Когда мы говорили про разные атаки и про то, как атакующий может зайти на периметре, мы упоминали, что на этом всё не заканчивается. Получить первую точку входа — это только начало. Дальше у злоумышленника возникает задача: как из этой точки добраться до чего-то более ценного. И вот тут начинается так называемый пивотинг.

Если объяснить совсем просто, пивотинг — это использование взломанной машины как трамплина. Представь, что атакующий оказался внутри здания, но нужная комната находится в другом крыле. Он не может туда пройти напрямую, но может открыть внутренние двери через ту комнату, в которую уже попал.… Читать далее…

Когда в разговорах специалистов по кибербезопасности всплывает слово MITRE, чаще всего речь идёт не о корпорации MITRE (хотя именно она это всё и придумала), а о её самых известных проектах — например, MITRE ATT&CK.

MITRE — это американская некоммерческая организация, которая разрабатывает стандарты, базы знаний и методологии в области технологий и безопасности. Но в мире ИБ её знают прежде всего как создателя справочника по техникам атак хакеров.

MITRE ATT&CK — это большая и постоянно обновляемая матрица, которая описывает, как злоумышленники действуют на разных стадиях атаки. Там нет фантастики, всё собрано из реальных кейсов: фишинг, эксплуатация уязвимостей, кража учётных данных, работа с PowerShell, закрепление в системе, скрытность, движение по сети и так далее.… Читать далее…

На старте построения системы информационной безопасности внимание обычно сосредотачивается на базовых вещах: антивирусы, межсетевые экраны, минимизация доступов, устранение очевидных уязвимостей. Эти меры действительно важны. Однако по мере погружения в практику становится ясно: эффективная защита — это не просто набор средств, а понимание того, от кого и каким образом следует защищаться.

Именно в этом контексте ключевым понятием становится threat intelligence — разведка киберугроз. Речь идёт не о классической разведке, а о цифровой информации, позволяющей принимать обоснованные решения на основе данных: какие угрозы актуальны в конкретный момент, какие инструменты используют злоумышленники, какие уязвимости находятся под прицелом и как меняется поведение атакующих групп.… Читать далее…

Допустим, у тебя в сети есть веб-сервер. Он доступен только внутри сети, то есть снаружи интернета до него никто не доберётся. И вот ты думаешь:

А надо ли ставить перед ним WAF?

Ведь кажется — зачем? Никто же его с улицы не видит…

Но, если ты изучаешь подход Zero Trust, то начинаешь понимать:

Безопасность — это не про доверие, а про проверку. Даже внутри своей сети.

Разберёмся по шагам.

Что такое WAF и зачем он вообще нужен

WAF (Web Application Firewall) — это такая защита, которая фильтрует HTTP-запросы к веб-приложениям.

Он ищет в них опасные вещи — например:

• попытки SQL-инъекций;
• вредоносные скрипты (XSS);
• странные заголовки или подозрительные запросы.

… Читать далее…

Инсайдер — это человек, который имеет легальный доступ к внутренним системам компании, но может использовать этот доступ во вред. Это может быть сотрудник, подрядчик, партнёр или даже бывший работник, у которого остались учётные данные.

Инсайдеры могут:

• украсть или слить конфиденциальные данные (например, коммерческую тайну или персональные данные клиентов);

• саботировать работу систем (удалить файлы, внедрить вредоносный код);

• использовать ресурсы компании в своих целях (например, майнинг крипты на серверах).

Почему от инсайдеров нужно защищаться

Даже самые крутые внешние фаерволы и антивирусы бесполезны, если угроза внутри. Инсайдер уже “внутри крепости”, и его не нужно взламывать.… Читать далее…