CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Без рубрики

  • Сбор событий и независимость от SIEM

    Сбор событий и независимость от SIEM

    На одной из конференций услышал интересный подход к организации сбора событий информационной безопасности. Обычно логи сразу направляют в SIEM, где они хранятся и обрабатываются. Но в такой схеме организация сильно зависит от конкретного вендора: сменить систему сложно, а иногда и невозможно без больших затрат.

    В предложенном решении архитектура строится иначе: события сначала собираются в единый поток с помощью открытых инструментов, попадают в шину данных и только после этого передаются в SIEM. Такой подход создаёт дополнительный уровень гибкости — в любой момент можно заменить конечную систему на другую, не ломая весь процесс.… Читать далее…

  • Заметки о ключевых видах атак. Часть 1.

    Фишинг всегда казался чем-то банальным, но чем дальше, тем очевиднее: именно простые приёмы работают лучше всего. Зачем тратить время на сложный взлом, когда можно отправить письмо с правильным тоном и логотипом, и человек сам отдаст пароль? Здесь всё строится на доверии и невнимательности. Даже те, кто уверен в своей «подкованности», легко попадаются, когда сообщение совпадает по контексту: срочный запрос от начальника, обновление почты или уведомление банка.

    С уязвимостями на периметре ситуация не лучше. Периметр живёт своей жизнью: сервисы поднимаются для теста и остаются висеть, веб-приложения обновляются нерегулярно, патчи ставятся «когда будет время».… Читать далее…

  • VLAN и ACL: практическая изоляция сетей на L3 Huawei

    VLAN и ACL: практическая изоляция сетей на L3 Huawei

    Рассмотрим одну из функций VLAN — сегментацию и изоляцию сетей на L3.

    Когда вся корпоративная сеть работает в одной подсети, это приводит к проблемам:

    • любой компьютер может напрямую обращаться к любому серверу;
    • пользовательские устройства видят сервисы, к которым им доступ не нужен;
    • служебный трафик (ARP, broadcast) расходится повсюду и нагружает сеть.

    Сегментация через VLAN решает эти задачи:

    • подсети разделены и изолированы;
    • доступ в другие VLAN возможен только через маршрутизацию или ACL;
    • администратор точно контролирует, какие сети могут обмениваться трафиком.

    Пример: изолированный VLAN 154 на Huawei

    Создаём VLAN 154 (10.77.116.0/24) для серверов.… Читать далее…

  • Антивирус — не талисман, а оружие. Настрой его как следует

    Большинство думает, что антивирус — это галочка в списке «информационная безопасность». Но на деле он либо реально защищает, либо просто ест ресурсы и самоуспокаивает администратора.

    Вот девять вещей, которые стоит дополнительно настроить, чтобы антивирус был оружием, а не амулетом.

    1. Боевой профиль на случай ЧП. Держите под рукой жёсткую политику с максимальными мерами защиты. При массовом заражении, шифровальщике или другой заразы — включается она, без лишних совещаний.
    2. Доступ к консоли только через 2FA и с белого списка IP. Менеджмент-сервер — лакомая цель. Двухфакторка и доступ только с определённых адресов — минимум гигиены.
    Читать далее…

  • Каждый второй в России теперь делает NGFW. Зачем? И кто выживет?

    Последние пару лет в России творится странная история: NGFW-производители множатся быстрее, чем новые кофейни в спальных районах. Смотришь новости — и снова: “Компания N представила отечественный межсетевой экран нового поколения”. Иногда даже не понятно, это реально новый продукт или ребрендинг давно забытого железа с прошивкой, которая видела времена Windows XP.

    Число игроков уже перевалило за двадцатку, и это если считать только тех, кто громко заявлял о себе на выставках и в релизах. Если копнуть глубже — цифра ещё веселее. Возникает закономерный вопрос: зачем? Неужели рынок действительно способен переварить столько NGFW?

    С одной стороны, конкуренция — это хорошо.… Читать далее…

  • Ваш Exchange в опасности. И нет, «у нас всё работает» — не оправдание.

    Вышло обновление безопасности для Exchange. Критическая уязвимость, эксплуатация в реальной жизни, описание от CVE такое, что волосы встают дыбом. А что у нас? Традиционное: “Да у нас всё работает. Не будем трогать — ещё сломается”. И ведь эти слова звучат не только от ленивых админов, а и от вполне опытных ребят, которые просто привыкли жить по принципу “не трогай то, что работает”.

    Проблема в том, что “работает” сегодня — не значит “будет работать завтра”. Особенно когда где-то в тёмных уголках интернета уже крутятся готовые эксплойты. И да, именно для вашей версии Exchange.… Читать далее…

  • СЗИ от НСД: невозможное возможно

    СЗИ от НСД: невозможное возможно

    В инструкциях внедрение средства защиты от НСД выглядит безупречно: спланировал, развернул, настроил — и безопасность на высоте.

    В реальной корпоративной среде всё сложнее: новое решение может затронуть привычные бизнес-процессы, а иногда и замедлить их. Не из-за “плохого” продукта, а из-за того, что он встраивается в живую, сложную систему, формировавшуюся десятки лет.

    В таких условиях ИТ и ИБ становятся скорее аварийными бригадами: оперативно локализуют проблемы, устраняют сбои и при этом стараются не парализовать работу компании.

    Поэтому к внедрению СЗИ от НСД стоит подходить с холодной головой: запастись терпением, тщательно протестировать продукт в боевых условиях, подготовиться к масштабному разворачиванию и чётко понимать, что делать при сбоях на рабочих местах.… Читать далее…

  • Менять пароль каждые 2–3 месяца… а смысл?

    Есть старая практика — раз в квартал заставлять сотрудников менять пароль. Многие до сих пор это делают: ИТ-служба настраивает политику в AD, пользователь получает напоминание, снова что-то придумывает (или прибавляет единичку к прошлому варианту) — и жизнь идёт дальше. Как будто это укрепляет безопастность.

    Но вот в чём вопрос: а если пароль уже утёк, имеет ли смысл его менять каждые три месяца? Или даже каждый месяц? Что-то подсказывает — нет. Ведь если злоумышленник получил доступ, он может сразу поставить себе бекдор, создать вторую учётку или просто дождаться следующего пароля, особенно если наблюдает за системой изнутри.… Читать далее…

  • Пароль уже не спасает

    Пароль уже не спасает

    Одним из самых частых способов взлома остаётся банальное использование украденных учётных данных.

    Дополнительный фактор аутентификации призван решить эту проблему. Даже если злоумышленник узнал ваш пароль, двухфакторная аутентификация (2FA) ставит перед ним новый барьер, который непросто обойти. Сегодня внедрение 2FA уже воспринимается как стандарт кибербезопасности, обязательный минимум для защиты доступа. Среди специалистов по информационной безопасности это давно не вопрос «нужна ли 2FA?»: консенсус ясен – нужна.

    Решений полно, но сложность – интеграция

    Рынок предлагает достаточно вариантов 2FA на любой вкус. От аппаратных токенов и смс‑кодов до мобильных приложений‑генераторов – выбрать есть из чего.… Читать далее…

  • Стоимость атаки и выбор целей: размышления

    Стоимость атаки и выбор целей: размышления

    С каждым дополнительным барьером в защите стоимость атаки для злоумышленника растёт. Не только в деньгах — во времени, риске раскрытия, объёме подготовительной работы. Точка, где усилия перестают окупаться, оказывается удивительно близкой: лишняя проверка на входе, своевременный патч или банальная сегментация сети могут сместить баланс в сторону «не стоит того».

    Интересно наблюдать, как киберпреступные кампании всё чаще идут по пути наименьшего сопротивления. Не потому, что сложные взломы невозможны, — они просто становятся экономически невыгодными по сравнению с массовым фишингом или покупкой готового доступа «с рук». В итоге ландшафт угроз начинает напоминать притчу об исследователе, который ищет ключи под фонарём — не из-за того что потерял их там, а потому что «тут светлее».… Читать далее…