💥 О государственном регулировании ИИ

Кажется, уже ни для кого не секрет, что искусственный интеллект – это не только про креативные тексты и красивые картинки, но и про новые вызовы в сфере кибербезопасности.

И вот мы уже подошли к новой реальности: фильтровать опасный контент и держать ИИ под контролем становится так же важно, как раньше было обновлять антивирус. Причём не только в России – тренд мировой: США, ЕС и мы все дружно думаем, как сделать так, чтобы ИИ был «умным», но не «злым».

🚨 Наши регуляторы тоже не спят – ФСТЭК разрабатывает методики, которые должны превратить дикую ИИ-стихию в управляемый процесс. И, похоже, скоро появится даже отдельная структура, отвечающая за кибербезопасность в области ИИ.

И вот тут самое интересное: пока одни опасаются «скайнета», другие уже планируют открывать лаборатории и бизнесы в новой индустрии. В конце концов, регулирование ИИ – это не только про безопасность, но и про перспективы. Кто первый встанет в эту очередь – тот и выиграл 🙂

🅰️ Подписаться на Avanpost

Все персонажи вымышлены и любые совпадения случайны 🧃

🅰️ Подписаться на Avanpost

👉Всё решает контекст

Утро понедельника, «Москва-Сити». Звонок от Саши, вашего коллеги. Просит одолжить денег, потому что только что попал в аварию. Голос его, в разговоре ссылается на общих знакомых. Но номер румынский, а отношения с Сашей у вас не приятельские. Вы отказываете. Почему? Вы оцениваете риск на основе контекста. Вы выявили у Саши слишком странное поведение. Качественные системы авторизации тоже оценивают поведение пользователя, фактически используя риск в качестве фактора аутентификации.

В современных системах безопасности всё чаще используется не просто «что вы знаете» или «что у вас есть», а контекст, в котором происходит аутентификация. Это называется адаптивной или риск-ориентированной многофакторной аутентификацией. Вместо того, чтобы запрашивать второй фактор каждый раз, система оценивает контекстные и поведенческие атрибуты: откуда вы заходите, с какого устройства, в какое время, как ранее вы проходили процесс аутентификации и предоставления аутентификатора. Если всё в порядке, вход выполняется по упрощённой схеме. Если что-то настораживает, выполняется дополнительная проверка (например, запрашивается второй фактор).

🌧 Итак, утро понедельника. За окном льёт дождь. Сотрудник входит в систему утром с рабочего ПК через корпоративную сеть. Буднично, стандартно. Даже скучно. Перед нами типичный низкорисковый сценарий. Но наступает вторник, и тот же пользователь пытается подключиться ночью с нового телефона из Химок. Система мгновенно распознаёт повышенный риск. Здесь и срабатывает механизм оценки: вместо простого входа пользователю предлагают подтвердить личность через мобильное приложение Avanpost Authenticator или аппаратный токен. Таким образом, мы получаем не просто блокировку, а интеллектуальное принятие решения на основе собранных данных.

Такой подход кардинально меняет баланс между безопасностью и удобством. Раньше для защиты критичных систем приходилось требовать MFA при каждом входе. Пользователи начинали обходить эти меры: записывали коды, делились токенами, отключали проверки. Адаптивная аутентификация устраняет эту проблему: второй фактор запрашивается только тогда, когда он действительно нужен. В результате и безопасность выше, и нервы у пользователя здоровы 🙏

📌 В продуктах Avanpost оценка риска интегрирована на уровне архитектуры (в частности, в новом механизме Unified SSO). Система анализирует фингерпринт устройства, IP-адрес, историю входов, состояние агента, использование токенов и даже активность сессии. На основе собранных данных принимается решение: пропустить, запросить дополнительный фактор аутентификации или вовсе заблокировать доступ. Это не просто функция. Это переход от реактивной защиты к проактивной, где доверие пересматривается в реальном времени.

🅰️ Подписаться на Avanpost

💲 Не только фиксировать, но и компенсировать

В России предложили ввести страхование от утечек персональных данных.

Идея простая: если ваши данные снова «утекли» в открытый доступ – получаете фиксированную компенсацию. Не суды и бумажная волокита, а гарантированные выплаты через понятный механизм (например, через Госуслуги).

Только за 8 месяцев 2025 года Роскомнадзор зафиксировал 103 утечки – на 60% больше, чем годом ранее. Но компенсации сейчас получают единицы, и чаще всего это суммы до 5 тысяч рублей 😔

Что предлагают: обязать операторов персональных данных страховать свою ответственность или формировать фонд для выплат. А фиксировать утечки и определять пострадавших будет Роскомнадзор.

Как полис ОСАГО, только для цифровой жизни 😎

🅰️ Подписаться на Avanpost

☄️ Побеждаем атаки с Avanpost Identity Security Platform

Avanpost представляет свою уникальную для российского рынка концепцию Avanpost Identity Security Platform (ISP), объединяющую лучший мировой опыт и локальную специфику. Об этом наш новый материал ✏️

Что внутри статьи?

🔴 Идея Avanpost ISP: четыре ключевых процесса (идентификация, аутентификация, авторизация, контроль) и принципы, схожие с концепцией Zero Trust.
🔴 Ядро платформы: почему Directory Services (DS) и Certificate Authority (CA) – неотъемлемые части Identity Security, и как Avanpost помогает с миграцией на Linux-системы.
🔴 Основные компоненты ISP: подробный разбор таких модулей как IGA (IDM), MFA, SSO, PAM, Secret Management (Vault), UEM и ECM/PKI.
🔴 Аутентификация с учётом контекста: роль Device Control и Location Control в принятии решений о доступе.
🔴 Комплементарные модули: обсуждение DAG и ITDR – средств, которые дополняют платформу.

В статье объясняем, что внедрение ISP – это не просто покупка продуктов, а проектная история, требующая изменения процессов и учёта зрелости ИТ- и ИБ-блока заказчика.

Читать статью целиком 👈

🅰️ Подписаться на Avanpost

🔐 Вспомним вместе все плюсы PAM?

Avanpost SmartPAM – это про защиту привилегированных айдентити. И если всё грамотно настроено, вот как это работает:

⭐️ Администратор не владеет учётными данными

Пароли и ключи хранятся только в защищённом бэкенде PAM, не сохраняются на рабочей станции администратора и неизвестны последнему.

⭐️ Не расшифровываются локально

Привилегированные данные не передаются в открытом виде, не могут быть перехвачены через резервные копии, дампы баз данных или при доступе в инфраструктуру SmartPAM.

⭐️ Вся магия происходит «где-то там в бэкенде» через безопасную эскалацию привилегий

PAM централизованно запускает сессии с повышенными правами, администратор получает прокси-доступ без знаний реального пароля.

⭐️ PAM выступает защитным барьером между привилегированным пользователем и защищаемыми ресурсами

PAM разделяет уровни доступа и контролирует, кто и когда выполняет операции от имени привилегированных аккаунтов.

⭐️ Минимизирует риски успешного проведения этапа повышения привилегий, который присутствует в 90% атак

PAM закрывает классические векторы повышения прав (Pass-the-Hash и пр.), делая этот этап атак менее успешным.

⭐️ Позволяет минимизировать возможности эскалации привилегий с использованием учётной записи под контролем PAM

Даже при доступе к сессии злоумышленник не видит пароля, а его действия ограничены и логируются.

⭐️ За счёт контроля выполнения команд и поведенческой аналитики можно контролировать действия легитимных пользователей и подрядчиков

Запись команд и аналитика выявляют аномалии — предотвращают ошибки и злонамеренные действия.

⭐️ Простое прекращение работы администраторов под привилегированными учётными записями на рабочих станциях «отрезает» большую часть атак

Запрет повседневной работы под привилегированными аккаунтами резко сокращает поверхность атаки.

⭐️ Механизмы двухфакторной аутентификации минимизируют риски, связанные с кражей credentials

Встроенный механизм TOTP-аутентификации и возможность делегировать аутентификацию IDP-провайдерам (таким как Avanpost FAM и MFA+) не позволяют злоумышленникам, укравшим пользовательские пароли, получить доступ к защищаемым системам.

А для вас какие функции PAM ценны с точки зрения ИБ?

Подробнее об Avanpost SmartPAM🧷

🅰️ Подписаться на Avanpost

Никто просто так не проникнет 🙂

🅰️ Подписаться на Avanpost

👍 Изучаем групповые политики в Avanpost DS

В Avanpost DS доступны четыре типа политик:

🔵 Групповые политики: управление конфигурацией компьютеров
🔵 Политики паролей: требования к сложности, смене пароля, параметры блокировки учётных записей
🔵 Политики sudoers: набор разрешений на повышение привилегий для учётных записей
🔵 Политики доступа к хостам: определяют, к каким хостам пользователи будут иметь возможность подключаться

Групповые политики позволяют централизованно управлять настройками на доменных компьютерах.

Через веб-интерфейс «Политики → Групповые политики» администратор может:

🔜 создавать и редактировать политики, указывая набор настроек;
🔜 назначать политики на подразделения домена;
🔜 управлять порядком применения, блокировать наследование, отменять и удалять политики.

🧷Полезно помнить:
Политики разделяются на компьютерные (применяются ко всем компьютерам в заданных подразделениях, независимо от того, какие пользователи на них работают) и пользовательские (применяются ко всем пользователям в подразделении, на какой бы компьютер они ни вошли).

В следующих постах подробнее расскажем про конкретные настройки групповых политик (политики файловой системы, монтирования сетевых ресурсов, управления службами и др.), разберём сценарии использования политик sudoers и политик доступа к хостам и поговорим о том, как подобрать оптимальные парольные политики для разных групп пользователей!

Вопросы? 🤓

🅰️ Подписаться на Avanpost

➡️ Autoenrollment по-взрослому: Kerberos + Avanpost CA для бизнеса без компромиссов

В мире, где Linux и Windows сосуществуют, Autoenrollment сертификатов – не просто автоматизация, а искусство балансировки между удобством и безопасностью. Это не про «поставил и забыл». Это про мощную инфраструктуру, где каждый шаг – от идентификации до выпуска сертификата – под контролем.

Ключевое? Безопасность. Без неё Autoenrollment – это как сервер без фаервола.

😡 Идентификация и аутентификация: строгая проверка участников, чтобы ни один «левый» сертификат не проскочил;

😡 Авторизация: доступ только к тем шаблонам, которые разрешил админ;

😡 Защита данных: критическая информация и каналы связи – под замком, будь то открытый или закрытый трафик.

Для Linux-систем это особенно важно. Безопасность Autoenrollment'а строится на мощном фундаменте протоколов и строгих политик. А в корпоративных средах? Тут без доменных сервисов никуда. И мы говорим не просто о доменах, а о решениях уровня Microsoft DS, где всё завязано на проверенные практики.

Наше предложение?
С одной стороны, Kerberos – современный, надёжный и удобный способ аутентификации и авторизации клиентов в домене Avanpost DS.
С другой – наш Avanpost CA (центр сертификации), доступ к которому разграничивается через доменные группы безопасности.

Итог?
Наш CA обеспечивает Autoenrollment в Linux с высочайшим уровнем безопасности. Готов к нагрузкам любой сложности.
Всё лучшее бизнесу, то есть бизнесу – проверенные корпоративные технологии 👌

🅰️ Подписаться на Avanpost

😎 858 ТБ госданных сгорели за один день

Спойлер: Бэкапа не было. Совсем.

26 сентября в госдата-центре Южной Кореи случился пожар. Сгорело облачное хранилище G-Drive, которым пользовались 125 тысяч чиновников и 163 государственных онлайн-сервиса.

Что потеряли:
🔴 Регистрацию бизнесов
🔴 Визовые заявки
🔴 Сертификаты импорта/экспорта
🔴 Документы проверки безопасности продуктов

Представьте: подали документы на визу месяц назад — и всё испарилось. Или зарегистрировали компанию — и теперь никто не может подтвердить, что она существует 🤷‍♂️

Ирония судьбы:
У остальных 95 госсистем в Корее бэкапы есть. А у этой — самой большой — не оказалось. По словам МВД, объём данных был «слишком большим».

📌 К 7 октября все 163 сервиса запущены заново, но сколько данных потеряно навсегда — неизвестно.

Когда в последний раз проверяли свои бэкапы? Просто спросить 👀

❤️ Перешли этот пост 10 коллегам, и тогда рабочий день закончится пораньше!

🅰️ Подписаться на Avanpost

‼️ Антифрод на госуровне

Включение – с 1 марта 2026!

Минцифры готовит к запуску ГИС «Антифрод» – систему, которая должна объединить банки, госорганы, операторов связи и даже соцсети в борьбе против кибермошенничества.

В основе – платформа «ГосТех», которая обеспечит совместимость и устойчивость всей конструкции.

Система будет обмениваться сигналами о подозрительных событиях, собирать данные о «масках» карт, счетов и IP-адресов, хранить информацию о ресурсах, вводящих пользователей в заблуждение, и помогать участникам быстрее реагировать на атаки.

До марта 2026-го идёт пилотирование, а потом – включение на полную мощность⚡️

Кажется, наша кибербезопасность скоро получит мощный апгрейд 💎

🅰️ Подписаться на Avanpost

📣 Будущее защиты цифровых идентичностей = Avanpost Identity Security Platform

Сегодня защита сетевого периметра перестала быть главным приоритетом.
Пользователи работают из разных точек мира, подключаются к SaaS-сервисам, обмениваются данными через десятки каналов. В такой реальности именно цифровая идентичность становится ядром кибербезопасности.

Именно с этой логики мы выстраиваем нашу стратегию – вокруг Avanpost Identity Security Platform, которая объединяет ключевые элементы защиты личности в цифровом мире 👨‍💻

Мы уходим от набора разрозненных инструментов к единой платформе, где все процессы взаимосвязаны:

⭐️ MFA и SSO обеспечивают аутентификацию и бесшовный вход без компромиссов по удобству;

⭐️ IDM управляет жизненным циклом идентичностей, автоматизируя назначение и отзыв прав;

⭐️ PAM контролирует использование привилегированных учётных записей;

⭐️ Directory Service и Vault гарантируют катастрофоустойчивость данных каталога и безопасное хранение секретов.

Всё это – части единой экосистемы, построенной по принципу Zero Trust. Безопасность больше не может быть набором инструментов.

Она должна быть архитектурой доверия, где личность – центральный элемент, а управление доступом – сквозной процесс.

Именно так мы видим будущее информационной безопасности: не просто защищать инфраструктуру, а контролировать идентичность во всех точках входа в цифровой мир. Чтобы лучше познакомиться с концепцией Avanpost Identity Security Platform, читайте нашу новую статью 👉

🅰️ Подписаться на Avanpost

⚠️ IDM без розовых очков

Рынок IDM зрелый, но каждое внедрение – это вечное противостояние: ролевая модель против оргструктуры, автоматизация против человеческих исключений, безопасность против скорости доступа.

Свежая статья собрала мнения на эту тему экспертов по информационной безопасности – в том числе Максима Тарасова, руководителя отдела технической экспертизы Avanpost.

🤔 На какие вопросы они ответили?

⭐️ Нужно ли проектировать IDM, отталкиваясь от оргструктуры, или наоборот, менять оргструктуру под картину, де-факто получающуюся в IDM?

⭐️ Сколько собственников ролей нужно в организации, чтобы IDM оставался контролируемым? Есть ли готовая формула?

⭐️ Какой минимальный набор атрибутов из HR-системы нужен в IDM?

⭐️ В каких случаях лучше сознательно не подключать систему к IDM, и почему?

⭐️ Какие метрики вы рекомендуете использовать, чтобы понять, что IDM работает эффективно?

⭐️ Как часто стоит делать аудит ролей? Кто или что должно его инициировать?

За ответами экспертов бегом в новую статью 📌

🅰️ Подписаться на Avanpost

😎 Всё хорошо: явление Avanpost Device Control народу

Если вы читаете это, мы уже рассказали о том, что MDM/UEM-агенты больше не гарантируют безопасность вашей инфраструктуры.

Но в ответ на действие приходит противодействие, в ответ на вызов – решение. Сегодня расскажем, как Avanpost Device Control закрывает опасные бреши в кибербезопасности.

😡 В чём ключевая разница между MDM и Avanpost Device Control?

Avanpost Device Control проверяет доверие к устройству до того, как пользователь получит доступ к корпоративным ресурсам.

В отличие от MDM/UEM, мы бьём вора по руке, когда он только тянет потную ладошку к вашему кошельку, а не сообщаем с печальной миной о том, что вы стали жертвой мошенников.

🤔 Как это реализуется на практике?

2️⃣ Проверка устройства происходит до того, как пользователь получит доступ к корпоративным ресурсам. Устройство, не прошедшее проверку безопасности, не получает доступ.

2️⃣ Выполняется автоматический учёт и аналитика устройств пользователей.
Вы можете формировать профили устройств сотрудников, анализировать их безопасность и контролировать доступ на основе настроенных политик, тем самым повышая защиту всей инфраструктуры.

3️⃣ Снижается нагрузка на администратора за счёт вовлечения пользователей. Пользователи могут самостоятельно сообщать о возможной компрометации устройств, ускоряя реагирование на инцидент.

4️⃣ Упрощается аутентификация пользователей. Однозначная идентификация доверенных личных устройств в соответствии с требованиями безопасности повышает удобство и безопасность аутентификации.

5️⃣ Снижается время на аутентификацию. При помощи механизма Unified SSO доверенное устройство может быть автоматически допущено к единой точке входа без повторного прохождения многофакторной проверки.

И самое важное! Все эти возможности реализуются без установки тяжеловесных агентов и без вмешательства в привычный режим работы сотрудников 🔥

🅰️ Подписаться на Avanpost

Данное сообщение было решено внести в книгу рекордов Гиннеса ✍️

🅰️ Подписаться на Avanpost