CyberLaka

защити свои данные, управляй безопасностью с умом

Автор: baddogpro

  • Как потерять защиту за 5 минут: сервер антивируса в домене

    Сервер управления антивирусной системой является критически важным элементом инфраструктуры информационной безопасности. Его компрометация влечёт за собой возможность массового отключения защитных агентов, изменения политик безопасности и скрытия вредоносной активности во всей корпоративной сети. По этой причине недопустимо вводить такой сервер в состав домена Active Directory. При компрометации доменных учётных записей администраторов злоумышленник получает прямой доступ к консолям управления антивирусом, что фактически превращает атаку на AD в полный контроль над системой защиты рабочих станций и серверов.

    Наилучшей практикой считается размещение сервера управления в отдельной рабочей группе, в изолированном сегменте сети, с доступом только из административных подсетей.… Читать далее…

  • Почему подрядчику нельзя просто «дать» VPN-клиент Континент или ViPNet

    Многие админы сталкивались с задачей: подключить подрядчика к корпоративной сети через СКЗИ-VPN (например, Континент АП или ViPNet). Кажется логичным — взять и выдать ему готовый дистрибутив с лицензией. Но по закону это не работает. Разбираемся почему.

    Что говорит закон

    Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» (ред. от 23.05.2025), ст. 12:

    «Лицензированию подлежит деятельность по разработке, производству, распространению шифровальных (криптографических) средств, … оказанию услуг в области шифрования информации…»

    Другими словами, если организация сама передаёт ПО-СКЗИ другому юрлицу, это приравнивается к распространению. Для этого нужна лицензия ФСБ.… Читать далее…

  • VLAN и ACL: практическая изоляция сетей на L3 Huawei

    VLAN и ACL: практическая изоляция сетей на L3 Huawei

    Рассмотрим одну из функций VLAN — сегментацию и изоляцию сетей на L3.

    Когда вся корпоративная сеть работает в одной подсети, это приводит к проблемам:

    • любой компьютер может напрямую обращаться к любому серверу;
    • пользовательские устройства видят сервисы, к которым им доступ не нужен;
    • служебный трафик (ARP, broadcast) расходится повсюду и нагружает сеть.

    Сегментация через VLAN решает эти задачи:

    • подсети разделены и изолированы;
    • доступ в другие VLAN возможен только через маршрутизацию или ACL;
    • администратор точно контролирует, какие сети могут обмениваться трафиком.

    Пример: изолированный VLAN 154 на Huawei

    Создаём VLAN 154 (10.77.116.0/24) для серверов.… Читать далее…

  • Антивирус — не талисман, а оружие. Настрой его как следует

    Большинство думает, что антивирус — это галочка в списке «информационная безопасность». Но на деле он либо реально защищает, либо просто ест ресурсы и самоуспокаивает администратора.

    Вот девять вещей, которые стоит дополнительно настроить, чтобы антивирус был оружием, а не амулетом.

    1. Боевой профиль на случай ЧП. Держите под рукой жёсткую политику с максимальными мерами защиты. При массовом заражении, шифровальщике или другой заразы — включается она, без лишних совещаний.
    2. Доступ к консоли только через 2FA и с белого списка IP. Менеджмент-сервер — лакомая цель. Двухфакторка и доступ только с определённых адресов — минимум гигиены.
    Читать далее…

  • Каждый второй в России теперь делает NGFW. Зачем? И кто выживет?

    Последние пару лет в России творится странная история: NGFW-производители множатся быстрее, чем новые кофейни в спальных районах. Смотришь новости — и снова: “Компания N представила отечественный межсетевой экран нового поколения”. Иногда даже не понятно, это реально новый продукт или ребрендинг давно забытого железа с прошивкой, которая видела времена Windows XP.

    Число игроков уже перевалило за двадцатку, и это если считать только тех, кто громко заявлял о себе на выставках и в релизах. Если копнуть глубже — цифра ещё веселее. Возникает закономерный вопрос: зачем? Неужели рынок действительно способен переварить столько NGFW?

    С одной стороны, конкуренция — это хорошо.… Читать далее…

  • Ваш Exchange в опасности. И нет, «у нас всё работает» — не оправдание.

    Вышло обновление безопасности для Exchange. Критическая уязвимость, эксплуатация в реальной жизни, описание от CVE такое, что волосы встают дыбом. А что у нас? Традиционное: “Да у нас всё работает. Не будем трогать — ещё сломается”. И ведь эти слова звучат не только от ленивых админов, а и от вполне опытных ребят, которые просто привыкли жить по принципу “не трогай то, что работает”.

    Проблема в том, что “работает” сегодня — не значит “будет работать завтра”. Особенно когда где-то в тёмных уголках интернета уже крутятся готовые эксплойты. И да, именно для вашей версии Exchange.… Читать далее…

  • СЗИ от НСД: невозможное возможно

    СЗИ от НСД: невозможное возможно

    В инструкциях внедрение средства защиты от НСД выглядит безупречно: спланировал, развернул, настроил — и безопасность на высоте.

    В реальной корпоративной среде всё сложнее: новое решение может затронуть привычные бизнес-процессы, а иногда и замедлить их. Не из-за “плохого” продукта, а из-за того, что он встраивается в живую, сложную систему, формировавшуюся десятки лет.

    В таких условиях ИТ и ИБ становятся скорее аварийными бригадами: оперативно локализуют проблемы, устраняют сбои и при этом стараются не парализовать работу компании.

    Поэтому к внедрению СЗИ от НСД стоит подходить с холодной головой: запастись терпением, тщательно протестировать продукт в боевых условиях, подготовиться к масштабному разворачиванию и чётко понимать, что делать при сбоях на рабочих местах.… Читать далее…

  • Если в команде из десяти профессионалов есть один…

    Говорят, если в команде из десяти профессионалов есть один… энтузиаст, способный действовать по принципу «а давайте я сам всё настрою», — рано или поздно он запустит в продакшн нечто, о чём никто не просил.

    История. Нормальная, настоящая, из жизни.

    В организации всё чётко: Wi‑Fi во внутренней сети запрещён. Не потому что «айтишники злые», а потому что так написано в политике безопасности. Есть приказ, есть документ, есть обоснование. Всё серьёзно. Сегментация, аудит, 802.1X, VLAN’ы, прокси, фаерволы — всё на месте.

    И тут появляется человек. Он не хакер, не вредитель, не шпион. Он — «доброе лицо ИТ».… Читать далее…

  • Уход от смены пароля каждые 90 дней: где-то в параллельной вселенной

    Уход от смены пароля каждые 90 дней: где-то в параллельной вселенной

    Где-то в другой реальности сидит себе безопасник, пьёт кофе без тревоги, и в системе у него пользователи не меняют пароли каждые 90 дней. Да и не каждые 60. И даже не 45. Просто потому что… не надо.

    В этой прекрасной вселенной у него внедрена двухфакторка — не для галочки, а реально работает. Пользователь входит через VPN, получает пуш на телефон, подтверждает. А если его пароль кто-то где-то и выудил — доступа всё равно нет, второй фактор не обманешь. Там не нужен цирк с паролями вроде Qwe2024!, Qwe2024@, Qwe2024# и попытками вспомнить, на каком символе остановились в прошлый раз.… Читать далее…

  • Менять пароль каждые 2–3 месяца… а смысл?

    Есть старая практика — раз в квартал заставлять сотрудников менять пароль. Многие до сих пор это делают: ИТ-служба настраивает политику в AD, пользователь получает напоминание, снова что-то придумывает (или прибавляет единичку к прошлому варианту) — и жизнь идёт дальше. Как будто это укрепляет безопастность.

    Но вот в чём вопрос: а если пароль уже утёк, имеет ли смысл его менять каждые три месяца? Или даже каждый месяц? Что-то подсказывает — нет. Ведь если злоумышленник получил доступ, он может сразу поставить себе бекдор, создать вторую учётку или просто дождаться следующего пароля, особенно если наблюдает за системой изнутри.… Читать далее…