В любой компании незаметно раскручивается старая пластинка: админы жалуются, что защитники «глушат» сервера агентами, безопасники парируют обвинением «вы сами открыли дверь в инфраструктуру». При этом обе команды, если смотреть сверху, строят один и тот же продукт — живой сервис, который должен и работать быстро, и не превращаться в точку входа для чужих рук. Просто исторически их мерили разными линейками.

Интересно наблюдать, как вопросы меняют краску, когда речь идёт о проекте «с нуля». Стоит архитектору позвать безопасника за стол на этапе выбора стеков, и большинство конфликтов исчезает ещё до того, как успели родиться.… Читать далее…

В корпоративной безопасности давно звучит образ «человеческого фаервола». Идея проста: пока письмо-приманка или заражённая флешка не пересекли барьер в виде внимательного человека, технические системы остаются в стороне. Но насколько реалистично рассчитывать на эту линию обороны — и как вообще формировать у людей рефлекс «сначала подумай»?

Любопытно, что любая попытка «натаскать» сотрудников на конкретные примеры фишинга быстро теряет актуальность. Шаблоны меняются быстрее учебных слайдов, а злоумышленники давно обращаются к тем же генераторам дизайна, что и легальные маркетологи. Получается, что избыточная детализация — ловушка: запомнить все варианты невозможно, а ощущение «я знаю, как выглядит фейк-письмо» создаёт ложную уверенность.… Читать далее…

С каждым дополнительным барьером в защите стоимость атаки для злоумышленника растёт. Не только в деньгах — во времени, риске раскрытия, объёме подготовительной работы. Точка, где усилия перестают окупаться, оказывается удивительно близкой: лишняя проверка на входе, своевременный патч или банальная сегментация сети могут сместить баланс в сторону «не стоит того».

Интересно наблюдать, как киберпреступные кампании всё чаще идут по пути наименьшего сопротивления. Не потому, что сложные взломы невозможны, — они просто становятся экономически невыгодными по сравнению с массовым фишингом или покупкой готового доступа «с рук». В итоге ландшафт угроз начинает напоминать притчу об исследователе, который ищет ключи под фонарём — не из-за того что потерял их там, а потому что «тут светлее».… Читать далее…

Malware (от «malicious software» — вредоносное ПО) — это любая программа, созданная для нанесения вреда: кражи данных, вымогательства, скрытого майнинга, внедрения бэкдоров или просто нарушения работы систем. Классические «вирусы», трояны, сетевые черви, шифровальщики-ransomware, шпионские модули и ботнет-клиенты — всё это виды одного явления, отличающиеся лишь задачей и техникой распространения. Попадает malware туда же, куда и обычный софт: через вложения почты и мессенджеров, USB-носители, уязвимости веб-браузеров, заражённые обновления, рекламные баннеры, взломанные сайты и даже фальшивые расширения. Логика проста: чем менее заметен путь доставки, тем выше шанс заражения.

После проникновения вредонос обычно проходит одни и те же этапы: закрепляется (изменяет реестр, ставит службу, добавляет планировщик), маскируется (ключи автозапуска, процессы-дубликаты), устанавливает связь с управляющим сервером (C2), выполняет основную полезную нагрузку и по возможности распространяется дальше, ищет пароли, шифрует файлы или разворачивает прокси.… Читать далее…

Если вы когда-нибудь заходили в свой аккаунт и вас просили ввести не только пароль, но и код из SMS или подтвердить вход через приложение, значит, вы уже сталкивались с многофакторной авторизацией.

Чтобы не путаться в терминах, давайте разложим всё по полочкам.

Двухфакторная авторизация (2FA) — это когда для входа используются ровно два разных способа подтверждения вашей личности. Например:

• ваш пароль (то, что вы знаете)
• одноразовый код из приложения или SMS (то, что у вас есть)

Такой вариант защиты сейчас самый распространённый, потому что он относительно простой и при этом серьёзно усложняет жизнь злоумышленникам.… Читать далее…

Интересный кейс, с которым может столкнуться любая организация, особенно та, где используются внутренние информационные системы.

Речь о системе, доступ к которой осуществляется через браузер. Всё просто, но с одним важным условием — работать она безопасно может только через современную версию браузера. А современные браузеры, как известно, уже давно не поддерживают устаревшие операционные системы вроде Windows 7 и тем более XP. При этом в реальности таких машин ещё достаточно много — они стоят, крутятся, вроде бы работают, и про них “забыли”.

В какой-то момент было принято технически правильное и обоснованное решение — разрешить доступ к системе только с последних версий браузеров.… Читать далее…

Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…