Очень часто можно услышать фразу:

«Этот сервер не доступен из Интернета, значит всё нормально».

На первый взгляд логика понятна. Если злоумышленник не может подключиться к серверу извне, то и опасаться вроде бы нечего.

Но современная информационная безопасность давно перестала ограничиваться только защитой периметра.

Любая сеть должна проектироваться исходя из того, что однажды злоумышленник всё-таки окажется внутри.

Неважно каким способом.

Через заражённое письмо, украденную VPN-учётную запись, скомпрометированный ноутбук подрядчика, уязвимость в каком-либо сервисе или обычную ошибку пользователя.

После получения первоначального доступа начинается следующий этап атаки — изучение инфраструктуры.

Злоумышленник ищет серверы, сетевое оборудование, базы данных, веб-интерфейсы, SSH, RDP и другие сервисы управления.… Читать далее…

При обнаружении компрометации учётной записи ключевой задачей является не восстановление доступа, а прекращение дальнейшего использования скомпрометированных полномочий. Любая задержка на этом этапе увеличивает вероятность lateral movement, закрепления и расширения зоны воздействия.

Lateral movement — это этап атаки, при котором злоумышленник, получив начальный доступ к одной системе в сети, перемещается между другими системами, расширяя область контроля без повторного взлома периметра.

Последовательность действий определяется уровнем привилегий учётной записи и тем, к какому Tier она относится.

Первым шагом является ограничение возможности аутентификации. Учётная запись блокируется или изолируется от использования, а активные сессии, если это возможно, принудительно завершаются.… Читать далее…

Профилированный трафик снижает эффективность автоматизированных инструментов, которые рассчитывают на стандартный набор сервисов и протоколов. Для дальнейшего продвижения требуется анализ допустимых взаимодействий внутри конкретного сегмента и понимание того, какие сервисы доступны и каким образом с ними можно корректно взаимодействовать.

Дополнительный эффект достигается за счёт наблюдаемости. Когда сетевой профиль сегмента известен и стабилен, любые отклонения от него легко выявляются средствами сетевого мониторинга. Попытки использовать неподходящие протоколы, туннелирование или нетипичные направления соединений формируют чёткие сигналы для обнаружения.

Что такое модель нарушителя

Модель нарушителя — это, по сути, описание потенциального злоумышленника: кто он, что знает, какие у него цели, возможности и способы действий. Это не портрет конкретного хакера, а формализованный ( или не формализованный ) образ того, кто может попытаться нарушить безопасность системы.

Проще говоря: прежде чем защищаться, нужно понять, от кого именно ты защищаешься.

Что включает модель нарушителя

Даже в упрощённом виде она должна содержать:

• Категории нарушителей — внутренние и внешние.
• Цели — чего добивается злоумышленник: кража данных, саботаж, получение прибыли и т. д.
• Количество — действует один человек или группа.

… Читать далее…

Большинство думает, что антивирус — это галочка в списке «информационная безопасность». Но на деле он либо реально защищает, либо просто ест ресурсы и самоуспокаивает администратора.

Вот девять вещей, которые стоит дополнительно настроить, чтобы антивирус был оружием, а не амулетом.

1. Боевой профиль на случай ЧП. Держите под рукой жёсткую политику с максимальными мерами защиты. При массовом заражении, шифровальщике или другой заразы — включается она, без лишних совещаний.
2. Доступ к консоли только через 2FA и с белого списка IP. Менеджмент-сервер — лакомая цель. Двухфакторка и доступ только с определённых адресов — минимум гигиены.

… Читать далее…