CyberLaka

защити свои данные, управляй безопасностью с умом

Автор: baddogpro

  • Продолжение заметки о профилированнии трафика

    Профилированный трафик снижает эффективность автоматизированных инструментов, которые рассчитывают на стандартный набор сервисов и протоколов. Для дальнейшего продвижения требуется анализ допустимых взаимодействий внутри конкретного сегмента и понимание того, какие сервисы доступны и каким образом с ними можно корректно взаимодействовать.

    Дополнительный эффект достигается за счёт наблюдаемости. Когда сетевой профиль сегмента известен и стабилен, любые отклонения от него легко выявляются средствами сетевого мониторинга. Попытки использовать неподходящие протоколы, туннелирование или нетипичные направления соединений формируют чёткие сигналы для обнаружения.

  • Разнотипный трафик как фактор увеличения стоимости атаки

    При профилированном и разнотипном сетевом взаимодействии сам факт попадания в сегмент не означает автоматического понимания дальнейших шагов. Каждый сегмент использует ожидаемый и ограниченный набор протоколов, форматов и способов установления соединений. Пользовательский доступ, сервисное взаимодействие и обмен данными с инфраструктурными компонентами различаются не только политиками фильтрации, но и характером сетевого поведения. В результате атакующая сторона, получив доступ к одному сегменту, сталкивается с отсутствием универсального сценария продвижения. Автоматизированные инструменты, рассчитанные на типовой стек протоколов и стандартные точки входа, теряют применимость, а дальнейшие действия требуют анализа конкретного сетевого контекста и понимания допустимых способов взаимодействия.… Читать далее…

  • Сетевая сегментация и Tier-модель в Active Directory

    Tier-модель в Active Directory описывает логическое разделение административного доступа по уровням критичности. Сетевая сегментация решает другую задачу — ограничивает сетевую связность между системами. Эти подходы не заменяют друг друга и применяются совместно.

    Tier-модель отвечает на вопрос кто и чем управляет, сетевая сегментация — кто с кем может обмениваться трафиком.

    Связь логических и сетевых уровней

    Tier-уровни не являются сетевыми зонами сами по себе. Они описывают административные границы, которые затем отражаются в сетевой архитектуре.

    При совместном применении:

    • Tier-модель определяет допустимые направления доступа,
    • сетевая сегментация фиксирует эти ограничения на уровне сети.

    Таким образом, сетевые правила становятся следствием модели доступа, а не набором изолированных исключений.… Читать далее…

  • Tier-модель в Active Directory

    Tier-модель в Active Directory

    В корпоративных сетях на базе Active Directory административный доступ часто устроен плоско: одни и те же учётные записи используются для управления рабочими станциями, серверами и контроллерами домена. В такой схеме компрометация пользовательской машины может привести к потере контроля над всей инфраструктурой.

    Tier-модель — это подход к организации административного доступа в Active Directory, при котором все объекты и учётные записи логически разделяются по уровням доверия и критичности.

    Tier-модель основана на простом правиле: объекты и учётные записи более низкого уровня не должны использоваться для доступа к объектам более высокого уровня.

    Разделение выполняется не по сетевым сегментам, а по административным зонам ответственности: какие ресурсы управляют какими.… Читать далее…

  • С наступающим НГ!

    С наступающим НГ!

    Пусть в следующем году будет больше контента:)

  • Предупреждение о внешних письмах: как внедрять, чтобы работало

    Все уже видели эту надпись в корпоративной почте:
    ⚠️ Внимание! Письмо пришло от внешнего отправителя.

    Мера вроде простая, но на практике результат бывает разный — от “спасла от фишинга” до “никто даже не замечает”. Проблема не в самой идее, а в том, как её внедряют.

    Фишинг никуда не делся. Злоумышленники уже давно умеют подделывать адреса, подписи и даже шаблоны внутренних писем. И вот здесь короткая строка про внешнего отправителя реально помогает: она заставляет хотя бы на секунду задуматься — а точно ли это письмо пришло из компании?

    Такие визуальные напоминания — часть общей культуры безопасти.… Читать далее…

  • Урок 3. Модели безопасности информации: от классики до STRIDE

    Зачем вообще нужны модели

    Когда мы говорим о безопасти информации, часто вспоминаем отдельные термины — конфиденциальность, целостность, доступность.
    Но чтобы понимать, что именно мы защищаем и от чего, нужны системные представления — модели безопасти.
    Они помогают не просто перечислить угрозы, а выстроить логику защиты.
    Рассмотрим четыре основные модели, которые стали классикой.

    1. Стандартная модель (CIA-триада)

    • Конфиденциальность (Confidentiality) — доступ к данным имеют только те, кто имеет на это право.
    • Целостность (Integrity) — данные не должны изменяться без разрешения.
    • Доступность (Availability) — правомочные пользователи могут получить данные тогда, когда это нужно.
    Читать далее…

  • Профили политик в Kaspersky Security Center — коротко о главном

    Когда работаешь с KSC, легко забыть, как именно применяются профили политик. Главное, что нужно помнить:

    ➤ В профиле действуют только те параметры, которые закрыты замком. Если замок открыт — значение берётся из основной политики.

    Это значит, что профиль — не отдельная политика, а “надстройка”, которая меняет только зафиксированные параметры. Остальное устройство получит из базовой политики.

    И ещё важный момент — профили можно гибко и удобно привязывать к тегам. Это позволяет применять разные настройки к конкретным групам устройств без создания множества отдельных политик.

  • Урок 2. Модель угроз и модель нарушителя — с чего начинается защита информации

    Что такое модель нарушителя

    Модель нарушителя — это, по сути, описание потенциального злоумышленника: кто он, что знает, какие у него цели, возможности и способы действий. Это не портрет конкретного хакера, а формализованный ( или не формализованный ) образ того, кто может попытаться нарушить безопасность системы.

    Проще говоря: прежде чем защищаться, нужно понять, от кого именно ты защищаешься.

    Что включает модель нарушителя

    Даже в упрощённом виде она должна содержать:

    • Категории нарушителей — внутренние и внешние.
    • Цели — чего добивается злоумышленник: кража данных, саботаж, получение прибыли и т. д.
    • Количество — действует один человек или группа.
    Читать далее…

  • Урок 1. Управление доступом: кто, к чему и почему имеет право

    Что такое управление доступом

    Управление доступом — это основа любой системы безопасности.
    Именно этот механизм определяет, кто может получить доступ к каким данным, приложениям или ресурсам, и при каких условиях.

    В любой компьютерной системе есть два участника:

    • Субъект доступа — тот, кто хочет получить доступ. Это может быть человек, программа или даже устройство.
    • Объект доступа — то, к чему субъект обращается. Например, файл, база данных, веб-страница или учётная запись.

    Чтобы субъект смог взаимодействовать с объектом, в системе должны быть прописаны правила: кому, куда и зачем можно входить. На этом и строится управление доступом.… Читать далее…