Механика простая, но часто вызывает вопросы. Разбираем по шагам.

1. Что делает DHCP Relay на коммутаторе

• Клиент в VLAN (например, VLAN 5, сеть 192.168.2.0/24) посылает DHCP Discover (broadcast).
• Так как broadcast не маршрутизируется, этот пакет до DHCP-сервера (например, в 192.168.1.0/24) не дойдёт.
• Коммутатор с включённой функцией dhcp relay перехватывает этот broadcast и отправляет его уже как unicast на указанный адрес DHCP-сервера (например, 192.168.1.10).
• При этом коммутатор подменяет поле giaddr (Gateway IP Address) в DHCP-запросе на свой IP-адрес интерфейса VLAN (в примере — 192.168.2.1).

2. Как DHCP-сервер выбирает пул

DHCP-сервер смотрит на поле giaddr в запросе.… Читать далее…

Фишинг давно перестал быть «письмом с ошибками». Сегодня он работает именно потому, что выглядит буднично. Письмо «от IT-отдела» про сброс пароля, приглашение на встречу в календаре, уведомление о доставке — всё в привычном стиле и в нужный момент. Человек торопится, кликает по ссылке или открывает вложение — и этого достаточно, чтобы злоумышленник оказался внутри.

Каналы уже не ограничиваются почтой. Это могут быть мессенджеры, корпоративные чаты, облачные сервисы. Часто атака строится не вокруг «скачайте файл», а вокруг согласия: подтвердить вход, выдать доступ приложению, пройти «верификацию». Иногда даже используют усталость от MFA — постоянные пуш-запросы, пока человек не нажмёт «разрешить», просто чтобы отвязаться.… Читать далее…

Когда в разговорах специалистов по кибербезопасности всплывает слово MITRE, чаще всего речь идёт не о корпорации MITRE (хотя именно она это всё и придумала), а о её самых известных проектах — например, MITRE ATT&CK.

MITRE — это американская некоммерческая организация, которая разрабатывает стандарты, базы знаний и методологии в области технологий и безопасности. Но в мире ИБ её знают прежде всего как создателя справочника по техникам атак хакеров.

MITRE ATT&CK — это большая и постоянно обновляемая матрица, которая описывает, как злоумышленники действуют на разных стадиях атаки. Там нет фантастики, всё собрано из реальных кейсов: фишинг, эксплуатация уязвимостей, кража учётных данных, работа с PowerShell, закрепление в системе, скрытность, движение по сети и так далее.… Читать далее…

Фишинг всегда казался чем-то банальным, но чем дальше, тем очевиднее: именно простые приёмы работают лучше всего. Зачем тратить время на сложный взлом, когда можно отправить письмо с правильным тоном и логотипом, и человек сам отдаст пароль? Здесь всё строится на доверии и невнимательности. Даже те, кто уверен в своей «подкованности», легко попадаются, когда сообщение совпадает по контексту: срочный запрос от начальника, обновление почты или уведомление банка.

С уязвимостями на периметре ситуация не лучше. Периметр живёт своей жизнью: сервисы поднимаются для теста и остаются висеть, веб-приложения обновляются нерегулярно, патчи ставятся «когда будет время».… Читать далее…

Сервер управления антивирусной системой является критически важным элементом инфраструктуры информационной безопасности. Его компрометация влечёт за собой возможность массового отключения защитных агентов, изменения политик безопасности и скрытия вредоносной активности во всей корпоративной сети. По этой причине недопустимо вводить такой сервер в состав домена Active Directory. При компрометации доменных учётных записей администраторов злоумышленник получает прямой доступ к консолям управления антивирусом, что фактически превращает атаку на AD в полный контроль над системой защиты рабочих станций и серверов.

Наилучшей практикой считается размещение сервера управления в отдельной рабочей группе, в изолированном сегменте сети, с доступом только из административных подсетей.… Читать далее…

Многие админы сталкивались с задачей: подключить подрядчика к корпоративной сети через СКЗИ-VPN (например, Континент АП или ViPNet). Кажется логичным — взять и выдать ему готовый дистрибутив с лицензией. Но по закону это не работает. Разбираемся почему.

Что говорит закон

Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» (ред. от 23.05.2025), ст. 12:

«Лицензированию подлежит деятельность по разработке, производству, распространению шифровальных (криптографических) средств, … оказанию услуг в области шифрования информации…»

Другими словами, если организация сама передаёт ПО-СКЗИ другому юрлицу, это приравнивается к распространению. Для этого нужна лицензия ФСБ.… Читать далее…

Большинство думает, что антивирус — это галочка в списке «информационная безопасность». Но на деле он либо реально защищает, либо просто ест ресурсы и самоуспокаивает администратора.

Вот девять вещей, которые стоит дополнительно настроить, чтобы антивирус был оружием, а не амулетом.

1. Боевой профиль на случай ЧП. Держите под рукой жёсткую политику с максимальными мерами защиты. При массовом заражении, шифровальщике или другой заразы — включается она, без лишних совещаний.
2. Доступ к консоли только через 2FA и с белого списка IP. Менеджмент-сервер — лакомая цель. Двухфакторка и доступ только с определённых адресов — минимум гигиены.