Западные CA уже не раз отказывали российским сайтам в выпуске сертификатов. Теперь еще и отзывают. Пока это выглядит как точечные истории, но санкционная логика работает в одну сторону — давление только растёт. Рано или поздно это может стать системным, и тогда обычный пользователь увидит на привычном сайте страшное предупреждение браузера. Дальше он этот сайт просто закроет.

Когда об этом заходит разговор, первая мысль у всех одна: надо провести кампанию, дать людям инструкцию, пусть поставят российский корневой сертификат сами. Идея понятная, но я в неё не верю.

Дело не в том, что пользователи тупые или ленивые.… Читать далее…

Есть одна закономерность, которую я наблюдаю практически постоянно.

Появляется новое средство защиты.

WAF. Антивирус. EDR. IDS. IPS. Контроль приложений. Любой другой инструмент безопасности.

И через некоторое время обязательно находится человек, который говорит:

— Эта штука всё ломает.

Иногда это администратор. Иногда разработчик. Иногда руководитель проекта.

Но смысл всегда один:

— До вас всё работало нормально.

На самом деле это одна из самых интересных иллюзий в информационной безопасности.

Очень часто система безопасности ничего не ломает.

Она просто показывает проблему, которая существовала задолго до её появления.

Проблему, которую никто раньше не замечал.

Или не хотел замечать.… Читать далее…

Очень часто можно услышать фразу:

«Этот сервер не доступен из Интернета, значит всё нормально».

На первый взгляд логика понятна. Если злоумышленник не может подключиться к серверу извне, то и опасаться вроде бы нечего.

Но современная информационная безопасность давно перестала ограничиваться только защитой периметра.

Любая сеть должна проектироваться исходя из того, что однажды злоумышленник всё-таки окажется внутри.

Неважно каким способом.

Через заражённое письмо, украденную VPN-учётную запись, скомпрометированный ноутбук подрядчика, уязвимость в каком-либо сервисе или обычную ошибку пользователя.

После получения первоначального доступа начинается следующий этап атаки — изучение инфраструктуры.

Злоумышленник ищет серверы, сетевое оборудование, базы данных, веб-интерфейсы, SSH, RDP и другие сервисы управления.… Читать далее…

Фишинг давно перестал быть «письмом с ошибками». Сегодня он работает именно потому, что выглядит буднично. Письмо «от IT-отдела» про сброс пароля, приглашение на встречу в календаре, уведомление о доставке — всё в привычном стиле и в нужный момент. Человек торопится, кликает по ссылке или открывает вложение — и этого достаточно, чтобы злоумышленник оказался внутри.

Каналы уже не ограничиваются почтой. Это могут быть мессенджеры, корпоративные чаты, облачные сервисы. Часто атака строится не вокруг «скачайте файл», а вокруг согласия: подтвердить вход, выдать доступ приложению, пройти «верификацию». Иногда даже используют усталость от MFA — постоянные пуш-запросы, пока человек не нажмёт «разрешить», просто чтобы отвязаться.… Читать далее…