ИБ: Атака "Living Off the Land" (LotL). Почему ваш PowerShell опаснее вируса
Забудьте о .exe-вирусах.
Современные атаки (особенно шифровальщики) не заносят "вирус" — они используют ваши собственные, доверенные инструменты против вас.
Это называется "Living Off the Land" (жизнь за счет земли).
Главные "предатели" в вашей системе:
powershell.exe: Запуск base64-команд, скачивание и выполнение скриптов из памяти (IEX (New-Object Net.WebClient).DownloadString(...)).
wmic.exe: Удаленное выполнение команд на других машинах (Lateral Movement).
bitsadmin.exe: Стандартная утилита для скачивания... вредоносных модулей.
certutil.exe: "Легальное" скачивание и декодирование файлов.
Почему это работает? Ваш "классический" антивирус видит, что powershell.exe — это доверенный процесс Microsoft, и игнорирует его вредоносную активность.
Взгляд архитектора: Вы не можете просто "заблокировать PowerShell". Архитектор переходит от сигнатурного анализа к поведенческому.
Внедрите Sysmon: (Мы о нем писали). Он покажет, какой процесс запустил powershell.exe с какими аргументами.
Включите Script Block Logging в GPO: Начните логировать весь код, который выполняет PowerShell.
AppLocker/WDAC: Перейдите в режим "белого списка". Запретите powershell.exe запускаться из папок AppData или Downloads.
#security #windows #powershell #cybersecurity #zerotrust #architect #гайд
Забудьте о .exe-вирусах.
Современные атаки (особенно шифровальщики) не заносят "вирус" — они используют ваши собственные, доверенные инструменты против вас.
Это называется "Living Off the Land" (жизнь за счет земли).
Главные "предатели" в вашей системе:
powershell.exe: Запуск base64-команд, скачивание и выполнение скриптов из памяти (IEX (New-Object Net.WebClient).DownloadString(...)).
wmic.exe: Удаленное выполнение команд на других машинах (Lateral Movement).
bitsadmin.exe: Стандартная утилита для скачивания... вредоносных модулей.
certutil.exe: "Легальное" скачивание и декодирование файлов.
Почему это работает? Ваш "классический" антивирус видит, что powershell.exe — это доверенный процесс Microsoft, и игнорирует его вредоносную активность.
Взгляд архитектора: Вы не можете просто "заблокировать PowerShell". Архитектор переходит от сигнатурного анализа к поведенческому.
Внедрите Sysmon: (Мы о нем писали). Он покажет, какой процесс запустил powershell.exe с какими аргументами.
Включите Script Block Logging в GPO: Начните логировать весь код, который выполняет PowerShell.
AppLocker/WDAC: Перейдите в режим "белого списка". Запретите powershell.exe запускаться из папок AppData или Downloads.
#security #windows #powershell #cybersecurity #zerotrust #architect #гайд
🔥1
ИБ: Новая угроза — "Quishing". Как QR-коды обходят вашу защиту
Ваш дорогой anti-spam фильтр проверяет ссылки и текст. Но что, если в письме нет ни одной ссылки?
Встречайте "Quishing" (QR Code Phishing) — стремительно растущий вектор атак.
Как это работает:
Пользователь получает письмо (часто под видом "Срочно! Обновите MFA-аутентификацию").
В письме нет ссылок, только изображение (QR-код). Ваш спам-фильтр видит просто картинку и пропускает письмо.
Пользователь сканирует QR-код личным телефоном.
Телефон (который не защищен вашим корпоративным EDR) переходит на фишинговый сайт, где пользователь вводит свой логин и пароль.
Взгляд архитектора: Это атака на "слой 8" (человека), которая обходит традиционные технические средства защиты (E-Mail Gateway, EDR на ПК).
Как защищаться (Defense in Depth):
Обучение: Расскажите пользователям, что сканировать неизвестные QR-коды так же опасно, как и кликать по ссылкам.
MFA: Настоящий MFA (не SMS) — ваш главный бастион.
MDM (Mobile Device Management): Если сотрудники используют личные телефоны для работы, они должны быть под управлением (MDM) и иметь защиту (Endpoint Security).
#security #phishing #cybersecurity #zerotrust #гайд #musthave
Ваш дорогой anti-spam фильтр проверяет ссылки и текст. Но что, если в письме нет ни одной ссылки?
Встречайте "Quishing" (QR Code Phishing) — стремительно растущий вектор атак.
Как это работает:
Пользователь получает письмо (часто под видом "Срочно! Обновите MFA-аутентификацию").
В письме нет ссылок, только изображение (QR-код). Ваш спам-фильтр видит просто картинку и пропускает письмо.
Пользователь сканирует QR-код личным телефоном.
Телефон (который не защищен вашим корпоративным EDR) переходит на фишинговый сайт, где пользователь вводит свой логин и пароль.
Взгляд архитектора: Это атака на "слой 8" (человека), которая обходит традиционные технические средства защиты (E-Mail Gateway, EDR на ПК).
Как защищаться (Defense in Depth):
Обучение: Расскажите пользователям, что сканировать неизвестные QR-коды так же опасно, как и кликать по ссылкам.
MFA: Настоящий MFA (не SMS) — ваш главный бастион.
MDM (Mobile Device Management): Если сотрудники используют личные телефоны для работы, они должны быть под управлением (MDM) и иметь защиту (Endpoint Security).
#security #phishing #cybersecurity #zerotrust #гайд #musthave
AD: Ваш Domain Admin бесполезен, если он залогинен на ПК. Разбираем "Admin Tier Model"
Хакер взломал ПК вашего HelpDesk-администратора, который также является Domain Admin. Через 10 минут хакер получил ключи от всего домена.
Почему: Вы нарушили главный принцип безопасности AD.
Admin Tier Model (Модель Уровней Администрирования) — это не "фича", это архитектурная концепция от Microsoft, которая изолирует ваши "ключи от королевства".
Суть (простыми словами): Ваша инфраструктура делится на 3 "непересекающихся" уровня:
Tier 0 (Ядро / Ключи):
Что это: Контроллеры Домена (DC), PKI (Центры Сертификации), ADFS.
Кто: Только Domain Admins. Запрещено логиниться этими учетками куда-либо, кроме Tier 0.
Tier 1 (Серверы / Приложения):
Что это: Серверы приложений, SQL, WSUS, Файловые серверы.
Кто: Server Admins. Им запрещено логиниться на Tier 0.
Tier 2 (Рабочие станции / Пользователи):
Что это: Ноутбуки, ПК пользователей, принтеры.
Кто: HelpDesk / Workstation Admins. Им запрещено логиниться на Tier 1 и Tier 0.
"Золотое правило" (Закон Гравитации): Tier 0 (DA) НИКОГДА не должен "спускаться" и логиниться на Tier 1 или Tier 2.
Почему? Как только ваш Domain Admin (Tier 0) логинится на ПК (Tier 2), его хэш пароля остается в памяти (LSASS). Хакер, взломав этот ПК, забирает хэш (Pass-the-Hash) и мгновенно становится Domain Admin.
Взгляд архитектора: Вы не просто "создаете группы". Вы проектируете барьеры. Компрометация Tier 2 (самого уязвимого) не должна приводить к компрометации Tier 1 и, тем более, Tier 0. Это основа Zero Trust и единственный способ защитить AD от атак Lateral Movement.
#windows #security #activedirectory #architect #zerotrust #cybersecurity #гайд #musthave
Хакер взломал ПК вашего HelpDesk-администратора, который также является Domain Admin. Через 10 минут хакер получил ключи от всего домена.
Почему: Вы нарушили главный принцип безопасности AD.
Admin Tier Model (Модель Уровней Администрирования) — это не "фича", это архитектурная концепция от Microsoft, которая изолирует ваши "ключи от королевства".
Суть (простыми словами): Ваша инфраструктура делится на 3 "непересекающихся" уровня:
Tier 0 (Ядро / Ключи):
Что это: Контроллеры Домена (DC), PKI (Центры Сертификации), ADFS.
Кто: Только Domain Admins. Запрещено логиниться этими учетками куда-либо, кроме Tier 0.
Tier 1 (Серверы / Приложения):
Что это: Серверы приложений, SQL, WSUS, Файловые серверы.
Кто: Server Admins. Им запрещено логиниться на Tier 0.
Tier 2 (Рабочие станции / Пользователи):
Что это: Ноутбуки, ПК пользователей, принтеры.
Кто: HelpDesk / Workstation Admins. Им запрещено логиниться на Tier 1 и Tier 0.
"Золотое правило" (Закон Гравитации): Tier 0 (DA) НИКОГДА не должен "спускаться" и логиниться на Tier 1 или Tier 2.
Почему? Как только ваш Domain Admin (Tier 0) логинится на ПК (Tier 2), его хэш пароля остается в памяти (LSASS). Хакер, взломав этот ПК, забирает хэш (Pass-the-Hash) и мгновенно становится Domain Admin.
Взгляд архитектора: Вы не просто "создаете группы". Вы проектируете барьеры. Компрометация Tier 2 (самого уязвимого) не должна приводить к компрометации Tier 1 и, тем более, Tier 0. Это основа Zero Trust и единственный способ защитить AD от атак Lateral Movement.
#windows #security #activedirectory #architect #zerotrust #cybersecurity #гайд #musthave
❤3
Windows (Security): JEA — "PowerShell-тюрьма" для админов
Боль: Вам нужно дать HelpDesk-у право только перезапускать службу MyWebApp на 10 серверах.
Реакция админа: Дать ему RDP и права локального админа. (Итог: он "случайно" перезагружает весь сервер).
Реакция архитектора: Внедрить JEA (Just Enough Administration).
JEA — это не "права". Это "PowerShell-бункер".
Вы создаете специальный, изолированный PowerShell-endpoint (конечную точку), к которому подключается админ.
Как это работает:
Взгляд архитектора: Это абсолютный Zero Trust. Вы не "даете права" на сервер. Вы предоставляете безопасное API к нему. Это "золотой стандарт" для делегирования полномочий, который делает атаки Lateral Movement практически невозможными.
#windows #security #powershell #jea #zerotrust #architect #гайд #musthave
Боль: Вам нужно дать HelpDesk-у право только перезапускать службу MyWebApp на 10 серверах.
Реакция админа: Дать ему RDP и права локального админа. (Итог: он "случайно" перезагружает весь сервер).
Реакция архитектора: Внедрить JEA (Just Enough Administration).
JEA — это не "права". Это "PowerShell-бункер".
Вы создаете специальный, изолированный PowerShell-endpoint (конечную точку), к которому подключается админ.
Как это работает:
1. Вы декларативно описываете "роль" в файле .psrc (Role Capability).
2. В этом файле вы разрешаете ТОЛЬКО одну команду: Restart-Service -Name "MyWebApp".
3. Админ подключается: Enter-PSSession -ComputerName SRV-01 -ConfigurationName JEA_Endpoint
4. Результат: Он может выполнить Restart-Service, но если он наберет Get-Process или reboot — он получит "команда не найдена".
Взгляд архитектора: Это абсолютный Zero Trust. Вы не "даете права" на сервер. Вы предоставляете безопасное API к нему. Это "золотой стандарт" для делегирования полномочий, который делает атаки Lateral Movement практически невозможными.
#windows #security #powershell #jea #zerotrust #architect #гайд #musthave
🔥5
Windows (Security): "Крепость" внутри AD. Внедряем Authentication Silos
Боль: Ваш Domain Admin залогинился на ноутбук HelpDesk (
Хакер, сидящий на этом ноутбуке, ворует его Kerberos-билет и через 5 минут захватывает Контроллер Домена (атака
Реакция админа: "Я больше так не буду".
Реакция архитектора: "Я сделаю так, чтобы этот билет был бесполезен".
Authentication Silos (Хранилища Аутентификации) — это ваш "ядерный бункер" внутри AD.
Это контейнер, который привязывает высокопривилегированные учетки (как
Как это работает:
1. Вы создаете "Silo" (Хранилище) и "Policy" (Политику).
2. Вы помещаете в "Silo" своих Domain Admins и свои Domain Controllers.
3. Kerberos (KDC) теперь выдает непередаваемые (non-forwardable) билеты. TGT (билет), выданный для Domain Admin'а, не может быть использован для доступа ни к чему, кроме хостов из этого же "Silo" (то есть, к другим DC).
Взгляд архитектора: Это реальное, техническое принуждение для вашей Admin Tier Model. Вы не "надеетесь", что админ не залогинится на ПК. Вы гарантируете, что если он это сделает, его украденный билет будет просто бесполезным мусором для хакера.
#windows #security #activedirectory #kerberos #zerotrust #architect #гайд #musthave
Боль: Ваш Domain Admin залогинился на ноутбук HelpDesk (
Tier 2 ), чтобы "быстро что-то поправить".Хакер, сидящий на этом ноутбуке, ворует его Kerberos-билет и через 5 минут захватывает Контроллер Домена (атака
Pass-the-Ticket ).Реакция админа: "Я больше так не буду".
Реакция архитектора: "Я сделаю так, чтобы этот билет был бесполезен".
Authentication Silos (Хранилища Аутентификации) — это ваш "ядерный бункер" внутри AD.
Это контейнер, который привязывает высокопривилегированные учетки (как
Domain Admins ) только к высокопривилегированным хостам (как Domain Controllers ).Как это работает:
1. Вы создаете "Silo" (Хранилище) и "Policy" (Политику).
2. Вы помещаете в "Silo" своих Domain Admins и свои Domain Controllers.
3. Kerberos (KDC) теперь выдает непередаваемые (non-forwardable) билеты. TGT (билет), выданный для Domain Admin'а, не может быть использован для доступа ни к чему, кроме хостов из этого же "Silo" (то есть, к другим DC).
Взгляд архитектора: Это реальное, техническое принуждение для вашей Admin Tier Model. Вы не "надеетесь", что админ не залогинится на ПК. Вы гарантируете, что если он это сделает, его украденный билет будет просто бесполезным мусором для хакера.
#windows #security #activedirectory #kerberos #zerotrust #architect #гайд #musthave
👍5
🛡️ Windows (Архитектура): "NTFS-права" мертвы. Будущее — это Dynamic Access Control (DAC)
Боль: У вас 50 файловых шар. Вам приходит задача: "Дать доступ к папке
Реакция админа: Создать еще одну AD-группу
Реакция архитектора: Использовать Dynamic Access Control (DAC).
DAC (динамический контроль доступа) — это "умные" NTFS-права. Вы даете доступ не "пользователю", а "по правилу".
Как это работает:
1. Классификация: Вы "маркируете" файлы (через FSRM): file.Confidentiality = High.
2.Атрибуты: Вы используете существующие атрибуты AD: user.Department = "Sales", user.Country = "KZ".
3. Политика (в GPO): Вы пишете одно правило для папки:
* Allow: Read
* IF: (user.Department == "Sales")
* AND: (user.Country == "KZ")
* AND: (file.Confidentiality == "High")
Взгляд архитектора: Вы переходите от "управления 1000 групп" к "управлению 10 политиками". Это Policy as Code для данных.
#windows #security #activedirectory #dac #zerotrust #architect #гайд
Боль: У вас 50 файловых шар. Вам приходит задача: "Дать доступ к папке
Finance_Reports только менеджерам из отдела Sales , которые находятся в Казахстане".Реакция админа: Создать еще одну AD-группу
KZ_Sales_Managers_Finance_Access и вручную добавить в нее 10 человек. (Через год в AD будет 5000 групп).Реакция архитектора: Использовать Dynamic Access Control (DAC).
DAC (динамический контроль доступа) — это "умные" NTFS-права. Вы даете доступ не "пользователю", а "по правилу".
Как это работает:
1. Классификация: Вы "маркируете" файлы (через FSRM): file.Confidentiality = High.
2.Атрибуты: Вы используете существующие атрибуты AD: user.Department = "Sales", user.Country = "KZ".
3. Политика (в GPO): Вы пишете одно правило для папки:
* Allow: Read
* IF: (user.Department == "Sales")
* AND: (user.Country == "KZ")
* AND: (file.Confidentiality == "High")
Взгляд архитектора: Вы переходите от "управления 1000 групп" к "управлению 10 политиками". Это Policy as Code для данных.
#windows #security #activedirectory #dac #zerotrust #architect #гайд
🔥3
🛡️ Фишинг: Почему "тренировка" — это полдела, а "Zero Trust" — это всё
Боль: 90% всех кибератак начинаются с одного: фишинг. Админ "тренирует" пользователей не нажимать на ссылки. Архитектор исходит из того, что пользователь уже нажал на ссылку.
Обучение пользователей (Layer 😍 — это наш первый, но самый "хрупкий" рубеж обороны.
1. Обучаем (Ресурсы): Вот подборка топ-ресурсов, которые помогут вам и вашим пользователям научиться распознавать угрозы:
KnowBe4 (Лидеры в Security Awareness)
https://www.knowbe4.com/phishing
IT Governance UK (5 способов детекта)
https://www.itgovernance.co.uk/blog/5-ways-to-detect-a-phishing-email
CheapSSLSecurity (10 примеров)
https://cheapsslsecurity.com/blog/10-phishing-email-examples-you-need-to-see/
Google Phishing Quiz (Проверь себя)
https://phishingquiz.withgoogle.com/
2. Строим "бетонную комнату" (Взгляд архитектора): Наша настоящая работа — минимизировать "взрывную волну" после клика. Хакер, получив Initial Access, должен "приземлиться" в изоляции.
Именно поэтому мы внедряем:
* LAPS (чтобы он не украл локального админа).
* AppLocker (чтобы он не запустил свой .exe из Downloads).
* MFA (чтобы он не использовал украденный пароль).
* Admin Tier Model (чтобы он не "прыгнул" на DC).
#security #phishing #cybersecurity #zerotrust #гайд #architect
Боль: 90% всех кибератак начинаются с одного: фишинг. Админ "тренирует" пользователей не нажимать на ссылки. Архитектор исходит из того, что пользователь уже нажал на ссылку.
Обучение пользователей (Layer 😍 — это наш первый, но самый "хрупкий" рубеж обороны.
1. Обучаем (Ресурсы): Вот подборка топ-ресурсов, которые помогут вам и вашим пользователям научиться распознавать угрозы:
KnowBe4 (Лидеры в Security Awareness)
https://www.knowbe4.com/phishing
IT Governance UK (5 способов детекта)
https://www.itgovernance.co.uk/blog/5-ways-to-detect-a-phishing-email
CheapSSLSecurity (10 примеров)
https://cheapsslsecurity.com/blog/10-phishing-email-examples-you-need-to-see/
Google Phishing Quiz (Проверь себя)
https://phishingquiz.withgoogle.com/
2. Строим "бетонную комнату" (Взгляд архитектора): Наша настоящая работа — минимизировать "взрывную волну" после клика. Хакер, получив Initial Access, должен "приземлиться" в изоляции.
Именно поэтому мы внедряем:
* LAPS (чтобы он не украл локального админа).
* AppLocker (чтобы он не запустил свой .exe из Downloads).
* MFA (чтобы он не использовал украденный пароль).
* Admin Tier Model (чтобы он не "прыгнул" на DC).
#security #phishing #cybersecurity #zerotrust #гайд #architect
Security (Infrastructure): Смерть authorized_keys. Переходим на SSH-сертификаты
Боль: У вас 100 серверов и 10 админов. Вы копируете их публичные ключи (id_rsa.pub) в файл ~/.ssh/authorized_keys на каждый сервер.
Проблема 1: Админ уволился. Нужно удалить его ключ со 100 серверов.
Проблема 2: Админ потерял ноутбук. Его ключ скомпрометирован навсегда.
Решение: SSH Certificate Authority (CA) Netflix, Facebook и Uber не используют статические ключи. Они используют сертификаты. Это встроенная функция OpenSSH, о которой мало кто знает.
Как это работает:
Вы создаете CA: Генерируете "мастер-ключ" (храните его в сейфе/Vault).
На серверах: В sshd_config прописываете одну строчку: "Доверяй всем ключам, подписанным этим CA". (Файл authorized_keys больше не нужен!).
Вход админа:
Админ кидает свой pub-ключ в ваш Vault (или подписывающий сервис).
Вы (или SSO) проверяете его личность.
Вы подписываете его ключ своим CA со сроком жизни 1 час.
Админ заходит на серверы.
Через час: Сертификат "протухает". Доступа нет.
Взгляд архитектора: Это переход от статического доступа к эфемероному. Вам больше не нужно "ротировать" ключи или чистить серверы. Доступ выдается Just-in-Time (JIT).
#security #ssh #linux #zerotrust #architect #vault #гайд
Боль: У вас 100 серверов и 10 админов. Вы копируете их публичные ключи (id_rsa.pub) в файл ~/.ssh/authorized_keys на каждый сервер.
Проблема 1: Админ уволился. Нужно удалить его ключ со 100 серверов.
Проблема 2: Админ потерял ноутбук. Его ключ скомпрометирован навсегда.
Решение: SSH Certificate Authority (CA) Netflix, Facebook и Uber не используют статические ключи. Они используют сертификаты. Это встроенная функция OpenSSH, о которой мало кто знает.
Как это работает:
Вы создаете CA: Генерируете "мастер-ключ" (храните его в сейфе/Vault).
На серверах: В sshd_config прописываете одну строчку: "Доверяй всем ключам, подписанным этим CA". (Файл authorized_keys больше не нужен!).
Вход админа:
Админ кидает свой pub-ключ в ваш Vault (или подписывающий сервис).
Вы (или SSO) проверяете его личность.
Вы подписываете его ключ своим CA со сроком жизни 1 час.
Админ заходит на серверы.
Через час: Сертификат "протухает". Доступа нет.
Взгляд архитектора: Это переход от статического доступа к эфемероному. Вам больше не нужно "ротировать" ключи или чистить серверы. Доступ выдается Just-in-Time (JIT).
#security #ssh #linux #zerotrust #architect #vault #гайд
🌐 Skill: "Zero Trust" — убиваем VPN ради безопасности и удобства 🔐
В 2026 году классический VPN (когда ты даешь юзеру доступ сразу ко всей подсети) — это дыра в безопасности. Тренд года — Identity-Aware Proxy (IAP). Это когда доступ дается не к сети, а к конкретному приложению (SSH, Web, DB) только после проверки личности через SSO.
Навык: Настройка Cloudflare Tunnel или Boundary от HashiCorp.
Почему это круче:
1. Сервер вообще не светит портами наружу (даже 80 и 443).
2. Юзеру не нужно включать VPN-клиент и ждать коннекта.
3. Полный аудит: ты видишь не "IP зашел в сеть", а "Админ Иван открыл SSH-сессию на сервер БД".
Команда (пример для Cloudflare Tunnel):
Это будущее корпоративных сетей.
Тот, кто умеет строить ZTNA (Zero Trust Network Access), стоит на рынке в два раза дороже обычного "VPN-мастера". 🚀
#devops #security #zerotrust #ztna #cloudflare #infrastructure #skills
В 2026 году классический VPN (когда ты даешь юзеру доступ сразу ко всей подсети) — это дыра в безопасности. Тренд года — Identity-Aware Proxy (IAP). Это когда доступ дается не к сети, а к конкретному приложению (SSH, Web, DB) только после проверки личности через SSO.
Навык: Настройка Cloudflare Tunnel или Boundary от HashiCorp.
Почему это круче:
1. Сервер вообще не светит портами наружу (даже 80 и 443).
2. Юзеру не нужно включать VPN-клиент и ждать коннекта.
3. Полный аудит: ты видишь не "IP зашел в сеть", а "Админ Иван открыл SSH-сессию на сервер БД".
Команда (пример для Cloudflare Tunnel):
cloudflared tunnel run --url localhost:8080 my-internal-app
Это будущее корпоративных сетей.
Тот, кто умеет строить ZTNA (Zero Trust Network Access), стоит на рынке в два раза дороже обычного "VPN-мастера". 🚀
#devops #security #zerotrust #ztna #cloudflare #infrastructure #skills
❤1🔥1👏1
Собеседование в 2026-м — это проверка не на знание команд, а на архитектурную паранойю. Вы должны уметь строить системы, которые выживут, даже если половина вашей инфраструктуры захвачена. Бэкап, который можно удалить — это не бэкап, а иллюзия. Сеть без Zero Trust — это проходной двор.
Золотое правило:
#собеседование_AF #security #storage #minio #quic #zerotrust #sysadmin #admin_future
🧠 Skills: Zero Trust — не продукт который покупают, а архитектура которую строят
Коллеги, начало недели — хороший момент поговорить о концепции, которую все знают по названию, но мало кто понимает как внедрить без боли и многомиллионного бюджета.
CVE-2026-32202 и PhantomRPC из последних новостей — это атаки через доверие. NTLM-хэш утёк потому что система автоматически доверяла серверу с UNC-путём. Lateral movement работает потому что после взлома одной машины атакующий получает доступ к соседним — им он тоже доверяет.
Zero Trust решает именно это. Не "купить продукт", а изменить модель: никогда не доверять, всегда проверять — каждый запрос аутентифицируется независимо от источника, будь то внутри периметра или снаружи.
Практический путь без выброшенного бюджета — шесть шагов:
Микросегментация блокирует lateral movement — даже при компрометации учётной записи атакующий ограничен небольшой частью сети, а не получает доступ ко всей инфраструктуре.
Зачем это нужно именно сейчас:
Две уязвимости этой недели — Copy Fail и CVE-2026-32202 — показывают что внешний периметр как единственная линия обороны мёртв. Патчи закрывают дыры, но Zero Trust ограничивает ущерб даже когда дыра не закрыта.
Итог: Zero Trust строится итерационно. Начни с MFA и аудита привилегий — это уже Zero Trust. Не нужно покупать Zscaler за миллион рублей на первом шаге.
#skills #zerotrust #security #инфраструктура #микросегментация #sysadmin #admin_future
Коллеги, начало недели — хороший момент поговорить о концепции, которую все знают по названию, но мало кто понимает как внедрить без боли и многомиллионного бюджета.
CVE-2026-32202 и PhantomRPC из последних новостей — это атаки через доверие. NTLM-хэш утёк потому что система автоматически доверяла серверу с UNC-путём. Lateral movement работает потому что после взлома одной машины атакующий получает доступ к соседним — им он тоже доверяет.
Zero Trust решает именно это. Не "купить продукт", а изменить модель: никогда не доверять, всегда проверять — каждый запрос аутентифицируется независимо от источника, будь то внутри периметра или снаружи.
Практический путь без выброшенного бюджета — шесть шагов:
ШАГ 1: ИНВЕНТАРИЗАЦИЯ (неделя 1)
Что у нас есть и что критично?
- Серверы, сервисы, базы данных
- Кто к чему реально обращается
- Какие учётки имеют лишние права
Инструмент: BloodHound (AD), netstat, ss, audit logs
ШАГ 2: IDENTITY (месяц 1 — фундамент)
MFA на всё. Без исключений.
Passkeys/FIDO2 где возможно — убираем пароли.
Принцип минимальных привилегий:
- Аудит членства в Domain Admins / Administrators
- Сервисные учётки с минимальным scope
Это закрывает 80% векторов атаки.
ШАГ 3: СЕГМЕНТАЦИЯ (месяц 2-3)
Разделяем сеть на зоны:
- DMZ (публичные сервисы)
- Servers VLAN (серверы)
- Users VLAN (рабочие станции)
- Management VLAN (админский доступ)
Правило: трафик между зонами — только через явное разрешение.
Инструмент: firewalld zone policies, nftables, VLAN на коммутаторах
ШАГ 4: DEVICE TRUST (параллельно)
Только управляемые устройства к критичным ресурсам.
Intune Compliance Policy или FIDO2 device binding.
Непривязанное устройство = ненадёжное устройство.
ШАГ 5: МОНИТОРИНГ АНОМАЛИЙ (месяц 3+)
Не "всё логировать", а "логировать важное":
- Неудачные аутентификации (Event 4625, 4771)
- Lateral movement (Event 4648, 4672)
- Необычные входы по времени и географии
Prometheus + Loki или любой SIEM.
ШАГ 6: НЕПРЕРЫВНАЯ ВЕРИФИКАЦИЯ
Периодический re-authentication для долгих сессий.
Conditional Access: если устройство нездорово — доступ ограничен.
Микросегментация блокирует lateral movement — даже при компрометации учётной записи атакующий ограничен небольшой частью сети, а не получает доступ ко всей инфраструктуре.
Зачем это нужно именно сейчас:
Две уязвимости этой недели — Copy Fail и CVE-2026-32202 — показывают что внешний периметр как единственная линия обороны мёртв. Патчи закрывают дыры, но Zero Trust ограничивает ущерб даже когда дыра не закрыта.
Итог: Zero Trust строится итерационно. Начни с MFA и аудита привилегий — это уже Zero Trust. Не нужно покупать Zscaler за миллион рублей на первом шаге.
#skills #zerotrust #security #инфраструктура #микросегментация #sysadmin #admin_future