CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Киберугрозы и защита

Вирусы, трояны и вредоносное ПО
Фишинг и мошенничество
Защита от хакерских атак

  • Что делать при компрометации учётной записи в Tier-модели

    При обнаружении компрометации учётной записи ключевой задачей является не восстановление доступа, а прекращение дальнейшего использования скомпрометированных полномочий. Любая задержка на этом этапе увеличивает вероятность lateral movement, закрепления и расширения зоны воздействия.

    Lateral movement — это этап атаки, при котором злоумышленник, получив начальный доступ к одной системе в сети, перемещается между другими системами, расширяя область контроля без повторного взлома периметра.

    Последовательность действий определяется уровнем привилегий учётной записи и тем, к какому Tier она относится.

    Первым шагом является ограничение возможности аутентификации. Учётная запись блокируется или изолируется от использования, а активные сессии, если это возможно, принудительно завершаются.… Читать далее…

  • Продолжение заметки о профилированнии трафика

    Профилированный трафик снижает эффективность автоматизированных инструментов, которые рассчитывают на стандартный набор сервисов и протоколов. Для дальнейшего продвижения требуется анализ допустимых взаимодействий внутри конкретного сегмента и понимание того, какие сервисы доступны и каким образом с ними можно корректно взаимодействовать.

    Дополнительный эффект достигается за счёт наблюдаемости. Когда сетевой профиль сегмента известен и стабилен, любые отклонения от него легко выявляются средствами сетевого мониторинга. Попытки использовать неподходящие протоколы, туннелирование или нетипичные направления соединений формируют чёткие сигналы для обнаружения.

  • Разнотипный трафик как фактор увеличения стоимости атаки

    При профилированном и разнотипном сетевом взаимодействии сам факт попадания в сегмент не означает автоматического понимания дальнейших шагов. Каждый сегмент использует ожидаемый и ограниченный набор протоколов, форматов и способов установления соединений. Пользовательский доступ, сервисное взаимодействие и обмен данными с инфраструктурными компонентами различаются не только политиками фильтрации, но и характером сетевого поведения. В результате атакующая сторона, получив доступ к одному сегменту, сталкивается с отсутствием универсального сценария продвижения. Автоматизированные инструменты, рассчитанные на типовой стек протоколов и стандартные точки входа, теряют применимость, а дальнейшие действия требуют анализа конкретного сетевого контекста и понимания допустимых способов взаимодействия.… Читать далее…

  • Сетевая сегментация и Tier-модель в Active Directory

    Tier-модель в Active Directory описывает логическое разделение административного доступа по уровням критичности. Сетевая сегментация решает другую задачу — ограничивает сетевую связность между системами. Эти подходы не заменяют друг друга и применяются совместно.

    Tier-модель отвечает на вопрос кто и чем управляет, сетевая сегментация — кто с кем может обмениваться трафиком.

    Связь логических и сетевых уровней

    Tier-уровни не являются сетевыми зонами сами по себе. Они описывают административные границы, которые затем отражаются в сетевой архитектуре.

    При совместном применении:

    • Tier-модель определяет допустимые направления доступа,
    • сетевая сегментация фиксирует эти ограничения на уровне сети.

    Таким образом, сетевые правила становятся следствием модели доступа, а не набором изолированных исключений.… Читать далее…

  • Tier-модель в Active Directory

    Tier-модель в Active Directory

    В корпоративных сетях на базе Active Directory административный доступ часто устроен плоско: одни и те же учётные записи используются для управления рабочими станциями, серверами и контроллерами домена. В такой схеме компрометация пользовательской машины может привести к потере контроля над всей инфраструктурой.

    Tier-модель — это подход к организации административного доступа в Active Directory, при котором все объекты и учётные записи логически разделяются по уровням доверия и критичности.

    Tier-модель основана на простом правиле: объекты и учётные записи более низкого уровня не должны использоваться для доступа к объектам более высокого уровня.

    Разделение выполняется не по сетевым сегментам, а по административным зонам ответственности: какие ресурсы управляют какими.… Читать далее…

  • Заметки о ключевых видах атак. Часть 4.

    Когда мы говорили про разные атаки и про то, как атакующий может зайти на периметре, мы упоминали, что на этом всё не заканчивается. Получить первую точку входа — это только начало. Дальше у злоумышленника возникает задача: как из этой точки добраться до чего-то более ценного. И вот тут начинается так называемый пивотинг.

    Если объяснить совсем просто, пивотинг — это использование взломанной машины как трамплина. Представь, что атакующий оказался внутри здания, но нужная комната находится в другом крыле. Он не может туда пройти напрямую, но может открыть внутренние двери через ту комнату, в которую уже попал.… Читать далее…

  • Что такое MITRE и зачем он нужен в кибербезопасности

    Когда в разговорах специалистов по кибербезопасности всплывает слово MITRE, чаще всего речь идёт не о корпорации MITRE (хотя именно она это всё и придумала), а о её самых известных проектах — например, MITRE ATT&CK.

    MITRE — это американская некоммерческая организация, которая разрабатывает стандарты, базы знаний и методологии в области технологий и безопасности. Но в мире ИБ её знают прежде всего как создателя справочника по техникам атак хакеров.

    MITRE ATT&CK — это большая и постоянно обновляемая матрица, которая описывает, как злоумышленники действуют на разных стадиях атаки. Там нет фантастики, всё собрано из реальных кейсов: фишинг, эксплуатация уязвимостей, кража учётных данных, работа с PowerShell, закрепление в системе, скрытность, движение по сети и так далее.… Читать далее…

  • Threat intelligence как основа информационной безопасности

    На старте построения системы информационной безопасности внимание обычно сосредотачивается на базовых вещах: антивирусы, межсетевые экраны, минимизация доступов, устранение очевидных уязвимостей. Эти меры действительно важны. Однако по мере погружения в практику становится ясно: эффективная защита — это не просто набор средств, а понимание того, от кого и каким образом следует защищаться.

    Именно в этом контексте ключевым понятием становится threat intelligence — разведка киберугроз. Речь идёт не о классической разведке, а о цифровой информации, позволяющей принимать обоснованные решения на основе данных: какие угрозы актуальны в конкретный момент, какие инструменты используют злоумышленники, какие уязвимости находятся под прицелом и как меняется поведение атакующих групп.… Читать далее…

  • Кто такой инсайдер в информационной безопасности?

    Кто такой инсайдер в информационной безопасности?

    В информационной безопасности часто говорят о хакерах, вирусах и уязвимостях в системах. Но одна из самых опасных угроз может скрываться внутри самой организации. Это — инсайдер.

    Кто такой инсайдер?

    Инсайдер — это человек, который имеет доступ к внутренним системам и данным компании и использует этот доступ вредоносным образом. Это может быть:

    • Действующий сотрудник, которого подкупили, шантажировали или уволили, но он ещё имеет доступ к системе.
    • Временный работник или подрядчик с доступом к информации.
    • Человек, который специально устроился в компанию, чтобы в будущем нанести вред — например, внедриться по заданию конкурентов или преступной группы.
    Читать далее…

  • Стоит ли ставить WAF на внутренний веб-сервер?

    Допустим, у тебя в сети есть веб-сервер. Он доступен только внутри сети, то есть снаружи интернета до него никто не доберётся. И вот ты думаешь:

    А надо ли ставить перед ним WAF?

    Ведь кажется — зачем? Никто же его с улицы не видит…

    Но, если ты изучаешь подход Zero Trust, то начинаешь понимать:

    Безопасность — это не про доверие, а про проверку. Даже внутри своей сети.

    Разберёмся по шагам.

    Что такое WAF и зачем он вообще нужен

    WAF (Web Application Firewall) — это такая защита, которая фильтрует HTTP-запросы к веб-приложениям.

    Он ищет в них опасные вещи — например:

    • попытки SQL-инъекций;
    • вредоносные скрипты (XSS);
    • странные заголовки или подозрительные запросы.
    Читать далее…