CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Без рубрики

  • Урок 1. Управление доступом: кто, к чему и почему имеет право

    Что такое управление доступом

    Управление доступом — это основа любой системы безопасности.
    Именно этот механизм определяет, кто может получить доступ к каким данным, приложениям или ресурсам, и при каких условиях.

    В любой компьютерной системе есть два участника:

    • Субъект доступа — тот, кто хочет получить доступ. Это может быть человек, программа или даже устройство.
    • Объект доступа — то, к чему субъект обращается. Например, файл, база данных, веб-страница или учётная запись.

    Чтобы субъект смог взаимодействовать с объектом, в системе должны быть прописаны правила: кому, куда и зачем можно входить. На этом и строится управление доступом.… Читать далее…

  • Техника или нормативка?

    Техника или нормативка?

    Представьте организацию, где отдел информационной безопасности появился только недавно. До этого о защите толком никто не задумывался: сотни серверов, тысячи рабочих мест, сложная сеть — и никакой системной ИБ.

    За полгода удалось построить фундамент технической защиты: внедрены SIEM и EDR, централизован антивирус, запущен сбор логов, управление уязвимостями, WAF, сегментация сетей, процессы обновлений и прочее. Даже начали работать с СЗИ от НСД, пусть и с трудностями. Казалось бы — отличный прогресс.

    Но дальше возникает вопрос: что делать с нормативкой?
    Законы требуют модели угроз, технических паспортов, регламентов, оценки эффективности. Без этого любая проверка может показать пальцем: «У вас нет документов».… Читать далее…

  • Сбор событий и независимость от SIEM

    Сбор событий и независимость от SIEM

    На одной из конференций услышал интересный подход к организации сбора событий информационной безопасности. Обычно логи сразу направляют в SIEM, где они хранятся и обрабатываются. Но в такой схеме организация сильно зависит от конкретного вендора: сменить систему сложно, а иногда и невозможно без больших затрат.

    В предложенном решении архитектура строится иначе: события сначала собираются в единый поток с помощью открытых инструментов, попадают в шину данных и только после этого передаются в SIEM. Такой подход создаёт дополнительный уровень гибкости — в любой момент можно заменить конечную систему на другую, не ломая весь процесс.… Читать далее…

  • Заметки о ключевых видах атак. Часть 1.

    Фишинг всегда казался чем-то банальным, но чем дальше, тем очевиднее: именно простые приёмы работают лучше всего. Зачем тратить время на сложный взлом, когда можно отправить письмо с правильным тоном и логотипом, и человек сам отдаст пароль? Здесь всё строится на доверии и невнимательности. Даже те, кто уверен в своей «подкованности», легко попадаются, когда сообщение совпадает по контексту: срочный запрос от начальника, обновление почты или уведомление банка.

    С уязвимостями на периметре ситуация не лучше. Периметр живёт своей жизнью: сервисы поднимаются для теста и остаются висеть, веб-приложения обновляются нерегулярно, патчи ставятся «когда будет время».… Читать далее…

  • VLAN и ACL: практическая изоляция сетей на L3 Huawei

    VLAN и ACL: практическая изоляция сетей на L3 Huawei

    Рассмотрим одну из функций VLAN — сегментацию и изоляцию сетей на L3.

    Когда вся корпоративная сеть работает в одной подсети, это приводит к проблемам:

    • любой компьютер может напрямую обращаться к любому серверу;
    • пользовательские устройства видят сервисы, к которым им доступ не нужен;
    • служебный трафик (ARP, broadcast) расходится повсюду и нагружает сеть.

    Сегментация через VLAN решает эти задачи:

    • подсети разделены и изолированы;
    • доступ в другие VLAN возможен только через маршрутизацию или ACL;
    • администратор точно контролирует, какие сети могут обмениваться трафиком.

    Пример: изолированный VLAN 154 на Huawei

    Создаём VLAN 154 (10.77.116.0/24) для серверов.… Читать далее…

  • Антивирус — не талисман, а оружие. Настрой его как следует

    Большинство думает, что антивирус — это галочка в списке «информационная безопасность». Но на деле он либо реально защищает, либо просто ест ресурсы и самоуспокаивает администратора.

    Вот девять вещей, которые стоит дополнительно настроить, чтобы антивирус был оружием, а не амулетом.

    1. Боевой профиль на случай ЧП. Держите под рукой жёсткую политику с максимальными мерами защиты. При массовом заражении, шифровальщике или другой заразы — включается она, без лишних совещаний.
    2. Доступ к консоли только через 2FA и с белого списка IP. Менеджмент-сервер — лакомая цель. Двухфакторка и доступ только с определённых адресов — минимум гигиены.
    Читать далее…

  • Каждый второй в России теперь делает NGFW. Зачем? И кто выживет?

    Последние пару лет в России творится странная история: NGFW-производители множатся быстрее, чем новые кофейни в спальных районах. Смотришь новости — и снова: “Компания N представила отечественный межсетевой экран нового поколения”. Иногда даже не понятно, это реально новый продукт или ребрендинг давно забытого железа с прошивкой, которая видела времена Windows XP.

    Число игроков уже перевалило за двадцатку, и это если считать только тех, кто громко заявлял о себе на выставках и в релизах. Если копнуть глубже — цифра ещё веселее. Возникает закономерный вопрос: зачем? Неужели рынок действительно способен переварить столько NGFW?

    С одной стороны, конкуренция — это хорошо.… Читать далее…

  • Ваш Exchange в опасности. И нет, «у нас всё работает» — не оправдание.

    Вышло обновление безопасности для Exchange. Критическая уязвимость, эксплуатация в реальной жизни, описание от CVE такое, что волосы встают дыбом. А что у нас? Традиционное: “Да у нас всё работает. Не будем трогать — ещё сломается”. И ведь эти слова звучат не только от ленивых админов, а и от вполне опытных ребят, которые просто привыкли жить по принципу “не трогай то, что работает”.

    Проблема в том, что “работает” сегодня — не значит “будет работать завтра”. Особенно когда где-то в тёмных уголках интернета уже крутятся готовые эксплойты. И да, именно для вашей версии Exchange.… Читать далее…

  • СЗИ от НСД: невозможное возможно

    СЗИ от НСД: невозможное возможно

    В инструкциях внедрение средства защиты от НСД выглядит безупречно: спланировал, развернул, настроил — и безопасность на высоте.

    В реальной корпоративной среде всё сложнее: новое решение может затронуть привычные бизнес-процессы, а иногда и замедлить их. Не из-за “плохого” продукта, а из-за того, что он встраивается в живую, сложную систему, формировавшуюся десятки лет.

    В таких условиях ИТ и ИБ становятся скорее аварийными бригадами: оперативно локализуют проблемы, устраняют сбои и при этом стараются не парализовать работу компании.

    Поэтому к внедрению СЗИ от НСД стоит подходить с холодной головой: запастись терпением, тщательно протестировать продукт в боевых условиях, подготовиться к масштабному разворачиванию и чётко понимать, что делать при сбоях на рабочих местах.… Читать далее…

  • Менять пароль каждые 2–3 месяца… а смысл?

    Есть старая практика — раз в квартал заставлять сотрудников менять пароль. Многие до сих пор это делают: ИТ-служба настраивает политику в AD, пользователь получает напоминание, снова что-то придумывает (или прибавляет единичку к прошлому варианту) — и жизнь идёт дальше. Как будто это укрепляет безопастность.

    Но вот в чём вопрос: а если пароль уже утёк, имеет ли смысл его менять каждые три месяца? Или даже каждый месяц? Что-то подсказывает — нет. Ведь если злоумышленник получил доступ, он может сразу поставить себе бекдор, создать вторую учётку или просто дождаться следующего пароля, особенно если наблюдает за системой изнутри.… Читать далее…