Один из эффективных подходов в построении сетевой безопасности — это сегментирование с учётом назначения и характера трафика в каждой подсети. Чем более однотипен трафик в сегменте, тем легче выстроить его профиль и, соответственно, тем проще обнаружить отклонения. Например, в подсети, предназначенной только для IP-телефонии, допустим исключительно голосовой трафик. Появление HTTP-запросов или передач данных по FTP будет очевидной аномалией, на которую легко среагировать даже простыми средствами мониторинга. Такой подход позволяет уменьшить фоновый “шум”, повысить качество логирования и упростить анализ инцидентов.
Рубрика: Обзоры и рекомендации
Лучшие антивирусы и VPN
Обзоры программ для защиты данных
Рекомендации по безопасным паролям
-
Сегмент с “чистым” профилем трафика легче мониторить, и любые отклонения в нём видны как на ладони
-
Кто такой инсайдер в информационной безопасности?
В информационной безопасности часто говорят о хакерах, вирусах и уязвимостях в системах. Но одна из самых опасных угроз может скрываться внутри самой организации. Это — инсайдер.
Кто такой инсайдер?
Инсайдер — это человек, который имеет доступ к внутренним системам и данным компании и использует этот доступ вредоносным образом. Это может быть:
- Действующий сотрудник, которого подкупили, шантажировали или уволили, но он ещё имеет доступ к системе.
- Временный работник или подрядчик с доступом к информации.
- Человек, который специально устроился в компанию, чтобы в будущем нанести вред — например, внедриться по заданию конкурентов или преступной группы.
-
Как фишинговое письмо почти убедило сотрудника, что у нас проблемы с налоговой
Недавно в нашей организации произошёл интересный и поучительный инцидент — один из сотрудников получил письмо якобы от налоговой службы, в котором утверждалось, что в отношении нашей компании выявлены признаки теневой занятости, и нужно срочно предоставить документы. Письмо выглядело достаточно убедительно, чтобы вызвать беспокойство.
Вот что было внутри:
Отправитель: почта_пользователя@mail.ru
Тема письма: Требование по документации
Содержимое: Обширный текст с упоминаниями “Межведомственной комиссии”, “ФНС”, “Минтруда”, закона №565-ФЗ и постановления №571.
Приложение: PDF-файл с описанием “проблемы”, требованием отправить документы и QR-кодом для “получения оригиналов” через CDEK.
Почему это фишинг?
Несмотря на внешний антураж и грамотную стилистику, письмо оказалось поддельным.… Читать далее…
-
Стоит ли ставить WAF на внутренний веб-сервер?
Допустим, у тебя в сети есть веб-сервер. Он доступен только внутри сети, то есть снаружи интернета до него никто не доберётся. И вот ты думаешь:
А надо ли ставить перед ним WAF?
Ведь кажется — зачем? Никто же его с улицы не видит…
Но, если ты изучаешь подход Zero Trust, то начинаешь понимать:
Безопасность — это не про доверие, а про проверку. Даже внутри своей сети.
Разберёмся по шагам.
Что такое WAF и зачем он вообще нужен
WAF (Web Application Firewall) — это такая защита, которая фильтрует HTTP-запросы к веб-приложениям.
Он ищет в них опасные вещи — например:
- попытки SQL-инъекций;
- вредоносные скрипты (XSS);
- странные заголовки или подозрительные запросы.
-
Не доверяй по умолчанию — Zero Trust
Раньше в ИБ царил простой подход:
«Всё, что внутри сети — безопасно. Всё, что снаружи — подозрительно».
Но времена изменились. Сейчас угрозы могут быть внутри. Утечки происходят из доверенных систем. Атаки запускаются от имени сотрудников. Поэтому модель «доверяем сети» — устарела.
Что такое Zero Trust?
Zero Trust — это принцип:
Никому и ничему не доверяй по умолчанию. Даже внутри своей сети.
Каждый пользователь, каждое устройство, каждое соединение должны проходить проверку, а доступ должен выдаваться только тогда и только туда, где это необходимо. Без исключений.
Принципы Zero Trust:
- Аутентификация и авторизация везде — не только при входе в систему.
-
Безопасность — это процесс, а не результат
В информационной безопасности нет финальной точки. Невозможно «однажды настроить и навсегда быть защищённым». Всё, что ты сегодня закрыл, завтра может снова открыться — по вине обновления, новой уязвимости или человеческой ошибки.
Системы устаревают. Люди уходят. Конфигурации меняются. Угрозы эволюционируют. То, что казалось надёжным вчера, завтра становится слабым местом.
Настоящая защита — это не продукт, не лицензия, не коробка. Это процесс:
Оценивай → Укрепляй → Следи → Реагируй → Повторяй.
Ты можешь купить лучший firewall и настроить SIEM, но если никто не смотрит в логи — всё зря.
Ты можешь внедрить 2FA, но если не обновляешь сервер — всё зря.… Читать далее…
-
Мини-курс по ИБ: Часть 1
Мышление хакера
Цель: понять, как думает злоумышленник, чтобы предвидеть атаки и строить эффективную защиту.
1. Главный принцип
“Всё, что может быть использовано неправильно — будет использовано неправильно”.
2. Подход атакующего
- Анализ поверхности атаки: что доступно извне? IP, порты, веб-интерфейсы, email, соцсети, утечки данных.
- Поиск слабого звена: пароли, уязвимое ПО, устаревшие компоненты, человеческий фактор.
- Эксплуатация: использование уязвимостей или обмана.
- Закрепление: установка backdoor, создание учёток, сохранение доступа.
- Следы: маскировка активности.
3. Основные типы атак (обзорно):
- Фишинг и социальная инженерия.
- Подбор и утечка паролей.
- Взлом веб-приложений (SQLi, XSS, LFI, RCE).
- Злоупотребление правами (privilege escalation).
-
Открытый RDP в интернет: приглашение на взлом
— “А чё такого, я просто открыл RDP, чтобы из дома подключаться…”
— “Да никто ж не знает мой IP!”
— “Пароль у меня сложный — qwerty123Q!”Ну что ж. Серверу было хорошо. Царство ему небесное.
Что такое RDP?
RDP — это удалённый рабочий стол от Microsoft. Удобная штука, чтобы работать с сервером, не вставая со стула.
Но вот беда — по умолчанию он открывается на весь мир, если ты не позаботился о фаерволе, VPN и других банальных мерах безопасности.
А что будет, если просто открыть порт 3389?
А будет так:
- Через 5 минут сервер появляется в списках Shodan.
-
Почему сервер Kaspersky Security Center лучше не вводить в домен
Если вы администратор, который привык всё в домен, всё под одну гребёнку, всё централизованно и красиво — есть нюанс.
Когда дело касается Kaspersky Security Center (KSC), производитель сам рекомендует:
«Лучше не надо в домен.»Звучит неожиданно? Сейчас объясним, почему это не паранойя, а здравый смысл.
В чём суть?
Сервер KSC — это не просто «ещё один сервер в домене».
Это центр управления защитой всей инфраструктуры:- политики безопасности,
- задачи сканирования,
- обновления,
- реакция на инциденты,
- и, главное, отключение защиты тоже оттуда.
Теперь представим:
компрометация домена → злоумышленник получает учётку администратора AD → логично, что он может использовать её, чтобы залогиниться на KSC.… Читать далее… -
Зачем нужен сканер уязвимостей и почему важно обновлять системы
Представьте классическую ситуацию: бухгалтер Марина получила письмо от «ФНС» с темой «Срочно! Проверка!». Открыла, кликнула, запустила вложение — и всё. Хакер уже потягивает кофе у себя на кухне и разгуливает по вашей сети, как у себя дома. И тут он такой:
— «Опа, Windows Server 2012 без обновлений, Java 1.7, Tomcat без пароля на админку? Да вы меня балуете!»А ведь всё могло быть иначе. Достаточно было просто… ОБНОВИТЬСЯ.
Но давайте по порядку.Что такое уязвимость?
Уязвимость — это баг, дыра, косяк в системе или программе, через который злоумышленник может зайти, не позвонив в дверь.… Читать далее…