Вся правда о карьере в ИБ: разбираем мифы про хакеров и высокие зарплаты
Кибербезопасность сегодня выглядит как одна из самых заметных сфер в IT: о ней много говорят, специалистов не хватает, а зарплаты обсуждают даже в общих чатах про карьеру. Неудивительно, что у новичков складываются свои ожидания: от «быстрых денег» до образа белых хакеров. На деле всё чуть сложнее....
Что на самом деле дороже: безопасная разработка или ликвидация последствий уязвимостей?
Привет, Хабр! Меня зовут Мария Рачева, я ведущий аналитик процессов безопасной разработки в Swordfish Security. На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры:...
Внедрение автоматизированного AppSec конвейера за пару дней без смс и регистрации
Работоспособность любого приложения может быть подвержена угрозам: от сбоев в работе до кражи персональных данных. С этими рисками следует работать через регулярные и комплексные проверки кода на уязвимости, которые должны быть полностью автоматизированными. Несмотря на то, что тема актуальная, в...
Хватит тестировать вполсилы: Фреймворк RES-ATTACK для симуляции комплексных угроз и его метрика R-score
Привет, Хабр. С вами AdminFuture. Давайте представим себе худший кошмар любого SRE-инженера или CISO. Пятница, вторая половина дня. Нагрузка на систему достигает пика, и в этот самый момент основной узел кластера вашей критически важной СУБД начинает сбоить. Автоматика запускает процедуру failover....
От экспериментов с ИИ до AI-Native: уровни зрелости и архитектура. Часть 2
Всем привет! Это продолжение статьи о трансформации подхода к использованию ИИ — от базового применения к AI-Native. В первой части мы разобрали уровни зрелости искусственного интеллекта, ключевые этапы ИИ-трансформации и классификацию приложений и модальностей LLM. Читать первую часть Во второй...
Разработка eBPF на Rust (aya-rs). С чего начать?
Привет, Хабр! Сейчас только ленивый не пишет про eBPF. Получается — теперь пишет. Я Саша Лысенко, техлид DevSecOps в К2 Кибербезопасность. Как ИБ-специалиста, меня просто приводит в восторг идея, предлагаемая технологией eBPF. Произвольная программа в контексте ядра операционной системы — и все это...
DevSecOps практики CUSTIS: социальная инженерия
С каждым годом роль DevSecOps в обеспечении безопасной разработки ПО становится всё больше и больше. Масло в огонь подливает стремительное развитие ИИ. Больше не в моде письма от «нигерийских принцев» и многомиллионных выигрышах. На смену им пришли дипфейки, имитирующие голос, внешность и поведение...
Кража учётных данных AWS EC2: как SSRF превращает ваш сервер в пособника злоумышленников
Сегодня предлагаю тебе узнать, как одна уязвимость в веб-приложении может открыть злоумышленникам доступ к секретам всего облака. Не слабо, да!? Мы разберем механизм атаки через SSRF на службу метаданных EC2, покажем реальные примеры из практики и дадим конкретные рекомендации по защите, включая...
Неудовлетворительно. Результаты исследования безопасности российских frontend-приложений Q2 2025
Более 50 % приложений вызывают высокорисковые API браузера, что может быть признаком наличия вредоносного кода. Почти 64 % загружают скрипты с хостов за пределами РФ. Более 70% компаний рискуют получить штрафы от 1 до 18 млн. руб. за сбор ПД с использованием баз данных, размещенных за пределами РФ....
DevSecOps за 20 миллионов? Я сделал свой сканер и выложил бесплатно
Я раньше работал обычным безопасником. Кто-то называет таких «ИБшниками», кто-то — «параноиками», кто-то — «тем самым занудой, который мешает жить». Каждый день у меня был один и тот же диалог: • Тимлид: «У нас релиз в пятницу, отстань со своим сканированием». • Менеджер: «В бюджете только Jira и...
34 минуты до взлома: почему миру всегда будут нужны ИБ специалисты
Знаете, сколько времени нужно, чтобы взломать типичную российскую компанию? В среднем — меньше суток, а рекорд составил 34 минуты. Меньше, чем уходит на обед. Это данные недавнего эксперимента белых хакеров (пентестеров): они протестировали 74 компании и в двух из трёх случаях получили полный...
gh0stEdit: как скрытно заразить Docker-образ, обходя его подпись и историю
Docker и контейнеризация давно стали стандартом. Мы подписываем образы, сканируем их на уязвимости, используем приватные реестры. Кажется, что цепочка поставки надёжно защищена. Но исследователи показали атаку gh0stEdit (arxiv.org, 2025), которая ломает привычные представления. Суть: можно внедрить...
«Нормально делай – нормально будет»: что такое Secure by Design
Всем привет! В этой статье наши эксперты – Паша Попов, руководитель направления инфраструктурной безопасности, и Леша Астахов, директор по продуктам WAF-класса с огромным опытом развития продуктов Application Security в Positive Technologies, – разбираются, что такое подход Secure by Design,...
Взлом через картинку в Apple: уроки громкой уязвимости для разработчиков
Мир устроен так, что самые опасные угрозы обычно скрываются там, где их меньше всего ожидают. Мы в ИБ привыкли к фишинговым письмам и вирусам, но редко думаем, что обычная картинка в мессенджере может превратиться в инструмент шпионажа. Именно поэтому мы решили рассказать о громкой уязвимости...
От многопоточности в ОС до «простукивания портов»: избранные материалы у нас на DIY-площадке
Мы в Beeline Cloud развиваем площадку для обмена опытом между ИТ-специалистами — «вАЙТИ». Делимся техническими материалами, которые могут быть полезны хабражителям: как перекинуть два терабайта данных между дата-центрами за шесть часов, как перевести почту на локальный сервер Postfix, а также —...
Как не потерять свои контейнеры у себя в инфраструктуре?
Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят»...
DevSecOps-консоль для контроля уязвимостей в коде: автоматизация, аналитика и AI-ассистент
Как автоматизировать DevSecOps с помощью ИИ или как мы разработали DevSecOps-консоль для контроля над уязвимостями Читать далее...
За неделю от ночных кошмаров до спокойного сна: как я автоматизировал защиту от AI-хакеров
Никто не любит быть тем парнем, который говорит "а давайте еще и защиту поставим". Особенно когда речь идет о блестящем новом AI-продукте, который должен был запуститься "еще вчера". Но когда твой корпоративный чат-бот начинает выдавать системные промпты направо и налево, а в 2 ночи тебе в Telegram...