AMSI-патч уже сам стал сигнатурой. Sleep с шифрованием стека и heap, stack spoofing, runtime polymorphism — принципы SECFORCE.
Таблица детектируемости 5 injection-техник и навигатор по 7 spoke-статьям кластера.Статья Мисконфигурации Salesforce: находим и закрываем до утечки — разбор атак и пошаговый аудит
Апрель 2026: McGraw Hill — 13,5 млн записей, Amtrak — 2,1 млн. Ни zero-day, ни сложной эксплуатации — только Guest User с включённым API Enabled и Sharing Rules без ограничений.Каждый сайт Experience Cloud имеет Guest User, который существует даже при отключённой гостевой авторизации. API Enabled на профиле — и атакующий через Aura-эндпоинт и GraphQL вытягивает Contact, Account, Case без единого логина. AuraInspector (Google Mandiant) автоматизирует весь цикл, GraphQL снимает ограничение в 2000 записей.
Пошаговый аудит: SOQL-запрос к ObjectPermissions для перечисления доступных Guest User объектов, проверка OWD Default External Access, тестирование Aura-эндпоинтов через Burp Suite, чеклист hardening из 8 мер. Маппинг на MITRE ATT&CK: T1190, T1078.004, T1213.004, T1530.
Secure Guest User Record Access и отключение self-registration — два шага, которые закрывают эскалацию из просмотра в аутентифицированную сессию.Статья OWASP Top 10 для LLM 2025: полный разбор изменений с позиции атакующего
OWASP Top 10 для LLM 2025: diff с версией 2023 — три новые категории, три удалённые, и ни один русскоязычный ресурс не даёт этот список с маппингом на MITRE ATT&CK.RAG стал стандартом — и две из трёх новых категорий прямо связаны с ним. System Prompt Leakage (LLM07) — отдельный класс с 2025 года: credentials в промпте, правила фильтрации, внутренняя логика агента. Vector and Embedding Weaknesses (LLM08) — Weaviate без аутентификации = прямая запись embedding-ов. Unbounded Consumption — Denial of Wallet вместо DoS: система работает, кошелёк заказчика нет.
Сводная таблица 2023 vs 2025, маппинг всех категорий на MITRE ATT&CK и MITRE ATLAS, пятишаговый чеклист red team оценки с конкретными Garak-командами и payload для indirect prompt injection через RAG-пайплайн.
Insecure Plugin Design удалили — риски переехали в три другие категории.Статья AI инструменты для пентеста: какая LLM реально работает в offensive security
Честный разбор AI-инструментов для пентеста: GPT-4 — 87% на CVE с описанием, self-hosted 32B — нестабильный tool calling, autonomous success rate — 21% без человека.Маркетинг обещает «autonomous pentesting за минуты». Реальность: LLM максимально эффективен на разведке и перечислении (T1595.002, T1046), проседает на многошаговых цепочках и латеральном движении, теряет контекст к седьмому шагу. Excalibur — $28.50 против $50,000 ручного пентеста AD-среды на пять хостов.
4800 тестов self-hosted моделей через Ollama: модели меньше 20B не тянут стабильный tool calling, Qwen 32B и gemma3:27b — минимальная рабочая планка. Три шага workflow: nmap → LLM-приоритизация → nuclei-шаблоны → генерация отчёта за секунды. Галлюцинации CVE, prompt injection через MCP и утечка данных через облачные API — три риска, которые закрывают сделку с облаком на NDA-проектах.
Сравнительная таблица 7 AI red team-инструментов с фазами kill chain.Статья ShinyHunters взлом Amtrak: разбор атаки через Salesforce, TTPs и detection-чеклист
ShinyHunters взломали Amtrak через Salesforce: 2,1 млн записей, ноль уязвимостей в коде — только вишинг, OAuth Device Flow и легитимный Data Loader. MFA прошла, EDR молчал.С середины 2025 года — 91 компания: Google, Chanel, Qantas, Allianz. Атакующий звонит сотруднику, представляется IT-поддержкой с номером реального тикета, предлагает установить «обновлённый» Data Loader. Сотрудник авторизует Connected App — токен уходит к атакующему. SOQL-запросы к Contact, Case, Account выглядят как обычный рабочий день.
Полный kill chain с маппингом T1528, T1213.004, T1567.002, хронология кампании с октября 2024 по апрель 2026, SOQL-запросы для Event Monitoring и чеклист hardening: аудит Connected Apps, запрет самостоятельной установки, IP-restriction для OAuth-токенов.
Почему «у нас стоит MFA» — ложная защита против этой атаки.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team