Тут вся информация: https://xn--r1a.website/cyberedrussia/1831

Не_безопасность

Я немного присылал сюда оффтопа по темам отличным от безопасности, но меня взбудоражило то, что я сегодня увидел.

Думаю многие из вас смотрят научно популярный контент. Семихатов, Сурдин, Коняев и множество их гостей для меня заменили кино и сериалы, потому что открытия и глубины науки впечатляют намного серьезнее, чем остросюжетное кино. Наверно, потому что ты живёшь в том "фильме", о котором тебе повествуют перечисленные выше герои.

Так вот, я не могу не поделиться вышедшим неделю назад разговором Семихатова с Константином Анохиным (директором Института перспективных исследований мозга МГУ, академиком РАН). Ссылка:
https://youtu.be/3SUyeEKc1bU?si=iwvheN-W_Bkbnaw0

Уверен, каждому нужно посмотреть это, чтобы осознать в какую невероятную эпоху мы вошли.

Ключевая тема их встречи: наличие сознания у будущих проектов основных на нейронных сетях.

Приятного просмотра!

Новости

Все современные новости о кибербезопасности скатились в скучные, лживые либо просто шумные, эксплуатирующие темы: объём и количество атак (которые так и не научились считать единым образом); информацию об утечках, которые ни к чему не приводят; или гипотезы о будущем ИИ в ИБ. В связи с этим ещё более важно обнаруживать что-то поистине ценное.

Одна из таких новостей — создание OpenAI собственного агента-аналитика по информационной безопасности — Aardvark ([https://openai.com/ru-RU/index/introducing-aardvark/](https://openai.com/ru-RU/index/introducing-aardvark/))

Встретил я эту информацию, изучая одну из свежих статей об индустриализации эксплойт-девелопмента от Шона Хилана (исследователя, уже более 15 лет занимающегося автоматизацией создания эксплойтов): [https://sean.heelan.io/2026/01/18/on-the-coming-industrialisation-of-exploit-generation-with-llms/](https://sean.heelan.io/2026/01/18/on-the-coming-industrialisation-of-exploit-generation-with-llms/)

Каждая из этих статей — очень важный опорный артефакт в понимании того, к чему пришёл прогресс.

В своей статье Шон ставит эксперимент над разработкой эксплойтов нулевого дня для интерпретатора. Достигнув успеха, он также делает акцент на возможностях индустриализации такого подхода, указывая на ограничения в будущем. По сути, они заключаются в объёме токенов, которые возможно будет себе позволить, и в изменяющейся среде исследования — в случае, когда в ходе исследования агент может потерять доступ к среде, либо сам нарушив её, либо будучи заблокированным враждебной средой (работой SOC, песочницы и пр.).

Если вас заинтересовало, можно ознакомиться и с другими его исследованиями.

Что заинтересовало меня больше — это работа OpenAI над их собственным агентом Aardvark.

Что самое важное в этом?

Нет, не то, что это означает гибель предыдущих поколений SAST-инструментов, а возможно и D/IAST и пр., и не то, что безопасников нужно будет меньше\или больше.
Самое важное — это ответ на вопрос: чем дальше заниматься исследователю или предпринимателю в сфере кибербезопасности?

Раньше мой ответ был таким: в эпоху глобальных изменений на рынке труда, когда многие крупные корпорации могут заменить твои скиллы агентом за 20 баксов, нужно искать ниши, в которые гиганты не пойдут, чтобы делать там собственные решения на базе их экосистемы. Да хоть умные матрасы или производственные линии для расчёта качества и объёмов проходящего через них сырья.

Чтобы это понять, можно выразить принципы, которые мы могли выучить, проживая период создания экосистем Apple и Google. Глупо пытаться делать на базе экосистемной технологии то, что сам разработчик захочет сделать в ближайшем будущем, потому как он станет монополистом в этом решении.

Сегодня мне всё сложнее находить ответ, ведь предсказать, куда ещё шагнут корпорации, не так уж просто.

Тем не менее всё, что нам остаётся, — это искать. Не вешайте носа!

Че происходит?!

Качественная статейка для тех, кто хочет отточить дзюцу фишинга.

Гайд по подготовке инфраструктуры для фишинга

Наш спец по анализу защищённости внутренней инфраструктуры bugaga поделился в статье шагами и инструментами для подготовки фишинговой рассылки в ходе пентеста.

Смотреть подробности и результаты кейса

Полезности 🧰

Надо же вас чем-то радовать!

Я периодически лениво анализирую новости, разгребая горы мусора и цепляясь за что-то интересное.

И вот одна штука, которую я системно замечаю, сподвигла меня на этот пост: эксплуатация уязвимостей WinRAR.

"Ha-ha classic.." - звучит в моей голове, когда я про это читаю.

Но, понятное дело, проблема масштабнее.
В компаниях море подобного бесплатного ПО, которое лезет в организацию как паразиты или сорняки. И большая часть этого софта становится ключевыми звеньями в будущей цепочке вектора атаки.

Подготовил список такого ПО.
Если что-то из этого есть в вашей организации - плохие новости, у вас завелись "паразиты" 🪲

1. Архиваторы и файловые менеджеры
WinRAR, 7-Zip, WinZip, Total Commander
Сценарий простой: сотрудник открывает архив из письма или с файлообменника - и привет RCE/запуск мусора в контексте пользователя. Плюс любят цеплять левые плагины и расширения.

2. PDF-просмотрщики
Adobe Reader, Foxit Reader, SumatraPDF, встроенные viewer'ы в браузерах
Достаточно открыть PDF "с договором" - и уязвимость в рендеринге дает выполнение кода или слив данных. Плюс PDF идеален для фишинга: выглядит безопасно, а внутри сюрпризы.

3. Office-пакеты и редакторы документов
LibreOffice, OpenOffice, WPS Office, OnlyOffice
Документ "с таблицей" или "ТЗ от подрядчика" - и дальше макросы, эксплойт в парсере, внешние ссылки на шаблоны. Итог: запуск полезной нагрузки или кража учеток.

4. Текстовые редакторы и IDE + плагины
Notepad++, VS Code, Sublime Text, JetBrains IDE, плагины и расширения
Тут два хода: либо зараженный проект/файлы, либо вредоносный плагин. Дальше забирают токены, ключи, куки, доступы к репам и CI, а потом из dev-машины летят в прод.

5. Почтовые серверы и веб-почта
Postfix, Exim, Dovecot, Roundcube, Zimbra
Обычно эксплуатят старые версии и кривые конфиги. Достаточно уязвимости в вебморде или обработке письма - и получаем доступ к ящику/серверу, а дальше фишинг уже "изнутри".

6. Веб-серверы и админ-панели
Apache, Nginx, IIS, phpMyAdmin, Webmin, старые панели хостинга
У атакующих любовь к забытым админкам и дефолтным паролям. Плюс к публично торчащим панелям и бэкапам. Один удачный вход - и дальше pivot по сети, к базам, к секретам.

7. FTP/SFTP и легкие файловые серверы
FileZilla Server, vsftpd, ProFTPD, OpenSSH SFTP
Частая история: "временно подняли FTP, чтобы перекинуть файлы" и забыли. Потом утекают учетные данные, ловят брут, или ломают сервис и получают доступ к шаре с "очень важными файлами".

8. CMS и бесплатные плагины
WordPress + плагины, Joomla, Drupal, Bitrix (если говорить про бесплатные модули тоже)
Больная тема - плагины и темы. Уязвимость в плагине + публичная форма = удаленная команда или залив вебшелла. А дальше сайт становится точкой входа в инфраструктуру.

Что с этим делать умным инженерам безопасности? 🧠

* Инвентаризация софта, включая мелочевку и личные утилиты
* Управление списком разрешенного ПО
* Патч-менеджмент для всего, а не только "критичных систем"
* Vulnerability management, чтобы видеть и вычищать старье
* Политики внедрения новых технологий и софта, чтобы это не прорастало само

Отличная практика, позволяющая вычистить это дермище из своей сети, - перестать считать его мелочевкой и начать управлять им как нормальным IT-активом.

P.S. Пост подготовлен совместно с системой управления уязвимостями Sentra
(Покупайте наш космолет, живите счастливо..) 🚀

2 апреля участвую в дискуссии на форуме «Территория Безопасности»: поговорим об использовании как бы ушедших с рынка систем, о защите самих средств защиты и других актуальных проблемах CISO

Приходите повидаться и обсудить насущное.
Подробнее о событии:

📆 2 апреля 2026г.
📍отель Хаятт Ридженси Москва Петровский Парк
👉Участие для руководителей ИБ-департаментов
от компаний-заказчиков - БЕСПЛАТНО👈

ЧЕТЫРЕ НАПРАВЛЕНИЯ ФОРУМА:
▪️ ПРО ПЛАНИРОВАНИЕ — Тактический трек. Тактическая карта CISO: от чекапа к стратегии
▪️ ПРО ДЕЙСТВИЯ — Трек осведомлённости. Как избежать слепых зон безопасности и выиграть сражение до его начала
▪️ ПРО КОНТРОЛЬ — Трек глубинного погружения. Ноль неизвестных: как создать всевидящее око CISO
▪️ ПРО УЛУЧШЕНИЯ — Трек мастер-классов, киберучений и бизнес-игр. CISO как стратег: как прокачивать себя и свою команду.

🔗Регистрация и программа доступны по ссылке.

Бизнес в AI Security в России

Тема, над которой я часто думаю. Есть несколько наблюдений, из которых у меня сложилось довольно понятное ощущение, что именно можно делать на этом рынке. Я ж все равно все сам не сделаю, так что поделюсь.

* В РФ не будет сильных моделей, которые смогут так же хорошо рассуждать, программировать, экономить токены и так далее.
* Использовать зарубежные модели было бы выгодно, но это небезопасно - данные утекают.
* Модели начинают приносить реальную пользу только тогда, когда им дают много контекста, много доступа и много полномочий. По этой же причине они начинают много где косячить. Сейчас это одна из самых практических проблем.

Исходя из этого, более-менее понятно, какие решения будут востребованы в российском Large Enterprise.

1. LLM Privacy Gateway 🫥

Слой перед моделью, который чистит запрос до отправки наружу: ФИО, телефоны, адреса, реквизиты, номера договоров, внутренние идентификаторы. Плюс умеет нормально распознавать сущности в живом тексте, таблицах, переписке, кусках из CRM и 1С, где русский, английский и служебный мусор перемешаны в одну кашу.

Примеры в мире:
Private AI
Skyflow

2. Agent Security / MCP Gateway 🦾

Когда агенту выдают доступ к почте, коду, облаку, базе знаний или сети, нужен отдельный контур контроля, который смотрит на вызовы инструментов, права, цепочку шагов, опасные операции и побочные эффекты. Внутри такого продукта - короткоживущие учетные данные, политика доступа, подтверждение рискованных действий и полный журнал шагов. Отдельная тема - MCP, то есть протокол связи модели с инструментами. Ломают часто именно через него.

Примеры:
Lasso Security
Lakera

3. AI Observability / Agent Forensics 👀

После первого инцидента всем нужны ответы: что агент видел, какой контекст получил, какие инструменты дернул, что вернул наружу, где свернул не туда. Без нормальной трассировки это потом не собрать. Такой продукт должен держать всю цепочку в одном месте: запрос, контекст, решение модели, вызовы, результат и эффект в системе.

Примеры:
Arize Phoenix
Langfuse

4. AI Red Teaming 💣

Полезный класс продуктов для тех, кто уже тащит ИИ в прод. Такой продукт должен проверять утечки, обход ограничений, вредоносные инструкции, опасные документы, кривые сценарии в связке модель + база знаний + инструменты. И не гонять абстрактные тесты ради галочки, а собирать реалистичные атаки под конкретный контур: роли, документы, доступы, цепочки действий, внутренние интеграции.

Примеры:
Giskard
Prompt Security

5. Secure RAG 🗂

Это когда модель тянет ответы из внутренних документов и данных, а не только из своей памяти. Типовая проблема здесь простая: модель начинает показывать то, что пользователь вообще не должен видеть. Значит, нужны проверка прав на уровне фрагментов, фильтрация контекста, контроль источников, защита от отравленных документов и понятный аудит того, что реально попало в ответ.

Примеры:
Prompt Security
Vectara

По старой схеме: в российских технологиях деньги часто легче заработать не изобретая что-то с нуля, а адаптируя существующее под реалии рынка. AI нужен всем, а мы тут очень любим бетонные заборы с колючей проволокой. Ну так дайте людям то, что они хотят :D

Что думаете?

Мне довелось застать то время, когда изучение основ кибербезопасности давалось трудами поиска драгоценной информации по всему интернету, а самые ценные знания были у практиков, которых было еще поискать.

Мой первый год изучения прошел в духе решания picoCTF / Hacker.org / чтения книги Джона Эриксона "Хакинг искусство Эксплойта" и приставания к паре пентестеров с тупыми вопросами. Как я попал на работу с этими знаниями? не спрашивайте, время, видимо, было тяжелое..

Мой путь был абсолютно неэффективен, и мне помогла только увлеченность и ошметки рационального мышления.

Проблема поиска информации стояла не только в ее источниках но и в понимании пути, кратчайшего пути к цели.

Сейчас проблема на самом деле не решена до конца, огромное количество источников завлекает в дофаминовые ловушки, которые не приводят к реальному результату. Дают тебе рейтиг, очки, геймификацию, чтобы ты оставлся в игре и не выходил из неё.

Именно эту проблему я решал, создавая CyberED. Тем не менее, даже тогда мы получали много отзывов о том, что у нас слишком сложно начинать – даже для бесплатного курса «Белый хакер» нужно было уже кое-что уметь.

И вот наконец, эта проблема решена:

Мы в CyberED разработали курс «Инженер по ИБ» — это базовая программа для изучения основ информационной безопасности с азов и настройки сетей и доменов до внедрения SIEM. Внутри все необходимые знания для работы + карьерные консультации.

Если ваша цель не просто баловать себя дофамином, а получить профессию в кибербезопасности, найти кратчайших путь до подготовки себя до должного уровня, вам сюда 100%.

Обучение уже стартовало, но вписаться можно до 1 апреля, подробности тут:

👉🏻 Обучение профессии «Инженер по ИБ» 📚

Как изменились тактики APT группировок за 2025 год и чего ждать в 2026?

Разбираем свежий отчёт F6 в эту среду, 8 апреля в 19:00 мск.

🔗 Ссылка на регистрацию 🔗

Ссылка на эфир:

- https://vk.com/cyberedrussia?z=video-155587065_456239152#section=short_videos
- https://cyber-ed.ktalk.ru/app/stream/auditoriums/57b35d6e-57a4-4466-865b-9a50660573e9
- https://www.youtube.com/live/tcyLS7mWopk