CyberLaka

защити свои данные, управляй безопасностью с умом

Log цифровой крепости

  • Техника или нормативка?

    Техника или нормативка?

    Представьте организацию, где отдел информационной безопасности появился только недавно. До этого о защите толком никто не задумывался: сотни серверов, тысячи рабочих мест, сложная сеть — и никакой системной ИБ.

    За полгода удалось построить фундамент технической защиты: внедрены SIEM и EDR, централизован антивирус, запущен сбор логов, управление уязвимостями, WAF, сегментация сетей, процессы обновлений и прочее. Даже начали работать с СЗИ от НСД, пусть и с трудностями. Казалось бы — отличный прогресс.

    Но дальше возникает вопрос: что делать с нормативкой?
    Законы требуют модели угроз, технических паспортов, регламентов, оценки эффективности. Без этого любая проверка может показать пальцем: «У вас нет документов».… Читать далее…

  • Сбор событий и независимость от SIEM

    Сбор событий и независимость от SIEM

    На одной из конференций услышал интересный подход к организации сбора событий информационной безопасности. Обычно логи сразу направляют в SIEM, где они хранятся и обрабатываются. Но в такой схеме организация сильно зависит от конкретного вендора: сменить систему сложно, а иногда и невозможно без больших затрат.

    В предложенном решении архитектура строится иначе: события сначала собираются в единый поток с помощью открытых инструментов, попадают в шину данных и только после этого передаются в SIEM. Такой подход создаёт дополнительный уровень гибкости — в любой момент можно заменить конечную систему на другую, не ломая весь процесс.… Читать далее…

  • Следы на песке: простое объяснение, что такое IOC

    Следы на песке: простое объяснение, что такое IOC

    В кибербезопасности часто говорят «IOC», и для начинающих это звучит как что-то сложное и непонятное. На самом деле всё довольно просто. IOC расшифровывается как Indicator of Compromise, по-русски — индикатор компрометации. Это любой признак, который говорит нам: «похоже, тут что-то взломано» или «в этой системе было что-то подозрительное».

    Представь, что ты расследуешь инцидент. У тебя есть следы — IP-адрес, с которым связался хост, хэш файла, который совпадает с известным вредоносом, домен, куда уходят данные, или странная запись в журнале. Всё это примеры IOC. То есть это конкретные кусочки информации, которые можно использовать как маячки: если такой маячок где-то сработал, значит стоит проверить глубже.… Читать далее…

  • Заметки о ключевых видах атак. Часть 4.

    Когда мы говорили про разные атаки и про то, как атакующий может зайти на периметре, мы упоминали, что на этом всё не заканчивается. Получить первую точку входа — это только начало. Дальше у злоумышленника возникает задача: как из этой точки добраться до чего-то более ценного. И вот тут начинается так называемый пивотинг.

    Если объяснить совсем просто, пивотинг — это использование взломанной машины как трамплина. Представь, что атакующий оказался внутри здания, но нужная комната находится в другом крыле. Он не может туда пройти напрямую, но может открыть внутренние двери через ту комнату, в которую уже попал.… Читать далее…

  • Как работает DHCP Relay на L3-коммутаторе и почему DHCP-сервер понимает, какой пул адресов использовать.

    Механика простая, но часто вызывает вопросы. Разбираем по шагам.

    1. Что делает DHCP Relay на коммутаторе

    • Клиент в VLAN (например, VLAN 5, сеть 192.168.2.0/24) посылает DHCP Discover (broadcast).
    • Так как broadcast не маршрутизируется, этот пакет до DHCP-сервера (например, в 192.168.1.0/24) не дойдёт.
    • Коммутатор с включённой функцией dhcp relay перехватывает этот broadcast и отправляет его уже как unicast на указанный адрес DHCP-сервера (например, 192.168.1.10).
    • При этом коммутатор подменяет поле giaddr (Gateway IP Address) в DHCP-запросе на свой IP-адрес интерфейса VLAN (в примере — 192.168.2.1).

    2. Как DHCP-сервер выбирает пул

    DHCP-сервер смотрит на поле giaddr в запросе.… Читать далее…

  • Заметки о ключевых видах атак. Часть 3.

    Заметки о ключевых видах атак. Часть 3.

    Попасть внутрь — это только половина дела. Настоящая атака начинается тогда, когда злоумышленник закрепляется. Без этого весь доступ слишком хрупкий: один перезапуск сервера, смена пароля или внимательный администратор — и всё обнуляется. Поэтому первые шаги внутри сети почти всегда тихие, незаметные и максимально похожие на рутину.

    Самый очевидный вариант — создать нового пользователя. Иногда это локальная учётка с правами администратора, иногда — «технический» аккаунт в домене. Имя выбирается так, чтобы не бросалось в глаза: вроде backup_admin или svc_update. В списке из сотни похожих записей такие детали легко теряются.

    Другой способ — оставить бэкдор в системе.… Читать далее…

  • Плакат. Фишинг.

    Плакат. Фишинг.

  • Заметки о ключевых видах атак. Часть 2.

    Фишинг давно перестал быть «письмом с ошибками». Сегодня он работает именно потому, что выглядит буднично. Письмо «от IT-отдела» про сброс пароля, приглашение на встречу в календаре, уведомление о доставке — всё в привычном стиле и в нужный момент. Человек торопится, кликает по ссылке или открывает вложение — и этого достаточно, чтобы злоумышленник оказался внутри.

    Каналы уже не ограничиваются почтой. Это могут быть мессенджеры, корпоративные чаты, облачные сервисы. Часто атака строится не вокруг «скачайте файл», а вокруг согласия: подтвердить вход, выдать доступ приложению, пройти «верификацию». Иногда даже используют усталость от MFA — постоянные пуш-запросы, пока человек не нажмёт «разрешить», просто чтобы отвязаться.… Читать далее…

  • Что такое MITRE и зачем он нужен в кибербезопасности

    Когда в разговорах специалистов по кибербезопасности всплывает слово MITRE, чаще всего речь идёт не о корпорации MITRE (хотя именно она это всё и придумала), а о её самых известных проектах — например, MITRE ATT&CK.

    MITRE — это американская некоммерческая организация, которая разрабатывает стандарты, базы знаний и методологии в области технологий и безопасности. Но в мире ИБ её знают прежде всего как создателя справочника по техникам атак хакеров.

    MITRE ATT&CK — это большая и постоянно обновляемая матрица, которая описывает, как злоумышленники действуют на разных стадиях атаки. Там нет фантастики, всё собрано из реальных кейсов: фишинг, эксплуатация уязвимостей, кража учётных данных, работа с PowerShell, закрепление в системе, скрытность, движение по сети и так далее.… Читать далее…

  • Заметки о ключевых видах атак. Часть 1.

    Фишинг всегда казался чем-то банальным, но чем дальше, тем очевиднее: именно простые приёмы работают лучше всего. Зачем тратить время на сложный взлом, когда можно отправить письмо с правильным тоном и логотипом, и человек сам отдаст пароль? Здесь всё строится на доверии и невнимательности. Даже те, кто уверен в своей «подкованности», легко попадаются, когда сообщение совпадает по контексту: срочный запрос от начальника, обновление почты или уведомление банка.

    С уязвимостями на периметре ситуация не лучше. Периметр живёт своей жизнью: сервисы поднимаются для теста и остаются висеть, веб-приложения обновляются нерегулярно, патчи ставятся «когда будет время».… Читать далее…