// security newsroom
Новости и аналитика
Свежая повестка кибербезопасности без перепечаток и сенсационного шума: что произошло, почему это важно и какие действия действительно снижают риск.
WEB/API
Shadow API: когда HAR знает больше, чем OpenAPI
Самая неприятная API-проблема не всегда выглядит как уязвимость. Часто это просто несоответствие между документацией, релизом и реальным трафиком: старый endpoint живёт, новый не описан, а ограничения доступа различаются.
читать разбор →
IDENTITY
Passkeys не чинят сессию сами по себе
Passkeys отлично убирают часть password risk, но они не решают автоматически вопросы session fixation, recovery bypass, weak step-up и долгоживущих cookies. После WebAuthn всё равно остаётся инженерия доверия.
читать разбор →
VISIBILITY
Osquery/Fleet: видимость должна быть безопасной для хоста
Visibility-инструменты ценны, пока не начинают вредить целевой машине. Osquery и Fleet хороши там, где есть query budget, ownership, интервал, label targeting и понимание цены каждой таблицы.
читать разбор →
KUBERNETES
Kubernetes security: posture, admission и runtime должны говорить вместе
Cluster scan сам по себе не закрывает риск. Если posture показывает проблему, admission её не блокирует, а runtime ничего не замечает, команда получает красивый отчёт, но не получает контроль над дрейфом.
читать разбор →
THREAT HUNTING
Threat hunting: гипотеза должна переживать смену инструментов
Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.
читать разбор →
HARDENING
Linux hardening: гайд полезен только там, где есть проверка
Даже сильный hardening-guide бесполезен, если он не превращается в проверяемое состояние. Зрелая инфраструктура не спорит, 'достаточно ли secure', а регулярно проверяет конкретные свойства системы.
читать разбор →
SUPPLY CHAIN
SBOM без provenance оставляет слепую зону релиза
Компонентный состав важен, но сам по себе не отвечает на вопрос, откуда взялся артефакт и кто подтвердил его сборку. Поэтому разговор о release trust неизбежно приходит к attestations, digest pinning и verification gate.
читать разбор →
SOC
Detection engineering: считайте не только правила, но и шум
Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.
читать разбор →
DFIR
Memory triage: первый час важнее красивой полной картины
В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.
читать разбор →
WEB/API
API/BOLA: почему две роли важнее ещё одного сканера
IDOR/BOLA редко находится красивым payload. Чаще он проявляется там, где у API есть object id, две роли, разные владельцы данных и слабая проверка на уровне объекта.
читать разбор →
SECRETS
Secrets scanning: находка без ротации не закрывает риск
Gitleaks и TruffleHog полезны не потому, что умеют находить строки, похожие на секреты, а потому что помогают построить процесс: найти, подтвердить, отозвать, заменить и доказать, что секрет больше не работает.
читать разбор →
SUPPLY CHAIN
SBOM и vulnerability triage: почему CVE без контекста шумит
Syft, Grype и Trivy помогают увидеть состав приложения, но ценность появляется только после связывания CVE с exposure, reachability, asset role и окном исправления.
читать разбор →
SOC
Detection-as-code: Sigma как язык между пентестом и SOC
Хороший пентест должен оставлять после себя не только PDF, но и идеи детектирования. Sigma помогает описать сигнал один раз и затем переводить его в SIEM-запросы.
читать разбор →
CONTAINERS
Container security: образ, IaC и runtime нужно смотреть вместе
Trivy-подобные проверки полезны, когда не ограничиваются CVE. Реальный риск часто живёт в Dockerfile, Kubernetes/IaC, секретах и runtime-поведении.
читать разбор →
AI SECURITY
LLM security: агенту нужен policy layer, а не доверие
OWASP LLM Top 10 сделал очевидным то, что видно на практике: prompt injection, insecure plugin design и excessive agency опасны, когда модель напрямую влияет на действия системы.
читать разбор →
EDGE
Edge/VPN hardening: внешний периметр надо проверять как живой организм
VPN, reverse proxy, панели и SSH меняются чаще, чем кажется. Именно edge-слой первым получает сканирование, credential stuffing и попытки найти забытые админки.
читать разбор →
MALWARE
Malware triage: хороший разбор заканчивается детектом
Разбор образца не должен заканчиваться фразой 'вредоносный'. Полезный результат - timeline, IOC, YARA/Sigma-кандидаты, что сбросить, что искать в EDR и что проверить в сети.
читать разбор →
AI SECURITYAI skill risk guard: почему пентест-платформе нужен предохранитель перед LLM-планом
AI-агент может быть полезным аналитиком, но если дать ему методологические playbooks без policy-gate, он начнёт смешивать разрешённую проверку, рискованные техники и недопустимые действия. Нормальная assisted-платформа должна сначала классифицировать намерение, а уже потом строить план.
читать анализ →
PROMPT INJECTIONPrompt injection в security automation: target content всегда untrusted
В пентесте модель постоянно видит HTML, JavaScript, headers, error pages, README, OpenAPI и логи. Всё это может содержать инструкции, которые выглядят как команды для агента, но на самом деле являются данными цели.
читать анализ →
VALIDATIONEvidence-first validation: почему отчёт должен доказывать, а не убеждать
Коммерческий пентест-отчёт всё чаще оценивают не по количеству находок, а по качеству доказательств: можно ли воспроизвести, понять impact, назначить владельца и провести ретест.
читать анализ →
// knowledge base
Практические лаборатории: от основ до advanced security engineering
Новый самостоятельный раздел сайта собирает прикладные темы: HTTP/DNS/TLS, инвентаризация портов, secrets scanning, API security, Docker audit, SIEM, SBOM, honeypots, AI threat detection и управление ключами. Формат — объяснение, риск, ручная проверка, типичные ошибки и defensive-чеклист.
01 NETWORK02 WEB/API03 SOC04 SECRETS05 CONTAINERS06 CRYPTO
LINUX / HARDENINGLinux privilege escalation: как превратить чеклист атакующего в план защиты
Из PDF по Linux privilege escalation вынесена безопасная defensive-версия: SUID/SGID, sudoers, cron, сервисы от root, секреты и baseline-подход для регулярного аудита.
читать анализ →
ACTIVE DIRECTORYAD attack paths: что полезного защитнику в заметках CRTP
Сырые команды, пароли и обходы защит не опубликованы. Вместо этого — безопасная карта рисков AD: delegation, GPO, ADCS, сервисные аккаунты, CI/CD и локальные админы.
читать анализ →
KEV / RISKKEV-first triage: почему самый высокий CVSS не всегда первый
Очередь исправлений должна начинаться с активной эксплуатации, внешней доступности и роли актива для бизнеса. CVSS важен, но сам по себе не строит план реагирования.
читать анализ →
SUPPLY CHAINSupply chain: реальный риск живёт в CI/CD, токенах и lifecycle scripts
Lockfile и SCA уже недостаточны. Нужно смотреть, что видит runner, где лежат publish-токены, как запускаются lifecycle scripts и как подтверждается provenance.
читать анализ →
EDGE / INCIDENTFortiBleed: почему одной смены пароля после утечки недостаточно
CISA сообщает о скомпрометированных учётных данных примерно 74 000 интернет-доступных устройств Fortinet. Разбираем правильный порядок локализации: завершение сессий, ротация секретов, проверка конфигурации и поиск следов доступа.
читать анализ →
AI SECURITYAutoJack: одна веб-страница как путь к RCE на машине AI-агента
Когда браузерный агент видит untrusted content и одновременно доверяет localhost, привычная граница безопасности исчезает. Разбираем цепочку и архитектурные меры защиты.
читать анализ →
SUPPLY CHAINMastra npm: postinstall превратил зависимость в канал компрометации
Скрытая нагрузка затронула более 140 проектов. Главный урок кампании — lockfile и сканер зависимостей не заменяют контроль publish-токенов, lifecycle scripts и поведения сборки.
читать анализ →
MALWARECrypto Clipper: Tor, подмена кошельков и червеобразное распространение
Кампания совмещает кражу транзакций с устойчивым доступом. Это уже не одиночный clipper, а компактная платформа для развития атаки.
читать анализ →
KEV / SPLUNKCVE-2026-20253: Splunk попал в каталог активно эксплуатируемых уязвимостей
Missing authentication for critical function — особенно опасный класс для систем, где хранятся журналы, расследования и данные мониторинга.
читать анализ →
RESEARCHVulnerability harness: как автоматизация перестаёт генерировать шум
Cloudflare описала многоступенчатую систему поиска и проверки уязвимостей. Самая ценная часть — не LLM, а управление состоянием, adversarial review и отсечение ложных срабатываний.
читать анализ →
13.06.2026Пентест больше не продается как "нашли 50 дыр"
Клиент покупает не список страшных слов, а снижение риска. Хороший отчет сегодня должен показывать, что реально достижимо из интернета, какие цепочки атаки правдоподобны, кто отвечает за исправление и как будет выглядеть ретест.
SecMon Pro
13.06.2026AI в пентесте: усилитель аналитика, а не автопилот
Модель полезна там, где человеку скучно и дорого: сжать evidence, сгруппировать находки, объяснить бизнес-эффект, подготовить письмо разработчикам. Но право запускать опасные проверки должно оставаться у человека и только в подтвержденном scope.
readiness
13.06.2026Edge-first hardening
VPN, SSH, reverse proxy, панели управления, GitLab, почтовые шлюзы и админки мониторинга нужно считать главным фронтом. Там меньше пользователей, зато больше привилегий, и ошибка конфигурации часто превращается в прямой вход в сеть.
сводка
13.06.2026Почему KEV важнее голого CVSS
CVSS показывает потенциальную тяжесть, но не отвечает на вопрос "что ломают прямо сейчас". Поэтому нормальная очередь патчей начинается с известных эксплуатаций, внешней доступности и критичности актива для бизнеса.
источник
13.06.2026Supply chain: тихая зона, где рождаются громкие инциденты
Зависимости, контейнеры, CI/CD, токены и release scripts стали частью attack surface. Если их не описывать в отчете, пентест получается красивым, но неполным: веб-форма защищена, а деплой-цепочка все еще доверяет всему подряд.
обсуждения
13.06.2026Malware triage для бизнеса
Разбор вредоносного ПО должен отвечать не только "как оно работает", но и "как быстро понять, что это было у нас". Поэтому нужны IOC, timeline, сетевые следы, идеи Sigma/YARA и понятные действия для SOC.
Virus Lab
13.06.2026Русскоязычная безопасность взрослеет
В RU-сообществе все больше практики: как закрыть SSH, как читать журналы, как не потерять доступ после hardening, как объяснить владельцу сайта, что "просто поставить сканер" недостаточно.
Хабр
13.06.2026Отчет, который хочется исправлять
Я люблю отчеты, где finding сразу превращается в задачу: риск, доказательство, affected asset, владелец, SLA, критерий ретеста. Такой документ не лежит мертвым PDF, а двигает команду к исправлению.
reports
13.06.2026Continuous validation вместо ежегодного ритуала
Один пентест в год хорош только для галочки. Реальная защита живет в цикле: обнаружили, приоритизировали, исправили, перепроверили, сохранили evidence и снова посмотрели на внешний периметр.
платформа