воскресенье, 5 июля 2026 г.

А что, если следов взлома нет совсем? Анти-форензика и продвинутые методы скрытия

Продолжение статьи «Кейс "Исчезнувший след"». 

В предыдущей статье мы разобрали сценарий, где вредоносный файл был стёрт, а классические дисковые артефакты (ShimCache, Amcache, MFT) — целенаправленно уничтожены. Мы пришли к выводу, что в современном IR стерильность диска при наличии EDR-сигнала — это не повод сомневаться, а железное доказательство агрессивной анти-форензики. Но что, если противник пошёл ещё дальше и не просто вычистил диск, а сделал это настолько чисто, что даже EDR перестал подавать признаки жизни? В этой статье разберём реальные методы противодействия расследованию, которые используют продвинутые APT-группировки, и покажем, как действовать, когда все традиционные источники (диск, EDR, VSS) — мертвы.

Кейс "Исчезнувший след" или как не потерять улики при триаже Windows

Вводная: почему стандартные логи часто оказываются неполными

В инцидентах, связанных с целевыми атаками или продвинутым вредоносным ПО, злоумышленники активно чистят следы. Папка Downloads пуста, события Security (в частности, 4688 — создание процесса) отсутствуют либо потому что аудит не был включён, либо логи были целенаправленно затёрты. Однако EDR может сработать спустя несколько часов после первоначального заражения — например, при активации C2-канала или попытке повышения привилегий. В таком случае мы имеем лишь сигнал тревоги, но не видим, что именно запускалось.

И тут нам требуется быстрый сбор ключевых артефактов для подтверждения или опровержения гипотезы. Ниже разберём реальный сценарий, где удалось восстановить факт запуска вредоносного файла, даже когда он уже был стёрт с диска.

суббота, 4 июля 2026 г.

Как построить RAG внутри компании и не утечь данными наружу

Поиск по внутренним документам почти всегда начинается одинаково. Сначала вы обнаруживаете хаос в папках, потом попытки «сделать внутренний поисковик», потом загрузка файлов в облачные сервисы типа NotebookLM. На шаге отправки в облако как раз нарушается политика безопасности. И по статистике Gartner так делает 75% сотрудников. Есть ли выход?

Существует такой инструмент как RAG. Он отлично подходит, чтобы решить задачу поиска по вашим корпоративной базе знаний. Данные перестают быть файлами и становятся векторными представлениями. 

Разберём три рабочих подхода без иллюзий и без попыток выдать один инструмент за универсальное решение.

вторник, 23 июня 2026 г.

Как покупать сертификаты у посредников за рубежом

После отказа от работы с Россией, сейчас многие будут перевыпускать сертификаты через посредников за рубежом. Что важно спросить у этого посредника:

Юрлицо посредника

  • В какой стране зарегистрировано юрлицо?
  • Какое точное название, регистрационный номер и VAT/Tax ID?
  • Кто бенефициар и кто подписант по договору?
  • Есть ли публичные реквизиты банка и платежные методы?

Право продавать CA

  • Являетесь ли вы официальным партнером или реселлером конкретного CA?
  • Есть ли у вас партнерский ID или подтверждение статуса?
  • Можете показать ссылку на партнерскую программу или письмо от CA?
  • Кто юридически будет владельцем аккаунта в панели CA?

суббота, 13 июня 2026 г.

Японский GlobalSign начал отзыв «цифровых паспортов» российских сайтов: иллюзия доверия к зарубежной PKI дала сбой


Анатомия регуляторного сбоя: цепочка PKI рушится на верхнем уровне управления. Принудительный отзыв со стороны GlobalSign автоматически переводит миллионы связанных сервисов в статус «недоверенных» для Chrome, Safari и Firefox.

АРХИТЕКТУРНЫЙ УЗЕЛ ТОЧКА ОТКАЗА И ПОСЛЕДСТВИЯ
Root CA (GlobalSign) Инициировал процедуру отзыва (Revocation) 13 июня в 02:10 BST под давлением новых правил комплаенса CA/B Forum.
Intermediate Validation Списки отзыва (CRL) и OCSP-ответчики начинают отдавать статус 'Revoked' для цепочек, завязанных на российские юридические лица.
Your Server (.RU) Шифрование технически продолжает работать, но зарубежные браузеры мгновенно блокируют сессию, выдавая пользователю предупреждение о риске ИБ.

Безопасность Рунета, десятилетиями построенная на доверии к зарубежным коммерческим удостоверяющим центрам, столкнулась с очередным системным сбоем из-за санкций и недружественных действий правительств других стран.

Японский удостоверяющий центр GlobalSign начал принудительный отзыв SSL/TLS-сертификатов для ряда доменов в зоне .ru.

суббота, 30 мая 2026 г.

Большая таблица AI сервисов от YandexGPT и GigaChat до Midjourney, v0 by Vercel и Kling AI

Облачные ИИ-продукты 2026 — сравнительная таблица | Академия Батранкова
Я собрал таблицу, где есть то, о чем обычно молчат:

— работает ли из РФ
— нужен ли VPN
— риск бана
— как реально получить доступ
— через что заходить (агрегаторы, боты и т.д.)


Сравнительная таблица облачных ИИ продуктов - тут в динамике

Тут в статике:

вторник, 26 мая 2026 г.

100 невидимых дверей в вашу сеть: почему IAM больше не работает и нужен Non-Human Identity

Денис Батранков · @safebdv · май 2026

На отечественных ИБ-конференциях 2026 года CISO по-прежнему обсуждают, как поймать маркетолога с подпиской на ChatGPT. Тем временем мировая индустрия кибербезопасности столкнулась с тектоническим сдвигом. Главным вектором угроз стали не люди, а Non-Human Identities (NHI) — автономные ИИ-агенты, сервисы и машины, которые общаются друг с другом без участия человека вообще.


Масштаб, который не укладывается в голове

Okta зафиксировала: в 2023 году на каждого сотрудника корпоративной сети приходилось в среднем 45 машинных идентификаторов — сервисных аккаунтов, API-ключей, токенов OAuth, сертификатов TLS. Silverfort пересчитала в 2025-м: уже 80–100. Каждый CI/CD-пайплайн в GitHub Actions работает под своим токеном. Каждый Lambda-обработчик в AWS получает IAM-роль. Каждый Kubernetes-под имеет ServiceAccount. Ни один из них не может позвонить в SOC и сказать «кажется, что-то пошло не так».

Человека можно уволить. Токен — нет.


понедельник, 25 мая 2026 г.

Single Packet Authorization: как сделать свою инфраструктуру невидимой для сканеров

Пока классические безопасники держат порты открытыми 24/7 и латают дыры по мере поступления CVE, индустрия переходит на концепцию Dark IP. Её ядро — Single Packet Authorization (SPA).

Что не так с текущей моделью безопасности

Каждый открытый порт — это приглашение. Администратор открывает 443 или 22, потому что иначе сотрудник, микросервис или ИИ-агент не попадёт в сеть. Порт виден в интернете. Сканер атакующего его находит, сопоставляет с базой CVE, и в 2026 году от публикации уязвимости до её эксплуатации проходят не недели — часы. Патч человек просто не успевает поставить.

Как работает Single Packet Authorization (SPA)

воскресенье, 24 мая 2026 г.

Квантовый апокалипсис для криптографии: что делать ИБ-руководителю прямо сейчас

Денис Батранков · @safebdv · май 2026


Идет гонка - кто первый!

Китай уже вложил 15 миллиардов долларов в квантовый центр. На днях стало изввестно, что правительство США вложило 2 млрд долларов в девять квантовых компаний и получило акции каждой из них. 

  • IBM получила 1 млрд и строит завод по производству квантовых чипов Anderon в штате Нью-Йорк. 
  • GlobalFoundries 375 млн, D-Wave, Rigetti, Infleqtion и PsiQuantum по 100 млн. При этом D-Wave — это первый в мире коммерческий поставщик квантовых компьютеров, работает с 1999 года. Rigetti  — разработчик сверхпроводниковых квантовых процессоров, торгуется на NYSE. Infleqtion — специализируется на нейтральных атомах как кубитах, вышла на биржу в феврале 2026 года. Их акции в результате выросли на 30–33% за день. 
Это явно не венчурные инвестиции. Это инвестиция государства, которое считает квантовый компьютер стратегическим оружием. 

А почему? Потому что скоро почти все ваши зашифрованные сообщения взломают. Это уже не обсуждается. Обсуждается только то, успеете ли вы сменить свои алгоритмы шифрования до этого момента. Если вам нужен конкретный план для CISO и ИТ-директора, то эта статья для вас. 

четверг, 21 мая 2026 г.

ИИ без RAG — это врач без вашей медицинской карты. Почему об этом молчат на старте проекта по ИИ

Каждый второй ИИ-проект стартует одинаково: выбирают модель, настраивают интерфейс, показывают демо. И почти никто не закладывает в первый спринт то, без чего модель будет уверенно врать о вашем же бизнесе. Разбираем, что это за слой — и почему без него GPT-4 не знает ни ваших цен, ни ваших клиентов, ни ваших договоров.

Представьте: вы наняли блестящего врача. Он помнит терабайты учебников: все болезни, все протоколы лечения, весь справочник лекарств Vidal. В мире ИИ этот врач — GPT-4 или Claude.

Но он видит вашего пациента впервые. Нет медицинской карты, нет истории болезней, нет результатов анализов из лаборатории Invitro. Он начинает ставить диагноз по общим знаниям и либо ошибается, либо выдаёт совет «пейте больше воды». Это и называют галлюцинациями ИИ.

RAG — это медицинская карта, которую вы даёте врачу прямо перед приёмом.

Как это работает: три шага

среда, 20 мая 2026 г.

Ваш ребёнок не может отложить телефон. Финский учитель смог с этим справиться на уроках

Вы уже сто раз говорили: «Положи телефон». Ребёнок кивает, кладёт — и через три минуты снова смотрит в экран. Это не упрямство и не игнор. Это дофаминовый цикл, и работает он одинаково у детей, подростков и взрослых. 


Финский педагог Самули Сиекконен заметил ту же картину в своих классах. Только вместо запретов он начал учить детей одному простому навыку: осознавать, зачем они вообще тянутся к телефону прямо сейчас. Нужно не забирать телефон, а вернуть контроль за импульсом в голове.

В чём проблема на самом деле

Мозг не различает «нужно проверить сообщение» и «рука потянулась сама». Оба действия запускаются одним и тем же триггером — кратким дискомфортом: скукой, паузой в разговоре, ожиданием лифта. Телефон стал таблеткой от любого микро-дискомфорта. Это и есть зависимость.

Запрет убирает телефон из рук на час. Привычку не убирает никак.

10-дневная схема Сиекконена: как она устроена

Ключ от всего здания навсегда: почему так больше нельзя делать с появлением Zero Standing Privileges

В прошлом году злоумышленники зашли в 84% организаций, просто используя украденные учётные данные. Не через дыры в коде и не через уязвимости в железе — просто взяли действующий пароль и вошли, как обычный сотрудник. IBM подсчитал: средняя цена одного такого инцидента — $4,44 млн (Cost of a Data Breach 2025). В половине случаев история одна и та же: кто-то получил доступ, выполнил задачу и ушёл, а доступ за ним не закрыли. Учётная запись продолжала существовать — с теми же правами, без владельца, без контроля. Вот через неё и вошли.

Именно эту структурную проблему решает концепция Zero Standing Privileges — ZSP. Только не путайте её с очередным обновлением PAM или маркетинговой надстройкой над существующими инструментами. ZSP — это отказ от базового допущения, на котором строится вся классическая безопасность доступа: что привилегии должны существовать заранее, до того как они понадобятся.

вторник, 19 мая 2026 г.

Что такое Большая языковая модель (LLM)

Большая языковая модель — это не база данных, не склад готовых ответов и не мыслящий разум, а колоссальный математический калькулятор. На жестком диске вашего компьютера модель Llama 3 весом в несколько гигабайт представляет собой один гигантский файл, внутри которого записаны миллиарды дробных чисел.

Эти числа инженеры называют весами. Вся суть работы искусственного интеллекта сводится к одной задаче — угадыванию каждого следующего слова в предложении на основе сложнейшего расчета вероятностей.