Технический долг или угроза безопасности?

Хаос в конфигурациях сетевого оборудования перестаёт быть просто техническим долгом в момент потери контроля над доступом, сегментацией, маршрутизацией и управлением устройствами. Дмитрий Кушнерёв, эксперт отдела сетевых технологий Angara Security, — о том, как навести порядок в сети.

Причинами беспорядка могут стать ошибки, забытые правила или «наследие» в конфигурации сети

Проблема представляет критическую угрозу безопасности инфраструктуры компании, если влияет на один из контуров:
управляющий доступ к устройствам;
сегментацию сети;
правила фильтрации;
маршрутизацию;
механизмы защиты и управления самим устройством;
мониторинг и логирование.

Почему не всегда работают регламенты управления?

Причин много, в их числе неправильная работа системы управления конфигурациями, сложности в настройке и администрировании, отсутствие механизмов автоматических изменений и автоматизации проверок, а также существование возможностей без последствий вручную менять конфигурации.

Как исправить ситуацию?

Внедрить качественную систему контроля и управления конфигурациями. Но прежде — разделить зоны ответственности ИТ- и ИБ-департаментов для исключения конфликта интересов.

С чего начать?

С критичных устройств, их конфигураций, внедрения резервных копий и отслеживания изменений. В первую очередь управление конфигурациями стоит внедрять на:
межсетевых экранах на периметре;
VPN-шлюзах;
коммутаторах или маршрутизаторах на корневом уровне или уровне дистрибуции.

Эффект от контроля за конфигурациями такого оборудования будет виден через 2–3 месяца.

Что в итоге?

Управление конфигурациями можно интегрировать с процессами управления уязвимостями и мониторингом инцидентов для усиления друг друга. Такой подход позволит сохранить контроль над ИТ-инфраструктурой компании и минимизировать поверхность атаки для злоумышленника.

MAX |

ВКонтакте |

Сайт

@angarasecurity

Что такое «ярлык» на рабочем столе?

«Ярлык» — привычная для многих иконка, символическая ссылка, которая позволяет быстро открыть объект или запустить программу.

Но не все так очевидно.

LNK-файлы или попросту «ярлыки»
специальные файлы ОС Windows, предназначенные для обеспечения быстрого доступа к другим файлам и объектам системы;
могут быть запущены простым двойным кликом.

Однако!

За привычной функциональностью «ярлыков» скрывается один из наиболее востребованных инструментов в арсенале современных злоумышленников.
Интенсивность использования LNK-файлов в массовых вредоносных рассылках и таргетированных APT-атаках 2024–2026 годов возросла многократно, что обусловлено тем, как их обрабатывает операционная система.

LNK-файл эволюционировал в скрытный «загрузчик первой стадии». Его основная задача — оставаться невидимым для антивирусных решений, делегируя исполнение вредоносного кода доверенным системным утилитам. Классический статический анализ LNK-файла становится лишь отправной точкой исследования.

Что скрывается за обманчивой лаконичностью ярлыка — новое исследование «LNK — это гораздо больше, чем просто ярлык к файлу» Александра Гантимурова, руководителя направления обратной разработки Angara MTDR.

MAX |

ВКонтакте |

Сайт

@angarasecurity

С Днём Великой Победы, друзья!

Помним подвиг, чтим героев, гордимся историей.

Желаем крепкого здоровья, благополучия и мирного неба над головой!

Команда Angara Security.

Сегодня Всемирный день пароля! (хоть и неофициальный)

Парадокс: пароль до сих пор остаётся самым слабым звеном в цифровой безопасности. Мы устали от сложных требований… и выбираем то, что проще запомнить.

В топе самых популярных паролей по-прежнему: 123456, password, qwerty, admin, даты рождения, имена детей, клички питомцев.

А есть и вовсе «гениальные»: neznayu, parol, zabylparol, ya_admin, letmein, privet123, rabota2024, companyname2025.

Смешно? Да. Опасно? Очень.
Хуже того — многие используют одну и ту же пару «логин-пароль» везде: на работе, в банках и магазинах, на портале Госуслуг.

По данным Angara MTDR, у 60% компаний происходила компрометация корпоративных учеток. В 25% случаев вместе с логином утекал и пароль.

Дальше — злоумышленники автоматически подставляют украденные пары везде, где только можно. Это входная точка в большинство кибератак.

Не забудьте проверить свою электронную почту на утечки здесь:
https://echo.angarasecurity.ru/

Берегите свой цифровой след!

MAX |

ВКонтакте |

Сайт

@angarasecurity

Анализ защищенности: что изменилось за 15 лет

Сергей Гилев, директор Центра исследования киберугроз Angara Security, запускает цикл статей на Хабре — и первый акт уже вышел.

Спойлер: это не про хардкорные техники.

Это про «боль», которую многие из вас узнают:
Когда пентест называют сканированием уязвимостей, а от Red Team ожидают перечень уязвимостей и рекомендации по их устранению.

Очень часто заказчик с исполнителем говорят на разных языках еще на этапе пресейла и это становится проблемой.

Данная статья - начало методичного разбора всех нюансов услуг наступательной безопасности, который начинается с честного экскурса в конец 2000-х – начало 2010-х:

Как работали пентестеры до появления EternalBlue и атак на Kerberos
Почему отчёты были похожи на распечатки сканера (и где эти сканеры сейчас в услугах)
Откуда взялась путаница в услугах и когда этапы комплексного пентеста стали самостоятельным экспертным направлением

Читать статью

Stay tuned, акт второй уже в работе.

MAX |

ВКонтакте |

Сайт

@angarasecurity

Рубрика «Отвечаем на частые вопросы»

Ранее мы рассказывали, сколько времени занимает расследование инцидента. Сегодня на разборе ещё один вопрос.

Почему изолировать и перезалить заражённую машину (или даже целый сегмент!) недостаточно?

Очистка ИТ-инфраструктуры действительно позволяет быстро возобновить бизнес-процессы. Однако за видимыми последствиями атаки, зашифрованными файлами или упавшими сервисами, почти всегда скрывается большее: точка первоначального проникновения, множественные места закрепления и бэкдоры. Причём даже там, где аномальной активности не фиксировалось.

Если просто «зачистить» системы, не разобравшись в механике атаки, высока вероятность того, что:
атакующий вернётся через тот же вектор, поскольку уязвимость не устранена,
в системе останутся «спящие» вредоносы, которые станут активными спустя недели или месяцы,
скомпрометированные учётные данные продолжат использоваться, в том числе подрядчиками,
масштаб инцидента останется неизвестен, а значит, корректно уведомить регуляторов и клиентов не получится.

Расследование — это не формальность и не способ «затянуть» восстановление. Это единственный способ понять, как злоумышленник оказался внутри, что он успел сделать и что изменить, чтобы ситуация не повторилась.

В критической ситуации важно быстро вернуть бизнес к работе. Поэтому мы, команда реагирования Angara MTDR, вместе с вами находим оптимальный путь: восстановить процессы в кратчайшие сроки и параллельно разобраться в причинах, чтобы ликвидировать угрозу, а не её симптомы.

MAX |

ВКонтакте |

Сайт

Желаем стабильной работы, чёткого взаимодействия и только позитивных событий в ваших проектах. Хороших выходных!

Angara Security запускает пентест CI/CD-процессов

Контролируете ли вы безопасность не только кода, но и всего процесса его создания, тестирования и доставки? CI/CD — сердце современной разработки, и его защита критически важна.

Анализ защищённости CI/CD-процессов - специализированный аудит инфраструктуры разработки, который уже выявил критические риски в реальных проектах.

Что проверяем:

Системы управления исходным кодом (SCM)
CI-серверы и runner-ноды
Хранилища секретов и артефактов
Интеграции с облачными сервисами

Примеры реальных находок в пилотных проектах:

Утечка учётных данных DevOps-инженера с максимальными привилегиями
Обход политик безопасности в Azure DevOps Server через теги runner-нод
Отсутствие проверки подписи артефактов — риск подмены сборки

Почему это важно?

По данным экспертов, только в Q1 2025 выявлено ~18 тыс. вредоносных open-source-пакетов, а объём вредоносного кода в репозиториях вырос на 26%. Недавняя атака на библиотеку Axios затронула миллионы разработчиков по всему миру. Вместо проверки только финального кода, мы помогаем контролировать безопасность на самых ранних этапах разработки.

Подробности об услуге — в материале CNews

MAX |

ВКонтакте |

Сайт

@angarasecurity

Angara Security — ключевой партнер форума ГосСОПКА

Форум ГосСОПКА — новая площадка для обсуждения организационных и технических аспектов выявления атак, предупреждения инцидентов и обмена информацией с участниками ГосСОПКА.

Мы выступим ключевым партнером события. На нашем стенде представим сервисы Angara MTDR и платформу Angara ECHO.

В программе форума наши эксперты расскажут:

🟠 VOC – управление активами и уязвимостями. Как мы искали золото, а нашли бриллианты… и повысили эффективность SOC — доклад Артема Грибкова.
🟠 Как атакующий становится «своим» и как это детектировать — технологический трек под модераторством Никиты Леокумовича.
🟠 Как OSINT и AI создают новые возможности для злоумышленников: от анализа данных до реализации атак — доклад Марии Михайловой.

📠 Мероприятие состоится 14–15 апреля 2026 года в кластере «Ломоносов» (Москва). Узнать подробности и зарегистрироваться можно по ссылке.

MAX |

ВКонтакте |

Сайт

@angarasecurity

Новый сезон — новые схемы: мошенники переключились на ЖКХ

Весной 2026 года в России фиксируется резкий всплеск мошеннических действий, связанных с жилищно-коммунальным хозяйством. Злоумышленники адаптируются под актуальную повестку: рост тарифов и начало сезона поверки приборов учета.

Эксперты Angara Security рассказали «Прайму» о схеме с поддельными чатами в мессенджерах.

Суть метода:
Граждан принудительно добавляют в групповые чаты с названиями, имитирующими официальные службы;
С помощью ботов создается иллюзия активности;
Затем пользователю угрожают финансовыми санкциями (перевод на общедомовой тариф, лишение льгот) и требуют прислать код из СМС для «подтверждения данных».

Риски:
Передача кода приводит к компрометации аккаунта в мессенджере и утечке персональных данных.

Рекомендации:
Не передавать коды подтверждения;
Не переходить по ссылкам в подозрительных чатах;
Немедленно выходить из таких групп;
Использовать только официальные каналы связи с УК, ТСЖ и ресурсоснабжающими организациями.

Коммунальные службы не используют механизмы принудительного добавления в мессенджеры для сбора данных и не запрашивают коды подтверждения.

Будьте внимательны и актуализируйте правила цифровой гигиены в своих командах.

MAX |

ВКонтакте |

Сайт

@angarasecurity

31 марта — Всемирный день резервного копирования. Ваши данные точно в безопасности?

Для бизнеса резервное копирование — это не просто «галочка» в чек-листе аудитора. Это последняя линия обороны. Рынок атак растет: шифровальщики не просто крадут данные, они учатся блокировать и ваши резервные копии, если к ним есть доступ из периметра (контура) сети.

3 правила «взрослого» резервного копирования:

Модель: 3-2-1 + неизменяемое хранилище
Правило 3-2-1 (3 копии данных, 2 типа носителей, 1 внешняя копия) остаётся необходимым, но недостаточным. Обязательное дополнение — использование неизменяемых хранилищ, исключающих возможность удаления или модификации данных, в том числе при компрометации привилегированных учётных записей.

Контроль через регулярное восстановление
Логи и статусы выполнения резервного копирования не подтверждают его работоспособность. Единственный способ проверки — фактическое восстановление данных. Тестовые работы по восстановлению из резервных копий должны быть включены в ваш регламент и проводиться ежемесячно.

Защита системы резервного копирования
Система резервного копирования должна рассматриваться как критический контур и защищаться на уровне выше основной инфраструктуры. Доступ к консоли управления должен быть изолирован от доменной инфраструктуры и не зависеть от её механизмов аутентификации. Компрометация домена не должна приводить к получению доступа к системе резервного копирования и самим резервным копиям.

MAX |

ВКонтакте |

Сайт

@angarasecurity

Удали прямо сейчас! Как браузерные расширения компрометируют пользователей

Блокировщик рекламы, VPN, AI-ассистент или менеджер паролей — всё это стало частью повседневной работы. Но именно здесь кроется и вектор для атаки. В одном из недавних расследований мы зафиксировали компрометацию рабочей учётной записи сотрудника через внешне безобидное, но вредоносное браузерное расширение: злоумышленник получил корпоративные учётные данные для одной из систем и проник во внутреннюю инфраструктуру организации. А что еще умеют вредоносные расширения?

Красть не только учётные, но и платёжные данные. Расширение перехватывает всё, что вы вводите в браузере: логины, пароли, данные карт
Подмена крипто-адресов. Классическая схема: скопировал адрес кошелька, вставил — а там уже адрес атакующего
Кликджекинг и инъекция рекламы. Расширение внедряет рекламу на любые сайты, вынуждая пользователя совершать неумышленные переходы по рекламным ссылкам
Сбор и продажа истории браузера, в том числе напрямую злоумышленникам

Как расширение попадает в браузер:
Пиратский софт и кряки
Фейковые «полезные» расширения
Социальная инженерия и баннеры вида «установите расширение для корректного отображения»

Что можно сделать прямо сейчас
Если вы пользователь — откройте расширения в своём браузере:

Chrome: chrome://extensions/
Firefox: about:addons
Edge: edge://extensions/
Opera: opera://extensions/
Яндекс: browser://extensions/

Удалите всё, чем не пользуетесь или не помните, зачем ставили. Не доверяйте расширениям с единицами установок, особенно если там заявлен известный вендор!

Если вы ИТ-администратор — закройте вопрос через GPO. Белый список расширений в Chrome:

Computer Configuration →

  Administrative Templates →

    Google → Google Chrome →

      Extensions → Configure the list of force-installed apps and extensions

Политика ExtensionInstallAllowlist — разрешаем только то, что нужно. Чёрный список (ExtensionInstallBlocklist) работает, но значительно слабее: атакующий всегда может использовать расширение, которое вы не внесли

🔗 А почитать более детально, как расширения устроены изнутри и каким образом злоумышленники могут их использовать, можно в нашей статье на Хабре

MAX |

ВКонтакте |

Сайт

@angarasecurity

«Прислали видео ДТП. Кажется, ты его знаешь…»

Помните наш прошлый разбор о трояне Mamont, который массово рассылали в Telegram? Теперь злоумышленники сменили тактику. Вместо прямой отправки APK-файлов (которые блокируются) они присылают ссылки на каналы или фишинговые сайты. А дальше — социальная инженерия, проверка вашего устройства и попытка украсть аккаунт.

В новой статье эксперт Angara MTDR Александр Гантимуров рассказал:

как развивается атака пошагово;
почему установка приложения приводит к взлому аккаунта;
подробные рекомендации по защите для Telegram, MAX и Android.

🔗 Читать на Habr

Продолжаем следить за эволюцией мобильных угроз и рассказываем о глобальных изменениях.

MAX |

ВКонтакте |

Сайт

@angarasecurity

«Успех в кибербезопасности — понятие временное. Тот, кто сегодня лидирует в построении обороны, уже завтра может стать примером того, как прошлые решения создают новые уязвимости».

Директор Центра киберустойчивости Angara MTDR Артем Грибков — о том, почему атаки сместились с банков на ИТ и промышленность, как хакеры перехватили инициативу и какие тренды определят 2026 год.

👉 Читать статью.

MAX |

ВКонтакте |

Сайт

@angarasecurity

DAST и IAST в процессе разработки: динамическое тестирование приложений на уязвимости до продакшена

Переход от реактивной защиты к проактивной невозможен без внедрения динамических методов тестирования. Но в чем разница между сканером уязвимостей, работающим по принципу «черного ящика» (DAST), и интерактивным агентом внутри кода (IAST)? Как настроить их совместную работу в CI/CD, чтобы не плодить ложные срабатывания и не перегружать команду?

Разбираем в новом материале Ларисы Карпан, эксперта по безопасной разработке Angara Security.

MAX |

ВКонтакте |

Сайт

@angarasecurity

Чем опасна слепая вера в искусственный интеллект? Почему нейросети называют «черным ящиком», а доверие к ним — когнитивной ловушкой?

Об этом эфир Радио 1 рассказал Яков Филёвский, эксперт по социотехническому тестированию Angara Security.

В программе:

Вечная гонка защиты и атаки: кому ИИ упрощает жизнь — специалистам по безопасности или злоумышленникам?
Психологические эффекты, заставляющие нас верить машинам.
Новые уязвимости: отравление данных, «чит-коды» в обучении и риски для корпоративных систем.
Почему лень думать делает человечество предсказуемым для мошенников.
Как социотехническое тестирование помогает компаниям не стать жертвой собственных сотрудников.

🎧 Слушать эфир.



MAX |

ВКонтакте |

Сайт

@angarasecurity

Осторожно фишинг. Как распознать кибермошенника и не дать себя обмануть

Фишинговые атаки становятся всё изощреннее. Злоумышленники маскируются под коллег, начальников или внешние сервисы. Их цель — получить доступ к данным компании, что может привести к серьезным финансовым и репутационным потерям.

Чтобы этого не случилось, сохраняйте бдительность и запомните простые правила. Они работают и в офисе, и в личной жизни.

Обратите внимание: В 99,9% случаев офисный документ (word, excel, powerpoint и др.) с макросами будет являться вредоносным. Если видите кнопку «включить содержимое» – это, вероятнее всего, вредоносный файл.

Безопасность начинается с каждого из нас!

Сохраняйте карточки, чтобы не потерять.

Примечание: Все упомянутые в тексте адреса и домены (cyberguard.ru, cyberteam.ru и т.д.) являются вымышленными и использованы исключительно в качестве примера.



MAX |

ВКонтакте |

Сайт

@angarasecurity