CyberLaka

защити свои данные, управляй безопасностью с умом

Log цифровой крепости

  • Что такое malware и почему об этом важно знать

    Что такое malware и почему об этом важно знать

    Malware (от «malicious software» — вредоносное ПО) — это любая программа, созданная для нанесения вреда: кражи данных, вымогательства, скрытого майнинга, внедрения бэкдоров или просто нарушения работы систем. Классические «вирусы», трояны, сетевые черви, шифровальщики-ransomware, шпионские модули и ботнет-клиенты — всё это виды одного явления, отличающиеся лишь задачей и техникой распространения. Попадает malware туда же, куда и обычный софт: через вложения почты и мессенджеров, USB-носители, уязвимости веб-браузеров, заражённые обновления, рекламные баннеры, взломанные сайты и даже фальшивые расширения. Логика проста: чем менее заметен путь доставки, тем выше шанс заражения.

    После проникновения вредонос обычно проходит одни и те же этапы: закрепляется (изменяет реестр, ставит службу, добавляет планировщик), маскируется (ключи автозапуска, процессы-дубликаты), устанавливает связь с управляющим сервером (C2), выполняет основную полезную нагрузку и по возможности распространяется дальше, ищет пароли, шифрует файлы или разворачивает прокси.… Читать далее…

  • Чем отличается двухфакторная авторизация от мультифакторной?

    Чем отличается двухфакторная авторизация от мультифакторной?

    Если вы когда-нибудь заходили в свой аккаунт и вас просили ввести не только пароль, но и код из SMS или подтвердить вход через приложение, значит, вы уже сталкивались с многофакторной авторизацией.

    Чтобы не путаться в терминах, давайте разложим всё по полочкам.

    Двухфакторная авторизация (2FA) — это когда для входа используются ровно два разных способа подтверждения вашей личности. Например:

    • ваш пароль (то, что вы знаете)
    • одноразовый код из приложения или SMS (то, что у вас есть)

    Такой вариант защиты сейчас самый распространённый, потому что он относительно простой и при этом серьёзно усложняет жизнь злоумышленникам.… Читать далее…

  • Безопасное наименование узлов внутри сети

    Один из часто упускаемых, но важных аспектов построения безопасной IT-инфраструктуры — это политика наименования серверов, рабочих станций и виртуальных машин. Казалось бы, безобидные имена вроде backup-srv или admin-vpn могут существенно облегчить жизнь злоумышленнику, уже попавшему во внутреннюю сеть.

    Чем меньше “шумов” оставлять в именах — тем меньше поводов для разведки у злоумышленника внутри сети. Идеальная практика — баланс между безопасностью и управляемостью:

    Для администрирования — полная структура хранится в CMDB.

    Для ИБ — обезличенные имена внутри.

  • Кейс. Разделяем зону ответственности ИБ и IT.

    Кейс. Разделяем зону ответственности ИБ и IT.

    Интересный кейс, с которым может столкнуться любая организация, особенно та, где используются внутренние информационные системы.

    Речь о системе, доступ к которой осуществляется через браузер. Всё просто, но с одним важным условием — работать она безопасно может только через современную версию браузера. А современные браузеры, как известно, уже давно не поддерживают устаревшие операционные системы вроде Windows 7 и тем более XP. При этом в реальности таких машин ещё достаточно много — они стоят, крутятся, вроде бы работают, и про них “забыли”.

    В какой-то момент было принято технически правильное и обоснованное решение — разрешить доступ к системе только с последних версий браузеров.… Читать далее…

  • Threat intelligence как основа информационной безопасности

    На старте построения системы информационной безопасности внимание обычно сосредотачивается на базовых вещах: антивирусы, межсетевые экраны, минимизация доступов, устранение очевидных уязвимостей. Эти меры действительно важны. Однако по мере погружения в практику становится ясно: эффективная защита — это не просто набор средств, а понимание того, от кого и каким образом следует защищаться.

    Именно в этом контексте ключевым понятием становится threat intelligence — разведка киберугроз. Речь идёт не о классической разведке, а о цифровой информации, позволяющей принимать обоснованные решения на основе данных: какие угрозы актуальны в конкретный момент, какие инструменты используют злоумышленники, какие уязвимости находятся под прицелом и как меняется поведение атакующих групп.… Читать далее…

  • Зачем просто блокировать сайты, если можно думать шире

    Зачем просто блокировать сайты, если можно думать шире

    Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

    Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…

  • Что такое DDoS-атака, просто и понятно

    DDoS-атака (Distributed Denial of Service — распределённый отказ в обслуживании) — это попытка вывести из строя сайт или сервис, создавая на нём чрезмерную нагрузку. Представь, что кто-то одновременно запускает тысячи и миллионы «пустых» посетителей на один и тот же сайт, но цель этих посетителей — не посмотреть страницу, а просто «забить» канал, загрузить процессор или исчерпать ресурсы сервера. Как результат — обычные пользователи не могут попасть на сайт, всё тормозит или вообще перестаёт работать.

    Главное отличие DDoS от обычной DoS-атаки в том, что она идёт не с одного компьютера, а с огромного количества устройств.… Читать далее…

  • Есть такое явление как «теневое IT»

    Есть такое явление как «теневое IT»

    Это головная боль для любого отдела информационной безопасности. Представьте: обычный сотрудник, без злого умысла, просто решил скинуть служебный документ себе на Google Диск, чтобы дома на диване, в халате, под чаёк с сушками дочитать и доделать. Удобно? Конечно. Безопасно? Ни разу.

    Теневое IT — это когда люди берут и в обход всех корпоративных правил и процедур используют сторонние сервисы: облака, мессенджеры, личные почты, флешки с AliExpress за 150 рублей. Они не злодеи — просто им так проще, быстрее, роднее. Они не хотят вспоминать пароль от корпоративного VPN, особенно если он меняется каждые 3 или 6 месяцев и состоит из тринадцати символов, включая ё, доллар и древнегреческий омегу.… Читать далее…

  • Сегмент с “чистым” профилем трафика легче мониторить, и любые отклонения в нём видны как на ладони

    Сегмент с “чистым” профилем трафика легче мониторить, и любые отклонения в нём видны как на ладони

    Один из эффективных подходов в построении сетевой безопасности — это сегментирование с учётом назначения и характера трафика в каждой подсети. Чем более однотипен трафик в сегменте, тем легче выстроить его профиль и, соответственно, тем проще обнаружить отклонения. Например, в подсети, предназначенной только для IP-телефонии, допустим исключительно голосовой трафик. Появление HTTP-запросов или передач данных по FTP будет очевидной аномалией, на которую легко среагировать даже простыми средствами мониторинга. Такой подход позволяет уменьшить фоновый “шум”, повысить качество логирования и упростить анализ инцидентов.

  • Плакат. Внутренний нарушитель.

    Плакат. Внутренний нарушитель.