Боль реагирования: как процессы информационной безопасности влияют на расследование инцидента
Расследование инцидентов — это критически важный подпроцесс управления инцидентами информационной безопасности, направленный на выявление первичного вектора компрометации, минимизацию ущерба и предотвращение подобных инцидентов в будущем. Эффективность расследования зависит от трех ключевых...
Профессиональные блоги как инструмент роста: что читаете вы?
Почти половина айтишников — 46 процентов — целенаправленно развивают личный бренд, из них 51% делает это через социальные сети и блоги. Это данные совместного исследования «Солара» и Хабра. Чаще всего в этом контексте говорят об авторах: блог помогает им структурировать опыт и усиливает...
Как создать ИБ-сервис без нагрузки на IT-инфраструктуру
Привет! Я Максим Чеплиёв, менеджер продукта Staffcop, одного из ИБ-сервисов Контура. Расскажу, как мы разрабатываем Staffcop так, чтобы он не нагружал безмерно IT-инфраструктуру клиента. Сразу оговорюсь, что не буду рассказывать о технической реализации на уровне кода, но обращу внимание на уровень...
Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов
С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь...
Command & Control как ключ к расследованию утечек данных
Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко...
DFIR на практике. Часть 1: Lockdown Lab
В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту. В сегодняшей статье...
Пара реальных историй из жизни аналитиков SOC
Своевременное выявление инцидентов ИБ позволяет минимизировать возможный ущерб в случае реализации связанных с ними рисков. Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и...
Как ИИ-скрипт парализовал ИТ-инфраструктуру
Привет, Хабр! Меня зовут Александр, я работаю в Региональном центре кибербезопасности ХМАО-Югры на базе АУ «Югорский НИИ информационных технологий», проще говоря – SOC. Мы занимаемся обеспечением информационной безопасности в органах государственной власти, органах местного самоуправления,...
Как мы научили нейросеть искать связи между инцидентами в SOC
Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два...
«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации
В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы...
Расследование инцидентов и ретроспективный анализ: итоги проектов 2024-2025
Команда комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершила анализ инцидентов за период с IV квартала 2024 года по III квартал 2025 года. За это время мы провели более сотни расследований и в очередной раз убедились: киберугрозы не становятся сложнее, но...
Заметки о нашей повседневной работе с PAM
У всех современных компаний в 2025 году есть потребность в предоставлении удалённого доступа к своим ресурсам не только для своих сотрудников, но и для внешних пользователей, например, подрядчикам для выполнения работ, заказчикам для демонстрации решений и прочим контрагентам. В жизни мы привыкли...
Внутрикорпоративное расследование инцидентов безопасности: долой рутину, да здравствует автоматизация
2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы...
No-code-разработка и ML-помощники – инструменты аналитиков SOC нового поколения
Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве...
Цифровые раскопки
Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows‑хостах. С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic). Злоумышленники получали доступ к сети жертвы...
DarkGaboon: яд кибергадюки в цифровых жилах российских компаний
В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция...
Crypters And Tools. Часть 2: Разные лапы — один клубок
Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем...
Бой с тенью: специалисты F6 помогли отразить кибератаку на сеть клубов Alex Fitness
Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness. Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных....
Назад