В информационной безопасности есть одна неприятная асимметрия, с которой невозможно спорить.

Атакующему достаточно одного успешного шага. Одной забытой админки, одного непропатченного сервера, одного письма, по которому кто-то кликнет в конце тяжёлого дня. Одного раза достаточно, чтобы ситуация вышла из-под контроля.

Защитнику, наоборот, нужно не ошибаться всегда. Круглосуточно, во всех компонентах системы, во всех конфигурациях и процессах. Ошибка в любом месте обнуляет месяцы работы.

С точки зрения математики это заведомо неравная игра. Если рассматривать безопасность исключительно как задачу предотвращения, проигрыш в ней неизбежен. Не потому что команда плохая, а потому что сложные системы не бывают безошибочными.… Читать далее…

Есть ощущение, знакомое многим в информационной безопасности.

Вроде бы сделано всё правильно: внедрены современные средства защиты, процессы описаны, бюджеты выросли, команда работает на пределе. Если сравнивать формально — уровень зрелости явно выше, чем несколько лет назад.

Но субъективное чувство безопасности не растёт. Иногда кажется, что его стало даже меньше.

В «Алисе в Зазеркалье» есть фраза, которая точно описывает это состояние: чтобы оставаться на месте, нужно бежать изо всех сил. Современная ИБ — это именно такое движение. Мы прикладываем всё больше усилий, но результат выглядит как удержание текущего положения, а не продвижение вперёд.… Читать далее…

Когда SIEM начинает истерично мигать красным или прилетает алерт о входе из условной Бразилии, первая реакция любого админа — снести пострадавшую учетку к чертям. Руки чешутся нажать Delete, чтобы просто убрать проблему с глаз долой.
Остановитесь. Удаление учетной записи — это выстрел себе в ногу. Вы стираете SID, ломаете логи для будущего расследования и, что хуже всего, показываете хакеру, что его обнаружили, не перекрыв ему кислород по-настоящему.
Если учетка скомпрометирована, действовать нужно по-другому. Хладнокровно и быстро.
Первым делом мы сбрасываем пароль на сложную 30-значную абракадабру и сразу же ставим статус Disable.… Читать далее…

При профилированном и разнотипном сетевом взаимодействии сам факт попадания в сегмент не означает автоматического понимания дальнейших шагов. Каждый сегмент использует ожидаемый и ограниченный набор протоколов, форматов и способов установления соединений. Пользовательский доступ, сервисное взаимодействие и обмен данными с инфраструктурными компонентами различаются не только политиками фильтрации, но и характером сетевого поведения. В результате атакующая сторона, получив доступ к одному сегменту, сталкивается с отсутствием универсального сценария продвижения. Автоматизированные инструменты, рассчитанные на типовой стек протоколов и стандартные точки входа, теряют применимость, а дальнейшие действия требуют анализа конкретного сетевого контекста и понимания допустимых способов взаимодействия.… Читать далее…

Tier-модель в Active Directory описывает логическое разделение административного доступа по уровням критичности. Сетевая сегментация решает другую задачу — ограничивает сетевую связность между системами. Эти подходы не заменяют друг друга и применяются совместно.

Tier-модель отвечает на вопрос кто и чем управляет, сетевая сегментация — кто с кем может обмениваться трафиком.

Связь логических и сетевых уровней

Tier-уровни не являются сетевыми зонами сами по себе. Они описывают административные границы, которые затем отражаются в сетевой архитектуре.

При совместном применении:

• Tier-модель определяет допустимые направления доступа,
• сетевая сегментация фиксирует эти ограничения на уровне сети.

Таким образом, сетевые правила становятся следствием модели доступа, а не набором изолированных исключений.… Читать далее…