«Шифрование полного диска — это уже не дополнительная опция, а обязательная базовая гигиена. Если ваш ноутбук или сервер не зашифрован, вы, по сути, держите данные в стеклянном сейфе. Развёртывание BitLocker вручную на сотнях машин — тупиковый путь, ведущий к человеческим ошибкам. Реальная защита начинается там, где управление ключами восстановления выведено из-под контроля рядового пользователя и … Читать далее
«Векторы инициализации и протоколы WEP — это не просто технические детали. Это истории о том, как небольшие криптографические просчёты привели к десятилетиям уязвимости миллионов сетей. WPA2 и WPA3 — это попытки исправить ситуацию, но фундаментальные уроки остаются прежними». Вектор инициализации: криптографическая лазейка Вектор инициализации (Initialization Vector, IV) — это не случайное число для красоты. Это … Читать далее
«Интеграция с внешними системами — это неизбежный риск, который нельзя избежать, но можно взять под контроль. Безопасность цепочки поставок начинается с формализации правил доступа и заканчивается постоянным надзором, а не одноразовой настройкой. Часто самая слабая защита в связке определяет общую уязвимость.» Суть и нормативная база подключения к внешним сетям Прямое сетевое соединение между инфраструктурой вашей … Читать далее
«Протоколы безопасности кажутся абстрактными стандартами, пока не понимаешь, что именно они превращают анонимные пакеты в доверенные сессии. Речь не просто о шифровании, а о создании ‘цифровой стены’ — системы, которая умеет проверять личность, блокировать подмену и сохранять тайну даже в открытой сети». Kerberos: билетная система для доверия внутри периметра Kerberos — это протокол аутентификации, построенный … Читать далее
“Механизмы идентификации и аутентификации не просто фиксируют, кто и откуда пришёл, — они задают границы доверия в системе. Всё остальное — журналы, шифрование, разграничение прав — строится поверх этого фундамента.” Таблица мер по уровням защищённости Требования к идентификации и аутентификации (ИАФ) дифференцированы в зависимости от уровня защищённости (УЗ) обрабатываемых персональных данных, определённого по модели угроз. … Читать далее
«Политика безопасности начинается там, где система не даёт скопировать файл на флешку, потому что понимает его ценность по машинно-читаемой метке. Всё остальное — лишь декларации, которые не работают.» Типы активов и методы защиты Защищать всё одинаково — это гарантированный перерасход ресурсов на несущественное и пробелы там, где действительно важно. Без чёткого понимания природы защищаемого объекта … Читать далее
«Неактивная учётка — это как незакрытая дверь в дом, из которого выехали. Забытый аккаунт не означает забвение для злоумышленника. Это прямой риск с юридическими последствиями.» Уязвимость по умолчанию: почему неактивные учётные записи опасны Учётная запись сотрудника, уволившегося полгода назад, или служебный аккаунт от старого проекта часто продолжают числиться в системах. Они редко попадают в фокус … Читать далее
«Целостность — это не галочка в отчёте для регулятора. Это архитектурный принцип, который должен быть вшит в систему на всех уровнях: от аппаратного обеспечения до бизнес-логики. Частая ошибка — сводить её к криптографическим проверкам, забывая, что сами механизмы контроля становятся новыми точками уязвимости и требуют защиты.» Меры обеспечения целостности по ФСТЭК Требования к целостности формализованы … Читать далее
Три месяца спокойной работы после увольнения. Потом в субботу утром звонок бухгалтерии. Экраны всех терминалов пустые. Базы 1С Отчетность, Зарплата, Управление торговлей — просто нет. 47 гигабайтов данных превратились в 200 мегабайтов мусора. Администратор базы, которого мы уволили в конце декабря, оставил себе удаленный доступ через VPN-клиент, который никто не отключил. Он не удалял файлы … Читать далее
В разговорах об атаках часто предполагают, что злоумышленник начинает с поиска конкретной уязвимости. Будто бы он открывает список CVE, подбирает версии и ждёт совпадения. На практике процесс выглядит иначе. Первый этап не поиск ошибки в коде, а оценка того, какие элементы системы доступны извне и как они себя ведут. Домены, VPN-шлюзы, почтовые сервисы, панели управления, … Читать далее