Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…

Это головная боль для любого отдела информационной безопасности. Представьте: обычный сотрудник, без злого умысла, просто решил скинуть служебный документ себе на Google Диск, чтобы дома на диване, в халате, под чаёк с сушками дочитать и доделать. Удобно? Конечно. Безопасно? Ни разу.

Теневое IT — это когда люди берут и в обход всех корпоративных правил и процедур используют сторонние сервисы: облака, мессенджеры, личные почты, флешки с AliExpress за 150 рублей. Они не злодеи — просто им так проще, быстрее, роднее. Они не хотят вспоминать пароль от корпоративного VPN, особенно если он меняется каждые 3 или 6 месяцев и состоит из тринадцати символов, включая ё, доллар и древнегреческий омегу.… Читать далее…

Один из эффективных подходов в построении сетевой безопасности — это сегментирование с учётом назначения и характера трафика в каждой подсети. Чем более однотипен трафик в сегменте, тем легче выстроить его профиль и, соответственно, тем проще обнаружить отклонения. Например, в подсети, предназначенной только для IP-телефонии, допустим исключительно голосовой трафик. Появление HTTP-запросов или передач данных по FTP будет очевидной аномалией, на которую легко среагировать даже простыми средствами мониторинга. Такой подход позволяет уменьшить фоновый “шум”, повысить качество логирования и упростить анализ инцидентов.

В информационной безопасности часто говорят о хакерах, вирусах и уязвимостях в системах. Но одна из самых опасных угроз может скрываться внутри самой организации. Это — инсайдер.

Кто такой инсайдер?

Инсайдер — это человек, который имеет доступ к внутренним системам и данным компании и использует этот доступ вредоносным образом. Это может быть:

• Действующий сотрудник, которого подкупили, шантажировали или уволили, но он ещё имеет доступ к системе.
• Временный работник или подрядчик с доступом к информации.
• Человек, который специально устроился в компанию, чтобы в будущем нанести вред — например, внедриться по заданию конкурентов или преступной группы.

Недавно в нашей организации произошёл интересный и поучительный инцидент — один из сотрудников получил письмо якобы от налоговой службы, в котором утверждалось, что в отношении нашей компании выявлены признаки теневой занятости, и нужно срочно предоставить документы. Письмо выглядело достаточно убедительно, чтобы вызвать беспокойство.

Вот что было внутри:

Отправитель: почта_пользователя@mail.ru

Тема письма: Требование по документации

Содержимое: Обширный текст с упоминаниями “Межведомственной комиссии”, “ФНС”, “Минтруда”, закона №565-ФЗ и постановления №571.

Приложение: PDF-файл с описанием “проблемы”, требованием отправить документы и QR-кодом для “получения оригиналов” через CDEK.

Почему это фишинг?

Несмотря на внешний антураж и грамотную стилистику, письмо оказалось поддельным.… Читать далее…

— “А чё такого, я просто открыл RDP, чтобы из дома подключаться…”
— “Да никто ж не знает мой IP!”
— “Пароль у меня сложный — qwerty123Q!”

Ну что ж. Серверу было хорошо. Царство ему небесное.

Что такое RDP?

RDP — это удалённый рабочий стол от Microsoft. Удобная штука, чтобы работать с сервером, не вставая со стула.

Но вот беда — по умолчанию он открывается на весь мир, если ты не позаботился о фаерволе, VPN и других банальных мерах безопасности.

А что будет, если просто открыть порт 3389?

А будет так:

• Через 5 минут сервер появляется в списках Shodan.