CyberLaka

защити свои данные, управляй безопасностью с умом

Log цифровой крепости

  • Безопасность не живёт в одной коробке

    В ИБ до сих пор живёт очень удобная иллюзия: можно купить правильную коробку, поставить её на периметр, настроить несколько правил — и дальше сеть как будто сама становится защищённой. Коробка мигает лампочками, рисует графики, пишет красивые отчёты, и всем вокруг становится чуть спокойнее. Проблема в том, что атакующему на это спокойствие обычно всё равно.

    Безопасность действительно не живёт в одной коробке. Ни в межсетевом экране, ни в антивирусе, ни в EDR, ни в почтовом шлюзе, ни даже в SIEM. Любое отдельное средство защиты — это только один рубеж. Иногда сильный. Иногда полезный.… Читать далее…

  • TLS: не про шифрование, а про доверие

    TLS часто описывают как «шифрование трафика», и формально это правда, но для понимания этого недостаточно. Если смотреть глазами специалиста по ИБ, TLS — это в первую очередь способ безопасно установить доверие между клиентом и сервером в среде, где доверия по умолчанию нет.

    Когда приложение подключается к серверу, оно не знает, кто на другой стороне. Это может быть нужный сервер, прокси провайдера, атакующий в той же сети или кто-то, кто подменил маршрут. Без TLS вы просто отправляете данные в неизвестность и надеетесь, что их никто не тронет.

    TLS решает три базовые задачи.… Читать далее…

  • Асимметрия ошибки: почему нельзя строить непотопляемые системы

    В информационной безопасности есть одна неприятная асимметрия, с которой невозможно спорить.

    Атакующему достаточно одного успешного шага. Одной забытой админки, одного непропатченного сервера, одного письма, по которому кто-то кликнет в конце тяжёлого дня. Одного раза достаточно, чтобы ситуация вышла из-под контроля.

    Защитнику, наоборот, нужно не ошибаться всегда. Круглосуточно, во всех компонентах системы, во всех конфигурациях и процессах. Ошибка в любом месте обнуляет месяцы работы.

    С точки зрения математики это заведомо неравная игра. Если рассматривать безопасность исключительно как задачу предотвращения, проигрыш в ней неизбежен. Не потому что команда плохая, а потому что сложные системы не бывают безошибочными.… Читать далее…

  • Эффект Красной Королевы: почему мы всё время бежим

    Есть ощущение, знакомое многим в информационной безопасности.

    Вроде бы сделано всё правильно: внедрены современные средства защиты, процессы описаны, бюджеты выросли, команда работает на пределе. Если сравнивать формально — уровень зрелости явно выше, чем несколько лет назад.

    Но субъективное чувство безопасности не растёт. Иногда кажется, что его стало даже меньше.

    В «Алисе в Зазеркалье» есть фраза, которая точно описывает это состояние: чтобы оставаться на месте, нужно бежать изо всех сил. Современная ИБ — это именно такое движение. Мы прикладываем всё больше усилий, но результат выглядит как удержание текущего положения, а не продвижение вперёд.… Читать далее…

  • Учетка взломана: чек-лист первых пяти минут

    Когда SIEM начинает истерично мигать красным или прилетает алерт о входе из условной Бразилии, первая реакция любого админа — снести пострадавшую учетку к чертям. Руки чешутся нажать Delete, чтобы просто убрать проблему с глаз долой.
    Остановитесь. Удаление учетной записи — это выстрел себе в ногу. Вы стираете SID, ломаете логи для будущего расследования и, что хуже всего, показываете хакеру, что его обнаружили, не перекрыв ему кислород по-настоящему.
    Если учетка скомпрометирована, действовать нужно по-другому. Хладнокровно и быстро.
    Первым делом мы сбрасываем пароль на сложную 30-значную абракадабру и сразу же ставим статус Disable.… Читать далее…

  • Что делать при компрометации учётной записи в Tier-модели

    При обнаружении компрометации учётной записи ключевой задачей является не восстановление доступа, а прекращение дальнейшего использования скомпрометированных полномочий. Любая задержка на этом этапе увеличивает вероятность lateral movement, закрепления и расширения зоны воздействия.

    Lateral movement — это этап атаки, при котором злоумышленник, получив начальный доступ к одной системе в сети, перемещается между другими системами, расширяя область контроля без повторного взлома периметра.

    Последовательность действий определяется уровнем привилегий учётной записи и тем, к какому Tier она относится.

    Первым шагом является ограничение возможности аутентификации. Учётная запись блокируется или изолируется от использования, а активные сессии, если это возможно, принудительно завершаются.… Читать далее…

  • Продолжение заметки о профилированнии трафика

    Профилированный трафик снижает эффективность автоматизированных инструментов, которые рассчитывают на стандартный набор сервисов и протоколов. Для дальнейшего продвижения требуется анализ допустимых взаимодействий внутри конкретного сегмента и понимание того, какие сервисы доступны и каким образом с ними можно корректно взаимодействовать.

    Дополнительный эффект достигается за счёт наблюдаемости. Когда сетевой профиль сегмента известен и стабилен, любые отклонения от него легко выявляются средствами сетевого мониторинга. Попытки использовать неподходящие протоколы, туннелирование или нетипичные направления соединений формируют чёткие сигналы для обнаружения.

  • Разнотипный трафик как фактор увеличения стоимости атаки

    При профилированном и разнотипном сетевом взаимодействии сам факт попадания в сегмент не означает автоматического понимания дальнейших шагов. Каждый сегмент использует ожидаемый и ограниченный набор протоколов, форматов и способов установления соединений. Пользовательский доступ, сервисное взаимодействие и обмен данными с инфраструктурными компонентами различаются не только политиками фильтрации, но и характером сетевого поведения. В результате атакующая сторона, получив доступ к одному сегменту, сталкивается с отсутствием универсального сценария продвижения. Автоматизированные инструменты, рассчитанные на типовой стек протоколов и стандартные точки входа, теряют применимость, а дальнейшие действия требуют анализа конкретного сетевого контекста и понимания допустимых способов взаимодействия.… Читать далее…

  • Сетевая сегментация и Tier-модель в Active Directory

    Tier-модель в Active Directory описывает логическое разделение административного доступа по уровням критичности. Сетевая сегментация решает другую задачу — ограничивает сетевую связность между системами. Эти подходы не заменяют друг друга и применяются совместно.

    Tier-модель отвечает на вопрос кто и чем управляет, сетевая сегментация — кто с кем может обмениваться трафиком.

    Связь логических и сетевых уровней

    Tier-уровни не являются сетевыми зонами сами по себе. Они описывают административные границы, которые затем отражаются в сетевой архитектуре.

    При совместном применении:

    • Tier-модель определяет допустимые направления доступа,
    • сетевая сегментация фиксирует эти ограничения на уровне сети.

    Таким образом, сетевые правила становятся следствием модели доступа, а не набором изолированных исключений.… Читать далее…

  • Tier-модель в Active Directory

    Tier-модель в Active Directory

    В корпоративных сетях на базе Active Directory административный доступ часто устроен плоско: одни и те же учётные записи используются для управления рабочими станциями, серверами и контроллерами домена. В такой схеме компрометация пользовательской машины может привести к потере контроля над всей инфраструктурой.

    Tier-модель — это подход к организации административного доступа в Active Directory, при котором все объекты и учётные записи логически разделяются по уровням доверия и критичности.

    Tier-модель основана на простом правиле: объекты и учётные записи более низкого уровня не должны использоваться для доступа к объектам более высокого уровня.

    Разделение выполняется не по сетевым сегментам, а по административным зонам ответственности: какие ресурсы управляют какими.… Читать далее…