CyberLaka

защити свои данные, управляй безопасностью с умом

Метка: Наподумать

Техника или нормативка?

Представьте организацию, где отдел информационной безопасности появился только недавно. До этого о защите толком никто не задумывался: сотни серверов, тысячи рабочих мест, сложная сеть — и никакой системной ИБ.

За полгода удалось построить фундамент технической защиты: внедрены SIEM и EDR, централизован антивирус, запущен сбор логов, управление уязвимостями, WAF, сегментация сетей, процессы обновлений и прочее. Даже начали работать с СЗИ от НСД, пусть и с трудностями. Казалось бы — отличный прогресс.

Но дальше возникает вопрос: что делать с нормативкой?
Законы требуют модели угроз, технических паспортов, регламентов, оценки эффективности. Без этого любая проверка может показать пальцем: «У вас нет документов».… Читать далее…

26.09.2025
Сбор событий и независимость от SIEM

На одной из конференций услышал интересный подход к организации сбора событий информационной безопасности. Обычно логи сразу направляют в SIEM, где они хранятся и обрабатываются. Но в такой схеме организация сильно зависит от конкретного вендора: сменить систему сложно, а иногда и невозможно без больших затрат.

В предложенном решении архитектура строится иначе: события сначала собираются в единый поток с помощью открытых инструментов, попадают в шину данных и только после этого передаются в SIEM. Такой подход создаёт дополнительный уровень гибкости — в любой момент можно заменить конечную систему на другую, не ломая весь процесс.… Читать далее…

26.09.2025
Заметки о ключевых видах атак. Часть 2.

Фишинг давно перестал быть «письмом с ошибками». Сегодня он работает именно потому, что выглядит буднично. Письмо «от IT-отдела» про сброс пароля, приглашение на встречу в календаре, уведомление о доставке — всё в привычном стиле и в нужный момент. Человек торопится, кликает по ссылке или открывает вложение — и этого достаточно, чтобы злоумышленник оказался внутри.

Каналы уже не ограничиваются почтой. Это могут быть мессенджеры, корпоративные чаты, облачные сервисы. Часто атака строится не вокруг «скачайте файл», а вокруг согласия: подтвердить вход, выдать доступ приложению, пройти «верификацию». Иногда даже используют усталость от MFA — постоянные пуш-запросы, пока человек не нажмёт «разрешить», просто чтобы отвязаться.… Читать далее…

03.09.2025
IT и безопасность: работаем вместе, а не мешаем друг другу

В любой компании незаметно раскручивается старая пластинка: админы жалуются, что защитники «глушат» сервера агентами, безопасники парируют обвинением «вы сами открыли дверь в инфраструктуру». При этом обе команды, если смотреть сверху, строят один и тот же продукт — живой сервис, который должен и работать быстро, и не превращаться в точку входа для чужих рук. Просто исторически их мерили разными линейками.

Интересно наблюдать, как вопросы меняют краску, когда речь идёт о проекте «с нуля». Стоит архитектору позвать безопасника за стол на этапе выбора стеков, и большинство конфликтов исчезает ещё до того, как успели родиться.… Читать далее…

18.07.2025
Стоимость атаки и выбор целей: размышления

С каждым дополнительным барьером в защите стоимость атаки для злоумышленника растёт. Не только в деньгах — во времени, риске раскрытия, объёме подготовительной работы. Точка, где усилия перестают окупаться, оказывается удивительно близкой: лишняя проверка на входе, своевременный патч или банальная сегментация сети могут сместить баланс в сторону «не стоит того».

Интересно наблюдать, как киберпреступные кампании всё чаще идут по пути наименьшего сопротивления. Не потому, что сложные взломы невозможны, — они просто становятся экономически невыгодными по сравнению с массовым фишингом или покупкой готового доступа «с рук». В итоге ландшафт угроз начинает напоминать притчу об исследователе, который ищет ключи под фонарём — не из-за того что потерял их там, а потому что «тут светлее».… Читать далее…

16.07.2025