CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Основы интернет-безопасности

Советы для новичков
Как защитить личные данные
Безопасность в социальных сетях

  • Заметки о ключевых видах атак. Часть 2.

    Фишинг давно перестал быть «письмом с ошибками». Сегодня он работает именно потому, что выглядит буднично. Письмо «от IT-отдела» про сброс пароля, приглашение на встречу в календаре, уведомление о доставке — всё в привычном стиле и в нужный момент. Человек торопится, кликает по ссылке или открывает вложение — и этого достаточно, чтобы злоумышленник оказался внутри.

    Каналы уже не ограничиваются почтой. Это могут быть мессенджеры, корпоративные чаты, облачные сервисы. Часто атака строится не вокруг «скачайте файл», а вокруг согласия: подтвердить вход, выдать доступ приложению, пройти «верификацию». Иногда даже используют усталость от MFA — постоянные пуш-запросы, пока человек не нажмёт «разрешить», просто чтобы отвязаться.… Читать далее…

  • Что такое MITRE и зачем он нужен в кибербезопасности

    Когда в разговорах специалистов по кибербезопасности всплывает слово MITRE, чаще всего речь идёт не о корпорации MITRE (хотя именно она это всё и придумала), а о её самых известных проектах — например, MITRE ATT&CK.

    MITRE — это американская некоммерческая организация, которая разрабатывает стандарты, базы знаний и методологии в области технологий и безопасности. Но в мире ИБ её знают прежде всего как создателя справочника по техникам атак хакеров.

    MITRE ATT&CK — это большая и постоянно обновляемая матрица, которая описывает, как злоумышленники действуют на разных стадиях атаки. Там нет фантастики, всё собрано из реальных кейсов: фишинг, эксплуатация уязвимостей, кража учётных данных, работа с PowerShell, закрепление в системе, скрытность, движение по сети и так далее.… Читать далее…

  • Как потерять защиту за 5 минут: сервер антивируса в домене

    Сервер управления антивирусной системой является критически важным элементом инфраструктуры информационной безопасности. Его компрометация влечёт за собой возможность массового отключения защитных агентов, изменения политик безопасности и скрытия вредоносной активности во всей корпоративной сети. По этой причине недопустимо вводить такой сервер в состав домена Active Directory. При компрометации доменных учётных записей администраторов злоумышленник получает прямой доступ к консолям управления антивирусом, что фактически превращает атаку на AD в полный контроль над системой защиты рабочих станций и серверов.

    Наилучшей практикой считается размещение сервера управления в отдельной рабочей группе, в изолированном сегменте сети, с доступом только из административных подсетей.… Читать далее…

  • Пароль уже не спасает

    Пароль уже не спасает

    Одним из самых частых способов взлома остаётся банальное использование украденных учётных данных.

    Дополнительный фактор аутентификации призван решить эту проблему. Даже если злоумышленник узнал ваш пароль, двухфакторная аутентификация (2FA) ставит перед ним новый барьер, который непросто обойти. Сегодня внедрение 2FA уже воспринимается как стандарт кибербезопасности, обязательный минимум для защиты доступа. Среди специалистов по информационной безопасности это давно не вопрос «нужна ли 2FA?»: консенсус ясен – нужна.

    Решений полно, но сложность – интеграция

    Рынок предлагает достаточно вариантов 2FA на любой вкус. От аппаратных токенов и смс‑кодов до мобильных приложений‑генераторов – выбрать есть из чего.… Читать далее…

  • Чем отличается двухфакторная авторизация от мультифакторной?

    Чем отличается двухфакторная авторизация от мультифакторной?

    Если вы когда-нибудь заходили в свой аккаунт и вас просили ввести не только пароль, но и код из SMS или подтвердить вход через приложение, значит, вы уже сталкивались с многофакторной авторизацией.

    Чтобы не путаться в терминах, давайте разложим всё по полочкам.

    Двухфакторная авторизация (2FA) — это когда для входа используются ровно два разных способа подтверждения вашей личности. Например:

    • ваш пароль (то, что вы знаете)
    • одноразовый код из приложения или SMS (то, что у вас есть)

    Такой вариант защиты сейчас самый распространённый, потому что он относительно простой и при этом серьёзно усложняет жизнь злоумышленникам.… Читать далее…

  • Безопасное наименование узлов внутри сети

    Один из часто упускаемых, но важных аспектов построения безопасной IT-инфраструктуры — это политика наименования серверов, рабочих станций и виртуальных машин. Казалось бы, безобидные имена вроде backup-srv или admin-vpn могут существенно облегчить жизнь злоумышленнику, уже попавшему во внутреннюю сеть.

    Чем меньше “шумов” оставлять в именах — тем меньше поводов для разведки у злоумышленника внутри сети. Идеальная практика — баланс между безопасностью и управляемостью:

    Для администрирования — полная структура хранится в CMDB.

    Для ИБ — обезличенные имена внутри.

  • Зачем просто блокировать сайты, если можно думать шире

    Зачем просто блокировать сайты, если можно думать шире

    Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

    Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…

  • Что такое DDoS-атака, просто и понятно

    DDoS-атака (Distributed Denial of Service — распределённый отказ в обслуживании) — это попытка вывести из строя сайт или сервис, создавая на нём чрезмерную нагрузку. Представь, что кто-то одновременно запускает тысячи и миллионы «пустых» посетителей на один и тот же сайт, но цель этих посетителей — не посмотреть страницу, а просто «забить» канал, загрузить процессор или исчерпать ресурсы сервера. Как результат — обычные пользователи не могут попасть на сайт, всё тормозит или вообще перестаёт работать.

    Главное отличие DDoS от обычной DoS-атаки в том, что она идёт не с одного компьютера, а с огромного количества устройств.… Читать далее…

  • Есть такое явление как «теневое IT»

    Есть такое явление как «теневое IT»

    Это головная боль для любого отдела информационной безопасности. Представьте: обычный сотрудник, без злого умысла, просто решил скинуть служебный документ себе на Google Диск, чтобы дома на диване, в халате, под чаёк с сушками дочитать и доделать. Удобно? Конечно. Безопасно? Ни разу.

    Теневое IT — это когда люди берут и в обход всех корпоративных правил и процедур используют сторонние сервисы: облака, мессенджеры, личные почты, флешки с AliExpress за 150 рублей. Они не злодеи — просто им так проще, быстрее, роднее. Они не хотят вспоминать пароль от корпоративного VPN, особенно если он меняется каждые 3 или 6 месяцев и состоит из тринадцати символов, включая ё, доллар и древнегреческий омегу.… Читать далее…

  • Мониторинг важнее идеальной защиты: почему скорость реакции — ключ к безопасности

    Мониторинг важнее идеальной защиты: почему скорость реакции — ключ к безопасности

    Всегда стараюсь объяснять сложное более просто и понятно на примерах. Так и себя лишний раз тренирую, росту и получаю опыт. Хороший или плохой — это опыт, где всегда можно проанализировать и сделать выводы.

    Когда ты только входишь в мир ИБ, кажется, что главная цель — создать идеальную защиту:

    всё закрыть, всё запретить, поставить лучшие фаерволы, антивирусы, WAF, SIEM и т.п.

    Но реальность быстро ставит на место.

    Абсолютной защиты не бывает.

    А вот что действительно спасает — это вовремя заметить, что что-то пошло не так, и среагировать.

    Почему идеальная защита — это миф

    • Любая система может быть взломана.
    Читать далее…