2025 год показал, что старые плейбуки защиты можно смело отправлять в /dev/null. Если вы думаете, что ваш SOC справляется, посмотрите на цифры: 11 000 атак в сутки — это новая норма, а глобальный ущерб летит к отметке в $10,5 трлн.
Главная проблема сейчас не в количестве, а в качестве. Порог входа в киберкрайм упал до нуля. Скрипт-кидди теперь вооружены генеративным ИИ, который пишет 89% всего фишинга. Это больше не кривые письма с просьбой «срочно оплатить счет», это идеально сгенерированные диалоги, имитирующие стиль вашего CEO, с учетом контекста переписки, спарсенной из открытых источников.
Мы разобрали текущий ландшафт угроз и заглянули в 2026. Спойлер: будет больно.
Что в отчете:
🔴 RaaS (Ransomware-as-a-Service) работает четче, чем доставка пиццы. LockBit вернулся с версией 5.0, и теперь стандартом стала «тройная экстрекция»: шифрование + слив данных + DDoS, чтобы положить бизнес окончательно.
🔴 Supply Chain Attacks — это 92% успеха. Зачем ломиться в закрытую дверь, если можно «отравить» обновление легитимного софта, которое админы сами раскатают по всей сети?
🔴 Специфика СНГ: 72% атак в регионе целенаправленно бьют по РФ. Мобильные банкеры типа Mamont мутируют быстрее, чем антивирусные сигнатуры.
🔴 Квантовая угроза и Agentic AI. Мы уже фиксируем атаки «Harvest now, decrypt later». Ваш шифрованный трафик собирают сегодня, чтобы вскрыть его квантовыми мощностями через пару лет.
Zero Trust и PQC (постквантовая криптография) перестали быть маркетинговым булшитом — теперь это единственный способ выживания.
Полный технический разбор, метрики и прогнозы на 2026 год читайте в статье:
https://redsec.by/article/kiberugrozy-2025-goda-detalnyj-analiz-landshafta-atak-i-strategicheskij-prognoz-na-2026/
Главная проблема сейчас не в количестве, а в качестве. Порог входа в киберкрайм упал до нуля. Скрипт-кидди теперь вооружены генеративным ИИ, который пишет 89% всего фишинга. Это больше не кривые письма с просьбой «срочно оплатить счет», это идеально сгенерированные диалоги, имитирующие стиль вашего CEO, с учетом контекста переписки, спарсенной из открытых источников.
Мы разобрали текущий ландшафт угроз и заглянули в 2026. Спойлер: будет больно.
Что в отчете:
🔴 RaaS (Ransomware-as-a-Service) работает четче, чем доставка пиццы. LockBit вернулся с версией 5.0, и теперь стандартом стала «тройная экстрекция»: шифрование + слив данных + DDoS, чтобы положить бизнес окончательно.
🔴 Supply Chain Attacks — это 92% успеха. Зачем ломиться в закрытую дверь, если можно «отравить» обновление легитимного софта, которое админы сами раскатают по всей сети?
🔴 Специфика СНГ: 72% атак в регионе целенаправленно бьют по РФ. Мобильные банкеры типа Mamont мутируют быстрее, чем антивирусные сигнатуры.
🔴 Квантовая угроза и Agentic AI. Мы уже фиксируем атаки «Harvest now, decrypt later». Ваш шифрованный трафик собирают сегодня, чтобы вскрыть его квантовыми мощностями через пару лет.
Zero Trust и PQC (постквантовая криптография) перестали быть маркетинговым булшитом — теперь это единственный способ выживания.
Полный технический разбор, метрики и прогнозы на 2026 год читайте в статье:
https://redsec.by/article/kiberugrozy-2025-goda-detalnyj-analiz-landshafta-atak-i-strategicheskij-prognoz-na-2026/
RedSec Daily
Киберугрозы 2025 года: Детальный анализ ландшафта атак и стратегический прогноз на 2026
Подробный анализ киберугроз 2025-2026: рост AI-фишинга, RaaS, атаки на цепочки поставок и квантовые риски. Статистика, кейсы и прогнозы для ИБ.
Пока корпорации сливают бюджеты на очередные «серебряные пули» и красивые дашборды в SOC, реальность остается неизменной: грамотно написанный Python-скрипт на 100 строк способен положить инфраструктуру быстрее, чем админ успеет допить кофе.
Разобрал на атомы анатомию современного шифровальщика. Без воды, абстрактных слайдов и маркетинговой чуши. Только хардкорная логика, архитектура и код.
В новом материале препарируем зловреда изнутри:
▪️ Target Acquisition: Как на самом деле работает рекурсивный поиск жертв (и почему os.walk — это не всегда лучшее решение).
▪️ Crypto Implementation: Почему Fernet для скрипт-кидди, а в реальности нужен чистый AES-256 в режиме CBC. Разбираем генерацию ключей, padding и работу с векторами инициализации (IV).
▪️ Kill Chain: От фильтрации системных директорий (чтобы не убить ОС раньше времени) до визуального воздействия на пользователя.
Это база, на которой строятся LockBit, Conti и прочие топы даркнета. Понимание этой механики — единственный способ настроить EDR так, чтобы он не проспал атаку, и понять, что искать при Incident Response.
Внимание: материал строго для research и defensive целей. Незнание закона не освобождает от ответственности, а знание архитектуры malware — освобождает от головной боли при защите периметра.
🔗 Читать разбор:
https://redsec.by/article/anatomiya-cifrovogo-vymogatelstva-razbor-arhitektury-ransomware-na-yazyke-python/
Разобрал на атомы анатомию современного шифровальщика. Без воды, абстрактных слайдов и маркетинговой чуши. Только хардкорная логика, архитектура и код.
В новом материале препарируем зловреда изнутри:
▪️ Target Acquisition: Как на самом деле работает рекурсивный поиск жертв (и почему os.walk — это не всегда лучшее решение).
▪️ Crypto Implementation: Почему Fernet для скрипт-кидди, а в реальности нужен чистый AES-256 в режиме CBC. Разбираем генерацию ключей, padding и работу с векторами инициализации (IV).
▪️ Kill Chain: От фильтрации системных директорий (чтобы не убить ОС раньше времени) до визуального воздействия на пользователя.
Это база, на которой строятся LockBit, Conti и прочие топы даркнета. Понимание этой механики — единственный способ настроить EDR так, чтобы он не проспал атаку, и понять, что искать при Incident Response.
Внимание: материал строго для research и defensive целей. Незнание закона не освобождает от ответственности, а знание архитектуры malware — освобождает от головной боли при защите периметра.
🔗 Читать разбор:
https://redsec.by/article/anatomiya-cifrovogo-vymogatelstva-razbor-arhitektury-ransomware-na-yazyke-python/
RedSec Daily
Анатомия цифрового вымогательства: Разбор архитектуры Ransomware на языке Python
Детальный технический разбор логики работы программ-вымогателей (Ransomware) на Python: от поиска файлов и генерации ключей до шифрования AES-256
Написанный код шифровальщика из первой части — это просто «мертвый» файл на локальном диске. Чтобы он превратился в инцидент с семью нулями ущерба, его нужно доставить, запустить и скрыть от EDR.
Вышла вторая часть разбора архитектуры Ransomware. Переходим от теории криптографии к практике Intrusion & Execution.
В реальности периметр пробивают не сложными 0-day эксплойтами, а через открытые двери, которые админы забыли запереть. Пока вы настраиваете Firewall, Initial Access Brokers уже торгуют вашими RDP-кредами в даркнете.
В новом материале детально разбираем механику доставки и закрепления:
▪️ Initial Access: Почему фишинг мутировал в HTML Smuggling и OneNote-контейнеры, и как RDP остается главным вектором входа для группировок уровня Akira.
▪️ Defense Evasion: Забудьте про статические сигнатуры — они мертвы. Разбираем работу пакеров (Themida, VMProtect), технику Living Off the Land (LOLBins) и почему PowerShell — это лучший друг Red Team для запуска бесфайловых (Fileless) нагрузок прямо в памяти.
▪️ Impairing Defenses: Первая команда, которую выполняет любой серьезный зловред — это не шифрование, а vssadmin delete shadows. Показываю, как именно атакующие «ослепляют» сенсоры защиты и зачищают пути к отступлению.
Если вы Blue Team — этот материал объяснит, почему антивирус молчал, пока шифровалась инфраструктура. Если Red Team — освежите базу по актуальным TTPs 2025-2026 года.
Изучайте векторы атаки, чтобы не стать статистикой в следующем отчете ENISA.
🔗 Читать разбор: https://redsec.by/article/vektory-vtorzheniya-i-tehniki-ukloneniya-kak-ransomware-dostavlyaet-poleznuyu-nagruzku-chast-2/
Вышла вторая часть разбора архитектуры Ransomware. Переходим от теории криптографии к практике Intrusion & Execution.
В реальности периметр пробивают не сложными 0-day эксплойтами, а через открытые двери, которые админы забыли запереть. Пока вы настраиваете Firewall, Initial Access Brokers уже торгуют вашими RDP-кредами в даркнете.
В новом материале детально разбираем механику доставки и закрепления:
▪️ Initial Access: Почему фишинг мутировал в HTML Smuggling и OneNote-контейнеры, и как RDP остается главным вектором входа для группировок уровня Akira.
▪️ Defense Evasion: Забудьте про статические сигнатуры — они мертвы. Разбираем работу пакеров (Themida, VMProtect), технику Living Off the Land (LOLBins) и почему PowerShell — это лучший друг Red Team для запуска бесфайловых (Fileless) нагрузок прямо в памяти.
▪️ Impairing Defenses: Первая команда, которую выполняет любой серьезный зловред — это не шифрование, а vssadmin delete shadows. Показываю, как именно атакующие «ослепляют» сенсоры защиты и зачищают пути к отступлению.
Если вы Blue Team — этот материал объяснит, почему антивирус молчал, пока шифровалась инфраструктура. Если Red Team — освежите базу по актуальным TTPs 2025-2026 года.
Изучайте векторы атаки, чтобы не стать статистикой в следующем отчете ENISA.
🔗 Читать разбор: https://redsec.by/article/vektory-vtorzheniya-i-tehniki-ukloneniya-kak-ransomware-dostavlyaet-poleznuyu-nagruzku-chast-2/
RedSec Daily
Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)
Анализ методов доставки и запуска Ransomware: фишинг, RDP-атаки, evasion-техники (обход AV/EDR), PowerShell-скрипты и отключение теневых копий. Руководство для Blue Team
Рука тянется выдернуть шнур питания при виде красного баннера с требованием выкупа? Стоять. 🛑
Ты только что чуть не уничтожил единственный шанс расшифровать данные бесплатно.
Вышла финальная часть цикла по анатомии Ransomware. Сегодня говорим про Digital Forensics и почему оперативная память — это главное место преступления.
Многие админы живут в иллюзии: «Выключу сервер, вирус остановится». Реальность жестче: выключил сервер — убил ключи шифрования. Пока подается питание, AES-ключи лежат в ОЗУ в открытом виде (или их следы в Key Schedule). Обедсточил — конденсаторы разрядились, энтропия превратила ключи в белый шум. Game Over. 💀
В статье разобрал хардкорные сценарии:
⚡️ Почему Live Memory Dump — это первое действие после изоляции сети.
🛠 Инструментарий: Belkasoft, FTK Imager, WinPmem — чем снимать слепок, чтобы не затереть улики.
🧠 Advanced-глава: Что делать, если малварь писали гении? Разбираем, как компиляторы "оптимизируют" функции очистки памяти (Dead Store Elimination) и почему файл подкачки (pagefile.sys) становится кладбищем секретов даже для самого умного вируса.
Это не теория, это боевой мануал. Ошибка в 30 секунд стоит миллионы. Читай, сохраняй и подготовь "тревожную флешку" заранее.
🔗 Читать полный гайд:
https://redsec.by/article/ne-dyshat-pochemu-operativnaya-pamyat-glavnoe-mesto-prestupleniya-pri-atake-ransomware/
Ты только что чуть не уничтожил единственный шанс расшифровать данные бесплатно.
Вышла финальная часть цикла по анатомии Ransomware. Сегодня говорим про Digital Forensics и почему оперативная память — это главное место преступления.
Многие админы живут в иллюзии: «Выключу сервер, вирус остановится». Реальность жестче: выключил сервер — убил ключи шифрования. Пока подается питание, AES-ключи лежат в ОЗУ в открытом виде (или их следы в Key Schedule). Обедсточил — конденсаторы разрядились, энтропия превратила ключи в белый шум. Game Over. 💀
В статье разобрал хардкорные сценарии:
⚡️ Почему Live Memory Dump — это первое действие после изоляции сети.
🛠 Инструментарий: Belkasoft, FTK Imager, WinPmem — чем снимать слепок, чтобы не затереть улики.
🧠 Advanced-глава: Что делать, если малварь писали гении? Разбираем, как компиляторы "оптимизируют" функции очистки памяти (Dead Store Elimination) и почему файл подкачки (pagefile.sys) становится кладбищем секретов даже для самого умного вируса.
Это не теория, это боевой мануал. Ошибка в 30 секунд стоит миллионы. Читай, сохраняй и подготовь "тревожную флешку" заранее.
🔗 Читать полный гайд:
https://redsec.by/article/ne-dyshat-pochemu-operativnaya-pamyat-glavnoe-mesto-prestupleniya-pri-atake-ransomware/
RedSec Daily
«НЕ ДЫШАТЬ!»: Почему оперативная память — главное место преступления при атаке Ransomware
Руководство по реагированию на Ransomware: почему нельзя выключать ПК при атаке. Инструкция по снятию дампа оперативной памяти (RAM) для поиска ключей шифрования
🔑 SSH: Твой главный актив или моя точка входа?
Пока "синие" (Blue Team) строят сложные SIEM-системы и настраивают фаерволы, я просто ищу забытый id_rsa в домашней папке разработчика. И поверьте, я его нахожу.
SSH — это стандарт де-факто для управления инфраструктурой, но 9 из 10 админов настраивают его по принципу «работает и ладно». Для Red Teamer'а это подарок. Скомпрометированный ключ — это не просто доступ к серверу, это прямой туннель к правам root и горизонтальное перемещение по всей сети без шума и пыли.
Выкатил подробный мануал по хардэнингу SSH. Без воды, только мясо и требования по стандартам (включая OAC/ТЗИ).
💀 Что внутри разбора:
🔻 RSA 2048 мёртв. Почему мы переходим на Ed25519 и как это спасает от side-channel атак.
🔻 Анатомия атаки. Как работает MITM, почему TOFU (Trust On First Use) — это дыра, и как нас чуть не похоронил бэкдор в XZ Utils.
🔻 File Permissions. Почему права 600 на ключах — это не рекомендация, а вопрос выживания. И да, поговорим про защиту конфигов WireGuard.
🔻 Физическая безопасность. LUKS + Passphrase. Если твой ноутбук украли, а диск не зашифрован — считай, что ты сам отдал ключи от ЦОДа.
🔻 Enterprise-уровень. Почему статические ключи — это зло, и как внедрить SSH Certificates, чтобы забыть про чистку authorized_keys при увольнении сотрудников.
Если вы готовитесь к аттестации или просто не хотите проснуться с зашифрованной инфраструктурой — читать обязательно.
Забирайте статью, внедряйте, и не оставляйте мне шансов.
👇 Читать полный гайд
https://redsec.by/article/ssh-klyuchi-polnyj-spravochnik-dlya-specialista-po-informacionnoj-bezopasnosti/
Пока "синие" (Blue Team) строят сложные SIEM-системы и настраивают фаерволы, я просто ищу забытый id_rsa в домашней папке разработчика. И поверьте, я его нахожу.
SSH — это стандарт де-факто для управления инфраструктурой, но 9 из 10 админов настраивают его по принципу «работает и ладно». Для Red Teamer'а это подарок. Скомпрометированный ключ — это не просто доступ к серверу, это прямой туннель к правам root и горизонтальное перемещение по всей сети без шума и пыли.
Выкатил подробный мануал по хардэнингу SSH. Без воды, только мясо и требования по стандартам (включая OAC/ТЗИ).
💀 Что внутри разбора:
🔻 RSA 2048 мёртв. Почему мы переходим на Ed25519 и как это спасает от side-channel атак.
🔻 Анатомия атаки. Как работает MITM, почему TOFU (Trust On First Use) — это дыра, и как нас чуть не похоронил бэкдор в XZ Utils.
🔻 File Permissions. Почему права 600 на ключах — это не рекомендация, а вопрос выживания. И да, поговорим про защиту конфигов WireGuard.
🔻 Физическая безопасность. LUKS + Passphrase. Если твой ноутбук украли, а диск не зашифрован — считай, что ты сам отдал ключи от ЦОДа.
🔻 Enterprise-уровень. Почему статические ключи — это зло, и как внедрить SSH Certificates, чтобы забыть про чистку authorized_keys при увольнении сотрудников.
Если вы готовитесь к аттестации или просто не хотите проснуться с зашифрованной инфраструктурой — читать обязательно.
Забирайте статью, внедряйте, и не оставляйте мне шансов.
👇 Читать полный гайд
https://redsec.by/article/ssh-klyuchi-polnyj-spravochnik-dlya-specialista-po-informacionnoj-bezopasnosti/
RedSec Daily
SSH ключи: Полный справочник для специалиста по информационной безопасности
Полный гайд по безопасности SSH ключей: от алгоритмов Ed25519 и защиты от MITM до настройки sshd по стандартам OAC. Разбор CVE-2025-26465 и лучших практик
Переходим от теории к цифровой хирургии с помощью Volatility Framework.
Снять дамп — это только полдела. Теперь нужно найти иголку в стоге сена размером в миллиарды байт. Внутри этого хаоса прячется процесс шифровальщика и тот самый AES-ключ, который сэкономит компании миллионы.
В разборе:
🐧 Clean Room: Почему анализировать дамп на Windows — фатальная ошибка. Разворачиваем лабораторию на Linux/Kali для безопасного вскрытия.
🔎 Process Hunting: Как среди сотен легитимных svchost.exe найти паразита. Используем pslist и pstree для выявления аномалий в родительских процессах.
🗝 Extraction: Вырезаем память процесса и натравливаем на нее aeskeyfind и YARA-правила. Ищем следы Key Schedule в байтовом шуме.
Это высший пилотаж Incident Response. Но в конце статьи я снимаю розовые очки: форензика — это план «C», когда план «A» провалился. Если у вас нет Immutable Backups (3-2-1-1-0), вы играете в русскую рулетку, где патрон — это RtlSecureZeroMemory.
Изучай, как вытащить ключи, но строй защиту так, чтобы тебе никогда не пришлось этого делать.
🔗 Читать финал трилогии:
https://redsec.by/article/analiz-incidenta-ishem-igolku-v-stoge-sena-s-pomoshyu-volatility-chast-3/
Снять дамп — это только полдела. Теперь нужно найти иголку в стоге сена размером в миллиарды байт. Внутри этого хаоса прячется процесс шифровальщика и тот самый AES-ключ, который сэкономит компании миллионы.
В разборе:
🐧 Clean Room: Почему анализировать дамп на Windows — фатальная ошибка. Разворачиваем лабораторию на Linux/Kali для безопасного вскрытия.
🔎 Process Hunting: Как среди сотен легитимных svchost.exe найти паразита. Используем pslist и pstree для выявления аномалий в родительских процессах.
🗝 Extraction: Вырезаем память процесса и натравливаем на нее aeskeyfind и YARA-правила. Ищем следы Key Schedule в байтовом шуме.
Это высший пилотаж Incident Response. Но в конце статьи я снимаю розовые очки: форензика — это план «C», когда план «A» провалился. Если у вас нет Immutable Backups (3-2-1-1-0), вы играете в русскую рулетку, где патрон — это RtlSecureZeroMemory.
Изучай, как вытащить ключи, но строй защиту так, чтобы тебе никогда не пришлось этого делать.
🔗 Читать финал трилогии:
https://redsec.by/article/analiz-incidenta-ishem-igolku-v-stoge-sena-s-pomoshyu-volatility-chast-3/
RedSec Daily
Анализ инцидента: Ищем иголку в стоге сена с помощью Volatility (Часть 3)
Практическое руководство по анализу памяти (Memory Forensics) с использованием Volatility Framework для восстановления данных после атаки Ransomware
Твой сервер зашифрован. Бэкапы удалены. Админы паникуют. Но у тебя есть дамп памяти, который мы научились снимать в прошлых постах.
В новом материале переходим к высшей математике — криптоанализу и охоте за «Золотым ключом».
Многие думают, что если шифровальщик использует RSA-2048, то без приватного ключа хакера ловить нечего. Это ошибка новичка. Чтобы зашифровать 10 ТБ данных быстро, малварь обязана использовать симметричный AES. И этот ключ рождается, живет и умирает в оперативной памяти твоей машины.
Разбираем архитектуру современной криптографии зловредов:
🗝 Гибридная схема: Почему LockBit и Conti комбинируют AES и RSA, и где здесь уязвимость.
🧠 Memory Hunting: Как найти 32 байта AES-ключа среди 16 ГБ мусора, используя энтропийный анализ и aeskeyfind.
⏳ Тайминг решает всё: Почему через 5 минут после атаки шанс успеха 95%, а через час — почти ноль.
🐍 Python-скриптинг: Пишем свой декриптор, который вытаскивает ключи и расшифровывает файлы без перевода биткоинов.
Это самый сложный, но и самый элегантный способ спасения. Форензика граничит с магией, когда ты восстанавливаешь инфраструктуру, используя ошибки в коде самих хакеров (как было с NotPetya).
Но помни: это План С. Если нет Immutable Backups — ты ходишь по тонкому льду.
Читать исследование:
https://redsec.by/article/ohota-za-zolotym-klyuchom-kriptografiya-shifrovalshikov-i-izvlechenie-klyuchej-deshifrovki-iz-operativnoj-pamyati/
В новом материале переходим к высшей математике — криптоанализу и охоте за «Золотым ключом».
Многие думают, что если шифровальщик использует RSA-2048, то без приватного ключа хакера ловить нечего. Это ошибка новичка. Чтобы зашифровать 10 ТБ данных быстро, малварь обязана использовать симметричный AES. И этот ключ рождается, живет и умирает в оперативной памяти твоей машины.
Разбираем архитектуру современной криптографии зловредов:
🗝 Гибридная схема: Почему LockBit и Conti комбинируют AES и RSA, и где здесь уязвимость.
🧠 Memory Hunting: Как найти 32 байта AES-ключа среди 16 ГБ мусора, используя энтропийный анализ и aeskeyfind.
⏳ Тайминг решает всё: Почему через 5 минут после атаки шанс успеха 95%, а через час — почти ноль.
🐍 Python-скриптинг: Пишем свой декриптор, который вытаскивает ключи и расшифровывает файлы без перевода биткоинов.
Это самый сложный, но и самый элегантный способ спасения. Форензика граничит с магией, когда ты восстанавливаешь инфраструктуру, используя ошибки в коде самих хакеров (как было с NotPetya).
Но помни: это План С. Если нет Immutable Backups — ты ходишь по тонкому льду.
Читать исследование:
https://redsec.by/article/ohota-za-zolotym-klyuchom-kriptografiya-shifrovalshikov-i-izvlechenie-klyuchej-deshifrovki-iz-operativnoj-pamyati/
RedSec Daily
Охота за «Золотым ключом»: Криптография шифровальщиков и извлечение ключей дешифровки из оперативной памяти
Техническое руководство по извлечению AES-ключей ransomware из оперативной памяти. Анализ архитектуры гибридного шифрования, использование aeskeyfind и Volatility
🇧🇾 Аудит ОАЦ: Инсайды с темной стороны или как выжить на допросе
Коллеги, давайте начистоту. "Бумажная безопасность" мертва. Если вы думаете, что аттестация системы — это просто показать аудитору красивую папку с приказами и политиками, скачанными из интернета, у меня для вас плохие новости. 💀
Аудиторы ОАЦ — это не инспекторы ЖЭСа. Это технари с менталитетом хакера. Они приходят не читать ваши бумажки, а искать разрыв между тем, что написано, и тем, что реально крутится в running-config на ваших цисках.
Я собрал весь свой опыт (и боль клиентов) в один мощный гайд. Никакой воды, только хардкор и реальные сценарии.
Разбираем по косточкам:
🔻 Театр проверки: Как на самом деле проходит аудит по Указу №196, а не как написано в учебнике.
🔻 Фатальные ошибки: Почему фраза "У нас не было инцидентов" — это выстрел себе в ногу.
🔻 Допрос с пристрастием: Готовые скрипты ответов на вопросы про логи (Wazuh/ELK), "мертвые души" в Active Directory и шифрование.
🔻 Психология: Как вести себя, чтобы аудитор не начал копать до ядра земли.
Если у вас в политике написано "Сегментация сети", а по факту плоский VLAN, где бухгалтерия сидит вместе с гостевым Wi-Fi — этот материал спасет вам жизнь. Или хотя бы карьеру.
Хватит играть в Compliance. Стройте реальную защиту.
Читать обязательно всем, от эникея до CISO. 👇
https://redsec.by/article/audit-oac-insajdy-ot-pentestera-kak-otvechat-na-kaverznye-voprosy-auditora-i-ne-zavalit-attestaciyu/
Коллеги, давайте начистоту. "Бумажная безопасность" мертва. Если вы думаете, что аттестация системы — это просто показать аудитору красивую папку с приказами и политиками, скачанными из интернета, у меня для вас плохие новости. 💀
Аудиторы ОАЦ — это не инспекторы ЖЭСа. Это технари с менталитетом хакера. Они приходят не читать ваши бумажки, а искать разрыв между тем, что написано, и тем, что реально крутится в running-config на ваших цисках.
Я собрал весь свой опыт (и боль клиентов) в один мощный гайд. Никакой воды, только хардкор и реальные сценарии.
Разбираем по косточкам:
🔻 Театр проверки: Как на самом деле проходит аудит по Указу №196, а не как написано в учебнике.
🔻 Фатальные ошибки: Почему фраза "У нас не было инцидентов" — это выстрел себе в ногу.
🔻 Допрос с пристрастием: Готовые скрипты ответов на вопросы про логи (Wazuh/ELK), "мертвые души" в Active Directory и шифрование.
🔻 Психология: Как вести себя, чтобы аудитор не начал копать до ядра земли.
Если у вас в политике написано "Сегментация сети", а по факту плоский VLAN, где бухгалтерия сидит вместе с гостевым Wi-Fi — этот материал спасет вам жизнь. Или хотя бы карьеру.
Хватит играть в Compliance. Стройте реальную защиту.
Читать обязательно всем, от эникея до CISO. 👇
https://redsec.by/article/audit-oac-insajdy-ot-pentestera-kak-otvechat-na-kaverznye-voprosy-auditora-i-ne-zavalit-attestaciyu/
RedSec Daily
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Гайд по прохождению аудита ОАЦ: разбор этапов проверки по Указу №196, скрипты ответов на технические вопросы, ошибки в документации и настройке SIEM/AD
ОСИНТ — это не просто «погуглить». Хватит называть бессистемный серфинг разведкой 🕵️♂️
Большинство считает, что Recon — это запустить пару скриптов, чекнуть Shodan и найти слитые пароли. Это уровень скрипт-кидди. В реальных Red Team операциях разведка — это управляемый процесс, фундамент Kill Chain. Если ты пропустил актив на этапе сбора, ты потерял точку входа (Initial Access).
Разведданные должны быть топливом для атаки, а не мусором.
Написал фундаментальный гайд о том, как превратить хаос открытых данных в профессиональный Intelligence Cycle. Тот самый подход, который используют спецслужбы, адаптированный под наши задачи — от пентеста до аудита.
В статье разбираем по косточкам:
💀 Red Team vs Blue Team: как меняются цели сбора.
🎯 PIRs (Priority Intelligence Requirements): учимся задавать правильные вопросы, а не искать «всё подряд».
📊 Матрица CMF: строим жесткую структуру «Вопрос → Источник → Метод». Никакой магии, только инженерный подход.
🛑 Stop Criteria: когда остановиться, чтобы не утонуть в дата-озерах.
📉 Defensible Results: как оформить отчет так, чтобы ни у аудитора, ни у заказчика не осталось вопросов.
Если хочешь, чтобы твоя разведка приводила к RCE, а не к головной боли — материал обязателен к изучению.
Превращай данные в оружие. Читаем полную версию 👇
https://redsec.by/article/osint-kak-process-intellektualnyj-cikl-dlya-pentesta-i-audita/
Большинство считает, что Recon — это запустить пару скриптов, чекнуть Shodan и найти слитые пароли. Это уровень скрипт-кидди. В реальных Red Team операциях разведка — это управляемый процесс, фундамент Kill Chain. Если ты пропустил актив на этапе сбора, ты потерял точку входа (Initial Access).
Разведданные должны быть топливом для атаки, а не мусором.
Написал фундаментальный гайд о том, как превратить хаос открытых данных в профессиональный Intelligence Cycle. Тот самый подход, который используют спецслужбы, адаптированный под наши задачи — от пентеста до аудита.
В статье разбираем по косточкам:
💀 Red Team vs Blue Team: как меняются цели сбора.
🎯 PIRs (Priority Intelligence Requirements): учимся задавать правильные вопросы, а не искать «всё подряд».
📊 Матрица CMF: строим жесткую структуру «Вопрос → Источник → Метод». Никакой магии, только инженерный подход.
🛑 Stop Criteria: когда остановиться, чтобы не утонуть в дата-озерах.
📉 Defensible Results: как оформить отчет так, чтобы ни у аудитора, ни у заказчика не осталось вопросов.
Если хочешь, чтобы твоя разведка приводила к RCE, а не к головной боли — материал обязателен к изучению.
Превращай данные в оружие. Читаем полную версию 👇
https://redsec.by/article/osint-kak-process-intellektualnyj-cikl-dlya-pentesta-i-audita/
RedSec Daily
ОСИНТ как процесс: Интеллектуальный цикл для пентеста и аудита
Подробное руководство по превращению хаотичного OSINT в профессиональный процесс. Разбираем Intelligence Cycle, матрицы сбора (CMF), критерии качества данных
Google Hacking: Когда поисковая строка мощнее сканера уязвимостей 🕵️♂️💻
Зачем расчехлять тяжелый софт и жечь бюджеты на 0-day, если системные администраторы сами выкладывают ключи от королевства в индекс? Google Dorks — это не просто поисковые операторы, это база OSINT и первый шаг в любом грамотном Red Teaming сценарии.
Краулерам плевать на гриф "Секретно". Они индексируют всё, до чего дотянутся: забытые .env файлы, бэкапы баз данных .sql, открытые веб-камеры и логины в Pastebin.
Я подготовил подробный мануал, где разобрал более 30 боевых дорк-запросов. Не банальщину, а конкретные векторы под поиск критических данных.
Что внутри материала:
🔓 Учетные данные и доступы: Как искать забытые файлы passwords.txt и сливы credentials на текстовых хостингах.
🛠 Конфигурации и БД: Вытаскиваем wp-config.php, настройки роутеров и дампы SQL прямо из выдачи.
📹 IoT и наблюдение: Находим админки камер и промышленных контроллеров без авторизации.
☁️ Облака и ключи: Поиск приватных SSH ключей и открытых S3 бакетов.
Один правильный запрос может сэкономить часы разведки. Или показать, где ваша инфраструктура течет, пока это не нашли другие.
В статье разобрал не только "как ломать", но и анатомию запросов — чтобы вы понимали логику поиска, а не просто копипастили. Плюс секция для Blue Team: как проверить себя и исчезнуть с радаров.
Изучаем, тестируем на своих периметрах и закрываем дыры.
👉 Читать полный гайд:
https://redsec.by/article/google-dorking-polnoe-rukovodstvo-po-osint-i-poisku-uyazvimostej-cherez-rasshirennye-operatory/
Зачем расчехлять тяжелый софт и жечь бюджеты на 0-day, если системные администраторы сами выкладывают ключи от королевства в индекс? Google Dorks — это не просто поисковые операторы, это база OSINT и первый шаг в любом грамотном Red Teaming сценарии.
Краулерам плевать на гриф "Секретно". Они индексируют всё, до чего дотянутся: забытые .env файлы, бэкапы баз данных .sql, открытые веб-камеры и логины в Pastebin.
Я подготовил подробный мануал, где разобрал более 30 боевых дорк-запросов. Не банальщину, а конкретные векторы под поиск критических данных.
Что внутри материала:
🔓 Учетные данные и доступы: Как искать забытые файлы passwords.txt и сливы credentials на текстовых хостингах.
🛠 Конфигурации и БД: Вытаскиваем wp-config.php, настройки роутеров и дампы SQL прямо из выдачи.
📹 IoT и наблюдение: Находим админки камер и промышленных контроллеров без авторизации.
☁️ Облака и ключи: Поиск приватных SSH ключей и открытых S3 бакетов.
Один правильный запрос может сэкономить часы разведки. Или показать, где ваша инфраструктура течет, пока это не нашли другие.
В статье разобрал не только "как ломать", но и анатомию запросов — чтобы вы понимали логику поиска, а не просто копипастили. Плюс секция для Blue Team: как проверить себя и исчезнуть с радаров.
Изучаем, тестируем на своих периметрах и закрываем дыры.
👉 Читать полный гайд:
https://redsec.by/article/google-dorking-polnoe-rukovodstvo-po-osint-i-poisku-uyazvimostej-cherez-rasshirennye-operatory/
RedSec Daily
Google Dorking: Полное руководство по OSINT и поиску уязвимостей через расширенные операторы
Руководство по Google Dorking: 30+ dork-запросов для OSINT, поиска утечек паролей, конфигов и уязвимостей. Техники разведки и методы защиты от Google Hacking
💀 Периметр — это иллюзия. Пока «синие» полируют правила на WAF, враг уже пьет кофе на офисной кухне.
Инсайдерская угроза — это не страшилка от вендоров, а суровая реальность 2024–2025. Статистика безжалостна: 76% компаний фиксируют рост внутренних атак, а среднее время обнаружения злоумышленника внутри сети — 81 день. Вдумайтесь: почти три месяца кто-то может дампить ваши базы, пока SOC смотрит на внешние сканеры портов.
Выкатил большой материал о том, как Red Team моделирует атаку Internal Threat. Никакой воды, только хардкор, техники MITRE и реальные векторы.
Разбираем три классических сценария атаки «изнутри»:
1️⃣ Обиженный админ (Malicious Insider). Самый опасный зверь. Знает, где лежат бэкапы, как обойти EDR и оставить «закладку» в GPO перед увольнением.
2️⃣ Любопытный бухгалтер (Negligent Insider). Не хочет зла, но лезет в открытые сетевые шары и находит там файл passwords.xlsx.
3️⃣ Скомпрометированный сотрудник (Compromised Insider). Обычный юзер, поймавший фишинг. Теперь его руками работает внешний хакер.
В статье — чистое «мясо»:
🔻 Живые примеры кода на PowerShell для создания скрытых юзеров и персистентности.
🔻 Техники заметания следов (привет, wevtutil) и обхода мониторинга.
🔻 Разбор, почему сигнатурные антивирусы тут бесполезны и как настраивать UEBA, чтобы ловить аномалии поведения, а не файлы.
Мастхэв для тех, кто хочет понять механику взлома из доверенной зоны, и для тех, кому предстоит это защищать.
🔗 Читать полный разбор
https://redsec.by/article/insajderskaya-ugroza-modeliruem-ataku-iznutri-kak-red-team-imitiruet-zlonamerennogo-sotrudnika/
Инсайдерская угроза — это не страшилка от вендоров, а суровая реальность 2024–2025. Статистика безжалостна: 76% компаний фиксируют рост внутренних атак, а среднее время обнаружения злоумышленника внутри сети — 81 день. Вдумайтесь: почти три месяца кто-то может дампить ваши базы, пока SOC смотрит на внешние сканеры портов.
Выкатил большой материал о том, как Red Team моделирует атаку Internal Threat. Никакой воды, только хардкор, техники MITRE и реальные векторы.
Разбираем три классических сценария атаки «изнутри»:
1️⃣ Обиженный админ (Malicious Insider). Самый опасный зверь. Знает, где лежат бэкапы, как обойти EDR и оставить «закладку» в GPO перед увольнением.
2️⃣ Любопытный бухгалтер (Negligent Insider). Не хочет зла, но лезет в открытые сетевые шары и находит там файл passwords.xlsx.
3️⃣ Скомпрометированный сотрудник (Compromised Insider). Обычный юзер, поймавший фишинг. Теперь его руками работает внешний хакер.
В статье — чистое «мясо»:
🔻 Живые примеры кода на PowerShell для создания скрытых юзеров и персистентности.
🔻 Техники заметания следов (привет, wevtutil) и обхода мониторинга.
🔻 Разбор, почему сигнатурные антивирусы тут бесполезны и как настраивать UEBA, чтобы ловить аномалии поведения, а не файлы.
Мастхэв для тех, кто хочет понять механику взлома из доверенной зоны, и для тех, кому предстоит это защищать.
🔗 Читать полный разбор
https://redsec.by/article/insajderskaya-ugroza-modeliruem-ataku-iznutri-kak-red-team-imitiruet-zlonamerennogo-sotrudnika/
RedSec Daily
Инсайдерская угроза: Моделируем атаку «изнутри». Как Red Team имитирует злонамеренного сотрудника
Инсайдерские угрозы: как Red Team моделирует атаки изнутри. Разбор сценариев (админ, бухгалтер, взлом), техники MITRE, скрипты PowerShell и методы защиты UEBA/EDR
🚩 OSINT: Почему твои «пруфы» ничего не стоят без верификации
Коллеги, давайте честно. Найти информацию в 2026 году — это не скилл. Это делает любой школьник с доступом к поисковикам. Настоящий скилл в разведке по открытым источникам (OSINT) — это валидация.
Все мы помним кейс с Бостонским марафоном, когда «коллективный разум» Reddit ошибочно обвинил невиновного студента. 9000 человек играли в детективов, нашли «похожего парня» и сломали ему жизнь. Почему? Потому что у них не было системы оценки достоверности.
В новой статье я разобрал, как не стать тем самым аналитиком, который приносит заказчику фейк, сгенерированный нейросетью.
О чем говорим внутри:
🕵️♂️ Admiralty Code (NATO System): Почему оценка источника (A-F) и оценка информации (1-6) — это разные вещи. И почему источник уровня «A» может принести дичь уровня «5».
📉 Эхо-камеры и круговая порука: Как Reuters цитирует BBC, а BBC цитирует Reuters, создавая иллюзию «подтвержденного факта». Учимся разрывать этот порочный круг.
🕒 Техническая верификация: Почему timestamp в интерфейсе соцсети врет, и как достать реальное время создания поста из JSON-ответов сервера или EXIF-данных.
🤖 AI-галлюцинации: Как LLM и генераторы изображений создают синтетические личности, которые проходят поверхностную проверку, и как их ловить на анатомических и логических ошибках.
🔐 Chain of Custody: Скриншот — это не доказательство для суда. Разбираем, как правильно хэшировать доказательства (SHA-256) и сохранять веб-архивы так, чтобы они имели юридическую силу.
Главное правило: Если ты не можешь объяснить своему главному скептику, ПОЧЕМУ данные верны (а не просто «выглядят правдоподобно»), ты не готов публиковать отчет.
Не будьте ретрансляторами шума. Будьте фильтром.
Полный гайд по Confidence Scoring и верификации уже на сайте. Читать обязательно, если работаете с информацией. 👇
https://redsec.by/article/osint-bez-illyuzij-polnyj-gajd-po-ocenke-dostovernosti-confidence-scoring-i-verifikacii-istochnikov/
Коллеги, давайте честно. Найти информацию в 2026 году — это не скилл. Это делает любой школьник с доступом к поисковикам. Настоящий скилл в разведке по открытым источникам (OSINT) — это валидация.
Все мы помним кейс с Бостонским марафоном, когда «коллективный разум» Reddit ошибочно обвинил невиновного студента. 9000 человек играли в детективов, нашли «похожего парня» и сломали ему жизнь. Почему? Потому что у них не было системы оценки достоверности.
В новой статье я разобрал, как не стать тем самым аналитиком, который приносит заказчику фейк, сгенерированный нейросетью.
О чем говорим внутри:
🕵️♂️ Admiralty Code (NATO System): Почему оценка источника (A-F) и оценка информации (1-6) — это разные вещи. И почему источник уровня «A» может принести дичь уровня «5».
📉 Эхо-камеры и круговая порука: Как Reuters цитирует BBC, а BBC цитирует Reuters, создавая иллюзию «подтвержденного факта». Учимся разрывать этот порочный круг.
🕒 Техническая верификация: Почему timestamp в интерфейсе соцсети врет, и как достать реальное время создания поста из JSON-ответов сервера или EXIF-данных.
🤖 AI-галлюцинации: Как LLM и генераторы изображений создают синтетические личности, которые проходят поверхностную проверку, и как их ловить на анатомических и логических ошибках.
🔐 Chain of Custody: Скриншот — это не доказательство для суда. Разбираем, как правильно хэшировать доказательства (SHA-256) и сохранять веб-архивы так, чтобы они имели юридическую силу.
Главное правило: Если ты не можешь объяснить своему главному скептику, ПОЧЕМУ данные верны (а не просто «выглядят правдоподобно»), ты не готов публиковать отчет.
Не будьте ретрансляторами шума. Будьте фильтром.
Полный гайд по Confidence Scoring и верификации уже на сайте. Читать обязательно, если работаете с информацией. 👇
https://redsec.by/article/osint-bez-illyuzij-polnyj-gajd-po-ocenke-dostovernosti-confidence-scoring-i-verifikacii-istochnikov/
RedSec Daily
OSINT без иллюзий: Полный гайд по оценке достоверности, Confidence Scoring и верификации источников
Гайд по оценке достоверности в OSINT: модели Admiralty Code, методы верификации, борьба с фейками и AI-контентом. Узнайте, как избежать ошибок аналитики
🎯 Тендер на взлом: Как вы сами отдаете ключи от сети
Коллеги, пока ваши безопасники настраивают фаерволы и ловят сканирование портов, настоящий Red Team пьет кофе и читает сайт госзакупок.
Знаете, в чем главная ошибка OPSEC большинства государственных и крупных частных организаций? Вы выкладываете детальную карту своей инфраструктуры в открытый доступ. Потому что «так требует закон» или «так привыкли».
В новой статье разобрал, как скучное техническое задание превращается в пошаговую инструкцию по взлому вашей компании.
📄 Для закупщика: «МФУ Canon imageRUNNER ADVANCE 6055 — 5 шт.»
😈 Для хакера: «CVE-2025-14231, RCE через переполнение буфера, эксплойт готов, дефолтный пароль 'canon'».
Почему это катастрофа:
1️⃣ Zero-Touch Recon: Мне не нужно сканировать вашу сеть и шуметь в логах IPS. Я уже знаю версии вашего железа, софта и даже антивируса из ваших же документов. Я просто подберу эксплойт под конкретную версию и зайду тихо.
2️⃣ Социальная инженерия на стероидах:
— «Алло, бухгалтерия? Это сервис. У вас там Kyocera M2040dn стоит, нужно срочно патч безопасности накатить...»
Знание точной модели повышает доверие к звонящему до 90%. Жертва думает: «Откуда он знает, что у меня на столе? Значит, точно свой».
3️⃣ Supply Chain Attack: Я вижу не только ваше железо, но и кто выиграл тендер на ваше обслуживание. Если вы — неприступная крепость, а ваш подрядчик — проходной двор, я зайду через него. Вы сами дали мне его имя.
4️⃣ Метаданные: Ваши .docx файлы с ТЗ палят версии Office, имена сотрудников и внутренние пути к файл-серверам (\\Secret\Budget\).
📌Запомните формулу из статьи: «Любая лишняя строчка в спецификации — это скидка, которую вы даете хакеру на взлом вашей инфраструктуры».
Перестаньте кормить OSINT-специалистов.
Обезличивайте модели, пишите «или эквивалент» и вычищайте метаданные, пока это не сделали за вас.
Полный разбор того, как тендерная документация ломает вашу безопасность — уже на сайте.
Читать всем, кто связан с закупками и ИБ. 👇
https://redsec.by/article/tender-na-vzlom-kak-gosudarstvennye-zakupki-prevrashayutsya-v-dorozhnuyu-kartu-dlya-hakera/
Коллеги, пока ваши безопасники настраивают фаерволы и ловят сканирование портов, настоящий Red Team пьет кофе и читает сайт госзакупок.
Знаете, в чем главная ошибка OPSEC большинства государственных и крупных частных организаций? Вы выкладываете детальную карту своей инфраструктуры в открытый доступ. Потому что «так требует закон» или «так привыкли».
В новой статье разобрал, как скучное техническое задание превращается в пошаговую инструкцию по взлому вашей компании.
📄 Для закупщика: «МФУ Canon imageRUNNER ADVANCE 6055 — 5 шт.»
😈 Для хакера: «CVE-2025-14231, RCE через переполнение буфера, эксплойт готов, дефолтный пароль 'canon'».
Почему это катастрофа:
1️⃣ Zero-Touch Recon: Мне не нужно сканировать вашу сеть и шуметь в логах IPS. Я уже знаю версии вашего железа, софта и даже антивируса из ваших же документов. Я просто подберу эксплойт под конкретную версию и зайду тихо.
2️⃣ Социальная инженерия на стероидах:
— «Алло, бухгалтерия? Это сервис. У вас там Kyocera M2040dn стоит, нужно срочно патч безопасности накатить...»
Знание точной модели повышает доверие к звонящему до 90%. Жертва думает: «Откуда он знает, что у меня на столе? Значит, точно свой».
3️⃣ Supply Chain Attack: Я вижу не только ваше железо, но и кто выиграл тендер на ваше обслуживание. Если вы — неприступная крепость, а ваш подрядчик — проходной двор, я зайду через него. Вы сами дали мне его имя.
4️⃣ Метаданные: Ваши .docx файлы с ТЗ палят версии Office, имена сотрудников и внутренние пути к файл-серверам (\\Secret\Budget\).
📌Запомните формулу из статьи: «Любая лишняя строчка в спецификации — это скидка, которую вы даете хакеру на взлом вашей инфраструктуры».
Перестаньте кормить OSINT-специалистов.
Обезличивайте модели, пишите «или эквивалент» и вычищайте метаданные, пока это не сделали за вас.
Полный разбор того, как тендерная документация ломает вашу безопасность — уже на сайте.
Читать всем, кто связан с закупками и ИБ. 👇
https://redsec.by/article/tender-na-vzlom-kak-gosudarstvennye-zakupki-prevrashayutsya-v-dorozhnuyu-kartu-dlya-hakera/
RedSec Daily
Тендер на взлом: Как государственные закупки превращаются в дорожную карту для хакера
Госзакупки как угроза безопасности: почему публикация моделей оборудования в тендерах упрощает хакерам взлом сети. Разбор векторов атак (CVE, соц. инженерия)
Ты — охотник или добыча? OPSEC для OSINT-аналитика
Коллеги, давайте снимем розовые очки. OSINT — это не безопасное сидение за монитором с чашкой кофе. Это вход в клетку с тигром. Статистика APT-атак неумолима: 70% успешных взломов начинаются не с пробива фаервола, а с профилирования конкретного исследователя, который неосторожно наследил в сети.
Вы ищете информацию о киберпреступниках, но забываете, что бездна уже давно просканировала ваши порты, определила версию браузера и записала паттерны движения мыши.
Если ваш OPSEC ограничивается включением VPN и режимом Инкогнито — поздравляю, вы легкая мишень.
Выкатил фундаментальный гайд по архитектуре невидимости. Это не просто «советы», это боевой устав для тех, кто хочет возвращаться с разведки живым.
Что внутри мануала:
💀 Риск-моделирование: Почему защита от парсера Amazon и защита от кибервойск КНДР — это разные бюджеты и стратегии.
🔒 Zero-Trust среда: Почему работать с основной машины — суицид. Разбираем уровни изоляции: от виртуалок (VM) до облачного браузинга (RBI), где малварь умирает, не долетая до вашего железа.
👣 Цифровые отпечатки: Как вас находят без IP-адреса. Canvas Fingerprinting, EXIF-метаданные в фото и даже стилометрия — как AI вычисляет автора отчета по стилю расстановки запятых.
📱 Мобильный OSINT: Почему эмуляторы типа Bluestacks — это «красный флаг» для Instagram и TikTok, и зачем вам нужен физический Pixel на GrapheneOS + Travel Router.
💸 Финансовый след: Самая тупая ошибка — оплатить анонимный VPN своей кредиткой. Учимся пользоваться Monero, миксерами и виртуальными картами.
🐦 Активная оборона: Как использовать Canary Tokens, чтобы узнать, что вашу «секретную папку» уже читает товарищ майор или хакер.
📁 Chain of Custody: Как сохранять доказательства так, чтобы они устояли в суде, а не превратились в тыкву из-за отсутствия хэш-сумм.
Помните: в OSINT побеждает не тот, кто нашел информацию быстрее всех, а тот, кого не нашли в ответ. Если вы не параноик, значит, вы просто плохо информированы.
Полный разбор архитектуры безопасности уже на канале. Читать, внедрять, стирать логи. 👇
https://redsec.by/article/ohotnik-ili-zhertva-polnyj-gajd-po-opsec-dlya-osint-analitika-sreda-identichnost-sledy/
Коллеги, давайте снимем розовые очки. OSINT — это не безопасное сидение за монитором с чашкой кофе. Это вход в клетку с тигром. Статистика APT-атак неумолима: 70% успешных взломов начинаются не с пробива фаервола, а с профилирования конкретного исследователя, который неосторожно наследил в сети.
Вы ищете информацию о киберпреступниках, но забываете, что бездна уже давно просканировала ваши порты, определила версию браузера и записала паттерны движения мыши.
Если ваш OPSEC ограничивается включением VPN и режимом Инкогнито — поздравляю, вы легкая мишень.
Выкатил фундаментальный гайд по архитектуре невидимости. Это не просто «советы», это боевой устав для тех, кто хочет возвращаться с разведки живым.
Что внутри мануала:
💀 Риск-моделирование: Почему защита от парсера Amazon и защита от кибервойск КНДР — это разные бюджеты и стратегии.
🔒 Zero-Trust среда: Почему работать с основной машины — суицид. Разбираем уровни изоляции: от виртуалок (VM) до облачного браузинга (RBI), где малварь умирает, не долетая до вашего железа.
👣 Цифровые отпечатки: Как вас находят без IP-адреса. Canvas Fingerprinting, EXIF-метаданные в фото и даже стилометрия — как AI вычисляет автора отчета по стилю расстановки запятых.
📱 Мобильный OSINT: Почему эмуляторы типа Bluestacks — это «красный флаг» для Instagram и TikTok, и зачем вам нужен физический Pixel на GrapheneOS + Travel Router.
💸 Финансовый след: Самая тупая ошибка — оплатить анонимный VPN своей кредиткой. Учимся пользоваться Monero, миксерами и виртуальными картами.
🐦 Активная оборона: Как использовать Canary Tokens, чтобы узнать, что вашу «секретную папку» уже читает товарищ майор или хакер.
📁 Chain of Custody: Как сохранять доказательства так, чтобы они устояли в суде, а не превратились в тыкву из-за отсутствия хэш-сумм.
Помните: в OSINT побеждает не тот, кто нашел информацию быстрее всех, а тот, кого не нашли в ответ. Если вы не параноик, значит, вы просто плохо информированы.
Полный разбор архитектуры безопасности уже на канале. Читать, внедрять, стирать логи. 👇
https://redsec.by/article/ohotnik-ili-zhertva-polnyj-gajd-po-opsec-dlya-osint-analitika-sreda-identichnost-sledy/
RedSec Daily
Охотник или жертва? Полный гайд по OPSEC для OSINT-аналитика: Среда, Идентичность, Следы
Полный гайд по OPSEC в OSINT: защита от деанонимизации, изоляция среды, очистка метаданных и безопасное хранение улик. Методики контрразведки для аналитиков
🇧🇾 OSINT в Беларуси: Как собрать инфу и не уехать по уголовке
Коллеги, снимаем розовые очки. Если вы занимаетесь разведкой по открытым источникам в Беларуси, забудьте всё, что читали в западных или российских мануалах. У нас здесь своя атмосфера, и цена ошибки аналитика — не гражданский иск, а реальный срок.
В новой статье разобрал юридическое минное поле, по которому мы ходим каждый день.
Почему стандартный OSINT в РБ — это риск:
💀 Радиоактивная зона (Экстремизм): Это чисто наш нюанс. Нашел в ходе рекона «запрещенный» телеграм-канал или сайт? Не вздумай делать скриншот, подписываться или кидать ссылку в отчет клиенту. Одно неверное движение — и это ст. 19.11 КоАП или, что хуже, ст. 361-1 УК РБ.
📄 Закон № 99-З и ст. 203-1 УК РБ: Клиент просит «пробить мобильные телефоны менеджеров конкурента»? Отказывайтесь сразу. Сбор персональных данных без согласия субъекта в Беларуси — это уголовная статья. Никаких «легитимных интересов» как в GDPR тут не прокатит.
💻 Ст. 352 УК РБ: Неправомерное завладение компьютерной информацией. Если вы начали массово скрейпить сайт, который запрещает это в правилах, или скопировали базу, которую «плохо положили» — это состав преступления.
В статье даю расклад, как прикрыть спину документами:
— Что писать в SOW (Statement of Work), чтобы ответственность за легальность цели лежала на заказчике.
— Как оформить ROE (Rules of Engagement), чтобы не попасть под раздачу ОАЦ или СК.
— Как грамотно отказать клиенту, который хочет «досье на силовика» или «взлом конкурента», ссылаясь на конкретные статьи кодекса.
Ваша защита — это не Tor и не VPN. Ваша защита — это знание красных флажков законодательства.
Читаем, сохраняем, переписываем свои шаблоны договоров. 👇
https://redsec.by/article/osint-na-minnom-pole-yuridicheskie-granicy-razvedki-v-belarusi/
Коллеги, снимаем розовые очки. Если вы занимаетесь разведкой по открытым источникам в Беларуси, забудьте всё, что читали в западных или российских мануалах. У нас здесь своя атмосфера, и цена ошибки аналитика — не гражданский иск, а реальный срок.
В новой статье разобрал юридическое минное поле, по которому мы ходим каждый день.
Почему стандартный OSINT в РБ — это риск:
💀 Радиоактивная зона (Экстремизм): Это чисто наш нюанс. Нашел в ходе рекона «запрещенный» телеграм-канал или сайт? Не вздумай делать скриншот, подписываться или кидать ссылку в отчет клиенту. Одно неверное движение — и это ст. 19.11 КоАП или, что хуже, ст. 361-1 УК РБ.
📄 Закон № 99-З и ст. 203-1 УК РБ: Клиент просит «пробить мобильные телефоны менеджеров конкурента»? Отказывайтесь сразу. Сбор персональных данных без согласия субъекта в Беларуси — это уголовная статья. Никаких «легитимных интересов» как в GDPR тут не прокатит.
💻 Ст. 352 УК РБ: Неправомерное завладение компьютерной информацией. Если вы начали массово скрейпить сайт, который запрещает это в правилах, или скопировали базу, которую «плохо положили» — это состав преступления.
В статье даю расклад, как прикрыть спину документами:
— Что писать в SOW (Statement of Work), чтобы ответственность за легальность цели лежала на заказчике.
— Как оформить ROE (Rules of Engagement), чтобы не попасть под раздачу ОАЦ или СК.
— Как грамотно отказать клиенту, который хочет «досье на силовика» или «взлом конкурента», ссылаясь на конкретные статьи кодекса.
Ваша защита — это не Tor и не VPN. Ваша защита — это знание красных флажков законодательства.
Читаем, сохраняем, переписываем свои шаблоны договоров. 👇
https://redsec.by/article/osint-na-minnom-pole-yuridicheskie-granicy-razvedki-v-belarusi/
RedSec Daily
OSINT на минном поле: Юридические границы разведки в Беларуси
OSINT в Беларуси: юридические риски (УК РБ, Закон № 99-З), работа с экстремистскими материалами, защита от уголовной ответственности, правильное оформление SOW/ROE
🧳 Чемоданчик кибербезопасника: Инструменты или смерть
Слышал байку, что «настоящий хакер взломает Пентагон с калькулятора», а инструменты — это для скрипт-кидди? Забудь. Это дорогое заблуждение, которое стоит карьеры.
В поле без грамотно собранного «чемодана» ты не специалист, а мишень.
💀 Blue Team без SIEM и EDR — это охранник, который слеп, глух и без рации, пока у него из-под носа выносят сервера.
🚩 Red Team без автоматизации OSINT и C2 фреймворков — это взломщик с ржавым ломом против биометрического сейфа.
Мы подготовили лонгрид, где без воды разобрали полный арсенал профи. Не просто список софта, а философию выживания в цифре.
Что внутри:
🛡 База: Почему работать с личного ноута — это профнепригодность, и зачем тебе FIDO2 ключи.
🩸 Атака: Чем ломать AD (BloodHound — наше всё), как грепать интернет через Shodan и почему крякнутый Cobalt Strike — это выстрел себе в ногу.
👁 Защита: Как увидеть невидимое через EDR и почему логи без корреляции — это мусор.
🔌 Железо: Wi-Fi ананасы, Rubber Ducky и переходники, которые спасают на физическом пентесте.
Инструменты — это мультипликатор твоего скилла. Если скилл ноль, умножаем на ноль. Но если ты понимаешь физику процесса, правильный софт сделает тебя богом в локальной сети.
Вникай в материал. Это база, без которой в ИБ делать нечего.
🔗 Читать полную статью на сайте: 👇
https://redsec.by/article/chemodanchik-kiberbezopasnika-polnyj-gid-po-instrumentam-bez-kotoryh-ib-eto-profanaciya/
Слышал байку, что «настоящий хакер взломает Пентагон с калькулятора», а инструменты — это для скрипт-кидди? Забудь. Это дорогое заблуждение, которое стоит карьеры.
В поле без грамотно собранного «чемодана» ты не специалист, а мишень.
💀 Blue Team без SIEM и EDR — это охранник, который слеп, глух и без рации, пока у него из-под носа выносят сервера.
🚩 Red Team без автоматизации OSINT и C2 фреймворков — это взломщик с ржавым ломом против биометрического сейфа.
Мы подготовили лонгрид, где без воды разобрали полный арсенал профи. Не просто список софта, а философию выживания в цифре.
Что внутри:
🛡 База: Почему работать с личного ноута — это профнепригодность, и зачем тебе FIDO2 ключи.
🩸 Атака: Чем ломать AD (BloodHound — наше всё), как грепать интернет через Shodan и почему крякнутый Cobalt Strike — это выстрел себе в ногу.
👁 Защита: Как увидеть невидимое через EDR и почему логи без корреляции — это мусор.
🔌 Железо: Wi-Fi ананасы, Rubber Ducky и переходники, которые спасают на физическом пентесте.
Инструменты — это мультипликатор твоего скилла. Если скилл ноль, умножаем на ноль. Но если ты понимаешь физику процесса, правильный софт сделает тебя богом в локальной сети.
Вникай в материал. Это база, без которой в ИБ делать нечего.
🔗 Читать полную статью на сайте: 👇
https://redsec.by/article/chemodanchik-kiberbezopasnika-polnyj-gid-po-instrumentam-bez-kotoryh-ib-eto-profanaciya/
RedSec Daily
Чемоданчик кибербезопасника: Полный гид по инструментам, без которых ИБ — это профанация
Полный обзор инструментов информационной безопасности для Blue и Red Team. От EDR и SIEM до OSINT и пентест-фреймворков. Выбор профессионалов для защиты и аудита
Получил красивую бумажку в НЦЗПД, повесил в рамочку и решил, что теперь ты официальный коммерческий пентестер? У меня для тебя плохие новости.
В Беларуси твой сертификат об образовании интересует ОАЦ и ДФР в последнюю очередь. Здесь рулит Закон № 213-З.
Разберем базу: в РБ рынок ИБ зарегулирован жестче, чем рынок оружия.
Бумажка из НЦЗПД подтверждает, что ты умный и можешь защищать свою контору. Но она НЕ дает тебе права продавать услуги взлома и аудита другим. Для этого нужна Лицензия на ТЗИ от ОАЦ.
Если ты (как ИП или ООО без лицензии) напишешь в договоре «Пентест» или «Аудит безопасности» — поздравляю, ты только что совершил экономическое преступление (незаконное предпринимательство). Твоя награда — конфискация 100% дохода по сделке и жирный штраф.
В новой статье разжевал, как работает эта лицензионная ловушка и как ее обходить:
🛑 Почему пентест = проектирование СЗИ в глазах регулятора.
📄 Как правильно переписывать договора: забываем слово «Аудит», вспоминаем «Информационно-аналитические услуги».
🕵️♂️ Почему чистый OSINT — это легальный чит-код для фрилансера.
Не кормите налоговую своей безграмотностью. Вы можете обойти любой фаервол, но против бюрократической машины спасет только правильный вординг.
Читать мануал по выживанию на рынке РБ уже на сайте. 👇
https://redsec.by/article/licenzionnaya-lovushka-oac-pochemu-vash-diplom-ne-daet-prava-delat-pentest/
В Беларуси твой сертификат об образовании интересует ОАЦ и ДФР в последнюю очередь. Здесь рулит Закон № 213-З.
Разберем базу: в РБ рынок ИБ зарегулирован жестче, чем рынок оружия.
Бумажка из НЦЗПД подтверждает, что ты умный и можешь защищать свою контору. Но она НЕ дает тебе права продавать услуги взлома и аудита другим. Для этого нужна Лицензия на ТЗИ от ОАЦ.
Если ты (как ИП или ООО без лицензии) напишешь в договоре «Пентест» или «Аудит безопасности» — поздравляю, ты только что совершил экономическое преступление (незаконное предпринимательство). Твоя награда — конфискация 100% дохода по сделке и жирный штраф.
В новой статье разжевал, как работает эта лицензионная ловушка и как ее обходить:
🛑 Почему пентест = проектирование СЗИ в глазах регулятора.
📄 Как правильно переписывать договора: забываем слово «Аудит», вспоминаем «Информационно-аналитические услуги».
🕵️♂️ Почему чистый OSINT — это легальный чит-код для фрилансера.
Не кормите налоговую своей безграмотностью. Вы можете обойти любой фаервол, но против бюрократической машины спасет только правильный вординг.
Читать мануал по выживанию на рынке РБ уже на сайте. 👇
https://redsec.by/article/licenzionnaya-lovushka-oac-pochemu-vash-diplom-ne-daet-prava-delat-pentest/
RedSec Daily
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Лицензирование ИБ в Беларуси: когда нужна лицензия ОАЦ, почему аттестат НЦЗПД не дает права на пентест, и как переформулировать услуги OSINT, чтобы избежать конфискации
💀 VPN: Плащ-невидимка или маркетинговая ложь? Разбираем архитектуру вашей «анонимности»
Хватит верить сказкам, что кнопка «Connect» в приложении за 5 баксов делает вас призраком. В Red Team мы называем это «театром безопасности». Если вы думаете, что VPN стирает вас из сети, у меня для вас плохие новости.
Реальность сурова: вы просто меняете того, кто смотрит ваше порно. Раньше это был ваш провайдер, теперь — админ сервера в Панаме.
Я подготовил лонгрид, где препарировал технологию VPN до уровня пакетов. Без воды и рекламного булшита.
Что внутри:
🔒 Туннелирование: Почему ваш ISP всё равно видит тайминги и объемы трафика, и как DPI палит протоколы OpenVPN и WireGuard.
👁 Кто реально следит: Разбор того, что утекает через SNI (Server Name Indication) и DNS, даже если шифрование включено.
🧬 Fingerprinting: Почему сайты узнают вас даже со скрытым IP. Ваш браузер «фонит» уникальными шрифтами и разрешением экрана сильнее, чем паспортные данные.
📉 Модель угроз: Почему VPN бесполезен против малвари, фишинга и социальной инженерии. Шифрованный канал не спасет, если вы сами отдали креды на фейковом сайте.
В статье — полная анатомия трафика. Таблицы видимости для провайдера, разбор отличий от Tor и жесткая правда о логах «no-logs» сервисов.
Если хотите понимать, как на самом деле работает ваша защита, а не жить в иллюзиях — читать обязательно.
👇 Ссылка на материал внизу.
https://redsec.by/article/anatomiya-nevidimosti-chto-takoe-vpn-na-samom-dele-i-kto-vidit-vash-trafik-v-cifrovom-tunnele/
Хватит верить сказкам, что кнопка «Connect» в приложении за 5 баксов делает вас призраком. В Red Team мы называем это «театром безопасности». Если вы думаете, что VPN стирает вас из сети, у меня для вас плохие новости.
Реальность сурова: вы просто меняете того, кто смотрит ваше порно. Раньше это был ваш провайдер, теперь — админ сервера в Панаме.
Я подготовил лонгрид, где препарировал технологию VPN до уровня пакетов. Без воды и рекламного булшита.
Что внутри:
🔒 Туннелирование: Почему ваш ISP всё равно видит тайминги и объемы трафика, и как DPI палит протоколы OpenVPN и WireGuard.
👁 Кто реально следит: Разбор того, что утекает через SNI (Server Name Indication) и DNS, даже если шифрование включено.
🧬 Fingerprinting: Почему сайты узнают вас даже со скрытым IP. Ваш браузер «фонит» уникальными шрифтами и разрешением экрана сильнее, чем паспортные данные.
📉 Модель угроз: Почему VPN бесполезен против малвари, фишинга и социальной инженерии. Шифрованный канал не спасет, если вы сами отдали креды на фейковом сайте.
В статье — полная анатомия трафика. Таблицы видимости для провайдера, разбор отличий от Tor и жесткая правда о логах «no-logs» сервисов.
Если хотите понимать, как на самом деле работает ваша защита, а не жить в иллюзиях — читать обязательно.
👇 Ссылка на материал внизу.
https://redsec.by/article/anatomiya-nevidimosti-chto-takoe-vpn-na-samom-dele-i-kto-vidit-vash-trafik-v-cifrovom-tunnele/
RedSec Daily
Анатомия невидимости: Что такое VPN на самом деле и кто видит ваш трафик в цифровом туннеле
Разбираем VPN на молекулы: архитектура туннелей, шифрование и мифы об анонимности. Узнайте, что на самом деле видит провайдер, а что — хакеры, и где заканчивается защита
👍2
🛡 Квест ОАЦ: Как легализовать хакинг в Беларуси
Хотите ломать банки и получать за это деньги, а не срок? Тогда придется пройти бюрократический босс-файт и получить лицензию на техзащиту информации (ТЗИ).
В прошлом посте мы выяснили, что без этой бумаги любой пентест в РБ — это незаконное предпринимательство с конфискацией кассы. Теперь разберем, как этот квест пройти и не сойти с ума.
Сразу снимаю розовые очки: заплатить пошлину и получить бланк не выйдет. ОАЦ проверяет не ваш кошелек, а ваши процессы.
В новом мануале расписал пошаговый алгоритм получения лицензии:
👥 Проблема «Святой Троицы»: Почему лицензия недоступна одиночкам. Вам нужны минимум 3 штатных специалиста с профильным высшим образованием или переподготовкой. Нет людей — нет лицензии.
🏢 База: Коворкинг не прокатит. Нужен офис с охранкой, сейфом и контролем доступа. И да, софт для аудита должен быть лицензионным. За пиратский Metasploit вас развернут на входе.
📄 Бумажная война: Главная ошибка — скачать шаблоны регламентов из интернета. ОАЦ реально читает ваши «Положения о порядке проведения работ». Если там вода — будет отказ.
Лицензия — это входной билет в высшую лигу, где заказчики (госы, банки, КВОИ) платят честные бюджеты.
Хватит партизанить. Превращаем гаражный стартап в системный бизнес. Полный гайд по подаче документов уже на сайте. 👇
https://redsec.by/article/kvest-oac-polnoe-rukovodstvo-po-polucheniyu-licenzii-na-tzi-v-belarusi/
Хотите ломать банки и получать за это деньги, а не срок? Тогда придется пройти бюрократический босс-файт и получить лицензию на техзащиту информации (ТЗИ).
В прошлом посте мы выяснили, что без этой бумаги любой пентест в РБ — это незаконное предпринимательство с конфискацией кассы. Теперь разберем, как этот квест пройти и не сойти с ума.
Сразу снимаю розовые очки: заплатить пошлину и получить бланк не выйдет. ОАЦ проверяет не ваш кошелек, а ваши процессы.
В новом мануале расписал пошаговый алгоритм получения лицензии:
👥 Проблема «Святой Троицы»: Почему лицензия недоступна одиночкам. Вам нужны минимум 3 штатных специалиста с профильным высшим образованием или переподготовкой. Нет людей — нет лицензии.
🏢 База: Коворкинг не прокатит. Нужен офис с охранкой, сейфом и контролем доступа. И да, софт для аудита должен быть лицензионным. За пиратский Metasploit вас развернут на входе.
📄 Бумажная война: Главная ошибка — скачать шаблоны регламентов из интернета. ОАЦ реально читает ваши «Положения о порядке проведения работ». Если там вода — будет отказ.
Лицензия — это входной билет в высшую лигу, где заказчики (госы, банки, КВОИ) платят честные бюджеты.
Хватит партизанить. Превращаем гаражный стартап в системный бизнес. Полный гайд по подаче документов уже на сайте. 👇
https://redsec.by/article/kvest-oac-polnoe-rukovodstvo-po-polucheniyu-licenzii-na-tzi-v-belarusi/
RedSec Daily
Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси
Пошаговое руководство по получению лицензии ОАЦ на техническую защиту информации в Беларуси. Требования к персоналу, документы, процедура подачи и типичные ошибки
🛠 Физика бьёт софт: Почему твой Kali Linux бесполезен без правильного кабеля
Спустись с небес на землю. Кибербезопасность — это не только терминалы и зеленый код в матрице. Это пыльные серверные, скрученные провода и порты, до которых не дотянуться рукой.
Знаешь, как выглядит эпичный провал пентеста? Это когда ты стоишь перед открытой стойкой, у тебя эксплойт на миллион, но ты забыл консольный кабель. Или когда ты нашел диск с уликами, воткнул его напрямую в ноутбук, и ОС затерла метаданные. Поздравляю, доказательства уничтожены, ты профнепригоден.
Мы выкатили вторую часть гайда по инструментарию. На этот раз — Hard Skills в буквальном смысле. Разбираем физический чемодан, без которого в поле делать нечего.
Что внутри лонгрида:
🔌 Святая коммутация: Почему дешевый переходник USB-COM на чипе Prolific убьет твои нервы синим экраном смерти, и почему профи юзают только FTDI.
🔧 Кинетика: Зачем тебе набор бит Security Torx (спойлер: без них ты не вскроешь ни один серьезный свитч или точку доступа).
📡 Война в эфире: Почему встроенный Wi-Fi адаптер твоего макбука слеп, как крот, и зачем нужны «Альфы» с режимом монитора.
💾 Форензика: Write-blocker — устройство за $500, которое спасет тебя от тюрьмы и иска за порчу улик.
Запомни: инструмент — это продолжение твоих рук. Нет инструмента — нет доступа. А просить отвертку у админа, которого ты пришел ломать — это позор.
Собирай EDC грамотно. Читай полный разбор железа, без которого ты не хакер, а юзер.
👇 Читать базу здесь:
https://redsec.by/article/chemodanchik-ib-specialista-fizicheskie-instrumenty-bez-kotoryh-audit-i-pentest-eto-fikciya/
Спустись с небес на землю. Кибербезопасность — это не только терминалы и зеленый код в матрице. Это пыльные серверные, скрученные провода и порты, до которых не дотянуться рукой.
Знаешь, как выглядит эпичный провал пентеста? Это когда ты стоишь перед открытой стойкой, у тебя эксплойт на миллион, но ты забыл консольный кабель. Или когда ты нашел диск с уликами, воткнул его напрямую в ноутбук, и ОС затерла метаданные. Поздравляю, доказательства уничтожены, ты профнепригоден.
Мы выкатили вторую часть гайда по инструментарию. На этот раз — Hard Skills в буквальном смысле. Разбираем физический чемодан, без которого в поле делать нечего.
Что внутри лонгрида:
🔌 Святая коммутация: Почему дешевый переходник USB-COM на чипе Prolific убьет твои нервы синим экраном смерти, и почему профи юзают только FTDI.
🔧 Кинетика: Зачем тебе набор бит Security Torx (спойлер: без них ты не вскроешь ни один серьезный свитч или точку доступа).
📡 Война в эфире: Почему встроенный Wi-Fi адаптер твоего макбука слеп, как крот, и зачем нужны «Альфы» с режимом монитора.
💾 Форензика: Write-blocker — устройство за $500, которое спасет тебя от тюрьмы и иска за порчу улик.
Запомни: инструмент — это продолжение твоих рук. Нет инструмента — нет доступа. А просить отвертку у админа, которого ты пришел ломать — это позор.
Собирай EDC грамотно. Читай полный разбор железа, без которого ты не хакер, а юзер.
👇 Читать базу здесь:
https://redsec.by/article/chemodanchik-ib-specialista-fizicheskie-instrumenty-bez-kotoryh-audit-i-pentest-eto-fikciya/
RedSec Daily
Чемоданчик ИБ-специалиста: Физические инструменты, без которых аудит и пентест — это фикция
Полное руководство по физическим инструментам для специалистов по кибербезопасности. Обзор наборов EDC, Forensic и Pentest: от консольных кабелей и отверток
🌐 Периметра больше не существует.
Еще 10 лет назад работа безопасника была понятной: офис, серверная, фаервол. Всё, что внутри — своё, всё, что снаружи — враги. Сегодня эта схема мертва.
Ваш периметр теперь там, где есть ваши данные:
— В S3-бакете, поднятом с личной кредитки разработчика за 5 минут.
— В забытом тестовом стенде на поддомене dev-staging-2021, который так и не выключили.
— В репозитории на GitHub, где подрядчик случайно закоммитил ключи от AWS.
Это называется Shadow IT (Теневые ИТ). И пока вы тратите миллионы на защиту парадного входа, мы (Red Team) заходим через открытую форточку в подвале.
Написал фундаментальный лонгрид про EASM (External Attack Surface Management). Это не просто «сканирование портов», это полная инвентаризация вашего цифрового хаоса глазами атакующего.
Что внутри мануала:
💀 Анатомия активов: Почему ваш CMDB в Excel видит только 60% инфраструктуры, и где прячутся остальные 40% (Known-Unknowns), которые и станут вектором атаки.
🔎 Техники Discovery: Как использовать Certificate Transparency (CT Logs), чтобы видеть новые домены раньше, чем их настроят админы. Разбираем DNS-брутфорс, ASN Mapping и поиск секретов в коде.
📉 Метрики хаоса: Как оцифровать бардак. Вводим понятия Drift (дрейф инфраструктуры) и MTTD (время обнаружения забытого сервера).
🤖 Pipeline: Как перестать делать это руками и построить автоматический конвейер обнаружения активов, интегрированный с Jira и SIEM.
Хватит защищать иллюзию периметра. Начните защищать то, что реально торчит в интернет.
Полная анатомия EASM уже на сайте. Читать всем, кто отвечает за инфраструктуру. 👇
https://redsec.by/article/enterprise-osint-i-easm-polnaya-anatomiya-cifrovogo-perimetra-kompanii/
Еще 10 лет назад работа безопасника была понятной: офис, серверная, фаервол. Всё, что внутри — своё, всё, что снаружи — враги. Сегодня эта схема мертва.
Ваш периметр теперь там, где есть ваши данные:
— В S3-бакете, поднятом с личной кредитки разработчика за 5 минут.
— В забытом тестовом стенде на поддомене dev-staging-2021, который так и не выключили.
— В репозитории на GitHub, где подрядчик случайно закоммитил ключи от AWS.
Это называется Shadow IT (Теневые ИТ). И пока вы тратите миллионы на защиту парадного входа, мы (Red Team) заходим через открытую форточку в подвале.
Написал фундаментальный лонгрид про EASM (External Attack Surface Management). Это не просто «сканирование портов», это полная инвентаризация вашего цифрового хаоса глазами атакующего.
Что внутри мануала:
💀 Анатомия активов: Почему ваш CMDB в Excel видит только 60% инфраструктуры, и где прячутся остальные 40% (Known-Unknowns), которые и станут вектором атаки.
🔎 Техники Discovery: Как использовать Certificate Transparency (CT Logs), чтобы видеть новые домены раньше, чем их настроят админы. Разбираем DNS-брутфорс, ASN Mapping и поиск секретов в коде.
📉 Метрики хаоса: Как оцифровать бардак. Вводим понятия Drift (дрейф инфраструктуры) и MTTD (время обнаружения забытого сервера).
🤖 Pipeline: Как перестать делать это руками и построить автоматический конвейер обнаружения активов, интегрированный с Jira и SIEM.
Хватит защищать иллюзию периметра. Начните защищать то, что реально торчит в интернет.
Полная анатомия EASM уже на сайте. Читать всем, кто отвечает за инфраструктуру. 👇
https://redsec.by/article/enterprise-osint-i-easm-polnaya-anatomiya-cifrovogo-perimetra-kompanii/
RedSec Daily
Enterprise OSINT и EASM: Полная анатомия цифрового периметра компании
Полное руководство по External Attack Surface Management (EASM): построение реестра внешних активов, борьба с Shadow IT, метрики контроля периметра и OSINT-техники