Как работает SIEM: поэтапно

1️⃣Сбор данных ото всюду: Серверы, рабочие станции, маршрутизаторы и облачные сервисы отправляют свои события в центральный узел SIEM.

2️⃣Нормализация данных: SIEM превращает разнородные данные из разных источников в единый формат, чтобы упростить их анализ.

3️⃣Умный анализ: Система ищет угрозы, используя корреляцию событий и встроенные правила. Она отслеживает:
• Странные входы в систему
• Непривычные перемещения данных
• Признаки атак (например, эскалация привилегий).

4️⃣Мгновенная реакция: При обнаружении угрозы SIEM формирует алерт, классифицируя его по уровню опасности. Самые критические угрозы поднимаются в приоритете.

5️⃣Автоматическое реагирование: Пока вы смотрите уведомление, SIEM уже начал работу: он блокирует IP, изолирует подозрительное устройство или временно отключает доступ хакеру.

6️⃣Отчет и анализ: Каждый инцидент фиксируется: подробный отчет помогает понять причину, устранить уязвимости и улучшить защиту.

ZeroDay | #SIEM

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только. В этот раз они будут англоязычные.

⏺ OWASP PodCast — название говорит само за себя — подкаст Open Web Application Security Project — разработчиков методологии оценки рисков и рейтинга основных угроз безопасности OWASP TOP-10.
⏺ SANS Stormcast — ежедневные пятиминутки с обзорами текущих событий, связанных с сетевой безопасностью.
⏺ Security Now — подкаст Стива Гибсона, человека, придумавшего термин "шпионское ПО" и создавшего первую антишпионскую программу, и Лео Лапорта, основателя и владельца фабрики подкастов.
⏺ Realtime Cyber — о кибербезопасности, национальной безопасности, криптовалюте, IoT и других технологиях.
⏺ The Hacks — дуэт хакеров рассказывает про кибербезопасность, DevSecOps, SecOps, DevOps, автоматизацию инфраструктуры, сетевую автоматизацию и открытый исходный код.

ZeroDay | #Подборка

Фильтрация трафика с командой nft

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, как фильтровать трафик с командой nft.

⏺Эта команда — современная альтернатива старому доброму iptables. С его помощью вы можете быстро и эффективно фильтровать трафик, не теряя в производительности.

⏺Как настроить nft для защиты сети?

• Блокировка порта: Чтобы закрыть порт 8080 для входящих соединений, используем команду:

nft add rule ip filter input tcp dport 8080 drop

• Разрешение трафика с конкретного IP: Если нужно разрешить доступ к серверу только с определённого IP, настройте правило:

nft add rule ip filter input ip saddr 192.168.1.100 accept

• Блокировка всех входящих подключений: Чтобы заблокировать все входящие соединения, кроме уже разрешённых, используем:

nft add rule ip filter input drop

• Настройка NAT для маскировки адреса: Чтобы скрыть ваш внутренний IP-адрес при выходе в интернет, используйте:

nft add rule ip nat postrouting oif "eth0" masquerade

• Фильтрация по MAC-адресу: Если вы хотите заблокировать доступ для устройства с конкретным MAC-адресом, выполните:

nft add rule arp filter input ether saddr 00:11:22:33:44:55 drop

ZeroDay | #nft

Не SPANом единым: о способах зеркалирования трафика

Когда доходит до создания копий трафика, SPAN часто выглядит как универсальный инструмент, но спустя время вскрываются все его недостатки. Да, он удобен - говорят все. Но стоит ли рисковать потерей до 25% пакетов, если можно делать это иначе?

⏺В статье рассказывается, почему SPAN подходит больше для диагностики, чем для постоянного мониторинга, а также объясняется, как TAP-устройства и пакетные брокеры могут стать лучшей альтернативой. Как собрать свой TAP, что делать с избыточным трафиком, и как избежать перегрузки сенсоров — автор предлагает конкретные схемы и решения.

ZeroDay | #Статья

Loki: простой сканер IOC и реагирования на инциденты

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Loki — настоящий слон в расследованиях. Он использует четыре разных метода, чтобы находить улики: от проверки хешей файлов и поиска угроз по сигнатурам Yara до выявления подозрительных соединений с C2-серверами. Не важно, насколько скрытной была атака — Loki найдет её следы 😎

⏺Что делает его крутым: он, плюсом ко всему, сканирует аномальные процессы, ищет скрытые бэкдоры, такие как DoublePulsar, и даже проверяет подозрительные файлы, которые не детектируются обычными антивирусами.

ZeroDay | #Инструмент

Как работает HTTPS-шифрование

1️⃣Запрос на безопасность: когда вы заходите на сайт, браузер отправляет запрос на установление защищенного HTTPS-соединения.

2️⃣Сервер дает ключ: в ответ сервер делится своим публичным ключом, готовясь к защищенному диалогу.

3️⃣Создаем общий секрет: браузер генерирует сеансовый ключ — уникальный код, который будет использован для шифрования всех данных.

4️⃣Ключ под защитой: сеансовый ключ шифруется публичным ключом сервера и отправляется обратно, чтобы его не смогли перехватить злоумышленники.

5️⃣Секрет раскрыт: сервер расшифровывает ключ с помощью своего приватного ключа. Теперь оба участника готовы общаться защищено.

6️⃣Симметричное шифрование берет верх: с этого момента все данные шифруются быстрым и надежным сеансовым ключом, чтобы их никто не смог “подслушать”.

ZeroDay | #шифрование

Kali Linux vs Parrot OS: что выбрать?

👋 Приветствую в мире цифровой безопасности!

Давайте разберемся, какой из дистрибутивов лучше и подойдет конкретно вам.

⏺Kali Linux — это база, о которой знает каждый безопасник. С более 600 инструментами для тестирования на проникновение, от Metasploit до Wireshark, Kali создан для профи. Но надо быть готовым: его настройка и требования к оборудованию могут быть сложными для новичков.

⏺Parrot OS — это уже легче и проще. С акцентом на конфиденциальность, с поддержкой Tor и I2P, он идеально подойдет тем, кто работает с анонимностью и безопасностью. Встроенные инструменты для защиты данных и анализа, но с меньшими требованиями к ресурсам и более дружелюбным интерфейсом для новичков.

⏺Основные отличия коротко:
• Kali — больше инструментов для тестирования и взлома, но и больше потребностей в ресурсах.
• Parrot — легкость, анонимность и минимальные требования к железу.

ZeroDay | #kalilinux #parrotos

Хэширование

👋 Приветствую в мире цифровой безопасности!

Расскажу, что это такое хэширование и какое оно бывает.

⏺Хэширование превращает данные в строку фиксированной длины с помощью хэш-функции — как уникальный "отпечаток", который помогает защитить пароли, проверять целостность файлов и ускорять поиск.

⏺Но хэширование не универсально: Для паролей подойдут алгоритмы Bcrypt или Argon2 с солью и итерациями, а для проверки целостности — SHA-256 или CRC32, которые обеспечат скорость и надежность.

⏺Вообще выбор хэша зависит от задачи: SHA-256 защитит данные, а MurmurHash будет идеален для хэш-таблиц.

ZeroDay | #хэширование

📢 НАБОР В КОМАНДУ


Доброе утро друзья, на связи Админ. Мы ищем разрабов в штат для разработки телеграмм ботов и telegram mini apps 🤖 в агентство bashmakcode.ru

А конкретно:

•Back-end специалист с опытом разработки телеграмм ботов.

•Full stack специалист с опытом разработки Telegram Mini Apps (вебаппы).

Заполняй ФОРМУ, и
напишем тебе! 🔗

Связь @bashmak_manager

📝 Шпаргалка по Пентесту на Python

ZeroDay | #пентест

Скрыть нельзя найти: как прятали информацию на ПК в 2000-х

Да, защита данных с появлением первых ПК была тем еще челленджом. Тогда каждый изобретал новые и новые трюки: все прятали файлы в системных папках, маскировали их с помощью архивов и даже скрывали данные внутри картинок.

⏺В статье рассказывается, какие методы были популярны в начале 2000-х и почему школьники могли обыграть даже опытных админов, сохраняя доступ к тем же любимым играм, несмотря на запреты родителей 🫡

ZeroDay | #Статья

UFONET: пентест DDoS-атаками

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺UFONet — целый арсенал для тестирования DDoS-устойчивости. Он юзает ботов, управляет "зомби"-сетями и применяет передовые техники вроде подмены источников, обхода кэша и многопоточности. Отличный инструмент, чтобы понять, выдержат ли ваши системы такие атаки.

⏺Почему UFONet выделяется: он работает на уровне OSI Layer 7, что дает возможность моделировать сложные сценарии атак, как в реальной жизни.

ZeroDay | #Инструмент

Прокачиваем безопасность ядра с sysctl

👋 Приветствую в мире цифровой безопасности!

Давайте рассмотрим, как прокачать безопасность системы с помощью команды sysctl и не только. Несложно, но порой полезно.

⏺Отключаем IP форвардинг: если ваш сервер не выполняет роль маршрутизатора, зачем ему пересылать пакеты между сетями? Отключите IP форвардинг, чтобы ограничить возможности атак, связанных с маршрутизацией. Команда для этого:

net.ipv4.ip_forward = 0  

⏺Запрещаем ICMP (ping) запросы: не давайте всяким хакерам легко проверять доступность вашего сервера! Отключив ответ на пинг-запросы, вы сделаете вашу систему невидимой для многих автоматических сканеров:

net.ipv4.icmp_echo_ignore_all = 1  

⏺Как настроить это быстро?
• Откройте файл конфигурации /etc/sysctl.conf.
• Добавьте строки с настройками, чтобы они сохранялись после перезагрузки.
• Возьмите и просто примените изменения:

sysctl -p  

ZeroDay | #безопасность

Что такое Darknet? Тайная сеть интернета

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, что такое Darknet и как вообще появилась эта часть интернета.

⏺Что такое Darknet: это закрытая часть интернета, где сайты с расширением .onion спрятаны от простых юзеров сети. Попасть туда можно только через специальные программы, такие как браузер Tor. Его технология “лукового маршрутизатора” использует многоуровневое шифрование

⏺С чего всё началось: В 90-х годах идея защищенной связи была лишь теорией, но уже в начале 2000-х американские военные создали Tor как инструмент для анонимной передачи данных.

⏺Цель так-то была благородной: помощь активистам, журналистам и разведчикам в опасных условиях. Позже, в 2004 году, Tor стал доступен всем. Именно тогда зародился Darknet в том виде, каким мы его знаем.

⏺Этапы становления:
Настоящий ажиотаж начался с появлением Silk Road в 2011 году. Это была первая крупная даркнет-площадка для торговли, где покупали всё: от книг до запрещённых веществ. Однако за этим слоем преступности скрывается другая сторона — форумы активистов, библиотеки запрещённых книг и площадки для свободного общения.

⏺Для чего туда идти: Кому-то Darknet интересен из любопытства, другим нужен доступ к информации без цензуры. Но помним: всегда надо быть на чеку!

ZeroDay | #darknet

CNAPP, CIEM, PAM - что значат эти три ИБ-термина?

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех ИБ-терминах.

⏺CNAPP — охрана для вашего облака: Cloud-Native Application Protection Platform (CNAPP) — как личная охрана для облачных приложений. Он проверяет всё: контейнеры, базы данных, виртуальные машины — и помогает находить уязвимости до того, как они превратятся в угрозу для безопасности.

⏺CIEM — контроль прав доступа на уровне каждого пользователя: Cloud Infrastructure Entitlement Management (CIEM) помогает управлять правами пользователей в облачных системах. Этот инструмент анализирует, кто и какие ресурсы использует, и ограничивает доступ для тех, кому он не нужен, тем самым минимизируя риски утечек данных.

⏺PAM — защита привилегированных аккаунтов: Privileged Access Management (PAM) следит за действиями пользователей с повышенными правами доступа. Он минимизирует угрозы от злоупотребления этими правами, помогает выявлять подозрительные действия и удовлетворяет строгие требования кибербезопасности.

ZeroDay | #безопасность

Безопасность на высоте: как защищать API сегодня

API в последние годы все активнее становятся базой цифрового мира, но с их количеством и растет количество угроз. Ошибки в безопасности уже стоили компаниям миллионов долларов. Например, некорректная защита API обошлась Uber в $148 млн, а 91% организаций столкнулись с инцидентами, связанными с уязвимостями API только за последний год.

⏺Как предотвратить атаки? В статье как раз и узнаете ответы. Узнаете, как правильно управлять API, почему спецификации — это не просто документ, а полноценынй инструмент защиты, и как валидация данных помогает противостоять угрозам из списка OWASP API Top 10. Всё это с примерами реальных ошибок и рекомендациями 👍

ZeroDay | #Статья

LSAT: полный аудит Linux-систем

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что такое LSAT: это у нас вполне себе серьезный инструмент аудита безопасности для серьезных безопасников😎. Главная фишка тут — модульная архитектура, что позволяет быстро расширять функционал и адаптировать под любые задачи.

⏺Плюсом, что важно - поддержка кучи разных ОС: Gentoo, Red Hat, Debian и macOS. В общем, не только сканирует файлы и пакеты на наличие скрытых уязвимостей, но и проверяет конфигурацию системы, чтобы всё было по правилам.

ZeroDay | #Инструмент

Работаем с LSAT

👋 Приветствую в мире цифровой безопасности!

Расскажу о настройке и работе с инструментом LSAT.

⏺Установка через исходники:
• Качаем исходники LSAT.
• Выполняем команды:

./configure
make
make install
make clean

⏺Установка для Debian/Ubuntu: Для этих систем проще всего использовать репозиторий:

sudo apt-get install lsat

⏺Запускаем LSAT: Запуск осуществляется через команду:

/lsat [OPTIONS]

Для вывода отчёта в HTML:

/lsat -w

Для подробного вывода:

/lsat -v

⏺Больше команд: Для проверки целостности пакетов (только для RedHat и Mandrake):

/lsat -r

Для сравнения текущего и старого состояния файлов (полезно для отслеживания изменений):

/lsat -d

Для выполнения теста на конкретной операционке (например, если LSAT не может автоматически определить дистрибутив):

/lsat -f redhat

Для исключения определённых модулей из проверки (например, если вы хотите пропустить тестирование некоторых файлов):

/lsat -x /path/to/excluded_file

ZeroDay | #безопасность

MIC: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое MIC и как он работает.

⏺MIC — это что-то вроде контролёра целостности сообщений, который следит, чтобы сообщение осталось неизменным. Секретный штамп добавляется к зашифрованным данным и проверяется на стороне получателя. Если штамп совпадает, то данные в порядке.

⏺Как он работает: сначала вычисляется MIC-штамп, который затем шифруется вместе с данными. На другой стороне происходит обратный процесс: расшифровка, проверка штампа, сравнение. Любое несоответствие — сигнал тревоги.

ZeroDay | #безопасность