CyberLaka

защити свои данные, управляй безопасностью с умом

Log цифровой крепости

  • Когда хакеру даже не нужен эксплойт

    Когда люди слышат слово «взлом», большинство представляет что-то сложное.

    Неизвестные уязвимости.

    Хитрые скрипты.

    Специальное программное обеспечение.

    Профессиональных хакеров в тёмных комнатах перед несколькими мониторами.

    На практике всё часто выглядит намного проще.

    Иногда злоумышленнику даже не нужно искать уязвимости.

    Достаточно открыть настройки обычного МФУ.

    Одна из самых удивительных вещей, которые регулярно встречаются в инфраструктурах организаций, — использование привилегированных учётных записей для настройки функций сканирования.

    Логика обычно выглядит так:

    Нужно настроить сканирование документов в сетевую папку.

    Администратор создаёт подключение.

    Проверяет.

    Работает.

    На этом задача считается выполненной.

    А какая именно учётная запись используется для доступа к папке — вопрос второстепенный.… Читать далее…

  • Система безопасности просто показала проблему

    Есть одна закономерность, которую я наблюдаю практически постоянно.

    Появляется новое средство защиты.

    WAF. Антивирус. EDR. IDS. IPS. Контроль приложений. Любой другой инструмент безопасности.

    И через некоторое время обязательно находится человек, который говорит:

    — Эта штука всё ломает.

    Иногда это администратор. Иногда разработчик. Иногда руководитель проекта.

    Но смысл всегда один:

    — До вас всё работало нормально.

    На самом деле это одна из самых интересных иллюзий в информационной безопасности.

    Очень часто система безопасности ничего не ломает.

    Она просто показывает проблему, которая существовала задолго до её появления.

    Проблему, которую никто раньше не замечал.

    Или не хотел замечать.… Читать далее…

  • Внутренний сервер тоже нужно защищать от брутфорса

    Очень часто можно услышать фразу:

    «Этот сервер не доступен из Интернета, значит всё нормально».

    На первый взгляд логика понятна. Если злоумышленник не может подключиться к серверу извне, то и опасаться вроде бы нечего.

    Но современная информационная безопасность давно перестала ограничиваться только защитой периметра.

    Любая сеть должна проектироваться исходя из того, что однажды злоумышленник всё-таки окажется внутри.

    Неважно каким способом.

    Через заражённое письмо, украденную VPN-учётную запись, скомпрометированный ноутбук подрядчика, уязвимость в каком-либо сервисе или обычную ошибку пользователя.

    После получения первоначального доступа начинается следующий этап атаки — изучение инфраструктуры.

    Злоумышленник ищет серверы, сетевое оборудование, базы данных, веб-интерфейсы, SSH, RDP и другие сервисы управления.… Читать далее…

  • Безопасность не живёт в одной коробке

    В ИБ до сих пор живёт очень удобная иллюзия: можно купить правильную коробку, поставить её на периметр, настроить несколько правил — и дальше сеть как будто сама становится защищённой. Коробка мигает лампочками, рисует графики, пишет красивые отчёты, и всем вокруг становится чуть спокойнее. Проблема в том, что атакующему на это спокойствие обычно всё равно.

    Безопасность действительно не живёт в одной коробке. Ни в межсетевом экране, ни в антивирусе, ни в EDR, ни в почтовом шлюзе, ни даже в SIEM. Любое отдельное средство защиты — это только один рубеж. Иногда сильный. Иногда полезный.… Читать далее…

  • TLS: не про шифрование, а про доверие

    TLS часто описывают как «шифрование трафика», и формально это правда, но для понимания этого недостаточно. Если смотреть глазами специалиста по ИБ, TLS — это в первую очередь способ безопасно установить доверие между клиентом и сервером в среде, где доверия по умолчанию нет.

    Когда приложение подключается к серверу, оно не знает, кто на другой стороне. Это может быть нужный сервер, прокси провайдера, атакующий в той же сети или кто-то, кто подменил маршрут. Без TLS вы просто отправляете данные в неизвестность и надеетесь, что их никто не тронет.

    TLS решает три базовые задачи.… Читать далее…

  • Асимметрия ошибки: почему нельзя строить непотопляемые системы

    В информационной безопасности есть одна неприятная асимметрия, с которой невозможно спорить.

    Атакующему достаточно одного успешного шага. Одной забытой админки, одного непропатченного сервера, одного письма, по которому кто-то кликнет в конце тяжёлого дня. Одного раза достаточно, чтобы ситуация вышла из-под контроля.

    Защитнику, наоборот, нужно не ошибаться всегда. Круглосуточно, во всех компонентах системы, во всех конфигурациях и процессах. Ошибка в любом месте обнуляет месяцы работы.

    С точки зрения математики это заведомо неравная игра. Если рассматривать безопасность исключительно как задачу предотвращения, проигрыш в ней неизбежен. Не потому что команда плохая, а потому что сложные системы не бывают безошибочными.… Читать далее…

  • Эффект Красной Королевы: почему мы всё время бежим

    Есть ощущение, знакомое многим в информационной безопасности.

    Вроде бы сделано всё правильно: внедрены современные средства защиты, процессы описаны, бюджеты выросли, команда работает на пределе. Если сравнивать формально — уровень зрелости явно выше, чем несколько лет назад.

    Но субъективное чувство безопасности не растёт. Иногда кажется, что его стало даже меньше.

    В «Алисе в Зазеркалье» есть фраза, которая точно описывает это состояние: чтобы оставаться на месте, нужно бежать изо всех сил. Современная ИБ — это именно такое движение. Мы прикладываем всё больше усилий, но результат выглядит как удержание текущего положения, а не продвижение вперёд.… Читать далее…

  • Учетка взломана: чек-лист первых пяти минут

    Когда SIEM начинает истерично мигать красным или прилетает алерт о входе из условной Бразилии, первая реакция любого админа — снести пострадавшую учетку к чертям. Руки чешутся нажать Delete, чтобы просто убрать проблему с глаз долой.
    Остановитесь. Удаление учетной записи — это выстрел себе в ногу. Вы стираете SID, ломаете логи для будущего расследования и, что хуже всего, показываете хакеру, что его обнаружили, не перекрыв ему кислород по-настоящему.
    Если учетка скомпрометирована, действовать нужно по-другому. Хладнокровно и быстро.
    Первым делом мы сбрасываем пароль на сложную 30-значную абракадабру и сразу же ставим статус Disable.… Читать далее…

  • Что делать при компрометации учётной записи в Tier-модели

    При обнаружении компрометации учётной записи ключевой задачей является не восстановление доступа, а прекращение дальнейшего использования скомпрометированных полномочий. Любая задержка на этом этапе увеличивает вероятность lateral movement, закрепления и расширения зоны воздействия.

    Lateral movement — это этап атаки, при котором злоумышленник, получив начальный доступ к одной системе в сети, перемещается между другими системами, расширяя область контроля без повторного взлома периметра.

    Последовательность действий определяется уровнем привилегий учётной записи и тем, к какому Tier она относится.

    Первым шагом является ограничение возможности аутентификации. Учётная запись блокируется или изолируется от использования, а активные сессии, если это возможно, принудительно завершаются.… Читать далее…

  • Продолжение заметки о профилированнии трафика

    Профилированный трафик снижает эффективность автоматизированных инструментов, которые рассчитывают на стандартный набор сервисов и протоколов. Для дальнейшего продвижения требуется анализ допустимых взаимодействий внутри конкретного сегмента и понимание того, какие сервисы доступны и каким образом с ними можно корректно взаимодействовать.

    Дополнительный эффект достигается за счёт наблюдаемости. Когда сетевой профиль сегмента известен и стабилен, любые отклонения от него легко выявляются средствами сетевого мониторинга. Попытки использовать неподходящие протоколы, туннелирование или нетипичные направления соединений формируют чёткие сигналы для обнаружения.