Что такое Большая языковая модель (LLM)

Большая языковая модель — это не база данных, не склад готовых ответов и не мыслящий разум, а колоссальный математический калькулятор. На жестком диске вашего компьютера модель Llama 3 весом в несколько гигабайт представляет собой один гигантский файл, внутри которого записаны миллиарды дробных чисел.

Эти числа инженеры называют весами. Вся суть работы искусственного интеллекта сводится к одной задаче — угадыванию каждого следующего слова в предложении на основе сложнейшего расчета вероятностей.

Что вы можете сделать с ИИ

 1. Работа с текстами:

• составление и редактирование деловых писем, отчётов, презентаций;

• подготовка черновиков статей, постов для соцсетей, пресс‑релизов;

• переформулировка текста — упрощение, усложнение, адаптация под аудиторию;

• сокращение текста с сохранением смысла (резюмирование);

• перевод текстов (в т. ч. с сохранением стиля);

• проверка орфографии, пунктуации и стилистики.

TEE - в вашем смартфоне живёт второй процессор. Он не доверяет первому

Каждый раз, когда вы платите телефоном, происходит кое-что, о чём ваш Android не может знать. Смартфон не спрашивает основную операционную систему, совпадает ли ваш отпечаток с эталоном. Он спрашивает другой процессор — невидимый, изолированный, работающий параллельно. Android получает только ответ «да» или «нет». Сами биометрические данные он никогда не видит.

Эта архитектура называется TEE — Trusted Execution Environment, доверенная среда выполнения. Она есть в каждом современном смартфоне, в серверах Azure и Google Cloud, в ноутбуках с Windows Hello, в банкоматах и платёжных терминалах.

И это также большой рынок. Производители TEE в 2024 году заработали 3,5 миллиарда долларов. К 2033 году аналитики ждут 18 миллиардов. Большие деньги за технологию, которую никто не видит и мало кто понимает.

TEE — это бронированная комната внутри процессора. Основная ОС живёт снаружи: она получает задачи, управляет приложениями, иногда подхватывает вирусы. Бронированная комната работает параллельно, отвечает только на заранее разрешённые вопросы и не открывается изнутри — даже если снаружи получили права администратора. Вредоносное приложение, засевшее в Android, не может украсть ключи Apple Pay — их там нет. Они в комнате.

• Разблокировка ноутбука по лицу — TEE.
• Банковское приложение, которое отказывается работать на рутованном телефоне — TEE.
• Корпоративная VM в Azure, данные которой не видят администраторы дата-центра — TEE.
• Стриминговый сервис, проверяющий лицензию на 4K-контент — тоже TEE.

Одна архитектурная идея в основе всего: среда внутри процессора, которой доверяют больше, чем самой операционной системе.

Пять вопросов, которые отделяют надёжный сейф от красивой коробки

TEE: Процессор внутри процессора: как производители защищают ваши данные

TEE — это аппаратная область внутри процессора,

где полномочия обычной операционной системы заканчиваются

Когда вы прикладываете палец к смартфону, происходит любопытная вещь. Телефон не спрашивает Android: «это правильный отпечаток?». Вместо этого запрос уходит в отдельную изолированную среду внутри процессора. Android не видит сам отпечаток, не хранит его и не участвует в проверке.

Эта технология называется TEE — Trusted Execution Environment, доверенная среда выполнения.

Проще всего представить её как бронированную комнату внутри большого офиса. В основном офисе работают браузеры, мессенджеры, игры и приложения. Там бывают вирусы, ошибки и взломы. Но внутри того же здания есть маленькое помещение с отдельными правилами безопасности. Именно там хранятся ключи шифрования, проверяется биометрия и выполняются самые чувствительные операции.

Сегодня TEE уже используется почти везде:

• в Face ID и сканерах отпечатков;
• в Apple Pay и Google Pay;
• в банковских приложениях;
• в шифровании смартфонов и ноутбуков;
• в облачных вычислениях;
• в системах защиты AI-моделей;
• в корпоративных виртуальных машинах.

Большинство пользователей никогда не слышали термин TEE. Но именно эта технология сегодня стоит между злоумышленником и вашими деньгами, биометрией или корпоративными данными.

Почему TEE внезапно стала стратегической технологией

Производительность самых мощных платформ у каждого производителя в России

Ideco EX

RusPoint RP28010

Check Point CP19200

Континет 4 IPS-R5000

UserGate F8010

Kaspersky KX-3500

PT 3050

API-ключ без срока жизни: почему ваша процедура увольнения ничего не значит

В пятницу вечером вы уволили разработчика. Заблокировали учётку в Yandex Cloud. Удалили из организации в VK Cloud. Отчитались перед HR — всё по регламенту. Молодцы.

В понедельник утром объектное хранилище тихо отдаёт терабайт ваших данных. Никакого взлома. Никакого фишинга. Просто у уволенного был API-ключ сервисного аккаунта, созданный полгода назад для автоматического деплоя. Ключ жив. Он никогда не умирает сам по себе. HR об этом не знает. Регламент увольнения соблюден.

Я занимаюсь информационной безопасностью больше двадцати лет. Эту историю слышал в разных вариациях десятки раз. Каждый раз компании удивляются. Потому что на бумаге всё было сделано правильно. А у уволенного сотрудника доступ к авторизованной когда-то ранее сессии в Контур.Толк еще остался.

Как стать CISO в России: четыре маршрута и ни одного простого.

Зарплаты топовых CISO достигли 1,3 млн рублей в месяц. Медиана по рынку 520 тыс. Но главное не цифры. Главное - это цена тревоги, которая вшита в эту профессию.

Эта заметка родилась во время того как я слушал ответы многих мною уважаемых коллег на CISO форуме.

Профессия ИБ-директора — одна из самых уважаемых сегодня. Генеральный директор делегирует CISO ответственность за самые неприятные операционные риски компании. Кассовый разрыв понятно как закрыть. Нехватку ИТ-ресурсов тоже. А вот множество угроз, способных остановить весь бизнес целиком, сегодня лежат именно в руках у директора по информационной безопасности.

На основной секции CISO Forum 2026 Георгий Руденко задал простой вопрос нескольким директорам по информационной безопасности: «Кто CISO вообще такой?» Ответы были честными, иногда горькими  и совсем не похожими на то, что написано в должностных инструкциях.

Дмитрий Гадарь сказал: «Это человек, который берёт на себя ответственность». Коротко. И именно в этом вся суть роли.

Плохой CISO приносит проблемы наверх, чтобы переложить их на CEO, а хороший CISO должен приходить уже с планом действий. Не «у нас утечка», а «у нас утечка, мы вот это уже сделали, вот риски которые остались». Это другой уровень нагрузки на психику. И платят за него соответственно.

Миллион рублей — это реально, но не для всех

Полный список данных для обучения ИИ в кибербезопасности

Ниже будет объяснение для обывателя: каждый пункт раскрыт простым языком, без сложных терминов и жаргона. Это эксперимент - напишите, если вам понравилось.

1. Сетевые данные (что происходит в кабелях и эфире)

1.1. Сырые дампы трафика (pcap)

Что это: Полная запись всего, что передаётся по сети — как «видеорегистратор» всего цифрового движения. Пакеты, байты, заголовки.
Зачем ИИ: Чтобы научиться распознавать атаку по её «почерку» в реальном времени. Особенно новые виды вторжений, которых нет в базах сигнатур.
Для обывателя: Представьте, что каждая кибератака оставляет след, как отпечаток пальца. Сырые дампы — это как раз те самые отпечатки.

1.2. NetFlow / IPFIX (сжатая телеметрия)

Что это: Сводная статистика — кто с кем соединялся, когда, сколько передал данных, какие протоколы использовал. Без самого содержимого.
Зачем ИИ: Быстро замечать аномалии: внезапный всплеск трафика из отдела бухгалтерии в ночь, массированную отправку данных наружу.
Для обывателя: Если сырой дамп — это видеозапись, то NetFlow — это короткий отчёт: «водитель выехал из гаража, ехал 5 минут, передал 2 ГБ, вернулся». По отчёту тоже можно понять, что что-то не так.

1.3. DNS-телеметрия

Что это: Список всех запросов, которые компьютеры делают к доменной системе (DNS), чтобы превратить имя сайта в IP-адрес.
Зачем ИИ: Многие вирусы используют «генераторы случайных доменов» (DGA) — каждые несколько минут стучатся на новый, случайно сгенерированный адрес. ИИ учится их вычислять.
Для обывателя: Представьте, что ваш компьютер постоянно звонит на какие-то левые номера, каждый раз разные. DNS-телеметрия записывает эти звонки.

1.4. Метаданные зашифрованного трафика (JA3/JA4, TLS-отпечатки)

Суверенный ИИ: а где данные для обучения моделей для кибербезопасности в масштабе всей страны?

8 августа 2024 года Путин подписал Федеральный закон № 233-ФЗ об обезличенных данных. Минцифры разработало подзаконные акты. С 1 сентября 2025 года компании обязаны передавать обезличенные данные в государственную информационную систему. Это реальный прогресс — но сам Минцифры объясняет: платформа нужна чтобы понять, какие маршруты автобусов перегружены и где строить школы. Для кибербезопасности эта база не предназначена.

А где же данные для обучения моделей для кибербезопасности?

Каждый месяц на конференциях — от PHDays до Сетевой безопасности — звучит одно и то же: «нам нужен суверенный ИИ в ИБ». Никто не задаёт следующий вопрос. На каких данных его учить?

И я сегодня этот вопрос задам сам себе и поищу ответ.

Что мы вообще строим

Прежде чем говорить о данных — скажем о цели. Суверенный ИИ в кибербезопасности — это не чат-бот который отвечает на вопросы аналитика. Это автономная система, которая самостоятельно проводит тест на проникновение в защищаемую сеть, находит уязвимости которые ещё никто не знает, разбирает инциденты без участия человека и в реальном времени обновляет защиту по всей инфраструктуре страны. Китайская 360 Digital Security Group строит именно это. Американские лаборатории строят именно это. Без такой системы Россия остаётся в позиции вечно догоняющего — вне зависимости от количества конференций и деклараций.

Эта система требует одного: данных. Много данных. Реальных. Размеченных.

Вопрос видоизменился: где взять данные в нужном объёме и качестве?

Как учится искусственный интеллект

Один абзац для тех кто далёк от машинного обучения. ИИ не программируют вручную. Его обучают на примерах. Тысячи раз показывают: вот вредоносный файл, вот нормальный; вот атака, вот обычный трафик. Модель сама находит закономерности. Чем больше реальных примеров — тем точнее система. Чем менее реальные примеры — тем больше ложных срабатываний и пропущенных атак. Нет данных — нет обучения. Это не мистика, так работает математика.

Чего именно не хватает

Red Team в 2026: как находить слепые зоны, которые система создаёт сама

Большинство до сих пор считает, что red team — это поиск и эксплуатация уязвимостей. Поэтому важно изучать инструменты пентестеров и AI. На деле это поиск моментов, когда система начинает слишком сильно верить в собственную неуязвимость. И поэтому становится уязвимой.

Вот семь шагов мышления, которые используют зрелые red team-команды, с примерами из реальных корпоративных сценариев.

1. Сначала — карта доверия, а не поиск дыр

Зрелый специалист сначала спрашивает: где система доверяет сама себе без достаточных оснований.

Пример из жизни: в одном банке внутренний API мониторинга имел право запрашивать любые пользовательские данные “для диагностики”. Это не считалось доступом — это считалось “служебной функцией”. Именно через такие “служебные функции” часто и начинают продвигаться по сети злоумышленники.

Почему умные люди верят телефонным мошенникам: объясняет психология

Социальная инженерия / Психология

Эволюция миллионы лет добавляет в наш мозг новые слои поверх старых, однако основу не изменила. Ради выживания у нас встроено одно правило: если непонятно что делать — делай самое привычное, не думай. Именно этим свойством нашего мышления колл-центры мошенников и пользуются.

Кто жертва

Забудьте про миф, что разводят пенсионеров.

По данным колл-центров из Бердянска, чаще всего оставалась на трубке и переводила деньги группа людей 30–39 лет. Интерпол по Азии даёт ту же цифру. Банк России называет 25–40 лет. Самые активные, самые занятые, самые уверенные в себе.

Американские исследователи проверяли связь между уровнем образования, должностью и фактом потери денег мошенникам. Корреляции нет.

В 2024 году за два дня четыре женщины совершили поджоги по звонку незнакомцев. Студентка, кандидат наук, самозанятая, пациентка ПНД. Разные люди, одна и та же механика.

Почему это работает

Subfinder: ставим внешний периметр на «сигнализацию»

Как выстроить непрерывный мониторинг внешних активов

В первой статье мы разобрали Assetfinder — утилиту, которая за минуту показывает, что атакующий изучает ваш периметр без реального подключения.

Но Assetfinder не улучшали с 2019 года — нет интеграции с Shodan, Censys, современными threat intelligence платформами. Хотя используемые утилитой источники (CT-логи, Wayback) обновляются и работают. И еще минус: утилита даёт срез на один момент времени. А требуется непрерывный мониторинг и реагирование.

Инфраструктура меняется каждый день. Появляются новые поддомены. Разработчики поднимают сервисы. DevOps автоматически выпускает сертификаты.

Одноразовая проверка — это не контроль периметра. Это фотография поля боя.

Subfinder решает другую задачу: не «посмотреть один раз», а наблюдать постоянно.

Что такое Subfinder

Assetfinder: почему атакующий знает ваш периметр лучше вас

У большинства CISO нет полного списка своих поддоменов.

При этом любой атакующий собирает его за минуты — без единого запроса в вашу инфраструктуру. Без логов на вашей стороне. Без алертов в SIEM.

Атакующий часто изучает ваш внешний периметр быстрее, чем вы приводите его инвентаризацию в актуальное состояние. Это не фигура речи — это архитектурный факт интернета.

Где ломается контроль

Основной сайт обычно защищён. Рядом живут другие:

• dev.example.com — без патчей, потому что «только для разработки»
• staging.example.com — с реальными данными, потому что «временно»
• old-api.example.com — с CVE 2018 года, потому что про него забыли

Они не в CMDB. Не в отчётах. Не в зоне ответственности SOC. Именно туда заходят первым делом.

Что такое Assetfinder

Утилита от Тома Хадсона (tomnomnom) — одного из самых известных авторов инструментов для разведки. Написана на Go: компилируется в один бинарный файл, работает на Linux, macOS, Windows, зависимостей нет.

Assetfinder — инструмент перечисления поддоменов (subdomain enumeration), ориентированный на OSINT-источники: публичные базы, сертификаты, данные хостингов. Каждый источник опрашивается параллельно, результаты собираются в единый поток, дубликаты отфильтровываются. Средний домен — меньше минуты. OWASP Amass на то же самое тратит часы.

Используют в трёх сценариях:

• Bug bounty — найти поверхность атаки быстрее конкурентов
• Пентест — собрать карту активов до начала работы
• Защита — проверить, что компания реально «светит» наружу

Как работает — и почему это ваша проблема