TEE - в вашем смартфоне живёт второй процессор. Он не доверяет первому

Каждый раз, когда вы платите телефоном, происходит кое-что, о чём ваш Android не может знать. Смартфон не спрашивает основную операционную систему, совпадает ли ваш отпечаток с эталоном. Он спрашивает другой процессор — невидимый, изолированный, работающий параллельно. Android получает только ответ «да» или «нет». Сами биометрические данные он никогда не видит.

Эта архитектура называется TEE — Trusted Execution Environment, доверенная среда выполнения. Она есть в каждом современном смартфоне, в серверах Azure и Google Cloud, в ноутбуках с Windows Hello, в банкоматах и платёжных терминалах.

И это также большой рынок. Производители TEE в 2024 году заработали 3,5 миллиарда долларов. К 2033 году аналитики ждут 18 миллиардов. Большие деньги за технологию, которую никто не видит и мало кто понимает.

TEE — это бронированная комната внутри процессора. Основная ОС живёт снаружи: она получает задачи, управляет приложениями, иногда подхватывает вирусы. Бронированная комната работает параллельно, отвечает только на заранее разрешённые вопросы и не открывается изнутри — даже если снаружи получили права администратора. Вредоносное приложение, засевшее в Android, не может украсть ключи Apple Pay — их там нет. Они в комнате.

• Разблокировка ноутбука по лицу — TEE.
• Банковское приложение, которое отказывается работать на рутованном телефоне — TEE.
• Корпоративная VM в Azure, данные которой не видят администраторы дата-центра — TEE.
• Стриминговый сервис, проверяющий лицензию на 4K-контент — тоже TEE.

Одна архитектурная идея в основе всего: среда внутри процессора, которой доверяют больше, чем самой операционной системе.

Пять вопросов, которые отделяют надёжный сейф от красивой коробки

TEE: Процессор внутри процессора: как производители защищают ваши данные

TEE — это аппаратная область внутри процессора,

где полномочия обычной операционной системы заканчиваются

Когда вы прикладываете палец к смартфону, происходит любопытная вещь. Телефон не спрашивает Android: «это правильный отпечаток?». Вместо этого запрос уходит в отдельную изолированную среду внутри процессора. Android не видит сам отпечаток, не хранит его и не участвует в проверке.

Эта технология называется TEE — Trusted Execution Environment, доверенная среда выполнения.

Проще всего представить её как бронированную комнату внутри большого офиса. В основном офисе работают браузеры, мессенджеры, игры и приложения. Там бывают вирусы, ошибки и взломы. Но внутри того же здания есть маленькое помещение с отдельными правилами безопасности. Именно там хранятся ключи шифрования, проверяется биометрия и выполняются самые чувствительные операции.

Сегодня TEE уже используется почти везде:

• в Face ID и сканерах отпечатков;
• в Apple Pay и Google Pay;
• в банковских приложениях;
• в шифровании смартфонов и ноутбуков;
• в облачных вычислениях;
• в системах защиты AI-моделей;
• в корпоративных виртуальных машинах.

Большинство пользователей никогда не слышали термин TEE. Но именно эта технология сегодня стоит между злоумышленником и вашими деньгами, биометрией или корпоративными данными.

Почему TEE внезапно стала стратегической технологией

Производительность самых мощных платформ у каждого производителя в России

Ideco EX

RusPoint RP28010

Check Point CP19200

Континет 4 IPS-R5000

UserGate F8010

Kaspersky KX-3500

PT 3050

API-ключ без срока жизни: почему ваша процедура увольнения ничего не значит

В пятницу вечером вы уволили разработчика. Заблокировали учётку в Yandex Cloud. Удалили из организации в VK Cloud. Отчитались перед HR — всё по регламенту. Молодцы.

В понедельник утром объектное хранилище тихо отдаёт терабайт ваших данных. Никакого взлома. Никакого фишинга. Просто у уволенного был API-ключ сервисного аккаунта, созданный полгода назад для автоматического деплоя. Ключ жив. Он никогда не умирает сам по себе. HR об этом не знает. Регламент увольнения соблюден.

Я занимаюсь информационной безопасностью больше двадцати лет. Эту историю слышал в разных вариациях десятки раз. Каждый раз компании удивляются. Потому что на бумаге всё было сделано правильно. А у уволенного сотрудника доступ к авторизованной когда-то ранее сессии в Контур.Толк еще остался.

Как стать CISO в России: четыре маршрута и ни одного простого.

Зарплаты топовых CISO достигли 1,3 млн рублей в месяц. Медиана по рынку 520 тыс. Но главное не цифры. Главное - это цена тревоги, которая вшита в эту профессию.

Эта заметка родилась во время того как я слушал ответы многих мною уважаемых коллег на CISO форуме.

Профессия ИБ-директора — одна из самых уважаемых сегодня. Генеральный директор делегирует CISO ответственность за самые неприятные операционные риски компании. Кассовый разрыв понятно как закрыть. Нехватку ИТ-ресурсов тоже. А вот множество угроз, способных остановить весь бизнес целиком, сегодня лежат именно в руках у директора по информационной безопасности.

На основной секции CISO Forum 2026 Георгий Руденко задал простой вопрос нескольким директорам по информационной безопасности: «Кто CISO вообще такой?» Ответы были честными, иногда горькими  и совсем не похожими на то, что написано в должностных инструкциях.

Дмитрий Гадарь сказал: «Это человек, который берёт на себя ответственность». Коротко. И именно в этом вся суть роли.

Плохой CISO приносит проблемы наверх, чтобы переложить их на CEO, а хороший CISO должен приходить уже с планом действий. Не «у нас утечка», а «у нас утечка, мы вот это уже сделали, вот риски которые остались». Это другой уровень нагрузки на психику. И платят за него соответственно.

Миллион рублей — это реально, но не для всех

Полный список данных для обучения ИИ в кибербезопасности

Ниже будет объяснение для обывателя: каждый пункт раскрыт простым языком, без сложных терминов и жаргона. Это эксперимент - напишите, если вам понравилось.

1. Сетевые данные (что происходит в кабелях и эфире)

1.1. Сырые дампы трафика (pcap)

Что это: Полная запись всего, что передаётся по сети — как «видеорегистратор» всего цифрового движения. Пакеты, байты, заголовки.
Зачем ИИ: Чтобы научиться распознавать атаку по её «почерку» в реальном времени. Особенно новые виды вторжений, которых нет в базах сигнатур.
Для обывателя: Представьте, что каждая кибератака оставляет след, как отпечаток пальца. Сырые дампы — это как раз те самые отпечатки.

1.2. NetFlow / IPFIX (сжатая телеметрия)

Что это: Сводная статистика — кто с кем соединялся, когда, сколько передал данных, какие протоколы использовал. Без самого содержимого.
Зачем ИИ: Быстро замечать аномалии: внезапный всплеск трафика из отдела бухгалтерии в ночь, массированную отправку данных наружу.
Для обывателя: Если сырой дамп — это видеозапись, то NetFlow — это короткий отчёт: «водитель выехал из гаража, ехал 5 минут, передал 2 ГБ, вернулся». По отчёту тоже можно понять, что что-то не так.

1.3. DNS-телеметрия

Что это: Список всех запросов, которые компьютеры делают к доменной системе (DNS), чтобы превратить имя сайта в IP-адрес.
Зачем ИИ: Многие вирусы используют «генераторы случайных доменов» (DGA) — каждые несколько минут стучатся на новый, случайно сгенерированный адрес. ИИ учится их вычислять.
Для обывателя: Представьте, что ваш компьютер постоянно звонит на какие-то левые номера, каждый раз разные. DNS-телеметрия записывает эти звонки.

1.4. Метаданные зашифрованного трафика (JA3/JA4, TLS-отпечатки)

Суверенный ИИ: а где данные для обучения моделей для кибербезопасности в масштабе всей страны?

8 августа 2024 года Путин подписал Федеральный закон № 233-ФЗ об обезличенных данных. Минцифры разработало подзаконные акты. С 1 сентября 2025 года компании обязаны передавать обезличенные данные в государственную информационную систему. Это реальный прогресс — но сам Минцифры объясняет: платформа нужна чтобы понять, какие маршруты автобусов перегружены и где строить школы. Для кибербезопасности эта база не предназначена.

А где же данные для обучения моделей для кибербезопасности?

Каждый месяц на конференциях — от PHDays до Сетевой безопасности — звучит одно и то же: «нам нужен суверенный ИИ в ИБ». Никто не задаёт следующий вопрос. На каких данных его учить?

И я сегодня этот вопрос задам сам себе и поищу ответ.

Что мы вообще строим

Прежде чем говорить о данных — скажем о цели. Суверенный ИИ в кибербезопасности — это не чат-бот который отвечает на вопросы аналитика. Это автономная система, которая самостоятельно проводит тест на проникновение в защищаемую сеть, находит уязвимости которые ещё никто не знает, разбирает инциденты без участия человека и в реальном времени обновляет защиту по всей инфраструктуре страны. Китайская 360 Digital Security Group строит именно это. Американские лаборатории строят именно это. Без такой системы Россия остаётся в позиции вечно догоняющего — вне зависимости от количества конференций и деклараций.

Эта система требует одного: данных. Много данных. Реальных. Размеченных.

Вопрос видоизменился: где взять данные в нужном объёме и качестве?

Как учится искусственный интеллект

Один абзац для тех кто далёк от машинного обучения. ИИ не программируют вручную. Его обучают на примерах. Тысячи раз показывают: вот вредоносный файл, вот нормальный; вот атака, вот обычный трафик. Модель сама находит закономерности. Чем больше реальных примеров — тем точнее система. Чем менее реальные примеры — тем больше ложных срабатываний и пропущенных атак. Нет данных — нет обучения. Это не мистика, так работает математика.

Чего именно не хватает

Red Team в 2026: как находить слепые зоны, которые система создаёт сама

Большинство до сих пор считает, что red team — это поиск и эксплуатация уязвимостей. Поэтому важно изучать инструменты пентестеров и AI. На деле это поиск моментов, когда система начинает слишком сильно верить в собственную неуязвимость. И поэтому становится уязвимой.

Вот семь шагов мышления, которые используют зрелые red team-команды, с примерами из реальных корпоративных сценариев.

1. Сначала — карта доверия, а не поиск дыр

Зрелый специалист сначала спрашивает: где система доверяет сама себе без достаточных оснований.

Пример из жизни: в одном банке внутренний API мониторинга имел право запрашивать любые пользовательские данные “для диагностики”. Это не считалось доступом — это считалось “служебной функцией”. Именно через такие “служебные функции” часто и начинают продвигаться по сети злоумышленники.

Почему умные люди верят телефонным мошенникам: объясняет психология

Социальная инженерия / Психология

Эволюция миллионы лет добавляет в наш мозг новые слои поверх старых, однако основу не изменила. Ради выживания у нас встроено одно правило: если непонятно что делать — делай самое привычное, не думай. Именно этим свойством нашего мышления колл-центры мошенников и пользуются.

Кто жертва

Забудьте про миф, что разводят пенсионеров.

По данным колл-центров из Бердянска, чаще всего оставалась на трубке и переводила деньги группа людей 30–39 лет. Интерпол по Азии даёт ту же цифру. Банк России называет 25–40 лет. Самые активные, самые занятые, самые уверенные в себе.

Американские исследователи проверяли связь между уровнем образования, должностью и фактом потери денег мошенникам. Корреляции нет.

В 2024 году за два дня четыре женщины совершили поджоги по звонку незнакомцев. Студентка, кандидат наук, самозанятая, пациентка ПНД. Разные люди, одна и та же механика.

Почему это работает

Subfinder: ставим внешний периметр на «сигнализацию»

Как выстроить непрерывный мониторинг внешних активов

В первой статье мы разобрали Assetfinder — утилиту, которая за минуту показывает, что атакующий изучает ваш периметр без реального подключения.

Но Assetfinder не улучшали с 2019 года — нет интеграции с Shodan, Censys, современными threat intelligence платформами. Хотя используемые утилитой источники (CT-логи, Wayback) обновляются и работают. И еще минус: утилита даёт срез на один момент времени. А требуется непрерывный мониторинг и реагирование.

Инфраструктура меняется каждый день. Появляются новые поддомены. Разработчики поднимают сервисы. DevOps автоматически выпускает сертификаты.

Одноразовая проверка — это не контроль периметра. Это фотография поля боя.

Subfinder решает другую задачу: не «посмотреть один раз», а наблюдать постоянно.

Что такое Subfinder

Assetfinder: почему атакующий знает ваш периметр лучше вас

У большинства CISO нет полного списка своих поддоменов.

При этом любой атакующий собирает его за минуты — без единого запроса в вашу инфраструктуру. Без логов на вашей стороне. Без алертов в SIEM.

Атакующий часто изучает ваш внешний периметр быстрее, чем вы приводите его инвентаризацию в актуальное состояние. Это не фигура речи — это архитектурный факт интернета.

Где ломается контроль

Основной сайт обычно защищён. Рядом живут другие:

• dev.example.com — без патчей, потому что «только для разработки»
• staging.example.com — с реальными данными, потому что «временно»
• old-api.example.com — с CVE 2018 года, потому что про него забыли

Они не в CMDB. Не в отчётах. Не в зоне ответственности SOC. Именно туда заходят первым делом.

Что такое Assetfinder

Утилита от Тома Хадсона (tomnomnom) — одного из самых известных авторов инструментов для разведки. Написана на Go: компилируется в один бинарный файл, работает на Linux, macOS, Windows, зависимостей нет.

Assetfinder — инструмент перечисления поддоменов (subdomain enumeration), ориентированный на OSINT-источники: публичные базы, сертификаты, данные хостингов. Каждый источник опрашивается параллельно, результаты собираются в единый поток, дубликаты отфильтровываются. Средний домен — меньше минуты. OWASP Amass на то же самое тратит часы.

Используют в трёх сценариях:

• Bug bounty — найти поверхность атаки быстрее конкурентов
• Пентест — собрать карту активов до начала работы
• Защита — проверить, что компания реально «светит» наружу

Как работает — и почему это ваша проблема

Секрет Полишинеля: SSL Decryption больше не работает

Главный инструмент «видимости» уровня приложений — SSL Inspection (или MITM — Man-in-the-Middle). Метод прост: межсетевой экран подменяет сертификат TLS(SSL) на свой, расшифровывает трафик, проверяет его и зашифровывает обратно.

Раньше это работало. Сегодня — это головная боль и часто бессмысленная затея. Представьте, что вы пытаетесь прочитать чужое письмо, аккуратно вскрывая конверт. Но теперь отправители используют специальные «умные» конверты, которые самоликвидируются или отказываются открываться, если видят, что их читает кто-то, кроме адресата.

Почему тотальное расшифрование больше не «серебряная пуля»

9 сценариев, где ИИ ускоряет работу аналитика и продакта

Большинство статей описывает абстрактные возможности ИИ. Данный материал — про конкретные задачи, решаемые прямо сейчас без специальных интеграций и дорогих инструментов.

Девять сценариев экономят рабочий день аналитикам, продакт-менеджерам и маркетологам. С готовыми промтами.

Важно про данные: ИИ работает с текстом. При анализе таблиц — копируйте текстовые выгрузки (CSV или копию из Excel), а не скриншоты. Для чувствительных данных используйте обезличенные выборки или локальные модели.

---

1. Поиск аномалий в данных

Ручной мониторинг десятков метрик съедает время. Нейросеть проверяет массив за секунды и подсвечивает подозрительные отклонения.

Промпт:

«Ты — аналитик данных. Вот таблица с ежедневным числом пользователей за месяц. Рассчитай среднее значение и стандартное отклонение. Найди дни, где показатель отклоняется более чем на 2 сигмы. Для каждого такого дня предложи по 3 возможные причины: технические сбои, маркетинговые кампании, внешние события. Формат ответа: дата — % отклонения — топ-3 гипотезы».

Примечание: для точности арифметических расчётов используйте модели с поддержкой Code Interpreter (ChatGPT Advanced Data Analysis или Claude с инструментами). Обычные LLM иногда ошибаются в вычислениях.

Результат — не просто выброс в данных, а готовые гипотезы: «14 июля падение на 30% совпадает с отключением SMS-шлюза» или «Всплеск 22-го коррелирует с акцией у конкурента». Направление для расследования — сразу понятно.