Топ кибербезопасности Батранкова (@safebdv) — Telegram-канал | Telegram Dialogs
Все каналы
Топ кибербезопасности Батранкова

Топ кибербезопасности Батранкова

@safebdv

10.1K подписчиков технологии 💬 Комментарии открыты ✓ Зарегистрирован в РКН

🎯 Кибербезопасность и ИИ простыми словами 💡 Практические советы и примеры 🛡 Мой опыт 30+ лет в ИБ ✨ Помогаю руководителям не спать спокойно (в хорошем смысле 😉) ✉️ Реклама: @ngksiva https://gosuslugi.ru/snet/69ef16891c348d88edebe5b9

Последние публикации

Топ кибербезопасности Батранкова
17.07.2026 15:41 · 👁 429
Сети с ViPNet под атакой HelloNet: инженерный разбор и чек-лист защиты Уверен, вы уже в читали про новую методику распространения вредоносного ПО через уязвимость, которую нашли в системе обновления продуктов ИнфоТеКС. Кратко: в свежих атаках группировок TA428 и BlueTraveller не ломали ГОСТ. Они использовали DLL Hijacking, а точнее его подвид DLL Sideloading, где доверенный EXE подгружает подмененную DLL из своего рабочего каталога. Хакеры подгружали в службу обновлений Itcsrvup64.exe поддельную wtsapi32.dll через уязвимость Path Traversal. Дальше протокол MFTP легитимно проксировал вредоносный трафик внутрь шифрованного туннеля. Мой вывод Средство защиты нужно тоже вносить в модель угроз как объект атаки, а не выносить за скобки как доверенное ядро. То есть средство защиты нужно охранять. И как это делать в данном случае? Межсетевые экраны не видят трафик ViPNet и молчат. EDR на систему управления поставить тоже нельзя - требуется переаттестация. Для данной ситуации собрал полный алгоритм защиты от атаки: от настройки Jump-Host до детектов зачистки логов. Только не надо патчить скомпроментированные хосты! Пожалуйста! Забирайте алгоритм защиты ViPNet в моем блоге на секлабе: securitylab.ru/blog/personal/Morning/361523.php P.S. Прямо сейчас откройте Process Monitor и проверьте, откуда грузится wtsapi32.dll у вашего ViPNet. Сюрприз может быть неприятным. 🔥 Денис Батранков в LinkedIn, YouTube, RuTube и MAX #атаки #КИИ #Кибербезопасность #ДляВсех
Топ кибербезопасности Батранкова
16.07.2026 11:03 · 👁 819
#юмор
Топ кибербезопасности Батранкова
16.07.2026 08:18 · 👁 837
Друзья, хочу лучше понять, кто меня читает. Один клиек сделает канал полезнее для вас.
Топ кибербезопасности Батранкова
16.07.2026 05:00 · 👁 849
Антивирусы, EDR, фаерволы и SIEM генерируют тысячи событий каждый день. Ценность создаёт не сам факт их наличия, а специалист, который умеет отличить шум от атаки, связать события в цепочку и принять решение до того, как инцидент станет ущербом. Курс «Аналитик SOC» от Академии Codeby — это 7,5 месяцев практики для тех, кто хочет освоить blue team системно: от работы с логами до расследования инцидентов и мышления аналитика безопасности. Что изучаем: ⏺работу с логами и потоками событий — триаж, фильтрация, приоритизация ⏺анализ и корреляцию инцидентов ⏺разбор атак и сценариев поведения злоумышленников (MITRE ATT&CK) ⏺Threat Intelligence и Threat Hunting ⏺Vulnerability Management ⏺практику с SIEM (Wazuh) ⏺формирование мышления blue team — от первого алерта до отчёта Формат: живые занятия, практические задания, разбор реальных кейсов. Это профессиональный трек по мониторингу и реагированию. За 7,5 месяцев вы выстраиваете навыки, которые ежедневно нужны в SOC-командах банков, телекома, ритейла и IT-компаний. Запись на текущий поток открыта до 23 июля ➡Посмотреть программу и записаться 🪧По вопросам — @CodebyAcademyBot
Топ кибербезопасности Батранкова
15.07.2026 17:27 · 👁 770
Дошел ли вчерашний файл в процессинг и до регулятора? Если вы хоть на секунду задумались — значит, ваша схема держится на честном слове. Managed File Transfer (MFT) — это платформа для тех, кому ошибка в передаче файла стоит дорого: времени, сорванного контракта или штрафа. Она автоматизирует обмен файлами, шифрует трафик, ведет журналы и убивает зависимость от ручных скриптов. Если вам нужно меньше ошибок, выше прозрачность, проще аудит, то это для вас. Впервые слышите? MFT не стоит в каждом офисе. Продукт не массовый. Его покупают банки, промышленность и субъекты КИИ, где цепочки интеграций сложны, а цена сбоя запредельна. Малому бизнесу хватает облачных хранилищ и электронной почты. Enterprise-заказчики понимают критичность передачи данных и внедряют MFT. За годы работы в Palo Alto Networks, HP и IBM я видел одно и то же. Платёжные файлы и отчеты для регулятора висят на cron, bash и одном админе, который давно сменил компанию. Схема работает до первого сбоя. Разобраться невозможно, потому что логов нет, антивирус не проверял файл, кто его отправил — неизвестно. Типовая задача MFT: отправить файл ночью, произвести проверку, что он попал в нужную систему. При сбое — снова добавить в очередь и дождаться повторной отправки. Если делаете это скриптами — вы не автоматизируете процесс, вы копите операционные риски. MFT закрывает задачу через централизацию очередей и политик. Нужна интеграция с AD, SIEM, DLP. Тут вопрос не в «передаче», а в «доказательстве» корректности пути. И если сегодня мы обсуждаем безопасность данных, то трассировку работы ИИ-агентов утилитами observability я на конференциях еще не видел. Это, кстати, следующая дыра, которую мы скоро будем латать. Однако, будьте начеку! MFT — система, через которую проходят ценные файлы компании. Её поэтому и атакуют. Accellion FTA взломали в 2021-м, GoAnywhere — в 2023-м, а Cl0p через уязвимость в MOVEit вытащили данные тысяч организаций. Эту систему нужно мониторить как внешний периметр, а не как внутреннюю утилиту. Глобальный рынок MFT — 2,5 миллиарда долларов. Вектор задают IBM Sterling, Progress MOVEit, Fortra GoAnywhere. И в России уже минимум я знаю трех локальных игроков. Как выбирать MFT? На пилоте задайте один вопрос: что произойдёт с очередью при падении ноды кластера? Сырой продукт ответит «перезапустите вручную». Перед вами обычный FTP-сервер, а не платформа. Считайте не цену лицензии, а полную стоимость владения: миграцию скриптов, простои и штрафы. Представьте: у вас очередь из 10 000 файлов на отправку. Вы используете кластер MFT из трех нод. В середине процесса нода №2 внезапно выключается (сбой питания, ошибка ОС, сетевой разрыв). Как отработает система? Если вы не можете быть уверены и не можете доказать, что вчерашний файл дошел до получателя — значит, вы работаете не на технологиях, а на везении. Денис Батранков в LinkedIn, YouTube, RuTube и MAX #MFT #FTP #Кибербезопасность #Экспертам
Топ кибербезопасности Батранкова
15.07.2026 05:52 · 👁 849
Киберстрахование — это вообще работает? С одной стороны, страховку в IT и кибербезе обсуждают на каждом углу. Кто-то уже заложил её в бюджет, кто-то косится, а кто-то откровенно машет рукой: «Подумаешь, нас и так не взломают». Но когда смотришь на статистику похищенных миллиардов и количество утекших баз, начинаешь задумываться. Пока вопросов больше, чем ответов. Покроет ли полис реальные убытки или окажется красивой бумажкой? Какие риски страховщики вообще соглашаются покрывать? И если страховка не панацея, то как тогда выстраивать нормальную финансовую защиту? В Кибердоме решили разобраться и запустили исследование, чтобы изучить практики управления финансовыми последствиями киберинцидентов. Опрашивают CISO, IT-директоров, безопасников — всех, кто так или иначе сталкивается с последствиями атак и пытается заложить на них бюджет. Коллеги исследуют реальные стратегии: кто копит резервный фонд, кто нанимает подрядчиков и перекладывает на них ответственность, а кто реально покупает полис и верит в него. Я решил поучаствовать — займет всего 3-4 минуты, вопросы неглупые. А в конце обещают приглашение на закрытое мероприятие в Кибердоме, где разберут результаты вместе с одним из ведущих страховщиков. Я, лично, очень хочу услышать, насколько вообще рынок готов к киберстрахованию и кто принимает те самые решения. Может, потом и сам задумаюсь о полисе. А пока — предлагаю и вам пройти опрос. А вы верите в киберстрахование или считаете это маркетингом? Напишите в комментариях.
Топ кибербезопасности Батранкова
14.07.2026 04:59 · 👁 1K
Вы свои логи Nginx смотрите? А что с веб-краулерами делаете? 203.0.113.45 GET /blog/ai GPTBot/1.0 198.51.100.22 GET /docs ClaudeBot 192.0.2.15 GET /news Claude-User 66.249.x.x GET /article Googlebot По данным Cloudflare Radar, в июне 2026 боты сгенерировали 57,5% HTML-трафика. Машин в вебе стало больше, чем людей. AI-краулеры обогнали классических поисковых роботов: 33,8% бот-трафика против 26,8%. Ваш сервер выглядит как бесплатная столовая, где бомжи гости не оставляют ни крошки. Можно конечно закрыться от всех подряд, но это тоже может быть выстрел себе в ногу. Я делю «гостей» на четыре типа. 1️⃣ Боты для обучения LLM. Это GPTBot, ClaudeBot, Meta-ExternalAgent, Amazonbot, CCBot, Bytespider. Они выкачивают ваш контент и он применяется в весах модели без упоминания вашего имени. Отношение к ним зависит от того, хотите ли вы отдавать им бесплатно контент. Если ваш продукт и есть сам контент (курсы, платные статьи, исследования), блокируйте: за него уже не заплатят. Если продукт вы и ваша экспертиза, тогда выглядит как удачная возможность для рекламы. Присутствие вашего контента в обучающих данных означает, что ChatGPT и Claude знают ваше имя и ваши идеи. Для публичного эксперта это полезно. Если вы хотите блокировать, тогда в WAF по User-Agent и IP-диапазонам. Отдавать код 403, а не 429: по стандарту 429 значит «повтори позже», и вежливый бот будет долбить снова. Google — особый случай: обучение Gemini отключается только токеном Google-Extended в robots.txt. 2️⃣ AI-ассистенты и AI-поиск — лучше дозировать им выдачу. ChatGPT-User и Claude-User приходят по живому запросу человека. OAI-SearchBot, Claude-SearchBot, PerplexityBot строят поисковые индексы для ответов. Claude-User уже второй по активности бот интернета — 11,3% верифицированного трафика, вдвое выше GPTBot. Если заблокируете, то исчезнете из их ответов, а их читают ваши будущие клиенты. У каждого вендора training-бот и search-бот — разные строки. ClaudeBot собирает данные, Claude-SearchBot индексирует, Claude-User фетчит по запросу. Одна строка «Claude» в правиле убьёт всех троих. Как рекомендация: ставить rate limit 60 запросов в минуту, JS-челленджи для подозрительных сессий. 3️⃣ Классические поисковики — наши лучшие друзья. Googlebot, YandexBot, BingBot. Без них вы умрёте как сайт. Однако под Googlebot маскируется половина скраперов — проверяйте обратный DNS. 4️⃣ SEO-краулеры — отдельный разговор. AhrefsBot, SemrushBot, MJ12bot, DotBot. Не обучают модели и не приводят людей. Строят ссылочные индексы, в том числе для ваших конкурентов. Пользуетесь Ahrefs или Semrush — оставляйте, иначе сломаете собственные отчёты. Не пользуетесь — закрывайте в robots.txt, вся четвёрка его соблюдает. Ещё одно: archive.org_bot многие блокируют осознанно. Снимок Wayback Machine принимается судами как доказательство публикации. А если вам, наоборот, важно знать историю вашего сайта - разрешайте ему доступ. 📌 К посту сделал таблицу 35 User-Agent c моими выводами и генератором готовых правил для Cloudflare WAF и Nginx в один клик. Жду ваших комментариев. Cloudflare с 15 сентября 2026 меняет настройки: для новых доменов краулеры обучения ИИ будут блокироваться автоматически, а поисковые останутся разрешены. Индустрия движется в эту сторону. Оптимизируйте сайты не только под SEO, но и под GEO (Generative Engine Optimization). А что показывает статистика вашего сайта? Денис Батранков в LinkedIn, YouTube, RuTube и MAX #WAF #Кибербезопасность #Боты #DevOps #Nginx #Экспертам
Топ кибербезопасности Батранкова
13.07.2026 04:03 · 👁 1.2K
Расскажу вам красивую историю про автоматическое удаление прав уволенных сотрудников. Компания купила IdM, настроила SCIM между 1С:ЗУП и десятком приложений. HR нажимает одну кнопку, и доступ пропадает везде. Магия. При этом уволенный программист спокойно пушит код в корпоративный GitLab. Как так? SCIM — хорошая штука и у многих работает. SCIM — это кадровик, который разослал приказ «Вася уволен» по всем филиалам. Приказ дошёл, учётку заблокировали. А у Васи доступы еще живы. Учётную запись убить оказалось мало. Остались: — Personal Access Tokens (PAT) в GitLab - это строка вида glpat-xxxxxxxxxxxx, которую разработчик создаёт в GitLab, GitHub или Jira; — долгоживущие Refresh-токены у IdP; — access-токены в виде JWT, которые никто не проверяет до истечения TTL; — SSH-ключи в authorized_keys на серверах, до которых IdM не дотянулся; — сессии браузера через OIDC, если не настроен Back-Channel Logout. PAT, кстати, любимая находка пентестера. В январе 2024 у Mercedes-Benz нашли PAT сотрудника в публичном репозитории на GitHub. Токен открывал доступ ко всему внутреннему GitHub Enterprise: исходники, ключи от облаков, design-документы. Один токен, забытый одним разработчиком. Проблема не в протоколе. SCIM отвечает за жизненный цикл учётки и делает это хорошо. Проблема в архитектуре, где SCIM назначили единственным триггером увольнения. Вы автоматизировали подписание обходного листа и решили, что этого достаточно. Увольнение должно запускать пайплайн: блокировка учётки, отзыв всех PAT через API приложений, инвалидация Refresh-токенов, сброс сессий на шлюзе. Одно событие, четыре обязательных действия. Если хотя бы одно делается «потом руками», то у вас проблемы. В блоге вышла большая статья про SCIM: механика протокола, где заканчивается его зона ответственности и что реально происходит с токенами при увольнении. А у вас отзыв PAT автоматизирован или надеетесь, что уволенные удалят SSH-ключи из вежливости? Ставьте 🔥, если узнали свою инфраструктуру. Денис Батранков в LinkedIn, YouTube, RuTube и MAX #IDM #IAM #Экспертам #SCIM
Топ кибербезопасности Батранкова
11.07.2026 17:31 · 👁 1.2K
Ваша компания авторизует своих клиентов через иностранные сервисы Google и Apple? Или нет? Я создал для вас методику по переходу на российские провайдеры идентификации. Запись выступления и материалы для работы готовы При этом у меня был спор с коллегой о том, что то о чем мы говорим, вообще, требование Закона о связи от 2023 года и поэтому уже почти все перешли на российские системы идентификации. Ну поэому и штрафы 700 000 рублей с 7 июля, которые ввели в стране - уже никого не волнуют. Как я вижу ситуацию? 1) Вчера на мероприятии спросил зал, где сидели предприниматели - кому это актуально - больше половины зала подняли руки. А у многих из них бизнесы больше 1 миллиарда рублей. 2) По статистике Forbes 53% компаний не перешли с Google и Apple. 3) И вот еще пример: сейчас я решил выложить запись своего курса на ZenClass. Зашел на сайт. И что выдумаете? ) Через что они предлагают мне авторизовать доступ? Через иностранные сервисы. Вот скриншот ) @safebdv #IDP #IDM
Топ кибербезопасности Батранкова
11.07.2026 10:12 · 👁 1.2K
Забавный проект, дает бесплатные токены на мощные модели GPT 5.6, Opus 4.8, Gemini 3.5 app.clickup.com @safebdv #ИИ
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.