CyberLaka

защити свои данные, управляй безопасностью с умом

Log цифровой крепости

  • Что такое DDoS-атака, просто и понятно

    DDoS-атака (Distributed Denial of Service — распределённый отказ в обслуживании) — это попытка вывести из строя сайт или сервис, создавая на нём чрезмерную нагрузку. Представь, что кто-то одновременно запускает тысячи и миллионы «пустых» посетителей на один и тот же сайт, но цель этих посетителей — не посмотреть страницу, а просто «забить» канал, загрузить процессор или исчерпать ресурсы сервера. Как результат — обычные пользователи не могут попасть на сайт, всё тормозит или вообще перестаёт работать.

    Главное отличие DDoS от обычной DoS-атаки в том, что она идёт не с одного компьютера, а с огромного количества устройств.… Читать далее…

  • Есть такое явление как «теневое IT»

    Есть такое явление как «теневое IT»

    Это головная боль для любого отдела информационной безопасности. Представьте: обычный сотрудник, без злого умысла, просто решил скинуть служебный документ себе на Google Диск, чтобы дома на диване, в халате, под чаёк с сушками дочитать и доделать. Удобно? Конечно. Безопасно? Ни разу.

    Теневое IT — это когда люди берут и в обход всех корпоративных правил и процедур используют сторонние сервисы: облака, мессенджеры, личные почты, флешки с AliExpress за 150 рублей. Они не злодеи — просто им так проще, быстрее, роднее. Они не хотят вспоминать пароль от корпоративного VPN, особенно если он меняется каждые 3 или 6 месяцев и состоит из тринадцати символов, включая ё, доллар и древнегреческий омегу.… Читать далее…

  • Сегмент с “чистым” профилем трафика легче мониторить, и любые отклонения в нём видны как на ладони

    Сегмент с “чистым” профилем трафика легче мониторить, и любые отклонения в нём видны как на ладони

    Один из эффективных подходов в построении сетевой безопасности — это сегментирование с учётом назначения и характера трафика в каждой подсети. Чем более однотипен трафик в сегменте, тем легче выстроить его профиль и, соответственно, тем проще обнаружить отклонения. Например, в подсети, предназначенной только для IP-телефонии, допустим исключительно голосовой трафик. Появление HTTP-запросов или передач данных по FTP будет очевидной аномалией, на которую легко среагировать даже простыми средствами мониторинга. Такой подход позволяет уменьшить фоновый “шум”, повысить качество логирования и упростить анализ инцидентов.

  • Плакат. Внутренний нарушитель.

    Плакат. Внутренний нарушитель.

  • Кто такой инсайдер в информационной безопасности?

    Кто такой инсайдер в информационной безопасности?

    В информационной безопасности часто говорят о хакерах, вирусах и уязвимостях в системах. Но одна из самых опасных угроз может скрываться внутри самой организации. Это — инсайдер.

    Кто такой инсайдер?

    Инсайдер — это человек, который имеет доступ к внутренним системам и данным компании и использует этот доступ вредоносным образом. Это может быть:

    • Действующий сотрудник, которого подкупили, шантажировали или уволили, но он ещё имеет доступ к системе.
    • Временный работник или подрядчик с доступом к информации.
    • Человек, который специально устроился в компанию, чтобы в будущем нанести вред — например, внедриться по заданию конкурентов или преступной группы.
    Читать далее…

  • Процесс построения информационной безопасности в организации

    Некоторое время системно выстраиваю этапы и подход к построению информационной безопасности с нуля в условиях ограниченных людских ресурсов и организационных ограничений, которые в той или иной степени присутствуют в большинстве компаний. На практике приходится учитывать не только технические аспекты, но и нормативные требования законодательства Российской Федерации, а также особенности внутренней бюрократии, мешающей оперативному внедрению даже базовых мер. Несмотря на это, безопасность должна разворачиваться как непрерывный управляемый процесс, а не как разовая история.

    Практика показывает: самое большое заблуждение — пытаться “сразу всё защитить”. Без чёткого плана, понимания бизнес-процессов и реальных рисков любые попытки могут превратиться в хаотичное внедрение “железа и коробок”, которые не дают реальной устойчивости.… Читать далее…

  • Как фишинговое письмо почти убедило сотрудника, что у нас проблемы с налоговой

    Как фишинговое письмо почти убедило сотрудника, что у нас проблемы с налоговой

    Недавно в нашей организации произошёл интересный и поучительный инцидент — один из сотрудников получил письмо якобы от налоговой службы, в котором утверждалось, что в отношении нашей компании выявлены признаки теневой занятости, и нужно срочно предоставить документы. Письмо выглядело достаточно убедительно, чтобы вызвать беспокойство.

    Вот что было внутри:

    Отправитель: почта_пользователя@mail.ru

    Тема письма: Требование по документации

    Содержимое: Обширный текст с упоминаниями “Межведомственной комиссии”, “ФНС”, “Минтруда”, закона №565-ФЗ и постановления №571.

    Приложение: PDF-файл с описанием “проблемы”, требованием отправить документы и QR-кодом для “получения оригиналов” через CDEK.

    Почему это фишинг?

    Несмотря на внешний антураж и грамотную стилистику, письмо оказалось поддельным.… Читать далее…

  • Мониторинг важнее идеальной защиты: почему скорость реакции — ключ к безопасности

    Мониторинг важнее идеальной защиты: почему скорость реакции — ключ к безопасности

    Всегда стараюсь объяснять сложное более просто и понятно на примерах. Так и себя лишний раз тренирую, росту и получаю опыт. Хороший или плохой — это опыт, где всегда можно проанализировать и сделать выводы.

    Когда ты только входишь в мир ИБ, кажется, что главная цель — создать идеальную защиту:

    всё закрыть, всё запретить, поставить лучшие фаерволы, антивирусы, WAF, SIEM и т.п.

    Но реальность быстро ставит на место.

    Абсолютной защиты не бывает.

    А вот что действительно спасает — это вовремя заметить, что что-то пошло не так, и среагировать.

    Почему идеальная защита — это миф

    • Любая система может быть взломана.
    Читать далее…

  • Стоит ли ставить WAF на внутренний веб-сервер?

    Допустим, у тебя в сети есть веб-сервер. Он доступен только внутри сети, то есть снаружи интернета до него никто не доберётся. И вот ты думаешь:

    А надо ли ставить перед ним WAF?

    Ведь кажется — зачем? Никто же его с улицы не видит…

    Но, если ты изучаешь подход Zero Trust, то начинаешь понимать:

    Безопасность — это не про доверие, а про проверку. Даже внутри своей сети.

    Разберёмся по шагам.

    Что такое WAF и зачем он вообще нужен

    WAF (Web Application Firewall) — это такая защита, которая фильтрует HTTP-запросы к веб-приложениям.

    Он ищет в них опасные вещи — например:

    • попытки SQL-инъекций;
    • вредоносные скрипты (XSS);
    • странные заголовки или подозрительные запросы.
    Читать далее…

  • Почему стоит использовать отечественные решения по ИБ, даже если они уступают западным по функционалу

    Когда речь идёт об информационной безопасности, важно смотреть не только на удобство интерфейса или широту функционала. ИБ — это в первую очередь доверие, контроль и независимость.

    1. Ты доверяешь не только технологии, но и поставщику

    Западный вендор — это чужая юрисдикция, чужие законы и, возможно, чужие интересы. В критический момент ты не контролируешь, что с тобой сделают:

    • Заблокируют обновления.
    • Отключат лицензии.
    • Встроят «бэкдор», о котором ты даже не узнаешь.
    • Или просто исчезнут с рынка.

    С отечественными решениями рисков меньше: они работают внутри твоего правового поля, а доступ к коду, поддержке и серверам не перекрыт санкциями.… Читать далее…