惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Hacker News
The Hacker News
F
Full Disclosure
Cloudbric
Cloudbric
Blog — PlanetScale
Blog — PlanetScale
W
WeLiveSecurity
N
News and Events Feed by Topic
T
Troy Hunt's Blog
V2EX - 技术
V2EX - 技术
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
B
Blog
GbyAI
GbyAI
C
Check Point Blog
B
Blog RSS Feed
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Recorded Future
Recorded Future
The Last Watchdog
The Last Watchdog
N
News and Events Feed by Topic
T
The Blog of Author Tim Ferriss
O
OpenAI News
V
V2EX
人人都是产品经理
人人都是产品经理
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
IT之家
IT之家
WordPress大学
WordPress大学
www.infosecurity-magazine.com
www.infosecurity-magazine.com
S
Security @ Cisco Blogs
C
Cisco Blogs
Security Latest
Security Latest
S
Security Affairs
V
Visual Studio Blog
C
Cybersecurity and Infrastructure Security Agency CISA
Hacker News - Newest:
Hacker News - Newest: "LLM"
博客园 - 司徒正美
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Microsoft Azure Blog
Microsoft Azure Blog
Last Week in AI
Last Week in AI
AWS News Blog
AWS News Blog
雷峰网
雷峰网
Apple Machine Learning Research
Apple Machine Learning Research
PCI Perspectives
PCI Perspectives
博客园_首页
U
Unit 42
Google DeepMind News
Google DeepMind News
Hugging Face - Blog
Hugging Face - Blog
Project Zero
Project Zero
Cisco Talos Blog
Cisco Talos Blog
The Register - Security
The Register - Security
N
Netflix TechBlog - Medium
L
LINUX DO - 热门话题
H
Hacker News: Front Page

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Комплексный подход к корпоративной кибербезопасности. Разговор с директором UserGate uFactor Дмитрием Шулининым
Lexx_Nimofff · 2026-05-15 · via Все публикации подряд на Хабре

Уровень сложностиПростой

Время на прочтение8 мин

Охват и читатели153

Интервью

Вступление

Привет, Хабр! Находясь на конференции UserGate Conf, я думал: а с кем бы поговорить на тему современных киберугроз и построения эффективной защиты.

Поэтому выбор пал на человека, кто каждый день сталкивается с реальными атаками и строит системы защиты изнутри. Я выбрал директора бизнес юнита uFactor, отвечающего за сервисы и услуги по кибербезопасностив компании UserGate Дмитрия Шулинина.

Мы поговорили с Дмитрием о том, как компаниям выстраивать систему кибербезопасности через баланс технических решений, автоматизации и практических подходов к защите инфраструктуры. Приятного чтения!

Интевью

Как вы обеспечиваете обновление и обучение локальных моделей искусственного интеллекта внутри корпоративной сети без передачи данных во внешние сервисы, учитывая необходимую изоляцию AI-систем?

Что касается внутренних корпоративных систем и использования технологий искусственного интеллекта, больших языковых моделей, здесь критически важно не передавать данные вовне, поскольку это может привести к утечке информации.

Приведу конкретные примеры из нашей практики. Модели, которые используются для запросов на нашем внутреннем портале, работают локально во внутренней сети и обучаются на данных с нашего портала без взаимодействия с облачными сервисами — ChatGPT, Яндекс и прочими.

Второй пример реализует ту же концепцию — локальная модель с использованием собственных данных для обучения. Это модель в нашем Security Operations Center для выявления подозрительных событий. Мы обучаем её на журналах событий, получаемых с нашей инфраструктуры, защищаемых активов и активов наших партнеров. Все данные, обрабатываемые SOC, не уходят в облачные модели — они работают внутри нашей локальной модели.

Вы выделяете социальную инженерию и атаки по цепочкам поставок как наиболее распространенные векторы. Какие конкретные технологии и функции используются в продуктах для отражения таких угроз?

Начну с того, что от социальной инженерии лучше всего защищаться обучением пользователей. Что касается технических средств, социальная инженерия зачастую происходит через электронную почту — различные вредоносные вложения.

В нашем NGFW есть модуль анализа трафика и файлов, передаваемых по сети. NGFW помогает определить вредоносные файлы, содержащие опасное содержимое или вредоносные ссылки — это первый момент.

Второй момент — после того, как пользователь открыл вредоносную ссылку или запустил файл, происходят сетевые соединения с вредоносными ресурсами. NGFW может помочь в выявлении таких вредоносных соединений, поскольку мы ведем актуальные списки хостов и узлов интернета, зафиксированных во вредоносной активности. Соединения с этими узлами блокируются. Списки таких ресурсов обновляются на регулярной основе.

Таким образом, два механизма защиты: блокировка файлов с недоброкачественным содержимым и блокировка на более позднем этапе атаки, когда пользователь пытается перейти на вредоносный ресурс.

Если выносим за скобки социальную инженерию, какие типы угроз вы считаете недооцененными большинством компаний на текущий момент?

В первую очередь это современные угрозы, связанные с использованием больших языковых моделей и технологий искусственного интеллекта. Здесь два направления.

Первое: если компания активно использует облачные технологии искусственного интеллекта, необходимо крайне аккуратно подходить к этому, чтобы не стать жертвой утечки данных. Сотрудники должны осторожно относиться к тому, что передают во внешний сервис.

Второе направление — компании, занимающиеся разработкой программного обеспечения и использующие облачные модели для генерации кода. Если это происходит бесконтрольно, это несет серьезные риски. Когда специалист понимает код, использование LLM может облегчить решение задачи, ускорить процесс. Но если код, сгенерированный в облаке, попадает в продукт без дополнительного ревью, просмотра, анализа — это серьезная угроза. Недооцененный тип угроз связан именно с использованием LLM.

Какие конкретные технологии и решения вы используете для корреляции событий информационной безопасности и анализа трафика внутри организации, что позволяет обнаружить сложные атаки при отсутствии универсальных признаков?

Для таких случаев подойдет SIEM-система, дополненная технологиями машинного обучения для определения подозрительных событий. Сложные атаки состоят из огромного количества этапов, и таргетированные, тщательно продуманные атаки достаточно сложно выявить традиционными средствами — правилами корреляции.

Здесь необходим анализ статистических данных, всплесков трафика, анализ подозрительных событий в потоке. В нашем SOC as a Service проходит апробацию модель, которая подсвечивает подозрительные события от операционной системы Windows, в частности от Sysmon. Эти подозрительные события подсвечиваются как алерты для аналитиков, чтобы они проверили, указывает ли событие на что-то важное или модель ошиблась.

Какие специализированные механизмы нужно предусмотреть в решениях разных вендоров для защиты устройств интернета вещей и промышленных систем?

Я про всех не могу говорить, скажу про наши. Решения UserGate ориентированы в первую очередь на промышленный сегмент. Для детектирования атак на АСУ ТП есть готовые наборы сигнатур, объединенные в профиль на NGFW для определения атак на протоколы АСУ ТП.

Что касается IoT в более общем понимании — умные камеры, умные устройства — здесь покрытие не такое большое. Типовые сетевые атаки на эти устройства NGFW может определить.

В качестве рекомендаций для IoT: объединять устройства в отдельные сетевые сегменты с ограниченным доступом, обязательно менять логины и пароли по умолчанию, использовать защищенные протоколы передачи данных и шифрование, где это возможно.

Какие практики управления паролями и многофакторной аутентификации помогут исключить успешные brute-force и password spray атаки?

Первое — использование сложных паролей из большого количества символов, разных регистров. Обязательно различные пароли для различных систем.

Эффективное решение — лимиты на неуспешные попытки входа, временная блокировка при попытке перебора паролей. Важный момент: необходимо смотреть не только на количество неудачных подключений одного пользователя, но и на количество неудачных подключений под разными учетными данными с одного узла.

Такого встроенного функционала мониторинга попыток неудачной аутентификации в средствах аутентификации, таких как AD или других системах, как правило, нет. Здесь на помощь приходит SIEM-система или SOC-сервис. Существуют правила корреляции на такие кейсы, которые успешно выявляют, в том числе Password Spraying.

Что касается MFA — это один из самых успешных механизмов борьбы с перебором паролей. Главное — надежно хранить второй фактор, лучше в аппаратном виде.

Какую роль играют автоматизированные системы мониторинга в выявлении целевых атак и как они дополняют анализ человека?

Системы автоматизированного мониторинга играют ключевую роль в выявлении целевых атак, но не в базовом исполнении, а дополненные механизмами статистического анализа и использующими LLM.

Таргетированные, целевые атаки планируются индивидуально под жертву. Злоумышленник зачастую знает и может протестировать в лабораторных средах средства защиты жертвы — найти методы их обхода. Поэтому полагаться на базовые правила и средства защиты при целевых атаках сложно.

Может помочь выявление статистических отклонений, всплесков трафика, всплесков аутентификации пользователей в разных системах или нетипичная аутентификация — пользователь никогда не обращался к системе, вдруг начал часто к ней обращаться. Это может быть рабочим изменением, но иногда указывает на аномалию, которая при изучении может показать следы целевой атаки.

Как регулярно проверять конфигурацию серверов, чтобы исключить слепые зоны для злоумышленников?

Самое сложное — провести первичную диагностику и понимание, какие конфигурации и права минимально необходимы и достаточны для успешной работы сервисов.

Хороший подход — когда команда информационной безопасности развивается с самого начала вместе с командой информационных технологий. К сожалению, это редкие случаи. Обычно сначала строят IT, потом понимают, что нужна безопасность, и начинают её "прикручивать сверху". Для качественного исполнения безопасность должна изначально встраиваться во все процессы. Гораздо легче построить изначально защищенную систему, чем пытаться защитить уже работающую.

Что касается средств: необходимо сканирование в режиме черного ящика — глазами злоумышленника — и белого ящика. Ошибки конфигурации можно найти, посмотрев на сервис снаружи и изнутри, поняв, как он сконфигурирован.

Для больших предприятий удобны специализированные системы управления конфигурациями. В небольших компаниях администратор с навыками работы со скриптовыми языками программироваия   может написать систему контроля конфигураций самостоятельно.

Какие методы безопасности — сегментация сети, парольная политика — доказали свою эффективность против APT-атак и с чем это связано?

Самые эффективные меры безопасности против APT — наведение порядка в информационных технологиях компании. Информационная безопасность в частности занимается наведением порядка в IT.

Большинство успешных атак происходит не из-за сложных zero-day уязвимостей — их достаточно мало и ищут только для хорошо защищенных систем. Большинство атак происходит по обыденным причинам: недостаточно сложные пароли, плоская сеть без ограничения доступа, забытые сервисы, даже выставленные на периметр в Cеть интернет.

Эти факторы создают большую поверхность атаки. Злоумышленнику нет смысла искать сложные пути, когда можно просканировать, найти уязвимый сервис и пройти через него с паролем admin-admin.

Самое эффективное — наведение порядка в IT: знание активов, знание необходимых конфигураций, создание сети с разграничением доступа, создание и поддержание актуальных списков пользователей и их прав. Базовые меры.

В каких случаях вы видите преимущество собственного SOC по сравнению с использованием SOC as a Service?

Проработав на стороне заказчика в крупной компании с десятками тысяч хостов и сейчас в вендоре, я вижу, что собственный SOC — правильное и целесообразное вложение для компаний крупного размера.

Что такое крупный размер? Условно — больше 5-10 тысяч хостов. Такая компания может позволить себе содержать собственный штат информационной безопасности и развивать собственный SOC.

Почему именно таких размеров? SOC должен быть круглосуточным. Мы не знаем, когда придет злоумышленник. Мониторинг в режиме 5 на 8 — это оставлять больше половины времени на волю судьбы. Злоумышленники приходят в самое неподходящее время — праздники, корпоративы, 8 марта, Новый год.

Для крупной компании имеет смысл создавать SOC потому что она может нанять штат под круглосуточную работу. Если компания не может позволить себе круглосуточную службу, целесообразнее использовать SOC as a Service.

Внутренний SOC обеспечит лучшее понимание инфраструктуры, сотрудники in-house SOC, работающие с инфраструктурой постоянно, будут знать её лучше.

Но круглосуточность и непрерывность мониторинга играют ключевую роль. Если есть возможность обеспечить свой круглосуточный SOC — отлично. Если нет — то сервис.

Заключение

Из разговора с Дмитрием стало понятно, что большинство атак происходит через базовые проблемы в IT-инфраструктуре. Слабые пароли, отсутствие сегментации сети, забытые сервисы с дефолтными учетными данными на периметре используются чаще, чем сложные уязвимости.

Машинное обучение и локальные LLM применяются для детектирования аномалий и подозрительных событий, но модели работают только внутри контура без передачи данных во внешние сервисы. По поводу SOC выяснилось, что собственный центр мониторинга имеет смысл для компаний от 5-10 тысяч хостов, способных обеспечить круглосуточную работу. Для остальных рациональнее использовать сервисную модель.

Отдельная тема — использование облачных AI-сервисов. Передача корпоративных данных в ChatGPT или генерация кода через облачные LLM без проверки создают риски утечек и внедрения уязвимостей в продукт.

Спасибо за прочтение!