Полешук в мире ИБ

CISA (Агентство кибербезопасности и инфраструктуры США) подготовило рекомендации, которые помогают защитить ваши данные и коммуникации от киберугроз. Вдохновившись материалом я написал простые, но эффективные советы для всех — от обычных пользователей до руководителей бизнеса как держать устройство в безопасности.

📱Общие рекомендации

🔸Переходите на зашифрованные мессенджеры
Используйте приложения с End-to-End шифрованием, такие как Signal или Telegram. Они защищают ваши сообщения и звонки от перехвата. Также там можно устанавливать таймер исчезающих сообщений, что добавляет уровень конфиденциальности.

🔸Используйте FIDO для двухфакторной аутентификации
🔸Что это? Аппаратные ключи (например, YubiKey или Google Titan Key), которые подключаются к вашему устройству через USB, NFC или Bluetooth и подтверждают вашу личность.
🔸Почему это важно? Только FIDO устойчив к фишингу, тогда как SMS или приложения с кодами могут быть подделаны.
🔸Как начать? Зарегистрируйте FIDO-ключи для важнейших аккаунтов (например, Google, Apple, Microsoft) и отключите менее надежные методы аутентификации

🔸Откажитесь от SMS как второго фактора
Если FIDO недоступен, установите приложения для аутентификации, такие как Google Authenticator, Microsoft Authenticator. Они безопаснее SMS, хотя все же уступают FIDO.

🔸Держите пароли под контролем
Используйте менеджеры паролей для создания и хранения сложных комбинаций. Защитите главный пароль надежной фразой, например: “S1@dkajaBul0cH|

Утро началось со свежего кофе и маршмеллоу и чтения закона. А вот что можно почитать вечером с печеньками ☕️

🟢Вчера Лаборатория Касперского опубликовала совместное исследование K2 Кибербезопасность, а сегодня — статью о методах, которые используют Cyber Anarchy Squad. Важно взять на заметку: в конце января 2025 года эта информация станет особенно полезной.

🔵Jet CSIRT подвели итоги уходящего года в аналитическом отчёте. В нём — детализированный разбор ключевых трендов и новых угроз. Полезный материал для тех, кто планирует стратегию защиты на 2025 год.

🟣Алексей Лукацкий, бизнес-консультант по информационной безопасности, и Елена Бастанжиева, директор по развитию бизнеса PT в России и СНГ, делятся экспертным взглядом на то, что ждёт рынок российской информационной безопасности в следующем году.

И ещё — ночью, когда все уснут…🐉
Самое время покопаться в зарубежных источниках. Да, там всё ещё много рекламы и общих слов, но иногда попадается действительно стоящая информация.

1 марта 2025 года - новый Приказ №66

☕️Утро началось с прогулки на свежем воздухе, чашки кофе с маршмеллоу и чтения обновленного Приказа ОАЦ №259.

Вот мои мысли.

Положительные изменения:
🟢теперь четко определено, что подразумевается под “открытыми каналами передачи данных” – это “сети электросвязи общего пользования”
🟢появилось уточнение: положения не распространяются на системы, обрабатывающие только общедоступные персональные данные или данные, обезличенные методами, соответствующими требованиям
🟢для систем классов «3-ин», «3-спец», «3-бг», «3-дсп» и «3-юл» разрешено взаимодействие с любыми информационными системами (ссылки на Приложение 4 в старой редации потеряли актуальность)
🟢введено требование о централизованном сборе данных о DNS-запросах с хранением в течение не менее одного месяца
🟢ежегодное тестирование на проникновение теперь обязательно для оценки защищенности информационных систем
🟢появилось требование по обнаружению и реагированию на угрозы безопасности конечных узлов (ключевое - реагирования, так что отправим на покой антивирус в конце концов - да здравствует EDR!)
🟢установлено обязательное обновление или замена активов и средств защиты после истечения их срока эксплуатации
🟢исключено требование об обязательном ежегодном внутреннем и внешнем аудите на уязвимости (но это имеет свои нюансы)
🟢упрощены или удалены ранее обязательные требования, связанные с установкой оборудования в защищенных помещениях и контролем параметров их настройки
🟢централизованный сбор сведений о событиях безопасности стал обязательным для всех классов типовых информационных систем, хотя использование SIEM по-прежнему необязательно
🟢при проектировании и создании систем защиты информации взаимодействие между системами теперь должно осуществляться через защищенные каналы передачи данных
🟢введены четкие разграничения между системами 4-XX (без подключения к Интернету) и 3-XX (с подключением)
🟢добавлены подробные требования по отображению логической и структурной схем
🟢для систем «3-бг» и «3-дсп» теперь обязательно проведение тестирования на проникновение. Это, вероятно, сократит случаи избыточных решений “на всякий случай”

Недостатки:
🟣по-прежнему отсутствуют четкие критерии соответствия требованиям, аналогичные PCI DSS
🟣в пунктах 7.5–7.7 говорится об обязательном резервном копировании, но ничего не сказано о тестировании и восстановлении из копий (по сути, копии делаются “для галочки”)
🟣формы документов разрабатываются владельцем системы с учетом его специфики. Предполагаю, что цель - исключить злоупотребления маркетингом (ребят в стиле “мы быстрее и дешевле но давайте к нам”). Однако ограничения в 180 дней на аудит остаются неизменными
🟣аттестация все еще требует выявления всех уязвимостей, без учета удобства или влияния на бизнес-процессы. Это может привести к чрезмерным требованиям к обновлениям, не всегда оправданным.

✏️Новый приказ стал более понятным, структурированным и детализированным. Однако некоторые важные аспекты, такие как тестирование резервных копий и проработка критериев соответствия требованиям, остаются нерешенными. Улучшения очевидны, но пространство для совершенствования еще есть.

Уроки архитектуры для информационной безопасности

В XVIII-XIX веках помещения пороховых мельниц строили по одному интересному принципу: три стены возводились из камня, а четвёртая — из лёгких материалов, таких как дерево или солома. Почему? Всё дело в безопасности. Если порох случайно взрывался, каменные стены защищали окружающие здания и людей, а лёгкая стена давала взрывной волне возможность “уйти за реку” — буквально уносила её энергию в сторону реки, минимизируя ущерб. Эта история — не просто инженерная находка прошлого, но и метафора для построения грамотной архитектуры информационной безопасности.

Мир информационной безопасности полон “взрывов” — утечек данных, вирусов, DDoS-атак, компрометации учетных записей. Они происходят по разным причинам: неосторожность сотрудников, уязвимости в системах или действия злоумышленников. Но как пороховые мастера предвидели взрывы и минимизировали их последствия, так и специалисты по ИБ проектируют системы, чтобы минимизировать ущерб от инцидентов.

Лёгкие стены в ИБ: что это такое?

1️⃣Сегментация сети
Представьте, что сеть вашей компании разбита на несколько зон:
🔵Внешний периметр — это то, что доступно извне (например, веб-серверы).
🔵Внутренние сервисы — такие как корпоративная почта, CRM или ERP.
🔵Критичные данные — базы данных или финансовые системы.

Если злоумышленник скомпрометирует одно из приложений на внешнем периметре, сегментация не даст ему проникнуть дальше. Это как если бы взрывная волна “упёрлась” в лёгкую стену, не повредив внутренние зоны.

2️⃣Демилитаризованная зона (DMZ)
DMZ в ИБ работает по тому же принципу, что и лёгкая стена. Это изолированная зона, где размещаются сервисы, взаимодействующие с внешним миром, например, веб-приложения. Если атака произойдёт, “взрывная волна” будет нейтрализована в этой зоне, не затронув критичные системы компании.

3️⃣Управление доступом
“Лёгкая стена” здесь — это ограничение прав доступа. Сотрудники получают только те привилегии, которые необходимы для их работы. Даже если учётная запись будет взломана, злоумышленник не сможет пробиться “за каменные стены” и добраться до ключевых ресурсов.

4️⃣Резервное копирование
Резервные копии — это как эвакуационный выход из горящего здания. Если что-то пошло не так, данные можно восстановить и продолжить работу, минимизировав последствия “взрыва”.

Каждый из этих методов создаёт своего рода “лёгкую стену”, которая принимает на себя удар и позволяет защитить остальное. Такие меры не только сдерживают угрозы, но и помогают компании пережить инциденты с минимальными потерями.

Что будет, если все стены “каменные”?

Это может звучать странно, но без “лёгкой стены” ущерб от инцидентов может быть намного выше. Когда взрывная волна не имеет выхода, она уничтожает всё на своём пути:
🔘Шифровальщик проникающий в сеть, может зашифровать все системы, если нет сегментации.
🔘Массовый DDoS может обрушить всю инфраструктуру, если нет изолированного внешнего периметра.
🔘Утечка данных становится катастрофической, если нет разграничения прав доступа.

〰️
“Лёгкая стена” в ИБ — это грамотное проектирование системы, при котором атака может произойти, но её последствия останутся локальными. Мы не можем предотвратить все “взрывы”, но можем контролировать их последствия.

Аналогия с пороховыми мельницами напоминает: иногда важно не только усилить защиту, но и предусмотреть, как безопасно “выпустить пар”.

#post

Как не превратить мониторинг в паранойю

Ревность — штука хитрая. И в жизни, и в информационной безопасности она начинается с малейших сомнений. Ну, знаете, эти “а кто тебе звонил?”, “почему логон в три ночи?” или “что это за IP-шник 185.***?”. И вроде бы поисковые действия начинаются с благих намерений: всё проверить, всё выяснить. Но вот когда ревность перерастает в манию, начинаются проблемы.

В реальной жизни такой подход заканчивается прочёсыванием телефона, допросами с пристрастием и следственными экспериментами: “а кто лайкнул?” или “а что за обед за двоих в чеке?”. В ИБ — это включение режима «смотрим ВСЁ». Терабайты логов? Скачай. Анализируй каждый пакет, каждый сигнал, каждую цифру.

Что в итоге?

Вместо реальной угрозы ты находишь:
👀Лайк троюродной сестры на фото трёхлетней давности.
👀Пинг принтера, который, как оказалось, вообще не в сети.
👀Атака, которая… о, подожди, это был внутренний тест на бдительность.

Когда ревность или подозрение переходят в манию, ты не только не находишь настоящего врага, но и изматываешь себя в первую очередь. Это тот случай, когда мониторинг превращается в самоистязание. И, конечно, ещё и изматываешь тех, кто рядом — попробуй после таких поисков объяснить, почему босс не может зайти в CRM (ты ж заблокировал на всякий случай).

Вывод?

Контролировать — это хорошо. Но не забывай, что:
💖Если ты ищешь проблему, не факт, что она есть. Иногда всё работает просто потому, что настроено правильно.
💖Ворота всегда должны быть закрыты, но не заперты в стиле “никто не выйдет, пока не выясним, кто и зачем пришёл”.
💖Ревность к системам не делает их безопаснее, как и слежка за человеком не делает отношения крепче.

Короче, ищи реальные инциденты, а не фантомы. А если чувствуешь, что начинаешь сходить с ума — лучше съешь шоколадку. Она, в отличие от безумного мониторинга, точно поднимет настроение🍫

#post

🔥Компания F.A.С.С.T. подвела итоги 2024 года. Про Беларусь нет конкретных данных, но в разрезе общих паттернов атакующих есть интересный факт - в 2024 году не менее 17 группировок хактивистов атаковали российские и белорусские организации (в прошлом году 13).

👀Подробнее на Хабре

В одном из чатов по ИБ, где собрались профессионалы, как всегда, запустили вопрос:

Во время планового аудита безопасности обнаружилось, что критически важный сервер был скомпрометирован и используется в качестве узла C2 (C&C) для ботнета. Выбери лучшее действие?

Варианты ответа:
🔤Изолировать сервер, выполнить криминалистический анализ, а затем исправить уязвимость
🔤Немедленно исправить уязвимость, выполнить криминалистический анализ, а затем изолировать сервер
🔤 Выполнить криминалистический анализ, изолировать сервер, а затем исправить уязвимость
🔤 Изолировать сервер, исправить уязвимость, а затем выполнить криминалистический анализ

Большинство проголосовало за 🔤 (я в том числе). Почему? Ну, здравый смысл вроде бы подсказывает, что сначала тушим пожар, а уже потом разбираемся, кто в него плеснул бензин.

Но не тут-то было! Правильным, по мнению автора вопроса, оказался ответ 🔤

Почему?

Предполагаю, что логика ответа такова:
1️⃣Надо собрать все улики, пока ничего не тронули. Представьте, что это преступление: злодеи уже орудовали, и ваш сервер — это их “пальцы на стекле”. Изолируете сервер, и всё пропало: доказательства стерты, злодей растворился, а вы остались у разбитого корыта.
2️⃣Всё должно быть в естественном виде. Что там делает злоумышленник? Какие соединения активны? Какие процессы работают? Пусть сервер — это аквариум, а вы смотрите, как там плавают рыбы. Трогать нельзя, иначе вода замутится.
3️⃣Не пугайте злодея раньше времени. Если вы резко отключите сервер, он заметит. А вдруг у него есть план “Б”?

Но вот что странно. Согласно условиям, сервер критически важный. То есть, пока вы смотрите в аквариум, у злодея есть доступ ко всей вашей сети. Что он там делает? Да кто его знает! Может, уже грузит ваши данные на свои сервера или запускает вирус-шифровальщик. И тут вы, как герой фильма, мрачно шепчете: “Но у нас будет полная картина событий”. Правда, всё, что останется от вашей сети, — это эта самая “картина”.

Почему все таки нужно делать по варианту🔤?

(Изоляция - Анализ - Исправление) предлагает простой, прагматичный подход:
1️⃣Вырываем сервер из лап злоумышленника. Пусть он останется без своего “пульта управления”.
2️⃣Потом анализируем. Да, возможно, не всё сохраним, но зато остановим атаку.
3️⃣И в конце чиним дыру, чтобы никто снова не пролез.

Это как пожарные: они не будут фотографировать горящий дом, чтобы “понять, откуда пошло возгорание”. Они сначала тушат.

Хорошо, душила Полесская, давай проще и на пальцах объясни

Представьте, что ваш сервер — это драгоценный сундук, а злоумышленник — вор, который копается в нём.
🔤 говорит: “Подождите, пусть вор закончит свои дела, а мы всё зафиксируем и потом его изловим”.
🔤 говорит: “Захлопнем сундук, а уж потом разберёмся, что он успел утащить”.

Скажите честно, вы сундук сразу захлопнете или будете любоваться, как вор роется в ваших сокровищах?

“Форензика сначала” звучит умно, но на практике её логика работает только в очень специфических случаях, когда компрометация не несёт прямого риска. Но если сервер критически важен, безопасность сети должна быть приоритетом.

И всё же: изоляция, потом анализ. Или сначала анализ, а потом изоляция? Решать вам, но знайте: пока вы размышляете, ваши данные могут быть где-то на другом конце Интернета… так что подумайте что вы будете делать заранее.

#post

Когда-то, занимаясь организацией деловых встреч, я услышал любопытную мысль: вопросы решаются на сцене, а решения принимаются за кулисами. Сегодня эта старая истина обросла новомодными форматами — закрытые завтраки, встречи «без галстуков» с ЛПР.

Но здесь есть закономерность: сильным компаниям такие маневры не нужны. Михаил Булгаков писал: «Никогда ничего не просите — сами предложат и сами всё дадут». Именно так: к тем, кто уверен в своих позициях, идут сами. А слабые вынуждены договариваться в темноте, шепотом, где-нибудь в кулуарах.

Особенно забавно, когда компании, гордо заявляющие о «более двух десятков лет практики», начинают продвигать услуги только сейчас. Это как если бы человек с двадцатилетним стажем работы вдруг заявил: «А вот теперь я всё-таки научился делать свою работу». Вы бы не насторожились? Стоит ли доверять тому, кто всё это время сидел в тени и вдруг решил доказать, что он эксперт?

Не менее абсурдны рассказы про «сотни тысяч клиентов». Так говорят, словно любой пользователь компании автоматически становится клиентом услуги. Это всё равно что таксист стал бы считать каждого пассажира своим другом. Но настоящая ценность измеряется не количеством «перевезённых», а их лояльностью и результатами, которые они получают.

Что же до тех, кто с энтузиазмом посещает такие «кофепития», тут совет простой: держите ухо востро. За бесплатным кофе всегда скрывается цена. Обратите внимание на ложечки: иногда под блестящим «серебром» обнаруживается дешевый пластик. И не забудьте проверить свои золотые часы — такие встречи имеют обыкновение оставлять после себя ощущение потерь.

Давно я не видел в трафике и wget на загрузку эксплойта, и chmod +x для запуска и rm -rf для удаления

Вот не люблю Unix-форензику - без дампа ОЗУ смысла нет никакого. Запускают с диска в качестве демона и все - systemclt в помощь

Недавно узнал интересный факт: браконьеров-рыбаков чаще задерживают летом. Причина вовсе не в удобстве для сотрудников органов, а в том, что рыба в теплое время года быстро портится, и браконьеры вынуждены чаще проверять свои снасти, увеличивая вероятность быть пойманными.

А как это связано с кибербезопасностью? На мой взгляд, чем “горячее сезон” в ИТ-процессах — миграция данных, аудиты, внедрение новых систем, выполнение требований регуляторов — тем сложнее злоумышленникам закрепиться в системе. Им приходится адаптироваться к изменяющейся инфраструктуре, действовать наспех и чаще совершать ошибки или “терять снасти” — свои инструменты, закладки и прочие, оставляя более явные следы.

Пример из реальной жизни: во время распродажи “Черная пятница” один из онлайн-ритейлеров заметил аномальный рост активности на сервере. Оказалось, злоумышленники пытались адаптировать стиллер, чтобы использовать нагрузку как прикрытие. Благодаря активному мониторингу и быстрой реакции их замысел провалился .

Вывод простой: чем больше активной работы ведется с системой — не на бумаге, а в реальности, — тем выше шанс поймать киберпреступника или предотвратить его действия. Динамическая, живая инфраструктура всегда сложнее для атак, чем статичная и “застывшая”.

Три года назад я пришёл в компанию с мечтой — создать центр реагирования на киберинциденты доступный для всех, который войдёт в ТОП-3 в Беларуси. Тогда эта идея казалась далёкой звездой, чем-то невероятным. Я и представить не мог, что через три года буду смотреть на результат работы: сильный, сплочённый коллектив, в котором каждый профессионал на своём месте, чётко выстроенные процессы, глубокое понимание продуктов и их возможностей. А главное — уважение к центру кибербезопасности со стороны клиентов, которые теперь ассоциируют нас с надёжностью, качеством и высоким стандартом.

А компания? За эти три года её начали воспринимать как элиту на рынке услуг. “А1 Беларусь” — это теперь модно, надежно, удобно и качественно. И я понимаю, что путь к этому успеху был не просто результатом трудолюбия. Это было время борьбы: с собой, с обстоятельствами, с рынком, со страхами, с критикой, с перфекционизмом и недостатками. Борьбы за доверие, за признание, за право быть впереди. Каждый день приносил вызовы, а каждая победа — новую планку, которую нужно было преодолеть, чтобы соответствовать ожиданиям и даже превосходить их.

Казалось бы, теперь нужно радоваться. Но радость странная. На высокой вершине радость всегда смешана с ответственностью. Ответственностью за то, чтобы остаться на этом уровне, а лучше — подняться ещё выше. Она живёт во мне, эта ответственность, как назойливый спутник: “Быстрее, лучше, уникальнее. Это ещё не предел”.

И с каждым днём этот спутник становится всё громче, не давая расслабиться. Казалось бы, я сделал многое из того, о чём мечтал, но теперь каждый успех лишь поднимает планку. И ты понимаешь, что удержаться наверху сложнее, чем туда подняться.

Время от времени я думаю: а что дальше? На вершине ведь всегда два пути: одни уходят, оставляя на пике прекрасную историю. Другие остаются, жертвуя собой ради развития. А кто-то бросает всё и строит новый мир.

Я чувствую себя витязем на распутье. Вариантов три:

1. Уйти и начать сначала, как когда-то, чтобы снова почувствовать драйв от старта.
2. Сосредоточиться и превзойти самого себя, сделав идеальную работу, превратив нынешний успех в устойчивое наследие.
3. Или, может, домик у фьорда? Собака, уют, тепло, удочка на форель и неспешный ритм. Тот самый мир, где время течёт медленно, а счастье прячется в простоте.

Какой путь выберу я? Не знаю. Но точно знаю одно: каким бы ни было решение, оно будет наполнено той же страстью, с которой я шёл к сегодняшнему дню. Ведь когда вкладываешь сердце в дело, каждый шаг — это не просто работа, это жизнь.

Никогда не думал, что сдача экзаменов у вендора мне будет приносить состояние «Гарольд испытывает боль».

Вот вопрос: «При выборе региона United States/Canada где будет создан пользовательский тенант» ответ «United States/Canada» не правильный. И все же верно, наверное потому что ответ на этот вопрос прячется в онлайн-справке маленьким текстом между Общим описанием и Алфавитным указателем.

И так каждый второй вопрос написаный через место.

Как бы я не готовился к экзаменам, какие бы красные глаза у меня не были - никогда не ожидаешь подлости составителей вопросов.

Да, самое главное - экзамен по продукту который я сдаю ВООБЩЕ НЕ ПРОДАЕТСЯ В БЕЛАРУСИ! Я задаю то, что вообще не нужно, но нужно.

Читая книги (а у меня мания на иностранную ИБ-литературу, бизнес для чайников начинающих, поведенческая психология и маниакальные расстройства личности… 🤗) сегодня нарушу правило публиковать притчи.

Часто в книгах приводят цитаты великих людей и порой эти цитаты на столько яркие в своем контексте, что смысла в них время на «послевкусие» гораздо больше, чем в абзаце. Сегодня меня поразила фраза Вольфганга Гете:

«Из двух ссорящихся более виноват тот, кто умнее»

Украл позаимствовал у Алексея Викторовича клятву позитивного человека.

С одной стороны понимаю, что нужно быть позитивным: к тебе тянутся люди, крепкое душевное здоровье, прекрасный способ бороться с несправедливостью и неприятностями.

С другой: люди начинают переходить границы, здоровье все равно не обмануть, несправедливости и неприятностей больше.

Вот как быть: быть позитивным или мрачной тучкой, но с солнышком внутри?