Чому “тиха” присутність у мережі небезпечніша за сам злам?

Уявіть: зловмисник отримав доступ до вашої мережі. Він не запускає ransomware. Не видаляє файли. Не піднімає алертів. Він просто… живе всередині. Дивиться. Вчиться. Готується.

Саме цей сценарій є найбільш руйнівним — і найменш помітним.

Що таке dwell time і чому він вирішує все?

Dwell time (час перебування) — це проміжок між початковою компрометацією і моментом виявлення атаки. За даними Mandiant M-Trends 2024, глобальний медіанний показник становить близько 10 днів. Але медіана — це не вся картина. У складних цільових атаках цифри сягають місяців.

Що відбувається за цей час? Зловмисник проходить повний kill chain:

Кожна з цих фаз може тривати дні або тижні. І кожна виглядає підозріло… нормально.

Чому класичний захист “не бачить”?

Сучасні атаки все рідше використовують класичне шкідливе ПЗ. Замість цього — Living off the Land (LotL): атакуючі використовують те, що вже є в системі.

Реальні приклади:

• PowerShell для збору даних про середовище — системні адміністратори роблять це щодня
• PsExec або WMI для переміщення між хостами — легітимний інструмент для remote management
• RDP для підключення до серверів — нічого незвичайного у робочий час
• certutil.exe для завантаження файлів — вбудована утиліта Windows
• Mimikatz — так, його сигнатури відомі, але існують десятки модифікацій, що обходять AV

Антивірус не піднімає алерт на PowerShell. SIEM отримує тисячі подій від RDP і не знає, яка з них аномальна. Команда SOC тоне в шумі.

Behavioral detection: від сигнатур до поведінки

Якщо атакуючий використовує легітимні інструменти — шукати потрібно не інструменти, а патерни поведінки.

Ось що відрізняє нормальну активність від аномальної:

Приклад 1: Lateral Movement

Нормально: адміністратор підключається до 2-3 серверів протягом дня
Аномалія: обліковий запис підключається до 47 хостів за 20 хвилин

Приклад 2: Credential Dumping

Нормально: доступ до lsass.exe від антивірусного агента
Аномалія: доступ до lsass.exe від процесу notepad.exe або cmd.exe

Приклад 3: Reconnaissance

Нормально: DNS-запити до зовнішніх ресурсів у робочий час
Аномалія: 10,000 DNS-запитів о 3:00 ночі від одного хоста

Саме на цьому базується UEBA (User and Entity Behavior Analytics) — підхід, який встановлює “baseline” нормальної поведінки для кожного користувача та хоста, а потім виявляє відхилення.

Threat Hunting: не чекати алертів — шукати самому

Reactive defense — відповідь на алерти — вже недостатня. Threat hunting — це проактивний пошук ознак компрометації до того, як спрацює автоматика.

Базовий цикл threat hunting:

1. Hypothesis — формулюємо гіпотезу: “у нас може бути active reconnaissance через ldap”
2. Data Collection — збираємо відповідні логи (DC Security logs, netflow)
3. Analysis — шукаємо аномалії: незвичні акаунти, нехарактерний час, нетипові обсяги
4. Response — якщо знайдено — ескалація та реагування
5. Improvement — якщо не знайдено — покращуємо detection rules

Ефективний threat hunting вимагає не лише інструментів, але й контексту: хто які системи адмініструє, які процеси нормальні для конкретного середовища, яка типова активність у неробочий час.

Метрики, які мають значення

Більшість організацій моніторять uptime і кількість заблокованих загроз. Але для реальної оцінки зрілості SOC важливіші інші показники:

• MTTD (Mean Time to Detect) — скільки часу минає від компрометації до виявлення
• MTTR (Mean Time to Respond) — від виявлення до локалізації
• Dwell Time — реальний час присутності зловмисника в мережі

Якщо ці метрики не вимірюються — вони не покращуються.

За даними IBM Cost of a Data Breach Report 2024, організації з зрілим SOC і автоматизацією виявлення економлять у середньому $1.76 млн порівняно з організаціями без цих процесів — при однаковому факті злому.

Що робити вже сьогодні?

Для компаній, які хочуть знизити dwell time, є кілька практичних кроків:

Короткострокові (1-4 тижні):

• Увімкнути розширений аудит у Active Directory (логи 4688, 4624, 4625, 4648, 4768)
• Налаштувати централізований збір логів з критичних хостів
• Переглянути правила кореляції в SIEM — більшість дефолтних правил надто гучні або надто тихі

Середньострокові (1-3 місяці):

• Побудувати baseline нормальної поведінки для привілейованих акаунтів
• Впровадити моніторинг lateral movement (логи WMI, RDP, SMB)
• Провести перший tabletop exercise або purple team сесію

Стратегічні:

• Впровадити UEBA або EDR з поведінковим аналізом
• Розробити playbooks для типових сценаріїв атак
• Регулярно вимірювати і публічно звітувати по MTTD/MTTR

Висновок

Питання вже давно не “чи буде атака”, а “як швидко ми її побачимо”.

Класичний периметровий захист розрахований на загрози, що приходять ззовні з гучним сигналом. Сучасні атаки виглядають як тихий гість, якого ніхто не запрошував — але який вже відкрив холодильник і переписав замки.

Захист, який не вимірює час — не знає, чи він працює.

Коли говорять про Cybersecurity, зазвичай згадують пентест, SOC, malware analysis або threat intelligence.
Але є напрямок, без якого сучасний SOC дуже швидко починає “сліпнути”.

Це Detection Engineering.
І хоча сам термін останніми роками звучить частіше, багато компаній досі недооцінюють, наскільки критичною стала якість виявлення атак.

Чому класичного моніторингу вже недостатньо?
Ще кілька років тому для багатьох SOC головною задачею було:
👉 “збирати більше логів”
Але проблема в тому, що великий обсяг подій сам по собі не робить компанію безпечнішою.

Навпаки.

Без правильної логіки виявлення SOC дуже швидко стикається з:
тисячами алертів;
великою кількістю шуму;
перевантаженням аналітиків;
пропущеними інцидентами.

І саме тут починається роль Detection Engineering.

Що таке Detection Engineering?

Якщо спрощено — це побудова, тестування та постійне покращення логіки виявлення атак.
Тобто не просто:
“у нас є SIEM”.
А:
які саме події збираються;
які сценарії атак покриваються;
які правила спрацювання існують;
як мінімізується шум;
як виявляються аномалії;
і наскільки швидко команда бачить реальну загрозу.

Фактично Detection Engineering — це спроба відповісти на головне питання сучасного SOC:
“Чи побачимо ми атаку, якщо вона вже відбувається?”

Чому це стає критично важливим?

Сучасні атаки дедалі рідше виглядають як “очевидний вірус”.

Атакуючі активно використовують:
легітимні інструменти Windows;
PowerShell;
викрадені облікові записи;
стандартні адміністративні утиліти;
fileless techniques;
living-off-the-land підходи.

Через це класичний signature-based detection часто не працює.
Активність виглядає “нормальною”.

І саме тому Detection Engineering дедалі більше зміщується:
від пошуку конкретного malware
→ до аналізу поведінки та логіки атаки.

Головна проблема — не відсутність інструментів
Багато компаній уже мають:
✔ SIEM
✔ EDR
✔ журнали подій
✔ threat feeds
✔ automation

Але це не гарантує ефективного виявлення.
Тому що Detection Engineering — це не про “встановити ще один продукт”.

Це:
постійна робота з правилами;
тестування сценаріїв;
аналіз false positive;
покриття MITRE ATT&CK;
перевірка detection gap;
адаптація до нових технік атак.

І це безперервний процес.

False Positive vs False Negative

Одна з найскладніших задач у Detection Engineering — баланс між:
false positive;
та false negative.
Якщо правил занадто багато — SOC тоне в шумі.
Якщо правила занадто “обережні” — реальні атаки залишаються непоміченими.

Ідеального балансу не існує.

Саме тому зрілі команди постійно:
переглядають правила;
аналізують інциденти;
перевіряють ефективність виявлення;
і покращують detection coverage.
Detection Engineering — це вже окрема спеціалізація

Ще одна цікава зміна останніх років — поява окремих Detection Engineer ролей.
Тому що сучасний SOC вже важко уявити без людей, які:
розуміють логіку атак;
працюють із телеметрією;
будують detection use cases;
тестують coverage;
і думають як атакуюча сторона.

І саме цей напрямок зараз стає одним із найцінніших у кібербезпеці.
Бо головна проблема сучасного SOC — не нестача даних.
А нестача якісного виявлення.

Висновок
Detection Engineering — це один із тих напрямків, які рідко обговорюють поза професійною спільнотою, але саме він дедалі більше визначає ефективність сучасної кібербезпеки.
У світі, де атаки стають швидшими, тихішими та складнішими для виявлення, перемагає не той, у кого більше логів.
А той, хто швидше розуміє:
👉 що саме є реальною загрозою.

#кібербезпека #CyberSecurity #DetectionEngineering #SOC #ThreatDetection

Зараз — це вже частина щоденної реальності.

Причому не тільки для захисту. Останнім часом все більше видно, як AI починає змінювати сам підхід до атак. І справа навіть не в якихось “суперскладних” сценаріях, а в тому, наскільки швидше і масштабніше стало працювати те, що раніше робилось вручну.

Особливо це помітно у фішингових кампаніях.
Раніше багато атак можна було впізнати буквально за кілька секунд: дивна мова, помилки, неприродний текст, підозрілі формулювання.
Зараз ця межа поступово стирається.
AI дозволяє генерувати дуже переконливі листи, адаптувати стиль під конкретну компанію або людину, робити повідомлення більш “живими” і персоналізованими. І це вже створює зовсім інший рівень ризику для бізнесу.

Те саме відбувається і з іншими напрямками:
— автоматизація пошуку вразливостей;
— аналіз відкритих даних;
— генерація шкідливого коду;
— deepfake та соціальна інженерія.
І якщо чесно, головна зміна тут навіть не в самих технологіях.
А в швидкості.

Цикл між появою нової вразливості та спробами її експлуатації стає дедалі коротшим. Те, що раніше займало тижні, тепер інколи відбувається за години.
Але цікаво інше: AI дуже сильно змінює і захист.
У багатьох SOC-командах вже зараз використовують AI для:
✔ аналізу великого обсягу подій;
✔ автоматизації рутинних задач;
✔ зменшення шуму;
✔ швидшого пошуку аномалій;
✔ допомоги аналітикам під час розслідувань.
І тут, як на мене, важливий один момент. AI навряд чи “замінить” спеціалістів з кібербезпеки. Але він точно почне змінювати саму роль аналітика.

Менше ручної рутини. Більше роботи з контекстом, логікою атаки, аналізом і прийняттям рішень. Бо головний дефіцит сучасної кібербезпеки — це вже не кількість інструментів.

Це людська увага і час.
І саме за них зараз фактично починається боротьба.

#кібербезпека #CyberSecurity #AI #SOC #ThreatDetection

У кібербезпеці багато говорять про ransomware, APT-групи та витоки даних. Але на практиці одна з найбільших проблем — це не сама атака. А час між компрометацією і її виявленням.

Невидимий гість
У багатьох компаніях зловмисники залишаються в середовищі тижнями або місяцями до моменту виявлення. За даними Mandiant, медіанний час перебування атакуючого в мережі глобально становить близько 10 днів — але це медіана. У реальних кейсах цифри бувають набагато гіршими.
І це особливо небезпечно, тому що сучасна атака — це рідко “один вірус”.

Частіше це поетапний процес:

Initial access — отримання першого плацдарму
Reconnaissance — збір інформації про середовище
Lateral movement — рух мережею, розширення доступу
Credential harvesting — компрометація облікових записів
Persistence — закріплення в системі
Impact — основна фаза атаки

Кожен із цих кроків може розтягуватись на дні. І кожен виглядає підозріло… нормально.

Чому класичний захист не рятує?
Проблема в тому, що більшість цих дій імітують легітимну активність:

Використання реальних облікових записів із правильними паролями
Звичайні адміністративні інструменти — PowerShell, WMI, RDP
Стандартні протоколи, які не викликають підозр
Активність у робочий час, щоб “злитися з фоном”

Антивірус може нічого не побачити — немає шкідливого коду. SIEM може не підняти критичний рівень — окремо кожна подія виглядає нормально. А команда безпеки губиться в шумі тисяч алертів на день.
Саме тому сучасні атаки все частіше обходять класичний периметровий захист. Не тому що він поганий. А тому що він проєктувався під інші загрози.

Що насправді важливо?
Якщо атакуючий вже всередині — питання не “чи є захист”, а “як швидко ми його побачимо”.
Це змінює фокус з блокування на виявлення. І тут стає критично важливим не просто збирати події, а розуміти поведінку системи:

Що є нормою для конкретного користувача, хоста, сервісу?
Що є аномалією — навіть якщо вона технічно легітимна?
Що виглядає “підозріло нормально” — наприклад, адміністратор, який вперше підключився до сервера о 3 ночі?

Саме це лежить в основі UEBA (User and Entity Behavior Analytics) і сучасних підходів до threat hunting: не шукати відомі індикатори компрометації, а виявляти поведінкові відхилення до того, як атака перейшла в активну фазу.

Час — це гроші. Буквально.
IBM Cost of a Data Breach Report фіксує стійку закономірність: чим довше атакуючий залишається непоміченим, тим дорожчими є наслідки. Різниця між виявленням за 30 днів і за 200 днів може вимірюватись мільйонами доларів прямих збитків — не рахуючи репутаційних втрат і регуляторних санкцій.
Тому кібербезпека сьогодні — це вже не тільки про блокування. Це про виявлення, контекст, аналіз поведінки і швидкість реагування.
Бо чим довше атакуючий залишається непоміченим — тим дорожчими будуть наслідки для бізнесу.

На початку травня 2026 року освітня платформа Canvas — якою користуються понад 30 мільйонів людей у всьому світі — опинилась у центрі масштабного кіберінциденту. Відповідальність взяла на себе група ShinyHunters. Результат: ~275 мільйонів скомпрометованих записів, підміна сторінок входу у сотнях університетів, зрив фінальних іспитів і, зрештою, угода з вимагачами.

Цей кейс — не просто черговий заголовок у стрічці новин. Він демонструє кілька структурних проблем, які залишаються актуальними для будь-якої організації, що покладається на централізовані SaaS-платформи.

—

1. Вектор атаки: Free-for-Teacher акаунти

Instructure підтвердила, що зловмисники скористались уразливістю в безкоштовних облікових записах для викладачів. Це класичний приклад того, як периферійна, менш контрольована частина інфраструктури стає точкою входу.

Урок: Безкоштовні або “другорядні” акаунти часто виходять за межі стандартних процесів управління доступом. Їх необхідно включати в регулярний аудит привілеїв нарівні з основними корпоративними обліковими записами.

—

2. Двофазна атака: розвідка окремо від удару

Зловмисники спочатку тихо ексфільтрували дані, а вже потім — публічно підмінили сторінки входу та виставили ультиматум. Між першою фазою і другою пройшов час, протягом якого компанія вже оголосила інцидент “вирішеним”.

Урок: Відновлення доступності сервісу ≠ завершення інциденту. Організаціям потрібні чіткі критерії closure: підтвердження відсутності persisted access, аналіз lateral movement, верифікація цілісності даних.

—

3. Тиск через календар — нова тактика

Атака була приурочена до фінальної сесії. Хакери розуміли: в цей момент кожна година недоступності платформи максимально болісна для жертви. Це не збіг — це частина стратегії соціального тиску.

Урок: При плануванні BCP/DRP варто окремо позначати “критичні вікна” — periodи підвищеної залежності від конкретних систем (звітний період, іспити, закриття кварталу). Саме тоді готовність до інцидентів має бути максимальною.

—

4. Угода з вимагачами: що це означає

Instructure повідомила, що уклала угоду з ShinyHunters — зловмисники нібито видалили дані і надали логи. Це рішення викликає питання, а не дає відповіді. Верифікувати факт знищення даних технічно неможливо. Платіж легітимізує модель і фінансує наступні атаки.

Урок: Рішення платити або не платити має прийматись заздалегідь — як частина задокументованої політики реагування на ransomware, а не в умовах стресу і тиску дедлайну.

—

Ширший контекст

Canvas — це не виняток. Це симптом. Консолідація критичних процесів навколо єдиної SaaS-платформи створює концентрований ризик. Чим більше організацій залежить від одного провайдера, тим привабливішою стає ця ціль.

Питання до кожної організації, яка читає цей пост: чи є у вас план дій на випадок, якщо ваша ключова платформа піде офлайн на 12 годин у найгірший можливий момент?

—

#CyberSecurity #IncidentResponse #RiskManagement #DataBreach #Ransomware

Одна з найпоширеніших помилок новачків у Cybersecurity — намагатися одразу вивчати все: Penetration Testing, malware analysis, cloud security, reverse engineering, SOC, OSINT та десятки інструментів одночасно.

У результаті навчання стає хаотичним, а мотивація швидко падає.

Насправді сильний старт у кібербезпеці майже завжди будується навколо фундаменту.

Ось на чому варто сфокусуватись у перші місяці навчання 👇

✔ 1. Основи мереж
TCP/IP, DNS, HTTP/HTTPS, VPN, маршрутизація, мережевий трафік.
Без розуміння мереж дуже складно аналізувати атаки, логи та поведінку систем.

✔ 2. Linux та операційні системи
Базова робота з Linux — одна з ключових навичок у багатьох напрямках кібербезпеки.

Варто навчитись:
— працювати з терміналом
— читати логи
— розуміти процеси та сервіси
— працювати з файлами та правами доступу

✔ 3. Розуміння логіки атак
Важливо не просто “вчити інструменти”, а розуміти:
— як виглядає типовий ланцюг атаки
— як зловмисники отримують доступ
— як закріплюються в системі
— які сліди залишають

Саме це формує аналітичне мислення.

✔ 4. Практика з перших тижнів
У кібербезпеці практика критично важлива.

Для старту добре підійдуть:
— VirtualBox або VMware
— Wireshark
— TryHackMe
— Hack The Box
— прості CTF-завдання
— локальне розгортання Wazuh або іншого SIEM-рішення

Навіть базові лабораторії дають значно більше розуміння, ніж лише теорія.

✔ 5. Не намагатися вивчити все одразу
Кібербезпека — дуже широка сфера.
Неможливо стати експертом у всіх напрямках одночасно.

Набагато ефективніше:
👉 побудувати сильний фундамент
👉 регулярно практикуватись
👉 поступово поглиблюватись у конкретний напрямок

І ще одна важлива річ:
у кібербезпеці нормально постійно вчитись. Навіть досвідчені спеціалісти регулярно досліджують нові техніки, інструменти та підходи.

Сфера змінюється дуже швидко — і саме це робить її цікавою.

Які поради ви б дали людям, які тільки починають свій шлях у кібербезпеці?

#кібербезпека #CyberSecurity #ITeducation #Linux #SOC

У багатьох є уявлення, що під час інциденту все працює як у книжках:

є SIEM, є алерти, є чіткий playbook — команда швидко реагує і зупиняє атаку.

В реальності перша година виглядає зовсім інакше.

Алерт може бути неочевидним.

Контекст — неповним.

А відповідь на головне питання “це інцидент чи шум?” — неочевидна.

І поки команда намагається розібратись, відбувається найгірше — втрачається час.

Типовий сценарій:

— алерт приходить із затримкою або губиться серед сотень інших;

— аналітик витрачає час на первинну перевірку;

— даних недостатньо → потрібно підключати інші джерела;

— починається ескалація, але немає чіткої відповідальності;

— бізнес ще навіть не знає, що щось відбувається.

І в цей момент атака вже рухається далі.

Саме тут стає критичним не інструмент, а зрілість процесу Incident Response.

Бо проблема більшості компаній — не в тому, що вони не можуть зупинити атаку.

А в тому, що вони занадто довго розуміють, що вона взагалі є.

Що дійсно має значення в ці перші 60 хвилин:

— чітке розуміння, що вважається інцидентом;

— пріоритезація (що важливо, а що ні);

— готові сценарії дій, а не “думати по ходу”;

— доступ до критичних даних без бюрократії;

— команда, яка не боїться приймати рішення.

І ще одна непопулярна правда:

більшість IR-плейбуків не працюють у реальності.

Бо вони написані “для галочки”, а не під реальні сценарії атак.

👉 Кіберінцидент — це не технічна подія.

👉 Це стрес-тест для всієї організації.

І виграє не той, у кого більше інструментів —

а той, хто швидше приймає рішення.

Як у вас побудований процес реагування — є реальна готовність чи тільки документи?

#кібербезпека #CyberSecurity #IncidentResponse #SOC #ITsecurity

SIEM не робить вашу компанію безпечною. І це проблема, про яку мало хто говорить.

Багато компаній інвестують у SIEM, очікуючи, що це “закриє питання безпеки”.
Логи збираються, дашборди є, алерти приходять — здається, що контроль встановлено.

Але в реальності SIEM дуже часто створює ілюзію захищеності.

Проблема в тому, що сам по собі інструмент нічого не вирішує. Він не розуміє контекст атаки, не відрізняє бізнес-критичні події від шуму і точно не приймає рішень. У результаті компанії отримують:
— тисячі алертів щодня
— перевантажених аналітиків
— і, найгірше, — пропущені інциденти

Я неодноразово бачив ситуації, коли атака була “видима” в логах, але залишалась непоміченою годинами або навіть днями. Не через відсутність технологій — а через відсутність процесу.

І тут ключове: SIEM — це не про захист.
Це про видимість.

А захист починається там, де з’являється системний підхід:
— чітко визначені use cases і сценарії атак
— регулярний тюнінг правил детекції
— зрозумілий процес ескалації
— команда, яка вміє працювати з Detection and Response, а не просто “закривати алерти”

Без цього SIEM дуже швидко перетворюється на дорогий лог-архів.

Ще одна проблема, яку часто недооцінюють — це detection gap.
Атаки не завжди “невидимі”. Вони просто губляться в шумі або не потрапляють під існуючі правила.

І саме тут компанії програють — не на етапі атаки, а на етапі виявлення.

👉 Наявність SIEM ≠ наявність безпеки
👉 Наявність алертів ≠ здатність реагувати
👉 Наявність логів ≠ контроль над ситуацією

Реальна безпека — це швидкість і якість реагування.

І питання, яке варто собі задати:
чи ваш SOC реально зупинить атаку — чи просто зафіксує її постфактум?

Що думаєте — SIEM у вашій компанії більше про контроль чи про ілюзію контролю?

#кібербезпека #CyberSecurity #SIEM #SOC #ITsecurity

Світ давно перестав воювати лише на землі. Сьогодні битви точаться у мережах, на серверах, у кодуванні даних і фішингових листах.
І саме українські кіберспеціалісти щодня стоять на цьому невидимому фронті.

🛡️ Кіберфронт як частина національної стійкості
З початку повномасштабної війни Україна стала однією з найміцніших кіберфортець у світі.
Наші фахівці навчилися не лише відбивати атаки — а й мислити стратегічно: прогнозувати, аналізувати, будувати захист систем, які забезпечують роботу держави, бізнесу, лікарень, університетів.
Це не просто робота. Це — місія.
Кожен, хто обирає шлях у кібербезпеці, стає частиною колективного захисту країни.

🎓 Освіта як зброя
Рівень кіберзагроз зростає, а отже — зростає й потреба у фахівцях, які вміють діяти грамотно, швидко й етично.
Сьогодні навчання в цій сфері — це не лише про кар’єру, а про внесок у спільну безпеку.
Шлях від новачка до аналітика SOC чи спеціаліста з етичного хакінгу — це вклад у те, щоб наш цифровий простір залишався вільним і захищеним.

🌐 Україна як центр кіберталанту
Українські спеціалісти вже здобули репутацію сильних технічних експертів, які можуть протистояти навіть державним APT-групам.
Вони створюють рішення, які використовують у ЄС, США, НАТО.
І кожен новий студент, який починає свій шлях у цій сфері, — це інвестиція в майбутнє країни, яке базується на знаннях, відповідальності та технологіях.

🔹 Кібербезпека — це не лише про комп’ютери.
Це про людей, які стоять за ними.
Про тих, хто захищає, коли інші навіть не знають, що триває атака.

У сучасному світі міць держави визначається не лише ракетами чи армією. Цифровий простір перетворився на повноцінне поле бою. І серед супротивників США саме Іран вирізняється своєю непередбачуваністю, наполегливістю та зростаючими кіберможливостями. Усе вказує на те, що загроза атаки на критичну інфраструктуру США з боку Тегерану — не гіпотеза, а питання часу.

Кібервідплата: новий інструмент геополітики

Ізоляція, санкції та проксіконфлікти стимулювали Іран до розгортання атак через кіберпростір. Групи APT33, APT34 (OilRig) та APT35 (Charming Kitten) стали інструментами уряду для атак на оборонну промисловість, банки, лікарні та державні установи. Це не окремі хакери, а державні ресурси з чіткими геополітичними завданнями. Основна тактика Ірану — дестабілізація без відкритого конфлікту. Кібератаки спрямовані на створення страху, саботаж і демонстрацію сили — нижче порогу, що викликав би повноцінну відповідь.

Що під прицілом: електрика, вода, довіра

Іранські структури не обмежуються зламом пошти. Вони вивчають слабкі місця у критичних системах. Атака 2020 року на систему водопостачання Ізраїлю стала прецедентом і довела, що можливі атаки на цивільну інфраструктуру. Потенційна атака на енергомережу під час спеки або втручання у систему водоочистки — вже не фантастика, а сценарій, до якого готуються. Застосовуване Іраном шкідливе ПЗ стає все витонченішим: fileless-техніки, обфускація, supply chain атаки — усе це дозволяє обходити класичні захисні системи.

Ворог в тіні: складність атрибуції

Іран активно використовує проксі-групи, фальшиві сліди та дезінформацію. Це дає перевагу: жертви втрачають час на виявлення джерела атаки, а відповідь затримується або взагалі не настає. Сучасні системи виявлення загроз повинні орієнтуватися не лише на підписи, а й на поведінку коду на функціональному рівні. Це дозволяє виявляти навіть замасковані атаки.

Стратегія Ірану — довга гра

Іранські оператори часто не завдають удару одразу. Вони закріплюються в системах, збирають дані, маплять мережі, чекають слушного моменту. Коли геополітична ситуація загострюється — активують накопичені доступи для максимального ефекту. Це стратегія системного проникнення з розрахунком на довгострокову конфронтацію. Саме так Іран намагається зрівнятися з США у цифровій площині.

Як захищатись: ключові кроки

– Перехід від реактивної до поведінкової аналітики: виявлення не за зовнішніми ознаками, а за суттю дій
– Оновлення кібердоктрини: чітке визначення червоних ліній та наслідків у відповідь на державні атаки
– Інтеграція розвідки між секторами: координація між приватними структурами та державою
– Готовність до інцидентів: плани реагування, відновлення, публічної комунікації

Підсумки

Іран веде продуману, цілеспрямовану і вже активну кібервійну. Її мішені — реальні й критичні об’єкти: енергетика, охорона здоров’я, водопостачання, логістика. Передова війни проходить не за кордоном — вона вже тут, у серці національної інфраструктури.

Захист цифрового простору сьогодні — це питання не лише ІТ, а й державної безпеки та стабільності країни.

Світ кібербезпеки стоїть на порозі великого зрушення. Причиною цього є не зловмисники з даркнету чи нові віруси, а прорив у квантових технологіях. У той час як квантові комп’ютери обіцяють прорив у медицині, моделюванні та штучному інтелекті, вони також становлять серйозну загрозу для сучасних криптографічних систем.

Традиційні підходи до безпеки більше не відповідають викликам часу. І саме тут на перший план виходить архітектура Zero Trust (ZTA) — стратегія, яка може стати ключем до кіберстійкості в постквантову епоху.

Квантові комп’ютери: що робить їх небезпечними

Квантові комп’ютери — це не просто «швидші» комп’ютери. Вони оперують не бітами, а квантовими бітами (кубітами), які можуть перебувати в кількох станах одночасно. Це дає їм здатність розв’язувати задачі, які для класичних машин є нездійсненними.

Один із прикладів — алгоритм Шора, який може зламати найпоширеніші криптографічні алгоритми: RSA, ECC, Diffie-Hellman. Тобто ті самі алгоритми, що захищають:

• банківські транзакції,

• електронну пошту,

• дані у хмарі,

• системи державної безпеки.

За оцінками Google та IBM, масштабні квантові комп’ютери з’являться протягом 10–15 років. Але ризик уже тут — тому що дані можна перехопити зараз, а розшифрувати пізніше, коли з’являться відповідні ресурси. Цей підхід має назву Harvest Now, Decrypt Later (HNDL).

Що таке Zero Trust і чому це критично

Zero Trust — це не продукт, а принцип:

«Нікому не довіряй. Завжди перевіряй».

У традиційній безпеці внутрішня мережа вважалась “безпечним місцем”. Але сучасні атаки, інсайдерські загрози й складні ланцюги постачання довели, що довіра за замовчуванням — фатальна помилка.

Основні принципи Zero Trust:

• Мінімальні привілеї — кожен користувач і пристрій має лише той доступ, що справді потрібен.

• Постійна перевірка — аутентифікація й моніторинг у реальному часі.

• Мікросегментація — поділ мережі на зони для ізоляції загроз.

• Шифрування всюди — не тільки в транзиті, але й у стані спокою та в обробці.

• Аналітика поведінки — виявлення аномалій через поведінкову модель.

Факт: Google уже кілька років використовує модель Zero Trust у рамках ініціативи BeyondCorp, де вся безпека базується не на мережі, а на перевірці пристрою та користувача.

Криптографія, стійка до квантових атак

Zero Trust — це стратегія, але вона не замінює криптографію, а лише доповнює її.
Щоб захиститися від квантових атак, потрібна постквантова криптографія (PQC) — алгоритми, які залишаються надійними навіть проти квантових машин.

Основні типи PQC:

• Lattice-based (CRYSTALS-Kyber, Dilithium) — найперспективніші кандидати від NIST.

• Hash-based (SPHINCS+) — дуже надійні, але повільні.

• Code-based (McEliece) — використовуються з 1970-х і досі не зламані.

• Multivariate & Isogeny-based — менш популярні, але цікаві для досліджень.

Факт: У 2024 році NIST оголосив перший набір стандартів постквантової криптографії, що будуть рекомендовані для впровадження у державному секторі США.

Виклики впровадження

Впровадження ZTA та PQC не буде легким:

• Легасі-системи — банки, медичні заклади, державні структури використовують старі системи, несумісні з новими підходами.

• Зниження продуктивності — постквантова криптографія може уповільнити сервіси.

• Несумісність між партнерами — нові системи мають працювати зі старими.

• Культурний опір — люди не хочуть проходити багатоетапну перевірку щодня.

• Еволюція загроз — технології змінюються швидше, ніж системи безпеки.

Але ціна бездіяльності буде значно вищою. Умовна квантова атака в майбутньому може знищити цілі компанії або державні сервіси за лічені хвилини.

Спільна відповідальність

У боротьбі з квантовими загрозами ніхто не може залишитись осторонь. Потрібне партнерство між:

• урядами,

• компаніями,

• дослідниками.

Приклад — проєкт Post-Quantum Cryptography Standardization від NIST, у якому беруть участь науковці та фахівці з понад 30 країн.

Погляд у майбутнє

Квантові комп’ютери — це водночас загроза і можливість. Щоб використати потенціал без ризику, потрібно вже зараз:

✅ впроваджувати ZTA,
✅ готуватися до PQC,
✅ адаптувати організаційну культуру.

Квантова епоха не чекатиме. Тому діймо вже сьогодні, щоб не шкодувати завтра.

Інтернет речей (IoT) і промисловий Інтернет речей (IIoT) вже давно вийшли за межі гаджетів «розумного будинку» й опинилися в серці виробничих ліній, енергосистем, медичних приладів та логістики. Однак зручною і економною архітектурою часто нехтують базовими заходами безпеки — і результат може бути катастрофічним.

1. Основні приклади атак

• Murdoc_Botnet атакує IP‑камери
  Нова варіація Mirai‑похідних ботнетів, що називається Murdoc_Botnet, використовує уразливості в камерах AVTECH (CVE‑2024‑7029 та CVE‑2017‑17215) для збору пристроїв у мережі та запуску масштабних DDoS‑ударів по компаніях у Малайзії, Таїланді й Мексиці.
• Aquabotv3: атака на SIP‑телефонію
  Акамай опублікувала розслідування Aquabotv3 — нового Mirai‑похідного малвару, який експлуатує CVE‑2024‑41710 у SIP‑телефонах Mitel, дозволяючи віддалено виконувати команди з правами «root». Виявлено у січні 2025 року під час сканування в комерційних мережах.
• Рекордний DDoS через 13 000 IoT‑пристроїв
  Phosphorus Cybersecurity звітує, що у жовтні 2024-го ботнет‑варіант Mirai здійснив рекордний DDoS‑удар, залучивши понад 13 000 інфікованих пристроїв, перш ніж був заблокований Cloudflare.
• Попередження CSA Сінгапуру
  Cyber Security Agency (CSA) Сінгапуру видала термінове сповіщення про активні кампанії Mirai‑ботнетів, що сканують промислові маршрутизатори й «розумні» контролери з нульовими днями.

2. Практичні поради для захисту

1. Повний облік і класифікація пристроїв
   – Створіть CMDB із переліком усіх IoT/IIoT‑пристроїв, їх моделей і прошивок.
   – Регулярно оновлюйте дані та перевіряйте наявність «мовчазних» пристроїв.
2. Сегментація мережі та контроль доступу
   – Відділіть IoT‑мережу від корпоративної: VLAN, VPN‑тунелі, міжмережеві екрани.
   – Використовуйте Network Access Control (802.1X) для аутентифікації пристроїв.
3. Міцні облікові дані та конфігурація
   – Змініть паролі за замовчуванням та відключіть Telnet/RTSP, SSH.
   – Впровадьте жорсткий політики паролів і обмежуйте доступ лише за необхідності.
4. Оновлення та управління прошивками
   – Використовуйте централізовані рішення для патч‑менеджменту (Mender, Balena).
   – Тестуйте нові прошивки в ізольованому середовищі перед розгортанням.
5. Моніторинг і виявлення аномалій
   – Збирайте логи й метрики з мережевого трафіку (Zeek, Suricata).
   – Впровадьте UEBA‑аналіз, щоб помічати нетипові патерни (масове сканування, великі обсяги трафіку).
6. Безпека ланцюжка постачання
   – Перевіряйте артефакти від виробників: цифровий підпис, хеш‑суми.
   – Верифікуйте сторонні бібліотеки й компоненти через SCA‑інструменти.
7. План реагування та навчання команди
   – Розробіть процедури інцидент‑респонсу з ролями й контактами.
   – Проводьте drills із симуляціями атак на IoT‑мережу раз на квартал.

Висновок

IoT і IIoT відкривають безпрецедентні можливості для автоматизації та аналітики, але водночас створюють нові «вхідні ворота» для кіберзлочинців. Лише системний підхід — від обліку пристроїв до постійного моніторингу та відпрацювання інцидентів — дозволить знизити ризики та зберегти стабільність критичних процесів.

Джерела

• DDoS Attack with 13 K+ IoT Devices Reminder of Basic Security Hygiene, Phosphorus Cybersecurity Inc. LinkedIn, Jan 2025
• New Mirai Malware Variant Targets AVTECH Cameras, Infosecurity Magazine, Feb 2025 
• Active Exploitation: New Aquabot Variant Phones Home, Akamai Security Research, Jan 2025
• Evolved Mirai Botnet versions drive a massive uptick in global DDoS threats, Check Point Research, Mar 2025
• Ongoing Mirai Botnet Campaign Targeting Industrial Routers, Cyber Security Agency of Singapore, Jan 10 2025

Уявіть: ранок, чашка кави — і раптом ви отримуєте листа нібито від вашого керівника з проханням терміново перевести кошти. Текст і стиль — ідеальні, знак підпису — бездоганний, а голос у голосовій ноті змусив вас повірити, що це дійсно він. Так працює сучасний AI‑підсилений фішинг, який перетворює соціальну інженерію на високоавтоматизований бізнес.
 

Як працюють AI‑фішинг атаки

• Масштабне збирання даних: AI «сканує» соцмережі, сайти та публічні звіти, щоб зібрати всі деталі про вас або вашу організацію.

• Тонка персоналізація: листи, SMS чи повідомлення в месенджерах створюються з урахуванням ваших інтересів, посади та стилю спілкування.

• Автоматизація: генерація тисяч унікальних повідомлень за лічені секунди з подальшим аналізом відкриттів та кліків.

• Мультиканальність: окрім email зловмисники активно використовують deepfake‑дзвінки, phishing у соцмережах і навіть SMS.
   
  

Яскраві кейси

1. Deepfake‑дзвінок від CEO
   У 2024 році шахраї змогли записати голосову ноту генерального директора однієї FTSE‑компанії та переконати фінансовий відділ перерахувати $200 000 на «нова банківський рахунок». Голос звучав настільки реалістично, що працівники не засумнівалися у справжності.

2. «Pig Butchering» з AI‑чатботом
   У Південно‑Східній Азії кіберзлочинці розгорнули AI‑чатбота, який підтримував багатогодинні бесіди з «інвесторами», показуючи фейкові графіки доходності та легенди про успішні угоди. Як результат — великі інвестиції, після яких зв’язок обривався.

3. AI проти Red Teams
   Експеримент 2023–2025 років показав: AI‑агент для spear‑phishing перевершив досвідчені “red teams” за показником клікабельності на 55 %, довівши, що автоматизовані атаки стають дедалі ефективнішими.
    
   

Практичні поради для захисту

• Налаштуйте DMARC, SPF і DKIM. Ці механізми допоможуть відфільтровувати підроблені листи на етапі доставки.

• Впровадьте багатофакторну автентифікацію (MFA). Навіть якщо зловмисник отримає пароль, без другого фактора вони не потраплять у систему.

• Використовуйте AI‑рішення для захисту email. Сучасні платформи з UEBA і машинним навчанням виявляють підозрілі патерни в листах.

• Регулярні тренінги з фішингу. Симулюйте атаки різного рівня складності — від email до голосових дзвінків із deepfake.

• Перевірка через другий канал. Будь‑які зміни фінансових реквізитів чи реквізити платників підтверджуйте SMS або телефонним дзвінком на відомий номер.

• Моніторинг бот‑активності. Обмежте можливість невідомих ботів отримувати доступ до критичних систем та API.
   
  

Висновки

AI‑підсилені фішинг та соціальна інженерія — не просто «сценарії з Голлівуду», а реальні загрози, які вже коштують компаніям мільйони доларів. Але комплексний підхід: від технічних налаштувань до регулярного навчання команди — дозволить вам зберегти спокій і захистити свої активи.

Джерела

• Detecting and Preventing AI-Based Phishing Attacks: 2024 Guide, Perception Point 
• AI Phishing Attacks: How Big is the Threat? (+Infographic), Hoxhunt
• AI could empower and proliferate social engineering cyberattacks, World Economic Forum, October 2024 
• Pig Butchering Scams Are Going High Tech, WIRED, April 2024
• Deepfake fraudsters impersonate FTSE chief executives, The Times, October 2024

Попит на спеціалістів із кібербезпеки традиційно перевищує пропозицію, але саме для джунів ситуація має свої особливості. У статті розберемо, як виглядає глобальний та український ринки вакансій початкового рівня, з якими бар’єрами стикаються новачки й що допоможе їм успішно стартувати.

1. Глобальні тренди

• Загальний попит: у США станом на Q3 2024 роботодавці розмістили понад 1,58 млн вакансій у сфері кібербезпеки, водночас професіоналів вистачає лише для покриття 83 % цієї потреби, тобто бракує близько 265 000 фахівців Lightcast.
  
• Світовий дефіцит кадрів: за даними Cybersecurity Ventures, у 2023 році у світі було 3,5 млн незакритих вакансій у цій сфері Cybercrime Magazine.
  
• Роздута «порожня жерсть» для джунів: опитування LinkedIn вказує, що багато компаній вимагають від кандидатів із рівнем 0–2 роки досвіду вже «готових до бою» спеціалістів, що звужує вхідні можливості для щойно випускників LinkedIn.

2. Ринок праці в Україні

• Швидке зростання: аналітики очікують, що обсяг ринку кібербезпеки в Україні зросте на 8,5 % щорічно у 2024–2029 рр., досягнувши близько $209 млн до 2029 р. Nucamp.
  
• Стабільна потреба в джунів: хоча частка початкових позицій становить менше 15 % від загальної кількості вакансій, відомі українські ІТ‑компанії часто відкривають програми стажувань та перехідні ролі з менторською підтримкою.
  
• Районні відмінності: найбільше пропозицій для джунів зосереджено в Києві, Львові та Харкові, де є як міжнародні компанії, так і стартапи з відкритими вакансіями для молодих спеціалістів.

3. Бар’єри для початківців

• Високі вимоги до сертифікацій: більшість оголошень згадують CISSP/CEH як «бажані» навіть для джунів, хоча на практиці на старт достатньо CompTIA Security+ або entry‑level CISA.
  
• Відсутність реального досвіду: рекрутери відкидають резюме без прикладів практичних проєктів або участі в CTF.
  
• Узагальнений підхід до вакансій: оголошення часто комбінують роль «аналітика» і «інженера», що створює невизначеність для кандидатів.

4. Як почати й не зупинятися

• Отримайте базові сертифікати: Security+, Network+, Linux+. Згодом — CEH або eJPT для демонстрації практичних навичок.
  
• Практичні проєкти: збирайте власну домашню лабораторію (наприклад, VirtualBox із Kali Linux), виконуйте завдання з Hack The Box чи TryHackMe.
  
• Участь у спільнотах: локальні та онлайн‑мітапи, конференції (UBC, BSides Kyiv), спільні CTF‑команди.
  
• Стажування та менторство: шукайте програми в компаніях (CyberField, SoftServe) або пропонуйте себе як волонтера для технічної підтримки малих проєктів.
  
• Побудова особистого бренду: пишіть техблоги, робіть короткі відео‑гайды, ведіть профіль у LinkedIn із регулярними оновленнями про ваші досягнення.

Висновок

Ринок для початківців у кібербезпеці надзвичайно перспективний, але вимагає чітких кроків із боку кандидатів: проектного досвіду, правильно обраних сертифікацій, активності в професійних спільнотах і готовності до безперервного навчання. Використайте сприятливий тренд зростання галузі та почніть будувати свій шлях уже сьогодні!

Базові джерела

• The Cybersecurity Talent Gap: 1,58 млн вакансій vs 1,32 млн фахівців у США у Q3 2024 (Lightcast, Oct 2024)
• 3,5 млн незакритих глобальних вакансій у кібербезпеці (Cybersecurity Ventures, 2023)
• The Cybersecurity Entry‑Level Myth: очікування «готових» джунів (LinkedIn Pulse, Feb 2025)
• Ринок кібербезпеки в Україні зросте на 8,5 % щорічно до 2029 р. (Nucamp, Jan 2025)
• Прогноз обсягу ринку кібербезпеки в Україні: $149,4 млн у 2025 р. (Statista)