CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Основы интернет-безопасности

Советы для новичков
Как защитить личные данные
Безопасность в социальных сетях

  • TLS: не про шифрование, а про доверие

    TLS часто описывают как «шифрование трафика», и формально это правда, но для понимания этого недостаточно. Если смотреть глазами специалиста по ИБ, TLS — это в первую очередь способ безопасно установить доверие между клиентом и сервером в среде, где доверия по умолчанию нет.

    Когда приложение подключается к серверу, оно не знает, кто на другой стороне. Это может быть нужный сервер, прокси провайдера, атакующий в той же сети или кто-то, кто подменил маршрут. Без TLS вы просто отправляете данные в неизвестность и надеетесь, что их никто не тронет.

    TLS решает три базовые задачи.… Читать далее…

  • Tier-модель в Active Directory

    Tier-модель в Active Directory

    В корпоративных сетях на базе Active Directory административный доступ часто устроен плоско: одни и те же учётные записи используются для управления рабочими станциями, серверами и контроллерами домена. В такой схеме компрометация пользовательской машины может привести к потере контроля над всей инфраструктурой.

    Tier-модель — это подход к организации административного доступа в Active Directory, при котором все объекты и учётные записи логически разделяются по уровням доверия и критичности.

    Tier-модель основана на простом правиле: объекты и учётные записи более низкого уровня не должны использоваться для доступа к объектам более высокого уровня.

    Разделение выполняется не по сетевым сегментам, а по административным зонам ответственности: какие ресурсы управляют какими.… Читать далее…

  • Заметки о ключевых видах атак. Часть 2.

    Фишинг давно перестал быть «письмом с ошибками». Сегодня он работает именно потому, что выглядит буднично. Письмо «от IT-отдела» про сброс пароля, приглашение на встречу в календаре, уведомление о доставке — всё в привычном стиле и в нужный момент. Человек торопится, кликает по ссылке или открывает вложение — и этого достаточно, чтобы злоумышленник оказался внутри.

    Каналы уже не ограничиваются почтой. Это могут быть мессенджеры, корпоративные чаты, облачные сервисы. Часто атака строится не вокруг «скачайте файл», а вокруг согласия: подтвердить вход, выдать доступ приложению, пройти «верификацию». Иногда даже используют усталость от MFA — постоянные пуш-запросы, пока человек не нажмёт «разрешить», просто чтобы отвязаться.… Читать далее…

  • Что такое MITRE и зачем он нужен в кибербезопасности

    Когда в разговорах специалистов по кибербезопасности всплывает слово MITRE, чаще всего речь идёт не о корпорации MITRE (хотя именно она это всё и придумала), а о её самых известных проектах — например, MITRE ATT&CK.

    MITRE — это американская некоммерческая организация, которая разрабатывает стандарты, базы знаний и методологии в области технологий и безопасности. Но в мире ИБ её знают прежде всего как создателя справочника по техникам атак хакеров.

    MITRE ATT&CK — это большая и постоянно обновляемая матрица, которая описывает, как злоумышленники действуют на разных стадиях атаки. Там нет фантастики, всё собрано из реальных кейсов: фишинг, эксплуатация уязвимостей, кража учётных данных, работа с PowerShell, закрепление в системе, скрытность, движение по сети и так далее.… Читать далее…

  • Как потерять защиту за 5 минут: сервер антивируса в домене

    Сервер управления антивирусной системой является критически важным элементом инфраструктуры информационной безопасности. Его компрометация влечёт за собой возможность массового отключения защитных агентов, изменения политик безопасности и скрытия вредоносной активности во всей корпоративной сети. По этой причине недопустимо вводить такой сервер в состав домена Active Directory. При компрометации доменных учётных записей администраторов злоумышленник получает прямой доступ к консолям управления антивирусом, что фактически превращает атаку на AD в полный контроль над системой защиты рабочих станций и серверов.

    Наилучшей практикой считается размещение сервера управления в отдельной рабочей группе, в изолированном сегменте сети, с доступом только из административных подсетей.… Читать далее…

  • Пароль уже не спасает

    Пароль уже не спасает

    Одним из самых частых способов взлома остаётся банальное использование украденных учётных данных.

    Дополнительный фактор аутентификации призван решить эту проблему. Даже если злоумышленник узнал ваш пароль, двухфакторная аутентификация (2FA) ставит перед ним новый барьер, который непросто обойти. Сегодня внедрение 2FA уже воспринимается как стандарт кибербезопасности, обязательный минимум для защиты доступа. Среди специалистов по информационной безопасности это давно не вопрос «нужна ли 2FA?»: консенсус ясен – нужна.

    Решений полно, но сложность – интеграция

    Рынок предлагает достаточно вариантов 2FA на любой вкус. От аппаратных токенов и смс‑кодов до мобильных приложений‑генераторов – выбрать есть из чего.… Читать далее…

  • Чем отличается двухфакторная авторизация от мультифакторной?

    Чем отличается двухфакторная авторизация от мультифакторной?

    Если вы когда-нибудь заходили в свой аккаунт и вас просили ввести не только пароль, но и код из SMS или подтвердить вход через приложение, значит, вы уже сталкивались с многофакторной авторизацией.

    Чтобы не путаться в терминах, давайте разложим всё по полочкам.

    Двухфакторная авторизация (2FA) — это когда для входа используются ровно два разных способа подтверждения вашей личности. Например:

    • ваш пароль (то, что вы знаете)
    • одноразовый код из приложения или SMS (то, что у вас есть)

    Такой вариант защиты сейчас самый распространённый, потому что он относительно простой и при этом серьёзно усложняет жизнь злоумышленникам.… Читать далее…

  • Безопасное наименование узлов внутри сети

    Один из часто упускаемых, но важных аспектов построения безопасной IT-инфраструктуры — это политика наименования серверов, рабочих станций и виртуальных машин. Казалось бы, безобидные имена вроде backup-srv или admin-vpn могут существенно облегчить жизнь злоумышленнику, уже попавшему во внутреннюю сеть.

    Чем меньше “шумов” оставлять в именах — тем меньше поводов для разведки у злоумышленника внутри сети. Идеальная практика — баланс между безопасностью и управляемостью:

    Для администрирования — полная структура хранится в CMDB.

    Для ИБ — обезличенные имена внутри.

  • Зачем просто блокировать сайты, если можно думать шире

    Зачем просто блокировать сайты, если можно думать шире

    Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

    Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…

  • Что такое DDoS-атака, просто и понятно

    DDoS-атака (Distributed Denial of Service — распределённый отказ в обслуживании) — это попытка вывести из строя сайт или сервис, создавая на нём чрезмерную нагрузку. Представь, что кто-то одновременно запускает тысячи и миллионы «пустых» посетителей на один и тот же сайт, но цель этих посетителей — не посмотреть страницу, а просто «забить» канал, загрузить процессор или исчерпать ресурсы сервера. Как результат — обычные пользователи не могут попасть на сайт, всё тормозит или вообще перестаёт работать.

    Главное отличие DDoS от обычной DoS-атаки в том, что она идёт не с одного компьютера, а с огромного количества устройств.… Читать далее…