Belyaev Security Talks 🎙
1.59K subscribers
159 photos
32 videos
190 links
🧠 Знания, которые спасают бизнес и данные


💻 Оригинальные статьи;
🕵🏻‍♂️ Разборы;
💼 Кейсы;
🧙🏻‍♂️ Личная экспертиза;
👨‍💻 Менторство.


https://t.me/belyaevsec
📝Форма связи с администратором: @BELYAEV_SECURITY_bot

#Беляев_Ментор
#BelyaevPodcast
Download Telegram
Forwarded from Ever Secure (Aleksey Fedulaev)
Завтра веду секцию "Эволюция атак" на CISO FORUM
Можно будет меня там поймать 😉

Кого бы вы хотели видеть на CISO Podcast? Пишите в комментарии кого попробовать поймать👇

👀@ever_secure | 💪 Мерч | 💳Поддержать
Please open Telegram to view this post
VIEW IN TELEGRAM
Друзья, есть кое что для вас🤫

Теперь все анонсы и темы будущих подкастов будут сильно заранее публиковаться только в нельзяграмме и будут доступны всем подписчикам🔥


Вам будет доступен инсайт задолго до выпуска 🤫
Please open Telegram to view this post
VIEW IN TELEGRAM
🧠 Как выглядит реальная ИИ‑атака

🔈 ИИ уже используется в реальных атаках: от генерации фишинга и BEC до полиморфного вредоноса, который уходит от EDR и маскирует свой трафик под легитимные запросы к облачным сервисам.

▪️Такие атаки больше похожи на автоматизированный бизнес‑процесс, а не на разовый «взлом».

🔈 Разведка и подготовка

▪️ Злоумышленник задает ИИ домен компании и имена руководителей, а модель собирает данные из открытых источников, строит карту ключевых лиц и проектов и готовит профили для дальнейшего фишинга и социальной инженерии.

▪️Это делает массовую разведку дешевой и быстрой, на уровне «виртуального стажера», который не устает.

🔈 Фишинг и BEC нового поколения

▪️ Генеративные модели пишут персонализированные письма и сообщения в стиле конкретной компании и человека, формируя реалистичные счета, договоры и цепочки переписки.

▪️Это позволяет поднимать конверсию BEC и targeted‑фишинга, так как текст выглядит ровно так, как пишет «живой» руководитель или коллега.

🔈 Deepfake как усилитель доверия

▪️ В кейсе с Arup сотрудник перевел около 25 млн долларов после видеозвонка с deepfake‑копией CFO и «коллег», синтезированных ИИ.

▪️Здесь ломается не технология, а человеческое доверие: визуальный и голосовой образ руководителя становится инструментом атаки.

🔈 Вредонос с ИИ под капотом

💬 В PoC BlackMamba вредонос при каждом запуске запрашивает у модели новый вариант кейлоггера и выполняет его из памяти, превращаясь в полиморфную нагрузку.

▪️Командный сервер фактически заменен ИИ‑сервисом, а трафик к нему выглядит как обычное взаимодействие с легальной платформой.


🔈 Что меняется в защите

▪️Сигнатур и простых правил уже не хватает, потому что контент и код генерируются «на лету» и постоянно меняются.

▪️Оборона смещается в сторону поведенческого анализа, жестких финансовых процедур (двойное подтверждение, независимые каналы проверки) и обучения сотрудников распознавать не только фишинговые письма, но и манипуляции через видео и голос.


🔈 Главная мысль

▪️Современная ИИ‑атака - это конвейер: ИИ собирает данные, пишет тексты, подделывает людей и помогает писать код, а человек‑оператор лишь управляет сценарием и принимает ключевые решения.

▪️Побеждает не тот, у кого «стоимость лицензии на ИИ» выше, а тот, кто быстрее перестроил процессы, контрольные точки и культуру недоверия к любым нестандартным запросам.


🔜🔜🔜
😎 Автор: Беляев Дмитрий
📝 Связаться с Дмитрием

🔜🔜🔜
💬 Подписывайтесь на  BS
и BST🎙 в MAX.


🔜🔜🔜
👹 [Стикеры]
📚 [Менторство]
💬 [Проект BST]
🎙  [
Стать гостем]
📌 [Все Проекты] ◀️
💰 [Сайт]
📺 [YouTube]
📺 [Rutube]
📺 [VK]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥

🔜🔜🔜
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥2👍1
🔥[BST: За кулисами ИБ]🔥 - Выпуск №1: «Как я ненавидел ИБ, но все же стал CISO»


💰 [Сайт]
🥸 [CISOCLUB]
📺 [YouTube]
📺 [Rutube]
📺 [VK]
🎵 [Яндекс.Музыка]
💬 [BELYAEV_SECURITY]
💬 [Belyaev Security Talks 🎙]
💬 [BELYAEV_SECURITY]
💬 [Belyaev Security Talks 🎙]
🎵 [Spotify]
🎵 [Звук]
📺 [Deezer]
🔥 [Podcast Addict]
🎵 [Mave]
🎵 [Pocket Casts]
🎵 [Soundstream]


Ведущий: Беляев Дмитрий

🏆 ТОП‑100 Лидеров ИТ (GlobalCIO) 
🏆ТОП‑25 директоров по кибербезопасности России (Ассоциация менеджеров и Коммерсантъ) 
🥇 CISO года, по версии комьюнити (Сайберус и КиберДом) 
🏆 «Кибергерой года» (премия «Время инноваций») 


🔥Гость: Лавренов Андрей
CISO в банке

— более 18 лет в ИТ, значительная часть опыта - в банковской инфраструктуре
— руководил эксплуатацией и развитием ИТ-инфраструктуры банка, отвечал за высокий SLA и отказоустойчивость критичных систем
— отвечал за непрерывную работу АБС и сопутствующих банковских систем
— реализует проекты по резервированию, DR/BCP, модернизации инфраструктуры, импортозамещению и восстановлению сервисов
Образование:
НИЯУ МИФИ — магистр, «Безопасность информационных систем» (2025);
НИЯУ МИФИ — цифровая кафедра,
«Управление IT-проектами» (2025);
НИЯУ МИФИ — бакалавр


🔈 Максимальный репост


🔜🔜🔜
📰Цитаты выпуска:

💬 «Все требования информационной безопасности написаны кровью. Это я вам говорю как бывший айтишник, который сам их ненавидел.»

— Андрей Лавренков, гость выпуска, CISO банка

💬 «Сломать проще, чем возвращать. Это касается и инфраструктуры, и взаимоотношений между IT и ИБ.»

— Андрей Лавренков, гость выпуска, CISO банка

💬 «Ребята, здесь нас взломают за 5 минут, а здесь — за неделю. Пока взламывают неделю, мы можем что-то противопоставить. Вот о чём нужно говорить с топами.»
— Андрей Лавренков, гость выпуска, CISO банка

💬«Покричать друг на друга мы всегда можем. Но взаимоотношения строить надо — нам всё равно работать вместе.»

— Андрей Лавренков, гость выпуска, CISO банка

💬 «Глупых требований ИБ не бывает. Все они написаны кровью — айтишников, пользователей, бизнеса.»
— Андрей Лавренков, гость выпуска, CISO банка

💬 «Если ИБ не работает с пользователями — все задумки становятся не очень. Без объяснения "зачем" любое решение усложняет жизнь.»

— Андрей Лавренков, гость выпуска, CISO банка

💬 «Когда сам делаешь SQL-инъекции на пентесте — мозги встают на место. Ты понимаешь, для чего написаны требования ИБ, и начинаешь смотреть на всё совершенно иначе.»
— Андрей Лавренков, гость выпуска, CISO банка

💬 «Пользователь всегда прав — потому что IT не зарабатывает деньги. Деньги зарабатывает бизнес. И мы работаем для него.»
— Андрей Лавренков, гость выпуска, CISO банка

💬 «Из айтишника, который ненавидел ИБ за вечные запреты, — в CISO банка. Это и есть настоящее закулисье профессии.»

— Дмитрий Беляев, ведущий рубрики «Закулисье ИБ»

💬 «После этого разговора ваши компании начнут не только внедрять безопасность, но и по-другому о ней говорить. Именно для этого и существует эта рубрика.»
— Дмитрий Беляев, ведущий рубрики «Закулисье ИБ»


👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥

🔜🔜🔜
#BelyaevCISO
#BelyaevPodcast
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👌2💘2
🧠 Почему выбор CISO так критичен для CEO?

💬 Сегодня CISO живёт в среднем около двух лет на позиции, под постоянным давлением регуляторов, акционеров и атак. Это не «ещё один ИТ‑директор», а человек, через которого проходят решения о рисках всего бизнеса.

❗️ Ошибка в выборе бьёт не только по безопасности, но и по управляемости компании.

👩‍🚀 Когда повышать своего сотрудника до CISO?

Он уже понимает, как живёт бизнес
- Внутренний кандидат знает ваши продукты, людей, неформальные правила и реальные боли. С таким CISO не надо месяцами объяснять, почему нельзя просто «выключить старый сервис» ради безопасности. Это экономит время и нервы, а решения по рискам принимаются быстрее и ближе к реальности, а не к учебнику.

Есть доверие и кредит лояльности
- Если человек годами тянул ИБ или был ключевой фигурой в ИТ, ему проще продавить непопулярные меры: дополнительные проверки, ограничения доступов, изменения в процессах. Команда видит не «нового начальника с рынка», а своего, который уже «пахал» вместе с ними.

Меньше переплат за бренд и больше пользы от инвестиций
- Говорят, что рынок CISO перегрет, внешним кандидатам часто платят премию только за то, что они уже поработали в громких компаниях. Продвигая своего, вы меньше платите за вывеску и можете больше вложить в команду, SOC, обучение и инструменты (но по факту, вряд ли CEO это сделает) Плюс вы формируете свою «скамейку запасных» и не зависите целиком от рынка.

⚠️ Где внутренний CISO может подвести?

❗️ Он оценивает то, что сам строил
-Классика: вчера он отвечал за инфраструктуру, сегодня должен честно написать вам, что половину этого хозяйства надо перепилить. Если честности и автономии не хватает, начнётся «подкрашивание травы», а не реальный риск‑менеджмент.

- Тут CEO важно явно развести роли и дать CISO право говорить неприятные вещи.

❗️ Опасность мышления «мы всегда так делали»
- Человек, выросший в одной культуре, склонен эту культуру сохранять. Иногда компании нужен именно взлом привычной модели: поменять подход к доступам, архитектуре, инцидентам, отношениям с регуляторами.

- Внутреннему CISO психологически сложнее идти против устоявшейся логики бизнеса, в которой он сам сформировался.

❗️ Перегрузка и быстрый burnout
- Если «повысили, но ничего не сняли», это не промоушен, а медленная казнь. CISO без снятых старых задач превращается в узкое горлышко, начинает тушить пожары вместо стратегии и быстро выгорает. Здесь ответственность CEO - не только назначить, но и правильно переформатировать роль.

☑️ Когда нужен внешний CISO с рынка?

Нужен свежий взгляд и жесткий аудит рисков

- Внешний CISO не связан внутренними историями и дружбами. Ему проще сказать: «вот здесь у вас фундамент из картона».

💬 Такой человек тащит опыт из других отраслей и стран, приносит практики, которые уже прошли через реальные инциденты и разборы с регуляторами. Это особенно ценно, когда вы выросли, вышли в новые регионы или уже «обжигались».

Можно играть в гибрид: не только full‑time
- Мировая практика показала, что работает не только классический full‑time CISO.

- Есть модели fractional / virtual CISO, когда вы берёте сильного внешнего лидера на часть ставки и собираете вокруг него внутреннюю команду. Это снижает чек и даёт доступ к опыту, который иначе был бы для компании недостижим.

Но и тут есть некоторые риски

❗️ Внешний CISO дольше въезжает в культуру и может банально «не зайти» команде.

❗️ Если ожидания CEO и новый CISO по уровню риска не совпадают, конфликт и расставание через 1,5–2 года почти гарантированы. А это дорогой перезапуск всей истории.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥

#CISO #CEO #кибербезопасность #лидерство #карьера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍32
Поговорим о ситуации с Trellix

В начале мая 2026 года произошло событие, которое заставило "покраснеть" весь мировой рынок кибербезопасности. Компания Trellix - крупнейший вендор EDR и XDR решений - публично подтвердила: "злоумышленники получили несанкционированный доступ к её репозиторию с исходным кодом." Компания, которая продаёт защиту тысячам корпораций, оказалась скомпрометирована сама...

Что произошло:
7 мая группа RansomHouse официально взяла ответственность за атаку, опубликовав на своём leak-сайте скриншоты внутренних систем управления Trellix. По заявлению группировки, взлом произошёл 17 апреля, данные были зашифрованы. Trellix подтвердила факт взлома, но настаивает на том, что доказательств эксплуатации исходного кода в реальных атаках пока нет. Forensic-расследование совместно с правоохранительными органами продолжается...

А что такого?
Исходный код защитного продукта - это не просто интеллектуальная собственность. Это карта с обозначением всех слепых зон. Злоумышленник, который знает внутреннюю логику и список детектируемых правил EDR-агента по MITRA, понимает, как его обойти. Это как украсть чертежи банковского сейфа: саму кражу из сейфа ещё не совершили, но уже знают, где тонко. Риск будущих атак, нацеленных именно на клиентов Trellix, кратно возрастает.

Мои рекомендации:
Учитывая, что далеко не все компании, особенно ЗОКИИ, перешли на отечественные СЗИ, взлом вендора кибербезопасности - не теоретический риск. Это реальность 2026 года.

1. Немедленно аудируйте список ваших security-вендоров.
2. Запросите у каждого из них актуальный SOC 2 Type II и свежий отчёт по penetration testing. Если поставщик не может предоставить эти документы - это уже ответ на вопрос о его надёжности.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#КибербезопасностьРоссия #CISO #Trellix #SupplyChain #RansomHouse
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥2👍1
Россия: 9 000 атак на КИИ за квартал и майнеры в каждой пятой заражённой сети

Пока мировые СМИ обсуждают взломы американских компаний, Россия в 2026 году переживает собственный киберторнадо. В первом квартале 2026 года число критических инцидентов выросло вдвое по сравнению с четвёртым кварталом 2025-го. За три месяца зафиксировано более 9 000 атак на объекты критической информационной инфраструктуры - телеком, финансы, промышленность, здравоохранение. 77% всех атак пришлось именно на КИИ.

Что внутри заражённых сетей:
По данным SOC "Перспективного мониторинга", структура обнаруженных угроз такая: 23% - майнеры криптовалюты, 23% - программы-вымогатели, 20% - трояны. Майнер в сети - это не просто нагрузка на процессоры. Это сигнал: злоумышленник уже внутри, имеет устойчивое присутствие и использует вашу инфраструктуру для своей прибыли. Параллельно зафиксирован рост числа инцидентов с ВПО на 14% при снижении эксплуатации уязвимостей - атакующие переходят на фишинг и физические носители.

Новые вектора:
В мае 2026 года в российских городах фиксируется волна атак через USB-накопители: злоумышленники специально оставляют заражённые флешки у входов в офисы и бизнес-центры. Более половины людей в контрольных экспериментах подключают найденные флешки к своим устройствам. К этому добавляется рост ИИ-генерированного фишинга на русском языке - персонализированного под конкретного сотрудника с использованием публично доступной информации о нём.

Мой вывод:
Российский ландшафт угроз 2026 года - массовый, автоматизированный, комбинированный. Ответ на него невозможен без интегрированной платформы: SIEM + SOAR + Threat Intelligence с покрытием российских угроз. И помните: если у вас в сети майнер - это не просто майнер. Это значит, что кто-то уже у вас дома, просто пока не активировался.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#КибербезопасностьРоссии #КИИ #SOC #CISO #ThreatIntelligence
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥1
35 000 жертв за 48 часов: фишинг, который обходит MFA

В середине апреля 2026 года Microsoft зафиксировала одну из крупнейших AiTM-фишинговых кампаний в своей истории. Более 35 000 пользователей в 26 странах, 13 000 организаций - и всё это за 48 часов. Целевые отрасли: здравоохранение, финансы, IT. 92% жертв - американские компании. Но техника атаки не знает границ. :)

Как это работало:
Сотрудники получали письма якобы от "Internal Regulatory": "На вас поступила жалоба, ознакомьтесь с документами". Классический крючок - страх и срочность. Письмо вело через CAPTCHA Cloudflare на поддельный интерфейс входа в Microsoft. Но это не обычный фишинг.

А причём здесь MFA?
AiTM (Adversary-in-the-Middle) работает как прокси в реальном времени. Жертва вводит логин и пароль. Атакующий мгновенно передаёт их на настоящий Microsoft. Пользователь вводит OTP - атакующий перехватывает его тоже. В итоге злоумышленник получает валидный session-токен уже после того, как MFA пройдена. Стандартный SMS-OTP и push-уведомления от этого не защищают. Совсем.

Мой вывод:
Единственная технология, устойчивая к AiTM, - FIDO2/Passkeys (Phishing-Resistant MFA). Если вы ещё не начали миграцию - начните сегодня. Параллельно запускайте симуляции фишинга с именно такими сценариями: "жалоба на сотрудника", "нарушение политики". Именно они работают лучше всего.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#Фишинг #AiTM #Microsoft #MFA #FIDO2
Please open Telegram to view this post
VIEW IN TELEGRAM
111
Китайские хакеры взламывали файрволы Palo Alto почти месяц

5 мая 2026 года Palo Alto Networks опубликовала срочный advisory по CVE-2026-0300 - критической уязвимости в PAN-OS с оценкой CVSS 9.3. Уязвимость позволяет атакующему без единой учётной записи выполнить произвольный код с правами root на корпоративных файрволах PA-Series и VM-Series.

Что произошло:
Первые попытки эксплуатации Unit 42 зафиксировал ещё 9 апреля. Через неделю атакующим удалось выполнить код. Они внедрили shellcode в процессы файрвола, развернули туннелирующие инструменты EarthWorm и ReverseSocks5, провели перечисление Active Directory - и методично удалили все следы: логи, краш-дампы, записи аудита. 27 дней до публичного раскрытия. CISA добавила уязвимость в KEV-каталог только 6 мая.

Кто стоит за атакой?
Palo Alto отслеживает кластер CL-STA-1132 и описывает все признаки государственной группировки, финансируемой Китаем. На момент раскрытия в интернете было доступно около 5 800 потенциально уязвимых инстансов. Любопытно, что файрволы стояли на периметре именно для защиты - и стали точкой входа.

Мой вывод:
Если у вас Palo Alto PA-Series или VM-Series с включённым Authentication Portal - обновитесь немедленно. Как временная мера: закройте доступ к порталу из недоверенных сетей. И проверьте логи с 9 апреля - следы могут быть уже внутри.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#PaloAlto #ZeroDay #PanOS #APT #CVE20260300
Please open Telegram to view this post
VIEW IN TELEGRAM
11
DAEMON Tools: месяц в тени - атака на цепочку поставок, которую никто не заметил

5 мая 2026 года Kaspersky опубликовал отчёт, который заставил вздрогнуть системных администраторов по всему миру. Официальные установщики DAEMON Tools - популярной утилиты для монтирования образов дисков - были троянизированы прямо на сайте разработчика. С 8 апреля по начало мая тысячи машин в более чем 100 странах незаметно получили бэкдор.

Что произошло:
Атакующие скомпрометировали сервера AVB Disc Soft и подменили легитимные установщики версий с 12.5.0.2421 по 12.5.0.2434. Ключевая деталь: заражённые установщики сохраняли цифровую подпись разработчика. Большинство антивирусов пропускали их как доверенные файлы. Вредонос отправлял данные об устройстве на C2-домен, замаскированный под легитимный daemon-tools.cc.

Почему это не массовая атака?
Из тысяч заражений второй этап - активная полезная нагрузка - был доставлен только примерно на 12 машин. Это признак целенаправленной операции: ритейл, наука, госструктуры, производство. Атака похожа на разведку с возможностью точечной активации. Как мина замедленного действия в корпоративной сети.

Мой вывод:
Supply chain атаки невозможно остановить одним антивирусом. Вам нужен контроль целостности файлов (FIM), мониторинг сетевых соединений на уровне процессов и политика разрешённого ПО (Application Whitelisting). Если DAEMON Tools был у вас в сети с 8 апреля - проведите криминалистическую проверку этих хостов прямо сейчас.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#SupplyChain #DAEMONTools #Kaspersky #Backdoor #КиберЗащита
Please open Telegram to view this post
VIEW IN TELEGRAM
11
ADT: компания по безопасности домов, которая не защитила данные 5,5 млн клиентов

20 апреля 2026 года ADT - один из крупнейших провайдеров систем безопасности для домов и бизнеса в США - обнаружил несанкционированный доступ к данным клиентов. К моменту публичного раскрытия ShinyHunters уже слили в открытый доступ архив размером 11 ГБ. Пострадали 5,5 миллиона человек: имена, телефоны, адреса, в части случаев - даты рождения и последние четыре цифры SSN.

Как всё началось:
Никаких эксплойтов, никаких уязвимостей нулевого дня. ShinyHunters позвонили сотруднику ADT и представились коллегами из IT... Через голосовой фишинг они убедили его раскрыть учётные данные Okta SSO. После этого спокойно вошли в Salesforce-инстанс компании и начали скачивать данные. Один телефонный звонок - 5,5 миллиона записей.

Заплатить или нет?
ShinyHunters выставили требование о выкупе с дедлайном 27 апреля. ADT отказалась платить. Группа опубликовала данные. Это классическая дилемма 2026 года: платишь - финансируешь преступников без гарантий; не платишь - данные в открытом доступе. Ни один вариант не является "безопасным".

Мой вывод:
Один скомпрометированный SSO-аккаунт - это потенциальный доступ ко всей SaaS-экосистеме. Внедряйте UEBA - поведенческую аналитику на уровне идентичностей. Настраивайте аномальные триггеры для массового скачивания данных. И обязательно проводите антивишинговые тренинги с практическими сценариями. Технологии здесь были бессильны, увы...

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#ShinyHunters #ADT #Vishing #SaaSSecurity #DataBreach
Please open Telegram to view this post
VIEW IN TELEGRAM
🤷‍♂2😨22
DigiCert взломан через скринсейвер: как рухнуло доверие к интернету

Когда мы видим замочек в браузере - мы верим, что соединение защищено. Эта вера держится на работе Certificate Authorities, таких как DigiCert. В начале мая 2026 года выяснилось: злоумышленник проник в DigiCert через файл-скринсейвер (.scr) и получил возможность выпускать настоящие сертификаты подписи кода.

Что произошло:
Атакующий связался с поддержкой DigiCert через корпоративный чат, представившись клиентом, и отправил ZIP с якобы скриншотом проблемы. Внутри - .scr файл. Агент поддержки запустил его. EDR-агент CrowdStrike на этом компьютере был настроен неправильно и не уведомил центральный сервер. Заражённый хост оставался скомпрометированным почти две недели.

Что это дало атакующему:
Доступ к инструментам DigiCert позволил получить initialization codes для уже одобренных заказов на EV Code Signing сертификаты. Было выпущено 60 сертификатов, 27 из которых использовались для подписи вредоносного ПО. DigiCert отозвала их в течение 24 часов после обнаружения. Но в интервале между выпуском и отзывом это ПО воспринималось системами как полностью доверенное.

Мой вывод:
Провал произошёл из-за неправильной конфигурации EDR - не из-за его отсутствия. Регулярно проверяйте, что все endpoint-агенты подключены к центральному серверу и работают в полноценном режиме, а не в режиме наблюдения. Audit EDR coverage - это не разовое действие, а непрерывный процесс.

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
↘️ [Все проекты]
👹 [Стикеры]
📚 [Менторство]
💰 [Буст BST]

🔜🔜🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥


#DigiCert #PKI #CodeSigning #CrowdStrike #EDR
Please open Telegram to view this post
VIEW IN TELEGRAM
😨11
Записали подкаст у https://t.me/diverolimarketing на тему кибербезопасности, получилось огненно 🔥🎉

Николай, спасибо за приглашение 🤝
5
Интервью с моим участием для Кибер Медиа 🎉

Кибер Медиа на CISO Forum 2026: смотрите видео 🔥

Поговорили с экспертами о главных трендах для CISO и руководителей ИБ в 2026 году — от роли безопасника в бизнесе до новых вызовов для корпоративной кибербезопасности.

В выпуске:
Как меняется роль CISO в крупных компаниях
Какие угрозы и задачи выходят на первый план
Что происходит с рынком ИБ прямо сейчас
Какие подходы к безопасности становятся базовыми

Смотрите там, где удобно:

💙 ВК Видео
❤️ YouTube
📺 Rutube

😎  Здесь о кибербезе
Please open Telegram to view this post
VIEW IN TELEGRAM
311
Belyaev Security Talks 🎙 pinned «Интервью с моим участием для Кибер Медиа 🎉 Кибер Медиа на CISO Forum 2026: смотрите видео 🔥 Поговорили с экспертами о главных трендах для CISO и руководителей ИБ в 2026 году — от роли безопасника в бизнесе до новых вызовов для корпоративной кибербезопасности.…»
Друзья, у меня есть для вас несколько приятных новостей:


1. Наш сайт обновился актуальной информацией.

2. У нас появилось 3 медиа-партнера, которым интересен наш проект [Belyaev_Podcast], и теперь наши видео будут появляться на площадках партнеров:

1️⃣Генеральный медиа-партнер: КИБЕР Медиа
Независимое медиа о кибербезопасности и цифровых рисках. Кибер Медиа - это и сайт с аналитикой, обзорами и колонками экспертов, и телеграм‑канал, который оперативно закрывает потребность в адекватной картине дня по ИБ.

2️⃣ Медиа-партнер:Global Digital Space - первый официальный видеоканал в России про цифровой бизнес и медиа-коворкинг с настоящей ТВ-студией в Москве. Они не просто выпускают видео про ИБ и ИТ- они делают контент с людьми, которые живут этим каждый день!

3️⃣ Медиа-партнер:
КОД ИБ — это живая экосистема по ИБ: конференции, Академия, онлайн‑эфиры и комьюнити, которые прокачивают бизнес в кибербезопасности и делают безопасников заметными и дорогими специалистами.
(До 10 июля действует минимальная цена и скидка 5% для слушателей подкаста по промокоду "Беляев" на проект КОД ИБ - ПРОФИ. Подробности)


🔔 Пишите свои предложения, если хотите колабу/партнёрство ⤵️

〰️〰️〰️
📝 Связаться с Дмитрием
〰️〰️〰️
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥111