CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Без рубрики

  • Предупреждение о внешних письмах: как внедрять, чтобы работало

    Все уже видели эту надпись в корпоративной почте:
    ⚠️ Внимание! Письмо пришло от внешнего отправителя.

    Мера вроде простая, но на практике результат бывает разный — от “спасла от фишинга” до “никто даже не замечает”. Проблема не в самой идее, а в том, как её внедряют.

    Фишинг никуда не делся. Злоумышленники уже давно умеют подделывать адреса, подписи и даже шаблоны внутренних писем. И вот здесь короткая строка про внешнего отправителя реально помогает: она заставляет хотя бы на секунду задуматься — а точно ли это письмо пришло из компании?

    Такие визуальные напоминания — часть общей культуры безопасти.… Читать далее…

  • Урок 3. Модели безопасности информации: от классики до STRIDE

    Зачем вообще нужны модели

    Когда мы говорим о безопасти информации, часто вспоминаем отдельные термины — конфиденциальность, целостность, доступность.
    Но чтобы понимать, что именно мы защищаем и от чего, нужны системные представления — модели безопасти.
    Они помогают не просто перечислить угрозы, а выстроить логику защиты.
    Рассмотрим четыре основные модели, которые стали классикой.

    1. Стандартная модель (CIA-триада)

    • Конфиденциальность (Confidentiality) — доступ к данным имеют только те, кто имеет на это право.
    • Целостность (Integrity) — данные не должны изменяться без разрешения.
    • Доступность (Availability) — правомочные пользователи могут получить данные тогда, когда это нужно.
    Читать далее…

  • Профили политик в Kaspersky Security Center — коротко о главном

    Когда работаешь с KSC, легко забыть, как именно применяются профили политик. Главное, что нужно помнить:

    ➤ В профиле действуют только те параметры, которые закрыты замком. Если замок открыт — значение берётся из основной политики.

    Это значит, что профиль — не отдельная политика, а “надстройка”, которая меняет только зафиксированные параметры. Остальное устройство получит из базовой политики.

    И ещё важный момент — профили можно гибко и удобно привязывать к тегам. Это позволяет применять разные настройки к конкретным групам устройств без создания множества отдельных политик.

  • Урок 2. Модель угроз и модель нарушителя — с чего начинается защита информации

    Что такое модель нарушителя

    Модель нарушителя — это, по сути, описание потенциального злоумышленника: кто он, что знает, какие у него цели, возможности и способы действий. Это не портрет конкретного хакера, а формализованный ( или не формализованный ) образ того, кто может попытаться нарушить безопасность системы.

    Проще говоря: прежде чем защищаться, нужно понять, от кого именно ты защищаешься.

    Что включает модель нарушителя

    Даже в упрощённом виде она должна содержать:

    • Категории нарушителей — внутренние и внешние.
    • Цели — чего добивается злоумышленник: кража данных, саботаж, получение прибыли и т. д.
    • Количество — действует один человек или группа.
    Читать далее…

  • Урок 1. Управление доступом: кто, к чему и почему имеет право

    Что такое управление доступом

    Управление доступом — это основа любой системы безопасности.
    Именно этот механизм определяет, кто может получить доступ к каким данным, приложениям или ресурсам, и при каких условиях.

    В любой компьютерной системе есть два участника:

    • Субъект доступа — тот, кто хочет получить доступ. Это может быть человек, программа или даже устройство.
    • Объект доступа — то, к чему субъект обращается. Например, файл, база данных, веб-страница или учётная запись.

    Чтобы субъект смог взаимодействовать с объектом, в системе должны быть прописаны правила: кому, куда и зачем можно входить. На этом и строится управление доступом.… Читать далее…

  • Техника или нормативка?

    Техника или нормативка?

    Представьте организацию, где отдел информационной безопасности появился только недавно. До этого о защите толком никто не задумывался: сотни серверов, тысячи рабочих мест, сложная сеть — и никакой системной ИБ.

    За полгода удалось построить фундамент технической защиты: внедрены SIEM и EDR, централизован антивирус, запущен сбор логов, управление уязвимостями, WAF, сегментация сетей, процессы обновлений и прочее. Даже начали работать с СЗИ от НСД, пусть и с трудностями. Казалось бы — отличный прогресс.

    Но дальше возникает вопрос: что делать с нормативкой?
    Законы требуют модели угроз, технических паспортов, регламентов, оценки эффективности. Без этого любая проверка может показать пальцем: «У вас нет документов».… Читать далее…

  • Сбор событий и независимость от SIEM

    Сбор событий и независимость от SIEM

    На одной из конференций услышал интересный подход к организации сбора событий информационной безопасности. Обычно логи сразу направляют в SIEM, где они хранятся и обрабатываются. Но в такой схеме организация сильно зависит от конкретного вендора: сменить систему сложно, а иногда и невозможно без больших затрат.

    В предложенном решении архитектура строится иначе: события сначала собираются в единый поток с помощью открытых инструментов, попадают в шину данных и только после этого передаются в SIEM. Такой подход создаёт дополнительный уровень гибкости — в любой момент можно заменить конечную систему на другую, не ломая весь процесс.… Читать далее…

  • Заметки о ключевых видах атак. Часть 1.

    Фишинг всегда казался чем-то банальным, но чем дальше, тем очевиднее: именно простые приёмы работают лучше всего. Зачем тратить время на сложный взлом, когда можно отправить письмо с правильным тоном и логотипом, и человек сам отдаст пароль? Здесь всё строится на доверии и невнимательности. Даже те, кто уверен в своей «подкованности», легко попадаются, когда сообщение совпадает по контексту: срочный запрос от начальника, обновление почты или уведомление банка.

    С уязвимостями на периметре ситуация не лучше. Периметр живёт своей жизнью: сервисы поднимаются для теста и остаются висеть, веб-приложения обновляются нерегулярно, патчи ставятся «когда будет время».… Читать далее…

  • VLAN и ACL: практическая изоляция сетей на L3 Huawei

    VLAN и ACL: практическая изоляция сетей на L3 Huawei

    Рассмотрим одну из функций VLAN — сегментацию и изоляцию сетей на L3.

    Когда вся корпоративная сеть работает в одной подсети, это приводит к проблемам:

    • любой компьютер может напрямую обращаться к любому серверу;
    • пользовательские устройства видят сервисы, к которым им доступ не нужен;
    • служебный трафик (ARP, broadcast) расходится повсюду и нагружает сеть.

    Сегментация через VLAN решает эти задачи:

    • подсети разделены и изолированы;
    • доступ в другие VLAN возможен только через маршрутизацию или ACL;
    • администратор точно контролирует, какие сети могут обмениваться трафиком.

    Пример: изолированный VLAN 154 на Huawei

    Создаём VLAN 154 (10.77.116.0/24) для серверов.… Читать далее…

  • Антивирус — не талисман, а оружие. Настрой его как следует

    Большинство думает, что антивирус — это галочка в списке «информационная безопасность». Но на деле он либо реально защищает, либо просто ест ресурсы и самоуспокаивает администратора.

    Вот девять вещей, которые стоит дополнительно настроить, чтобы антивирус был оружием, а не амулетом.

    1. Боевой профиль на случай ЧП. Держите под рукой жёсткую политику с максимальными мерами защиты. При массовом заражении, шифровальщике или другой заразы — включается она, без лишних совещаний.
    2. Доступ к консоли только через 2FA и с белого списка IP. Менеджмент-сервер — лакомая цель. Двухфакторка и доступ только с определённых адресов — минимум гигиены.
    Читать далее…