В инструкциях внедрение средства защиты от НСД выглядит безупречно: спланировал, развернул, настроил — и безопасность на высоте.

В реальной корпоративной среде всё сложнее: новое решение может затронуть привычные бизнес-процессы, а иногда и замедлить их. Не из-за “плохого” продукта, а из-за того, что он встраивается в живую, сложную систему, формировавшуюся десятки лет.

В таких условиях ИТ и ИБ становятся скорее аварийными бригадами: оперативно локализуют проблемы, устраняют сбои и при этом стараются не парализовать работу компании.

Поэтому к внедрению СЗИ от НСД стоит подходить с холодной головой: запастись терпением, тщательно протестировать продукт в боевых условиях, подготовиться к масштабному разворачиванию и чётко понимать, что делать при сбоях на рабочих местах.… Читать далее…

Malware (от «malicious software» — вредоносное ПО) — это любая программа, созданная для нанесения вреда: кражи данных, вымогательства, скрытого майнинга, внедрения бэкдоров или просто нарушения работы систем. Классические «вирусы», трояны, сетевые черви, шифровальщики-ransomware, шпионские модули и ботнет-клиенты — всё это виды одного явления, отличающиеся лишь задачей и техникой распространения. Попадает malware туда же, куда и обычный софт: через вложения почты и мессенджеров, USB-носители, уязвимости веб-браузеров, заражённые обновления, рекламные баннеры, взломанные сайты и даже фальшивые расширения. Логика проста: чем менее заметен путь доставки, тем выше шанс заражения.

После проникновения вредонос обычно проходит одни и те же этапы: закрепляется (изменяет реестр, ставит службу, добавляет планировщик), маскируется (ключи автозапуска, процессы-дубликаты), устанавливает связь с управляющим сервером (C2), выполняет основную полезную нагрузку и по возможности распространяется дальше, ищет пароли, шифрует файлы или разворачивает прокси.… Читать далее…

Если вы когда-нибудь заходили в свой аккаунт и вас просили ввести не только пароль, но и код из SMS или подтвердить вход через приложение, значит, вы уже сталкивались с многофакторной авторизацией.

Чтобы не путаться в терминах, давайте разложим всё по полочкам.

Двухфакторная авторизация (2FA) — это когда для входа используются ровно два разных способа подтверждения вашей личности. Например:

• ваш пароль (то, что вы знаете)
• одноразовый код из приложения или SMS (то, что у вас есть)

Такой вариант защиты сейчас самый распространённый, потому что он относительно простой и при этом серьёзно усложняет жизнь злоумышленникам.… Читать далее…

Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…

Это головная боль для любого отдела информационной безопасности. Представьте: обычный сотрудник, без злого умысла, просто решил скинуть служебный документ себе на Google Диск, чтобы дома на диване, в халате, под чаёк с сушками дочитать и доделать. Удобно? Конечно. Безопасно? Ни разу.

Теневое IT — это когда люди берут и в обход всех корпоративных правил и процедур используют сторонние сервисы: облака, мессенджеры, личные почты, флешки с AliExpress за 150 рублей. Они не злодеи — просто им так проще, быстрее, роднее. Они не хотят вспоминать пароль от корпоративного VPN, особенно если он меняется каждые 3 или 6 месяцев и состоит из тринадцати символов, включая ё, доллар и древнегреческий омегу.… Читать далее…

Один из эффективных подходов в построении сетевой безопасности — это сегментирование с учётом назначения и характера трафика в каждой подсети. Чем более однотипен трафик в сегменте, тем легче выстроить его профиль и, соответственно, тем проще обнаружить отклонения. Например, в подсети, предназначенной только для IP-телефонии, допустим исключительно голосовой трафик. Появление HTTP-запросов или передач данных по FTP будет очевидной аномалией, на которую легко среагировать даже простыми средствами мониторинга. Такой подход позволяет уменьшить фоновый “шум”, повысить качество логирования и упростить анализ инцидентов.

В информационной безопасности часто говорят о хакерах, вирусах и уязвимостях в системах. Но одна из самых опасных угроз может скрываться внутри самой организации. Это — инсайдер.

Кто такой инсайдер?

Инсайдер — это человек, который имеет доступ к внутренним системам и данным компании и использует этот доступ вредоносным образом. Это может быть:

• Действующий сотрудник, которого подкупили, шантажировали или уволили, но он ещё имеет доступ к системе.
• Временный работник или подрядчик с доступом к информации.
• Человек, который специально устроился в компанию, чтобы в будущем нанести вред — например, внедриться по заданию конкурентов или преступной группы.