CyberLaka

защити свои данные, управляй безопасностью с умом

Автор: baddogpro

  • Предупреждение о внешних письмах: как внедрять, чтобы работало

    Все уже видели эту надпись в корпоративной почте:
    ⚠️ Внимание! Письмо пришло от внешнего отправителя.

    Мера вроде простая, но на практике результат бывает разный — от “спасла от фишинга” до “никто даже не замечает”. Проблема не в самой идее, а в том, как её внедряют.

    Фишинг никуда не делся. Злоумышленники уже давно умеют подделывать адреса, подписи и даже шаблоны внутренних писем. И вот здесь короткая строка про внешнего отправителя реально помогает: она заставляет хотя бы на секунду задуматься — а точно ли это письмо пришло из компании?

    Такие визуальные напоминания — часть общей культуры безопасти.… Читать далее…

  • Урок 3. Модели безопасности информации: от классики до STRIDE

    Зачем вообще нужны модели

    Когда мы говорим о безопасти информации, часто вспоминаем отдельные термины — конфиденциальность, целостность, доступность.
    Но чтобы понимать, что именно мы защищаем и от чего, нужны системные представления — модели безопасти.
    Они помогают не просто перечислить угрозы, а выстроить логику защиты.
    Рассмотрим четыре основные модели, которые стали классикой.

    1. Стандартная модель (CIA-триада)

    • Конфиденциальность (Confidentiality) — доступ к данным имеют только те, кто имеет на это право.
    • Целостность (Integrity) — данные не должны изменяться без разрешения.
    • Доступность (Availability) — правомочные пользователи могут получить данные тогда, когда это нужно.
    Читать далее…

  • Профили политик в Kaspersky Security Center — коротко о главном

    Когда работаешь с KSC, легко забыть, как именно применяются профили политик. Главное, что нужно помнить:

    ➤ В профиле действуют только те параметры, которые закрыты замком. Если замок открыт — значение берётся из основной политики.

    Это значит, что профиль — не отдельная политика, а “надстройка”, которая меняет только зафиксированные параметры. Остальное устройство получит из базовой политики.

    И ещё важный момент — профили можно гибко и удобно привязывать к тегам. Это позволяет применять разные настройки к конкретным групам устройств без создания множества отдельных политик.

  • Урок 2. Модель угроз и модель нарушителя — с чего начинается защита информации

    Что такое модель нарушителя

    Модель нарушителя — это, по сути, описание потенциального злоумышленника: кто он, что знает, какие у него цели, возможности и способы действий. Это не портрет конкретного хакера, а формализованный ( или не формализованный ) образ того, кто может попытаться нарушить безопасность системы.

    Проще говоря: прежде чем защищаться, нужно понять, от кого именно ты защищаешься.

    Что включает модель нарушителя

    Даже в упрощённом виде она должна содержать:

    • Категории нарушителей — внутренние и внешние.
    • Цели — чего добивается злоумышленник: кража данных, саботаж, получение прибыли и т. д.
    • Количество — действует один человек или группа.
    Читать далее…

  • Урок 1. Управление доступом: кто, к чему и почему имеет право

    Что такое управление доступом

    Управление доступом — это основа любой системы безопасности.
    Именно этот механизм определяет, кто может получить доступ к каким данным, приложениям или ресурсам, и при каких условиях.

    В любой компьютерной системе есть два участника:

    • Субъект доступа — тот, кто хочет получить доступ. Это может быть человек, программа или даже устройство.
    • Объект доступа — то, к чему субъект обращается. Например, файл, база данных, веб-страница или учётная запись.

    Чтобы субъект смог взаимодействовать с объектом, в системе должны быть прописаны правила: кому, куда и зачем можно входить. На этом и строится управление доступом.… Читать далее…

  • Техника или нормативка?

    Техника или нормативка?

    Представьте организацию, где отдел информационной безопасности появился только недавно. До этого о защите толком никто не задумывался: сотни серверов, тысячи рабочих мест, сложная сеть — и никакой системной ИБ.

    За полгода удалось построить фундамент технической защиты: внедрены SIEM и EDR, централизован антивирус, запущен сбор логов, управление уязвимостями, WAF, сегментация сетей, процессы обновлений и прочее. Даже начали работать с СЗИ от НСД, пусть и с трудностями. Казалось бы — отличный прогресс.

    Но дальше возникает вопрос: что делать с нормативкой?
    Законы требуют модели угроз, технических паспортов, регламентов, оценки эффективности. Без этого любая проверка может показать пальцем: «У вас нет документов».… Читать далее…

  • Сбор событий и независимость от SIEM

    Сбор событий и независимость от SIEM

    На одной из конференций услышал интересный подход к организации сбора событий информационной безопасности. Обычно логи сразу направляют в SIEM, где они хранятся и обрабатываются. Но в такой схеме организация сильно зависит от конкретного вендора: сменить систему сложно, а иногда и невозможно без больших затрат.

    В предложенном решении архитектура строится иначе: события сначала собираются в единый поток с помощью открытых инструментов, попадают в шину данных и только после этого передаются в SIEM. Такой подход создаёт дополнительный уровень гибкости — в любой момент можно заменить конечную систему на другую, не ломая весь процесс.… Читать далее…

  • Следы на песке: простое объяснение, что такое IOC

    Следы на песке: простое объяснение, что такое IOC

    В кибербезопасности часто говорят «IOC», и для начинающих это звучит как что-то сложное и непонятное. На самом деле всё довольно просто. IOC расшифровывается как Indicator of Compromise, по-русски — индикатор компрометации. Это любой признак, который говорит нам: «похоже, тут что-то взломано» или «в этой системе было что-то подозрительное».

    Представь, что ты расследуешь инцидент. У тебя есть следы — IP-адрес, с которым связался хост, хэш файла, который совпадает с известным вредоносом, домен, куда уходят данные, или странная запись в журнале. Всё это примеры IOC. То есть это конкретные кусочки информации, которые можно использовать как маячки: если такой маячок где-то сработал, значит стоит проверить глубже.… Читать далее…

  • Заметки о ключевых видах атак. Часть 4.

    Когда мы говорили про разные атаки и про то, как атакующий может зайти на периметре, мы упоминали, что на этом всё не заканчивается. Получить первую точку входа — это только начало. Дальше у злоумышленника возникает задача: как из этой точки добраться до чего-то более ценного. И вот тут начинается так называемый пивотинг.

    Если объяснить совсем просто, пивотинг — это использование взломанной машины как трамплина. Представь, что атакующий оказался внутри здания, но нужная комната находится в другом крыле. Он не может туда пройти напрямую, но может открыть внутренние двери через ту комнату, в которую уже попал.… Читать далее…

  • Как работает DHCP Relay на L3-коммутаторе и почему DHCP-сервер понимает, какой пул адресов использовать.

    Механика простая, но часто вызывает вопросы. Разбираем по шагам.

    1. Что делает DHCP Relay на коммутаторе

    • Клиент в VLAN (например, VLAN 5, сеть 192.168.2.0/24) посылает DHCP Discover (broadcast).
    • Так как broadcast не маршрутизируется, этот пакет до DHCP-сервера (например, в 192.168.1.0/24) не дойдёт.
    • Коммутатор с включённой функцией dhcp relay перехватывает этот broadcast и отправляет его уже как unicast на указанный адрес DHCP-сервера (например, 192.168.1.10).
    • При этом коммутатор подменяет поле giaddr (Gateway IP Address) в DHCP-запросе на свой IP-адрес интерфейса VLAN (в примере — 192.168.2.1).

    2. Как DHCP-сервер выбирает пул

    DHCP-сервер смотрит на поле giaddr в запросе.… Читать далее…