Статьи и разборы
Архитектура, SOC, Zero Trust и управление рисками — как делать безопасность правильно, не покупая «Феррари» на картофельное поле.
-
Ferrari для картошки. Часть 2: как мы отрезали 85% шума и заставили SIEM работать
Чтобы SIEM наконец заработал, мы вывели около 85% потока из оперативного контура. Ничего не удаляли вслепую – данные разделили по назначению, а правила привязали к действиям.
-
Ferrari для картошки: компания купила тяжёлый SIEM за миллионы
Компания купила тяжёлый Enterprise SIEM за серьёзные деньги. Дашборды красивые, событий много, а пользы почти нет. Проблема была не в SIEM – дом начали строить с крыши.
-
Если sms не работают.
После историй с недоступными SMS многие компании внезапно вспомнили неприятную вещь: если второй фактор завязан только на SMS, то в момент сбоя у вас ломается не “удобство”. У вас ломается доступ. Особенно…
-
Смерть от копипаста: как снять с ИБ-команды 70% рутины через n8n и не утонуть в тяжелом SOAR
В классическом SOC или ИБ-отделе есть болезнь, которая убивает мотивацию инженеров быстрее, чем отсутствие премий и ночные звонки по выходным. Это смерть от ручного копипаста. Сценарий знакомый почти всем. В…
-
Ключи от всех дверей: Почему корпоративный VPN стал главной угрозой вашей инфраструктуре
Классическая модель сетевой безопасности долгое время строилась вокруг «периметра». Мы рисовали жирную линию на песке, ставили на ней мощный фаервол (NGFW) и говорили: «Всё, что снаружи - враждебно, всё, что…
-
Проклятие «я только спросить»: Почему временные доступы хоронят вашу инфраструктуру и как спасает Just-In-Time
Большинство компаний до сих пор живут в парадигме статических привилегий. Если Василий - системный администратор, он состоит в группе Domain Admins 24 часа в сутки, 7 дней в неделю, 365 дней в году. Даже когда…
-
Цифровые призраки: Почему увольнение сотрудника хоронит вашу безопасность (и как с этим бороться)
Почти любая компания уверена, что умеет увольнять сотрудников безопасно. На бумаге этот процесс (Offboarding) выглядит идеально прямой линией: приказ HR ➔ заявка в ИТ ➔ блокировка учетной записи ➔ возврат…
-
Странности вокруг CVSS
В корпоративной безопасности есть свой любимый вид спорта: забег по граблям под названием управление уязвимостями (Vulnerability Management или VM). Процесс обычно выглядит так: сканер нашел дыру, окрасил ее в…
-
Поставили firewall? Молодцы, возьмите с полки пирожок.
Долгие годы парадигма корпоративной безопасности строилась вокруг защиты периметра. Идея проста: мы ставим на границе сети мощный шлюз, который не пускает «плохих парней» из интернета к «хорошим парням»…
-
Иллюзия безопасности 2fa
В корпоративной среде до сих пор живет опасный миф: «Мы внедрили двухфакторную аутентификацию, теперь фишинг нам не страшен». Безопасники отчитываются о 100% покрытии SMS-кодами или…
-
Keycloak в реальном мире: SSO, боль и Legacy
Единый вход (SSO) - это мечта любого безопасника и админа. Отключил человека в одном месте - он потерял доступ ко всему: от почты до кофемашины. В мире Open Source королем SSO стал Keycloak. На бумаге это…
-
VPN умер. Да здравствует... маскировка? Эволюция протоколов в эпоху DPI
Когда я вижу, как коллеги в 2026 году поднимают «свой VPN» на дефолтном OpenVPN или WireGuard, у меня возникает чувство профессиональной неловкости. Вы строите забор из сетки-рабицы против тепловизора. Мы…
-
Часть 4. Анатомия реагирования: Как не превратить SOC в «фабрику тикетов»
Мы прошли долгий путь настройки современного SOC. Мы определили, что защищаем (Матрицы приоритетов, Часть 1), включили «свет» в темных комнатах инфраструктуры (Логирование, Часть 2) и научились видеть…
-
Статья 3. Сеть помнит всё: Инженерный подход к Network Detection & Response (NDR)
Мы часто слышим фразу: «Identity – это новый периметр». Это правда, но лишь отчасти. Периметр размылся, но сеть осталась единственной средой, которую злоумышленник не может «выключить». Можно отключить EDR…
-
Статья 2. Мониторинг ОС: Как перестать быть слепым
Многие думают, что если они включили сбор логов в SIEM, они в безопасности. Это иллюзия. Windows «из коробки» не пишет в логи почти ничего полезного для ИБ. Если вы не настроили расширенный аудит, вы увидите…
-
Статья 1: Математика SOC. Матрица приоритетов и реальные KPI
Управление инцидентами не должно строиться на ощущениях («кажется, это опасно»). Оно должно строиться на математике. Ниже приведена модель расчета приоритетов и конкретные значения (Thresholds) для метрик…