“Защита не должна быть монолитной стеной, которую пытаются взломать. Она должна быть живой системой, которая постоянно проверяет и учится. Моя задача — сделать эту систему частью повседневной работы, чтобы она не мешала, а помогала.” Что ломает Zero Trust и почему это хорошо Классическая модель безопасности строится на периметре. Предполагается, что офис, внутренняя сеть или корпоративный … Читать далее
"Безопасность API, это не про шифрование и сертификаты, а про то, как система решает, кому можно, а кому нельзя. Самые частые ошибки, это не баги в коде, а неверные допущения о том, как работает авторизация в распределённой системе. Мы часто думаем о проверке токена, но забываем, что происходит после неё." Почему авторизация в API, это … Читать далее
«Даже самая надёжная система защиты зависит от самого слабого звена. Двухфакторная аутентификация не исключение — её взламывают не через лобовую атаку на алгоритмы, а через человека, сеанс браузера и доверие.» Где слабое звено: сеанс браузера, а не код подтверждения Представление о двухфакторной аутентификации как о неприступной стене ошибочно. Уязвимость не в самом коде из SMS … Читать далее
«Матрица ролей, это не просто табличка в Excel, которую показывают аудитору. Это живой механизм, который либо работает на вас, экономя время и снижая риски, либо против, создавая иллюзию контроля и бесконечные согласования. Основная проблема в том, что её часто строят от абстрактных требований, а не от реальных бизнес-процессов. В итоге получается идеальная, но нефункциональная конструкция.» … Читать далее
ПРЕДУПРЕЖДЕНИЕ: Материал предназначен для повышения осведомленности о киберугрозах. Все методы применяются только в законных целях с разрешения владельцев систем. Почему код из SMS приходит раньше push-уведомления банка SMS использует служебный канал сети с высоким приоритетом. Сообщение доставляется напрямую через центр коммутации, минуя интернет-протоколы. Push-уведомление проходит длинный путь через серверы Google или Apple. В итоге код … Читать далее
«Изначально MFA казался надёжным щитом от парольных атак, но со временем мы поняли, что он превратился в сложную систему балансирования между удобством и безопасностью, где каждый фактор, это не просто дополнительный замок, а новая уязвимость для социальной инженерии, перехвата или устаревшей криптографии. Его внедрение часто сводится к механической «галочке», а реальная защита зависит от тонких … Читать далее
«Многофакторная аутентификация не ломается — ей просто надоедают. Атака MFA bombing использует не уязвимость в коде, а когнитивную перегрузку человека, превращая защитный механизм в оружие против самого пользователя.» Что такое MFA bombing В классическом сценарии взлома злоумышленник борется с шифрованием или ищет уязвимость в софте. MFA bombing (также известная как MFA fatigue attack) работает иначе. … Читать далее
«Аутентификация, это не только «введите пароль». Это архитектурное решение, которое определяет, насколько сложно злоумышленнику подделать личность пользователя. В российских реалиях, где требования 152-ФЗ и ФСТЭК диктуют необходимость защиты персональных данных, выбор между однофакторной и многофакторной аутентификацией перестаёт быть вопросом удобства, а становится требованием регулятора.» Уровни защиты: от одного фактора к нескольким Процесс доказательства личности системе … Читать далее
«Согласование прав доступа — классический организационный тормоз. Его часто строят вокруг заблуждения: чем больше согласователей, тем лучше контроль. Реальность другая: каждый дополнительный утверждающий не добавляет безопасности, но гарантированно прибавляет время и создаёт иллюзию ответственности, распылённой между всеми. Спастись от этого можно, только если выстроить процесс не вокруг людей, а вокруг заранее описанных правил. Матрица доступа, … Читать далее
"Двухфакторная аутентификация стала мантрой безопасности, но её обходят даже чаще, чем кажется. Дело не в технологиях, а в социальном давлении, устаревших протоколах и слепых зонах самой архитектуры." Как хакеры обходят двухфакторную аутентификацию за 60 секунд? Почему двухфактор — не панацея Ощущение защиты от двухфакторной аутентификации обманчиво. За последние годы сформировалась целая экосистема методов, которые сводят … Читать далее