🥂 2025-й подходит к концу

Для нас он стал годом вызовов, масштабных разработок и, конечно, громких релизов. В этом видео — вся суть того, над чем мы работали последние 12 месяцев 👓

Мы поделились тем, чем по-настоящему гордимся и какими новинками смогли удивить рынок!

Но всё это было бы невозможно без вас – без доверия, диалога и совместной работы на протяжении года. Этот опыт мы забираем с собой и с тёплым фокусом смотрим в следующий этап.

✨ Кто идёт с нами дальше?

🅰️ Подписаться на Avanpost

🎄 Друзья, этот год был разным – шумным, насыщенным, временами напряжённым.

Он проверял нас всех на устойчивость и способность отличить реальное от подмены. И всё это время рядом были вы: те, кто выбирает осознанный доступ к системам!

Мы благодарим каждого.
Для нас особенно ценно, что вокруг канала за этот год собралось такое классное коммьюнити: люди думающие, с прекрасным чувством юмора, живые, не покупные 😐

Пусть в новом году уверенность в себе будет такой же надёжной, как корректно настроенная система аутентификации, а доверие – заслуженным и проверенным.
Тепла, любви и удачи!

Avanpost остаётся на страже вашего цифрового периметра!

🥂 С Новым годом!

🅰️ Подписаться на Avanpost

🔔 1 ЗАДАНИЕ

В рамках перехода на надёжную многофакторную аутентификацию северяне регистрируют аппаратный ключ безопасности. Этот вызов JS-API запускает процедуру создания ключа.

Какой открытый веб-стандарт описывает этот интерфейс, позволяя применять FIDO2-устройства в браузере?

🅰️ Подписаться на Avanpost

🔴 2 ЗАДАНИЕ

Читайте между строк!

🅰️ Подписаться на Avanpost

🎁 3 ЗАДАНИЕ

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJlbGZfaW50ZXJuIiwiaXNzIjoiaHR0cHM6Ly9pZHAubm9ydGhwb2xlLmNvbSIsImF1ZCI6Imh0dHBzOi8vZGFzaGJvYXJkLm5vcnRocG9sZS5jb20iLCJpYXQiOjE3MDQwNjcyMDAsImV4cCI6MTcwNDA3MDgwMH0.eCioYIiqKSDgXA2UZIcvLMIzpy-2aURpvK6OlQT1QOQ

Система аутентификации перевела сотрудника на авторизацию через OpenID Connect. Токен выглядит корректным, но после перехвата злоумышленник смог повторно использовать его, несмотря на валидную подпись и срок жизни. Не хватает одного стандартного поля, которое связывает токен с первоначальным запросом и защищает от Replay Attack.

Какой claim это должен быть?

🅰️ Подписаться на Avanpost

🍭 4 ЗАДАНИЕ

Приложение жалуется, что не может определить пользователя – нет нужного элемента.

Какой стандарт или протокол описывает этот формат сообщений, и какой элемент обычно нужен в секции Subject?

Форма для ваших ответов 🖱

🅰️ Подписаться на Avanpost

✨ Ну как, коллеги, вливаемся в рабочий режим?

🅰️ Подписаться на Avanpost

🎆 Победителем конкурса стал пользователь с никнеймом @ALEXE2911 в Telegram. Мы вас поздравляем!!!

Свяжемся с вами лично для подтверждения адреса доставки подарка.

Пожалуйста, убедитесь, что ваши личные сообщения открыты и не ограничены настройками приватности 🦌

Остальных мы благодарим за участие и желаем удачи в следующий раз 🎅

🅰️ Подписаться на Avanpost

💰 Новое – хорошо забытое старое

В 2026-м мошенники неожиданно решают сделать шаг назад. Из-за ужесточения контроля за переводами, ответственности за дропперство и «периодов охлаждения» злоумышленники всё чаще уходят от практики онлайн-переводов к наличным. Так проще скрыть следы и снизить риски 😳

👆 В корпоративной среде другой вектор! Атаки становятся незаметными и растянутыми во времени. Цель: не быстрый взлом, а аккуратное присутствие внутри инфраструктуры неделями и месяцами.

Всё чаще используются привычные рабочие инструменты и легальное ПО, на фоне которых вредоносная активность растворяется в повседневной рутине.

Следующими в нашу жизнь вернутся дискеты 💾

🅰️ Подписаться на Avanpost

💬 Что «под капотом» у SmartPAM

В спецификациях разных вендоров строчка «поддержка RDP и HTTP» выглядит одинаково. Но на практике за этим могут стоять абсолютно разные технологии!

Владелец продукта Avanpost SmartPAM Сергей Померанцев решил, что на Хабре маловато материала про архитектуру PAM-систем, и написал большой разбор того, как именно они встраиваются в инфраструктуру.

👨‍💻 О чём ещё статья:

🔵 Прокси
Почему это сейчас «золотой стандарт», в чём боль реверсивных HTTP-прокси и зачем инъектировать JavaScript в код защищаемой веб-страницы.

🔵 Terminal Server
«Тяжёлая артиллерия» на базе MS RDS. Универсально, но дорого и ресурсоёмко. Разбираем, когда без этого не обойтись, а когда это overkill.

🔵 Встроенный браузер
Когда вместо веб-страницы вам транслируют её пиксели. Безопасно, но про копипаст и удобную печать можно забыть.

🔵 Агенты и TACACS
Почему установка агентов прямо на серверы постепенно уходит в прошлое, и чего не хватает TACACS для полноценного аудита.

Читать статью на Хабре 🖥

🅰️ Подписаться на Avanpost

🤓 Но лучше, конечно, не рисковать

🅰️ Подписаться на Avanpost

🏆 Врываемся в 2026 год с отличной новостью

Avanpost вошёл в 10 лучших компаний по кибербезопасности в России в 2026 году 😎

Для нас это подтверждение того, что продукты Avanpost – это знак качества и надёжности на рынке ИБ!

Благодарим команду за профессионализм, а партнёров и заказчиков – за доверие. Это мотивирует нас и дальше развивать экосистему продуктов Avanpost, отвечая на самые сложные вызовы киберугроз ✨

🅰️ Подписаться на Avanpost

👉 Когда всё под контролём

🅰️ Подписаться на Avanpost

❕ Такое случается…

Случается, что аккаунты компрометируют. Случается, что корпоративные. Случается, что через уязвимости SSO. Случается слишком часто.

🤓 В одной из недавних статей коллег по рынку анализ сводится к разбору четырёх критических уязвимостей:

🔵 Захват аккаунта через незащищённую ссылку смены почты.
🔵 Отсутствие ограничений на перебор кодов подтверждения.
🔵 Возможность массового брутфорса при регистрации.
🔵 Принятие JWT-токенов без проверки подписи.

Разумеется, мы захотели рассказать пользователям и читателям, как эти проблемы решаются в продуктах Avanpost. Пойдём по порядку:

1️⃣ Механизм смены контактных данных (включая email) требует прохождения многофакторной аутентификации и не позволяет привязать чужой адрес без подтверждения со стороны владельца. Отдельно следует упомянуть адаптивную MFA на основе оценки рисков. Например, механизмы Unified SSO динамически проверяют контекст (поведение пользователя и параметры устройства), усложняя или вовсе запрещая аутентификацию. Все действия логируются, и администратор обладает функционалом, необходимым для оперативного реагирования на инциденты.

2️⃣ При восстановлении пароля или подтверждении Email используется механизм, ограничивающий повторные запросы кодов подтверждения как по частоте, так и по количеству попыток ввода. Поэтому ситуация, при которой злоумышленник вычисляет искомый OTP-токен методом перебора, не просто маловероятна. Она почти невозможна.

3️⃣ При регистрации нового аккаунта количество попыток ввода кода также ограничено, а повторный запрос кода подчиняется политике rate limiting (разрешение на запрос только по прошествии заданного времени). При необходимости администратор может и вовсе отключить самостоятельную регистрацию пользователей.

4️⃣ Что касается токенов: Avanpost FAM не принимает JWT без подписи. Все входящие токены проходят строгую валидацию подписи с использованием централизованно настроенных криптопровайдеров, включая ГОСТ Р 34.10-2012.

Помимо вышесказанного, механизм SSO реализован в рамках единой платформы Avanpost Unified SSO, которая обеспечивает кросспротокольный единый вход между ОС, веб-приложениями, десктопными клиентами и сетевыми сервисами. Все данные пользователя, включая факторы аутентификации и сессионные параметры, хранятся и передаются с соблюдением принципов минимальных привилегий и изоляции.

В завершение хочется сказать следующее. Случается, что аккаунты компрометируют. Но с продуктами Avanpost это случается значительно реже 👓

🅰️ Подписаться на Avanpost

👆 Это базовый минимум

Минутка полезной теории о том, как работает Avanpost IDM на базовом уровне и почему он необходим предприятию ⛓️‍💥

🅰️ Подписаться на Avanpost