<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
  <channel>
    <title>Virusologia — новости кибербезопасности</title>
    <link>https://virusologia.com/blog</link>
    <description>Авторские разборы уязвимостей, malware, supply chain, AI security и практических мер защиты.</description>
    <language>ru</language>
<!-- vlg-content-refresh-20260704:start -->
    <item>
      <title>API/BOLA: почему две роли важнее ещё одного сканера</title>
      <link>https://virusologia.com/news/api-bola-readonly-role-matrix-2026</link>
      <guid>https://virusologia.com/news/api-bola-readonly-role-matrix-2026</guid>
      <description>IDOR/BOLA редко находится красивым payload. Чаще он проявляется там, где у API есть object id, две роли, разные владельцы данных и слабая проверка на уровне объекта.</description>
    </item>
    <item>
      <title>Secrets scanning: находка без ротации не закрывает риск</title>
      <link>https://virusologia.com/news/secrets-scanning-response-playbook-2026</link>
      <guid>https://virusologia.com/news/secrets-scanning-response-playbook-2026</guid>
      <description>Gitleaks и TruffleHog полезны не потому, что умеют находить строки, похожие на секреты, а потому что помогают построить процесс: найти, подтвердить, отозвать, заменить и доказать, что секрет больше не работает.</description>
    </item>
    <item>
      <title>SBOM и vulnerability triage: почему CVE без контекста шумит</title>
      <link>https://virusologia.com/news/sbom-vulnerability-triage-2026</link>
      <guid>https://virusologia.com/news/sbom-vulnerability-triage-2026</guid>
      <description>Syft, Grype и Trivy помогают увидеть состав приложения, но ценность появляется только после связывания CVE с exposure, reachability, asset role и окном исправления.</description>
    </item>
    <item>
      <title>Detection-as-code: Sigma как язык между пентестом и SOC</title>
      <link>https://virusologia.com/news/detection-as-code-sigma-2026</link>
      <guid>https://virusologia.com/news/detection-as-code-sigma-2026</guid>
      <description>Хороший пентест должен оставлять после себя не только PDF, но и идеи детектирования. Sigma помогает описать сигнал один раз и затем переводить его в SIEM-запросы.</description>
    </item>
    <item>
      <title>Container security: образ, IaC и runtime нужно смотреть вместе</title>
      <link>https://virusologia.com/news/container-iac-runtime-security-2026</link>
      <guid>https://virusologia.com/news/container-iac-runtime-security-2026</guid>
      <description>Trivy-подобные проверки полезны, когда не ограничиваются CVE. Реальный риск часто живёт в Dockerfile, Kubernetes/IaC, секретах и runtime-поведении.</description>
    </item>
    <item>
      <title>LLM security: агенту нужен policy layer, а не доверие</title>
      <link>https://virusologia.com/news/llm-agent-policy-layer-2026</link>
      <guid>https://virusologia.com/news/llm-agent-policy-layer-2026</guid>
      <description>OWASP LLM Top 10 сделал очевидным то, что видно на практике: prompt injection, insecure plugin design и excessive agency опасны, когда модель напрямую влияет на действия системы.</description>
    </item>
    <item>
      <title>Edge/VPN hardening: внешний периметр надо проверять как живой организм</title>
      <link>https://virusologia.com/news/edge-vpn-hardening-2026</link>
      <guid>https://virusologia.com/news/edge-vpn-hardening-2026</guid>
      <description>VPN, reverse proxy, панели и SSH меняются чаще, чем кажется. Именно edge-слой первым получает сканирование, credential stuffing и попытки найти забытые админки.</description>
    </item>
    <item>
      <title>Malware triage: хороший разбор заканчивается детектом</title>
      <link>https://virusologia.com/news/malware-triage-yara-sigma-2026</link>
      <guid>https://virusologia.com/news/malware-triage-yara-sigma-2026</guid>
      <description>Разбор образца не должен заканчиваться фразой &#x27;вредоносный&#x27;. Полезный результат - timeline, IOC, YARA/Sigma-кандидаты, что сбросить, что искать в EDR и что проверить в сети.</description>
    </item>
<!-- vlg-content-refresh-20260704:end -->
    <item><title>Linux privilege escalation: defensive checklist</title><link>https://virusologia.com/news/linux-privesc-defensive-checklist</link><guid isPermaLink="true">https://virusologia.com/news/linux-privesc-defensive-checklist</guid><description>Как превратить checklist privilege escalation в регулярный Linux hardening baseline.</description></item>
    <item><title>AD attack paths: что полезного защитнику в заметках CRTP</title><link>https://virusologia.com/news/ad-attack-path-defensive-model</link><guid isPermaLink="true">https://virusologia.com/news/ad-attack-path-defensive-model</guid><description>Безопасная defensive-версия: delegation, GPO, ADCS, сервисные аккаунты и CI/CD как граф риска.</description></item>
    <item><title>KEV-first triage: почему CVSS не всегда первый</title><link>https://virusologia.com/news/kev-first-triage-2026-06-28</link><guid isPermaLink="true">https://virusologia.com/news/kev-first-triage-2026-06-28</guid><description>Очередь исправлений через active exploitation, exposure и бизнес-критичность актива.</description></item>
    <item><title>Supply chain: CI/CD secrets и lifecycle scripts</title><link>https://virusologia.com/news/supply-chain-ci-secrets-2026-06-28</link><guid isPermaLink="true">https://virusologia.com/news/supply-chain-ci-secrets-2026-06-28</guid><description>Почему контроль runner, publish-токенов и provenance стал частью пентеста.</description></item>
    <item><title>AutoJack: браузерный AI-агент разрушает доверие к localhost</title><link>https://virusologia.com/news/autojack-ai-agent-rce</link><guid isPermaLink="true">https://virusologia.com/news/autojack-ai-agent-rce</guid><description>Как недоверенная веб-страница, локальный MCP-сервис и слабая изоляция создают цепочку до RCE.</description></item>
    <item><title>FortiBleed: после утечки credentials пароль меняют не первым</title><link>https://virusologia.com/news/fortibleed-fortinet-credentials</link><guid isPermaLink="true">https://virusologia.com/news/fortibleed-fortinet-credentials</guid><description>Локализация компрометации Fortinet: сессии, токены, ротация секретов и проверка конфигурации.</description></item>
    <item><title>Mastra npm: когда postinstall становится частью атаки</title><link>https://virusologia.com/news/mastra-npm-supply-chain</link><guid isPermaLink="true">https://virusologia.com/news/mastra-npm-supply-chain</guid><description>Почему poisoned package требует контроля lifecycle scripts, provenance и поведения CI runner.</description></item>
    <item><title>CVE-2026-20253: когда компрометация SIEM ослепляет защиту</title><link>https://virusologia.com/news/splunk-kev-cve-2026-20253</link><guid isPermaLink="true">https://virusologia.com/news/splunk-kev-cve-2026-20253</guid><description>Splunk Enterprise в CISA KEV: активная эксплуатация и приоритетный план реагирования.</description></item>
    <item><title>Vulnerability harness: ценность создаёт validator, а не красивый ответ LLM</title><link>https://virusologia.com/news/vulnerability-harness-llm-validation</link><guid isPermaLink="true">https://virusologia.com/news/vulnerability-harness-llm-validation</guid><description>State control, adversarial review, evidence и снижение false positives в assisted pentesting.</description></item>
    <item><title>Crypto Clipper: кража транзакции стала только первой стадией</title><link>https://virusologia.com/news/crypto-clipper-tor-worm</link><guid isPermaLink="true">https://virusologia.com/news/crypto-clipper-tor-worm</guid><description>Tor, подмена адресов кошельков, persistence и червеобразное распространение.</description></item>
  
    <item>
      <title>Cyber Labs: безопасный маршрут изучения кибербезопасности</title>
      <link>https://virusologia.com/cyber-labs</link>
      <guid>https://virusologia.com/cyber-labs</guid>
      <description>Новый образовательный раздел Virusologia: практические лаборатории, объяснения, типичные ошибки и defensive-чеклисты.</description>
    </item>

    <item>
      <title>Cyber Labs Code Examples</title>
      <link>https://virusologia.com/cyber-code-examples</link>
      <guid>https://virusologia.com/cyber-code-examples</guid>
      <description>В Cyber Labs добавлены безопасные авторские примеры кода: headers, DNS, hashes, secrets redaction, Docker audit, API inventory, SIEM и monitoring.</description>
    </item>

    <item>
      <title>AI skill risk guard: почему пентест-платформе нужен предохранитель перед LLM-планом</title>
      <link>https://virusologia.com/news/ai-skill-risk-guard-2026-07-02</link>
      <guid>https://virusologia.com/news/ai-skill-risk-guard-2026-07-02</guid>
      <description>AI-агент может быть полезным аналитиком, но если дать ему методологические playbooks без policy-gate, он начнёт смешивать разрешённую проверку, рискованные техники и недопустимые действия. Нормальная assisted-платформа должна сначала классифицировать намерение, а уже потом строить план.</description>
    </item>

    <item>
      <title>Prompt injection в security automation: target content всегда untrusted</title>
      <link>https://virusologia.com/news/prompt-injection-security-automation-2026-07-02</link>
      <guid>https://virusologia.com/news/prompt-injection-security-automation-2026-07-02</guid>
      <description>В пентесте модель постоянно видит HTML, JavaScript, headers, error pages, README, OpenAPI и логи. Всё это может содержать инструкции, которые выглядят как команды для агента, но на самом деле являются данными цели.</description>
    </item>

    <item>
      <title>Evidence-first validation: почему отчёт должен доказывать, а не убеждать</title>
      <link>https://virusologia.com/news/evidence-first-validation-2026-07-02</link>
      <guid>https://virusologia.com/news/evidence-first-validation-2026-07-02</guid>
      <description>Коммерческий пентест-отчёт всё чаще оценивают не по количеству находок, а по качеству доказательств: можно ли воспроизвести, понять impact, назначить владельца и провести ретест.</description>
    </item>
<!-- vlg-content-refresh-20260704-wave3:start -->
    <item>
      <title>Shadow API: когда HAR знает больше, чем OpenAPI</title>
      <link>https://virusologia.com/news/shadow-api-openapi-har-drift-2026</link>
      <guid>https://virusologia.com/news/shadow-api-openapi-har-drift-2026</guid>
      <description>Самая неприятная API-проблема не всегда выглядит как уязвимость. Часто это просто несоответствие между документацией, релизом и реальным трафиком: старый endpoint живёт, новый не описан, а ограничения доступа различаются.</description>
    </item>
    <item>
      <title>Passkeys не чинят сессию сами по себе</title>
      <link>https://virusologia.com/news/passkeys-session-step-up-2026</link>
      <guid>https://virusologia.com/news/passkeys-session-step-up-2026</guid>
      <description>Passkeys отлично убирают часть password risk, но они не решают автоматически вопросы session fixation, recovery bypass, weak step-up и долгоживущих cookies. После WebAuthn всё равно остаётся инженерия доверия.</description>
    </item>
    <item>
      <title>Osquery/Fleet: видимость должна быть безопасной для хоста</title>
      <link>https://virusologia.com/news/fleet-osquery-query-budget-2026</link>
      <guid>https://virusologia.com/news/fleet-osquery-query-budget-2026</guid>
      <description>Visibility-инструменты ценны, пока не начинают вредить целевой машине. Osquery и Fleet хороши там, где есть query budget, ownership, интервал, label targeting и понимание цены каждой таблицы.</description>
    </item>
    <item>
      <title>Kubernetes security: posture, admission и runtime должны говорить вместе</title>
      <link>https://virusologia.com/news/kubernetes-policy-runtime-2026</link>
      <guid>https://virusologia.com/news/kubernetes-policy-runtime-2026</guid>
      <description>Cluster scan сам по себе не закрывает риск. Если posture показывает проблему, admission её не блокирует, а runtime ничего не замечает, команда получает красивый отчёт, но не получает контроль над дрейфом.</description>
    </item>
    <item>
      <title>Threat hunting: гипотеза должна переживать смену инструментов</title>
      <link>https://virusologia.com/news/kestrel-huntflow-hypothesis-2026</link>
      <guid>https://virusologia.com/news/kestrel-huntflow-hypothesis-2026</guid>
      <description>Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.</description>
    </item>
    <item>
      <title>Linux hardening: гайд полезен только там, где есть проверка</title>
      <link>https://virusologia.com/news/linux-hardening-verification-loop-2026</link>
      <guid>https://virusologia.com/news/linux-hardening-verification-loop-2026</guid>
      <description>Даже сильный hardening-guide бесполезен, если он не превращается в проверяемое состояние. Зрелая инфраструктура не спорит, &#x27;достаточно ли secure&#x27;, а регулярно проверяет конкретные свойства системы.</description>
    </item>
    <item>
      <title>SBOM без provenance оставляет слепую зону релиза</title>
      <link>https://virusologia.com/news/ci-attestations-release-trust-2026</link>
      <guid>https://virusologia.com/news/ci-attestations-release-trust-2026</guid>
      <description>Компонентный состав важен, но сам по себе не отвечает на вопрос, откуда взялся артефакт и кто подтвердил его сборку. Поэтому разговор о release trust неизбежно приходит к attestations, digest pinning и verification gate.</description>
    </item>
    <item>
      <title>Detection engineering: считайте не только правила, но и шум</title>
      <link>https://virusologia.com/news/detection-kpi-false-positive-burn-2026</link>
      <guid>https://virusologia.com/news/detection-kpi-false-positive-burn-2026</guid>
      <description>Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.</description>
    </item>
    <item>
      <title>Memory triage: первый час важнее красивой полной картины</title>
      <link>https://virusologia.com/news/memory-triage-first-hour-2026</link>
      <guid>https://virusologia.com/news/memory-triage-first-hour-2026</guid>
      <description>В реальной incident-практике память часто становится не &#x27;финальным артефактом для отчёта&#x27;, а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.</description>
    </item>
<!-- vlg-content-refresh-20260704-wave3:end -->
<!-- vlg-content-refresh-20260705-wave5:start -->
    <item>
      <title>SOC telemetry contracts: данные должны отвечать на конкретный вопрос</title>
      <link>https://virusologia.com/news/soc-telemetry-contracts-2026</link>
      <guid>https://virusologia.com/news/soc-telemetry-contracts-2026</guid>
      <description>Security Onion, Fleet, Zeek, Suricata и endpoint-данные сильны не количеством сенсоров, а качеством контракта между ними: кто отвечает за поле, какую гипотезу оно закрывает и сколько стоит собирать его в production.</description>
    </item>
    <item>
      <title>Sigma rules без validation dataset быстро теряют доверие</title>
      <link>https://virusologia.com/news/sigma-validation-datasets-2026</link>
      <guid>https://virusologia.com/news/sigma-validation-datasets-2026</guid>
      <description>Даже хорошая Sigma-идея может утонуть в шуме, если rule не прогоняется на реальных benign-логах и на контролируемых test-events. Validation dataset нужен не для красоты, а для инженерной честности.</description>
    </item>
    <item>
      <title>Infostealer response: окно для сброса доверия очень короткое</title>
      <link>https://virusologia.com/news/infostealer-response-window-2026</link>
      <guid>https://virusologia.com/news/infostealer-response-window-2026</guid>
      <description>Инфостилер редко выглядит драматично в момент заражения, но быстро превращается в проблему доверия: cookies, refresh tokens, browser secrets, saved credentials и второй вход уже после &#x27;очистки&#x27; машины.</description>
    </item>
    <item>
      <title>EVTX gap analysis: иногда отсутствие событий важнее находки</title>
      <link>https://virusologia.com/news/evtx-gap-analysis-first-response-2026</link>
      <guid>https://virusologia.com/news/evtx-gap-analysis-first-response-2026</guid>
      <description>При быстром разборе Windows-артефактов команды часто ищут только совпадения и забывают о пробелах: неестественно пустые периоды, отключенные каналы, оборванные цепочки логов и резкие изменения объёма событий.</description>
    </item>
    <item>
      <title>Authenticated API coverage: без role-matrix бизнес-логика остаётся в тени</title>
      <link>https://virusologia.com/news/authenticated-api-coverage-matrix-2026</link>
      <guid>https://virusologia.com/news/authenticated-api-coverage-matrix-2026</guid>
      <description>Большая часть настоящей ценности API-пентеста появляется только после аутентификации. Именно там находятся object boundaries, approval flows, hidden exports, admin-adjacent methods и различия между тем, что видно владельцу, оператору и аудитору.</description>
    </item>
    <item>
      <title>Web/API evidence pack: хороший finding должен переживать спор</title>
      <link>https://virusologia.com/news/web-api-evidence-pack-2026</link>
      <guid>https://virusologia.com/news/web-api-evidence-pack-2026</guid>
      <description>Сильный web/API-отчёт отличается не числом находок, а качеством доказательства. Когда finding можно воспроизвести по request/response trace, curl, hash, role/state notes и критерию ретеста, спор о его реальности быстро заканчивается.</description>
    </item>
<!-- vlg-content-refresh-20260705-wave5:end -->
</channel>
</rss>
