💲 Не только фиксировать, но и компенсировать

В России предложили ввести страхование от утечек персональных данных.

Идея простая: если ваши данные снова «утекли» в открытый доступ – получаете фиксированную компенсацию. Не суды и бумажная волокита, а гарантированные выплаты через понятный механизм (например, через Госуслуги).

Только за 8 месяцев 2025 года Роскомнадзор зафиксировал 103 утечки – на 60% больше, чем годом ранее. Но компенсации сейчас получают единицы, и чаще всего это суммы до 5 тысяч рублей 😔

Что предлагают: обязать операторов персональных данных страховать свою ответственность или формировать фонд для выплат. А фиксировать утечки и определять пострадавших будет Роскомнадзор.

Как полис ОСАГО, только для цифровой жизни 😎

🅰️ Подписаться на Avanpost

☄️ Побеждаем атаки с Avanpost Identity Security Platform

Avanpost представляет свою уникальную для российского рынка концепцию Avanpost Identity Security Platform (ISP), объединяющую лучший мировой опыт и локальную специфику. Об этом наш новый материал ✏️

Что внутри статьи?

🔴 Идея Avanpost ISP: четыре ключевых процесса (идентификация, аутентификация, авторизация, контроль) и принципы, схожие с концепцией Zero Trust.
🔴 Ядро платформы: почему Directory Services (DS) и Certificate Authority (CA) – неотъемлемые части Identity Security, и как Avanpost помогает с миграцией на Linux-системы.
🔴 Основные компоненты ISP: подробный разбор таких модулей как IGA (IDM), MFA, SSO, PAM, Secret Management (Vault), UEM и ECM/PKI.
🔴 Аутентификация с учётом контекста: роль Device Control и Location Control в принятии решений о доступе.
🔴 Комплементарные модули: обсуждение DAG и ITDR – средств, которые дополняют платформу.

В статье объясняем, что внедрение ISP – это не просто покупка продуктов, а проектная история, требующая изменения процессов и учёта зрелости ИТ- и ИБ-блока заказчика.

Читать статью целиком 👈

🅰️ Подписаться на Avanpost

🔐 Вспомним вместе все плюсы PAM?

Avanpost SmartPAM – это про защиту привилегированных айдентити. И если всё грамотно настроено, вот как это работает:

⭐️ Администратор не владеет учётными данными

Пароли и ключи хранятся только в защищённом бэкенде PAM, не сохраняются на рабочей станции администратора и неизвестны последнему.

⭐️ Не расшифровываются локально

Привилегированные данные не передаются в открытом виде, не могут быть перехвачены через резервные копии, дампы баз данных или при доступе в инфраструктуру SmartPAM.

⭐️ Вся магия происходит «где-то там в бэкенде» через безопасную эскалацию привилегий

PAM централизованно запускает сессии с повышенными правами, администратор получает прокси-доступ без знаний реального пароля.

⭐️ PAM выступает защитным барьером между привилегированным пользователем и защищаемыми ресурсами

PAM разделяет уровни доступа и контролирует, кто и когда выполняет операции от имени привилегированных аккаунтов.

⭐️ Минимизирует риски успешного проведения этапа повышения привилегий, который присутствует в 90% атак

PAM закрывает классические векторы повышения прав (Pass-the-Hash и пр.), делая этот этап атак менее успешным.

⭐️ Позволяет минимизировать возможности эскалации привилегий с использованием учётной записи под контролем PAM

Даже при доступе к сессии злоумышленник не видит пароля, а его действия ограничены и логируются.

⭐️ За счёт контроля выполнения команд и поведенческой аналитики можно контролировать действия легитимных пользователей и подрядчиков

Запись команд и аналитика выявляют аномалии — предотвращают ошибки и злонамеренные действия.

⭐️ Простое прекращение работы администраторов под привилегированными учётными записями на рабочих станциях «отрезает» большую часть атак

Запрет повседневной работы под привилегированными аккаунтами резко сокращает поверхность атаки.

⭐️ Механизмы двухфакторной аутентификации минимизируют риски, связанные с кражей credentials

Встроенный механизм TOTP-аутентификации и возможность делегировать аутентификацию IDP-провайдерам (таким как Avanpost FAM и MFA+) не позволяют злоумышленникам, укравшим пользовательские пароли, получить доступ к защищаемым системам.

А для вас какие функции PAM ценны с точки зрения ИБ?

Подробнее об Avanpost SmartPAM🧷

🅰️ Подписаться на Avanpost

Никто просто так не проникнет 🙂

🅰️ Подписаться на Avanpost

👍 Изучаем групповые политики в Avanpost DS

В Avanpost DS доступны четыре типа политик:

🔵 Групповые политики: управление конфигурацией компьютеров
🔵 Политики паролей: требования к сложности, смене пароля, параметры блокировки учётных записей
🔵 Политики sudoers: набор разрешений на повышение привилегий для учётных записей
🔵 Политики доступа к хостам: определяют, к каким хостам пользователи будут иметь возможность подключаться

Групповые политики позволяют централизованно управлять настройками на доменных компьютерах.

Через веб-интерфейс «Политики → Групповые политики» администратор может:

🔜 создавать и редактировать политики, указывая набор настроек;
🔜 назначать политики на подразделения домена;
🔜 управлять порядком применения, блокировать наследование, отменять и удалять политики.

🧷Полезно помнить:
Политики разделяются на компьютерные (применяются ко всем компьютерам в заданных подразделениях, независимо от того, какие пользователи на них работают) и пользовательские (применяются ко всем пользователям в подразделении, на какой бы компьютер они ни вошли).

В следующих постах подробнее расскажем про конкретные настройки групповых политик (политики файловой системы, монтирования сетевых ресурсов, управления службами и др.), разберём сценарии использования политик sudoers и политик доступа к хостам и поговорим о том, как подобрать оптимальные парольные политики для разных групп пользователей!

Вопросы? 🤓

🅰️ Подписаться на Avanpost

➡️ Autoenrollment по-взрослому: Kerberos + Avanpost CA для бизнеса без компромиссов

В мире, где Linux и Windows сосуществуют, Autoenrollment сертификатов – не просто автоматизация, а искусство балансировки между удобством и безопасностью. Это не про «поставил и забыл». Это про мощную инфраструктуру, где каждый шаг – от идентификации до выпуска сертификата – под контролем.

Ключевое? Безопасность. Без неё Autoenrollment – это как сервер без фаервола.

😡 Идентификация и аутентификация: строгая проверка участников, чтобы ни один «левый» сертификат не проскочил;

😡 Авторизация: доступ только к тем шаблонам, которые разрешил админ;

😡 Защита данных: критическая информация и каналы связи – под замком, будь то открытый или закрытый трафик.

Для Linux-систем это особенно важно. Безопасность Autoenrollment'а строится на мощном фундаменте протоколов и строгих политик. А в корпоративных средах? Тут без доменных сервисов никуда. И мы говорим не просто о доменах, а о решениях уровня Microsoft DS, где всё завязано на проверенные практики.

Наше предложение?
С одной стороны, Kerberos – современный, надёжный и удобный способ аутентификации и авторизации клиентов в домене Avanpost DS.
С другой – наш Avanpost CA (центр сертификации), доступ к которому разграничивается через доменные группы безопасности.

Итог?
Наш CA обеспечивает Autoenrollment в Linux с высочайшим уровнем безопасности. Готов к нагрузкам любой сложности.
Всё лучшее бизнесу, то есть бизнесу – проверенные корпоративные технологии 👌

🅰️ Подписаться на Avanpost

😎 858 ТБ госданных сгорели за один день

Спойлер: Бэкапа не было. Совсем.

26 сентября в госдата-центре Южной Кореи случился пожар. Сгорело облачное хранилище G-Drive, которым пользовались 125 тысяч чиновников и 163 государственных онлайн-сервиса.

Что потеряли:
🔴 Регистрацию бизнесов
🔴 Визовые заявки
🔴 Сертификаты импорта/экспорта
🔴 Документы проверки безопасности продуктов

Представьте: подали документы на визу месяц назад — и всё испарилось. Или зарегистрировали компанию — и теперь никто не может подтвердить, что она существует 🤷‍♂️

Ирония судьбы:
У остальных 95 госсистем в Корее бэкапы есть. А у этой — самой большой — не оказалось. По словам МВД, объём данных был «слишком большим».

📌 К 7 октября все 163 сервиса запущены заново, но сколько данных потеряно навсегда — неизвестно.

Когда в последний раз проверяли свои бэкапы? Просто спросить 👀

❤️ Перешли этот пост 10 коллегам, и тогда рабочий день закончится пораньше!

🅰️ Подписаться на Avanpost

‼️ Антифрод на госуровне

Включение – с 1 марта 2026!

Минцифры готовит к запуску ГИС «Антифрод» – систему, которая должна объединить банки, госорганы, операторов связи и даже соцсети в борьбе против кибермошенничества.

В основе – платформа «ГосТех», которая обеспечит совместимость и устойчивость всей конструкции.

Система будет обмениваться сигналами о подозрительных событиях, собирать данные о «масках» карт, счетов и IP-адресов, хранить информацию о ресурсах, вводящих пользователей в заблуждение, и помогать участникам быстрее реагировать на атаки.

До марта 2026-го идёт пилотирование, а потом – включение на полную мощность⚡️

Кажется, наша кибербезопасность скоро получит мощный апгрейд 💎

🅰️ Подписаться на Avanpost

📣 Будущее защиты цифровых идентичностей = Avanpost Identity Security Platform

Сегодня защита сетевого периметра перестала быть главным приоритетом.
Пользователи работают из разных точек мира, подключаются к SaaS-сервисам, обмениваются данными через десятки каналов. В такой реальности именно цифровая идентичность становится ядром кибербезопасности.

Именно с этой логики мы выстраиваем нашу стратегию – вокруг Avanpost Identity Security Platform, которая объединяет ключевые элементы защиты личности в цифровом мире 👨‍💻

Мы уходим от набора разрозненных инструментов к единой платформе, где все процессы взаимосвязаны:

⭐️ MFA и SSO обеспечивают аутентификацию и бесшовный вход без компромиссов по удобству;

⭐️ IDM управляет жизненным циклом идентичностей, автоматизируя назначение и отзыв прав;

⭐️ PAM контролирует использование привилегированных учётных записей;

⭐️ Directory Service и Vault гарантируют катастрофоустойчивость данных каталога и безопасное хранение секретов.

Всё это – части единой экосистемы, построенной по принципу Zero Trust. Безопасность больше не может быть набором инструментов.

Она должна быть архитектурой доверия, где личность – центральный элемент, а управление доступом – сквозной процесс.

Именно так мы видим будущее информационной безопасности: не просто защищать инфраструктуру, а контролировать идентичность во всех точках входа в цифровой мир. Чтобы лучше познакомиться с концепцией Avanpost Identity Security Platform, читайте нашу новую статью 👉

🅰️ Подписаться на Avanpost

⚠️ IDM без розовых очков

Рынок IDM зрелый, но каждое внедрение – это вечное противостояние: ролевая модель против оргструктуры, автоматизация против человеческих исключений, безопасность против скорости доступа.

Свежая статья собрала мнения на эту тему экспертов по информационной безопасности – в том числе Максима Тарасова, руководителя отдела технической экспертизы Avanpost.

🤔 На какие вопросы они ответили?

⭐️ Нужно ли проектировать IDM, отталкиваясь от оргструктуры, или наоборот, менять оргструктуру под картину, де-факто получающуюся в IDM?

⭐️ Сколько собственников ролей нужно в организации, чтобы IDM оставался контролируемым? Есть ли готовая формула?

⭐️ Какой минимальный набор атрибутов из HR-системы нужен в IDM?

⭐️ В каких случаях лучше сознательно не подключать систему к IDM, и почему?

⭐️ Какие метрики вы рекомендуете использовать, чтобы понять, что IDM работает эффективно?

⭐️ Как часто стоит делать аудит ролей? Кто или что должно его инициировать?

За ответами экспертов бегом в новую статью 📌

🅰️ Подписаться на Avanpost

😎 Всё хорошо: явление Avanpost Device Control народу

Если вы читаете это, мы уже рассказали о том, что MDM/UEM-агенты больше не гарантируют безопасность вашей инфраструктуры.

Но в ответ на действие приходит противодействие, в ответ на вызов – решение. Сегодня расскажем, как Avanpost Device Control закрывает опасные бреши в кибербезопасности.

😡 В чём ключевая разница между MDM и Avanpost Device Control?

Avanpost Device Control проверяет доверие к устройству до того, как пользователь получит доступ к корпоративным ресурсам.

В отличие от MDM/UEM, мы бьём вора по руке, когда он только тянет потную ладошку к вашему кошельку, а не сообщаем с печальной миной о том, что вы стали жертвой мошенников.

🤔 Как это реализуется на практике?

2️⃣ Проверка устройства происходит до того, как пользователь получит доступ к корпоративным ресурсам. Устройство, не прошедшее проверку безопасности, не получает доступ.

2️⃣ Выполняется автоматический учёт и аналитика устройств пользователей.
Вы можете формировать профили устройств сотрудников, анализировать их безопасность и контролировать доступ на основе настроенных политик, тем самым повышая защиту всей инфраструктуры.

3️⃣ Снижается нагрузка на администратора за счёт вовлечения пользователей. Пользователи могут самостоятельно сообщать о возможной компрометации устройств, ускоряя реагирование на инцидент.

4️⃣ Упрощается аутентификация пользователей. Однозначная идентификация доверенных личных устройств в соответствии с требованиями безопасности повышает удобство и безопасность аутентификации.

5️⃣ Снижается время на аутентификацию. При помощи механизма Unified SSO доверенное устройство может быть автоматически допущено к единой точке входа без повторного прохождения многофакторной проверки.

И самое важное! Все эти возможности реализуются без установки тяжеловесных агентов и без вмешательства в привычный режим работы сотрудников 🔥

🅰️ Подписаться на Avanpost

Данное сообщение было решено внести в книгу рекордов Гиннеса ✍️

🅰️ Подписаться на Avanpost

🧩 Avanpost DS теперь официально дружит с МСВСфера Сервер 9

Отличные новости для тех, кто строит отечественную ИТ-инфраструктуру: наши службы каталогов Avanpost DS Public и Avanpost DS Pro прошли проверку совместимости с ОС «МСВСфера Сервер» 9 от «Инферит» (кластер «СФ Тех» ГК Softline).

➡️ Результат – сертификат совместимости и ещё один кирпич в фундаменте технологического суверенитета!

Что это значит по-человечески:

✅ Avanpost DS и МСВСфера теперь работают в паре без капризов
✅ Миграция с Microsoft AD стала ещё проще
✅ Админы смогут спать спокойно – всё автоматизировано и под контролем

«Успешное прохождение полноценного технического аудита подтверждает, что Avanpost DS Public и Avanpost DS Pro способны эффективно интегрироваться с российским программным обеспечением, что гарантирует стабильность и безопасность работы ИТ-инфраструктур наших заказчиков. Это особенно важно в условиях современных требований к импортозамещению и локализации программных решений.»

– комментирует владелец продуктовой линейки Avanpost DS Дмитрий Закорючкин.

Подробнее – в пресс-релизе ⬅️

🅰️ Подписаться на Avanpost

👀 «Кто входит?»

Именно на этот вопрос отвечает классическая многофакторная аутентификация (MFA). Однако в современных условиях этого недостаточно. Контекст доступа – сеть, устройство, поведение пользователя, чувствительность ресурса – меняется каждую минуту. Поэтому в Avanpost FAM мы используем подход адаптивной аутентификации и контроля устройств, при котором требования к проверкам подстраиваются под текущий уровень риска: до, во время и после входа.

🧐 Как это обеспечивается? Связкой двух высокоэффективных механизмов:

⭐️ Risk-Based Authentication (RBA), который обеспечивает анализ риска и принимает решение об усложнении проверки;
⭐️ Device Control, который управляет степенью доверия к устройствам.

Наш подход превращает разовую проверку в непрерывный цикл контроля, значительно снижая вероятность инцидентов и репутационных потерь. Рассмотрим, как это работает.

2️⃣До входа: оценка рисков на пороге.

Перед тем как пользователь начнёт вводить логин/пароль, система оценивает контекст, учитывая, где находится пользователь, какое устройство использует, имеет ли устройство актуальные обновления и антивирус и т. п. Всё в порядке? Пользователь проходит без трений. Обнаружены аномалии? Система усиливает требования для прохождения аутентификации. Таким образом, компрометация затрудняется, превращаясь в полноценный инцидент, который будет зафиксирован, проанализирован и оперативно разрешён.

2️⃣ Во время входа: усиление в критически важных точках.

Если пользователь успешно прошёл первичную проверку, Avanpost FAM продолжает мониторинг. Особое внимание уделяется доступу к критически важным данным. При попытке получения такого доступа система может запросить дополнительный «сильный» фактор (например, аппаратный токен) или подтверждение действий через отдельное устройство (push-уведомление в приложение Avanpost Authenticator).

3️⃣ После входа: непрерывный контроль.

После успешного входа проверка не заканчивается. Avanpost FAM продолжает контролировать повторный доступ к критически важным данным и изменения контекста (например, смену устройства, выход в публичную сеть, необычное для сотрудника время работы). При обнаружении риска система может:

🔴 Запросить повторную аутентификацию;
🔴 Блокировать действия пользователя;
🔴 Уведомить администратора о повышении риска.

Таким образом, проверка превращается в непрерывный цикл контроля, который снижает вероятность как технических, так и репутационных угроз.

Адаптивная аутентификация, обеспечивающаяся связкой механизмов RBA и Device Control, представляет собой эффективную стратегию управления рисками в реальном времени, которая:

🔴Защищает от современных угроз (кражи учётных данных, компрометации устройств);
🔴Минимизирует трения для легитимных пользователей;
🔴Экономит ресурсы IT-подразделений;
🔴Обеспечивает соответствие регуляторным требованиям.

🅰️ Подписаться на Avanpost

📝 Avanpost в папке Инфобез!

Мы вошли в подборку полезных ИБ-каналов от компании «Актив», и это прям ответственно. Так что будем оправдывать доверие и продолжать:

🔴 рассказывать о наших продуктах простым языком,
🔴 делиться актуальными новостями,
🔴 и шутить над собой — ну а что, ИБ-компания с чувством юмора, это же редкость! 😂

Добавляйте всю папку — там много классного!

🅰️ Подписаться на Avanpost