Спасибо за вопросы и интерес к нашей статье. Сейчас постараемся подробно ответить на каждый
Ключевой принцип, лежащий в основе ZTNA: На вопрос «Что мешает устройствам "ходить друг к другу напрямую"?» — фундаментальный ответ заключается в жесткой микросегментации сети. Даже если всё оборудование физически расположено в одной сети, логически оно делится на изолированные сегменты (VLAN). Трафик между этими сегментами строго контролируется межсетевым экраном (Firewall) согласно политике «запрещено всё, что не разрешено явно». Именно это правило по умолчанию блокирует любые несанкционированные попытки доступа, например, с рабочей станции бухгалтера к серверу разработки.
Ответы на частные вопросы из обсуждения:
«Бухгалтер работает только в 1С, но получает документы» Это решается корректной настройкой прав доступа на самом файловом сервере (например, через групповые политики Active Directory). Бухгалтеру предоставляется доступ только на чтение в конкретную папку, например, \Договоры. Роль ZTNA в данной ситуации — обеспечить безопасный зашифрованный канал доступа к этому ресурсу извне, но не управление правами внутри него.
«Менеджеры не смогли слить БД» Это ожидаемое и правильное поведение системы. У сотрудников данной группы не должно быть сетевого доступа к серверу базы данных. Данная политика обеспечивается правилами на межсетевом экране и является базовым элементом архитектуры безопасности.
«Печать на общих принтерах» Периферийные устройства (принтеры, IP-камеры и т.д.) должны быть вынесены в отдельный, изолированный сегмент сети (VLAN). Это предотвращает возможность их использования для атак на критическую инфраструктуру, при этом сохраняется возможность инициировать подключение к ним для печати.
Важно понимать, что ZTNA — это не «волшебный агент», который устанавливается в каждую розетку. Это, в первую очередь, логическая перестройка сетевой архитектуры, основанная на принципах строгой сегментации и детализированных политиках межсетевого экрана.
Наша рекомендация: для получения точных и практических инструкций по внедрению всегда обращайтесь к официальной документации конкретных вендоров (например, решений ZTNA от Cisco, Fortinet, Zscaler и других), так как реализация может иметь свои особенности.
Можно подобрать варианты, при которых финансовые вложения будут минимальными: наложенные средства защиты, организационные или компенсирующие мероприятия. Или, например, харденинг в широком смысле не будет стоить вам ничего, кроме времени затраченного специалистами, а это тоже деньги.
Без финансовых вложений, пожалуй, можно поднять уровень экспертизы за счет изучения подобного рода статей или иных профильных источников информации.
Далее, что мы подразумеваем под "отбить", если речь о получении результата или оценке эффективности? В таком случае на вопрос ответить можете только вы относительно своей СОИБ. Какие цели вы преследуете, какие используете метрики?
При высококачественном исполнении рекомендаций с учетом текущей ситуации и потребностей именно вашей организации эффект должен быть прямо противоположен результату каждой из приведенных проблем.
В настоящее время нет действующей судебной практики по данному вопросу. Для правильной квалификации деяния должны быть установлены нормативные акты, закрепляющие требование обязательной сертификации информационных систем, баз и банков данных, средств защиты информации, используемых в определенных целях.
Например, в соответствии с п.8 Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи представление налоговой декларации в электронном виде допускается при обязательном использовании сертифицированных средств электронной подписи. При нарушении гражданином данного требования, он может быть привлечен к административной ответственности по ч.2 ст.13.12 КоАП РФ.
Команда shell: cat нужна, чтобы получить текущее значение параметра ядра Linux прямо из файла /proc/sys/kernel/kptr_restrict.
В Ansible нет встроенного модуля для чтения значений из файлов в директории /proc. Модуль ansible.builtin.sysctl позволяет работать только с параметрами, установленными через /etc/sysctl.conf, или временно изменять их. Поэтому самый простой способ - это использовать shell: cat.
Можно было бы использовать:
модуль ansible.builtin.slurp (или просто slurp), но тогда пришлось бы дополнительно декодировать base64 и обрабатывать результат;
модуль ansible.builtin.command (или просто command), безопаснее с точки зрения инъекций, но суть осталась бы той же.
Использование именно shell в данном кейсе обусловлено следующими причинами:
Нужно быстро и просто прочитать однострочное значение из файла в /proc.
Нет простого встроенного модуля в Ansible, который отдаёт это значение "как есть" (например, sysctl - только для управления, slurp - неудобен, остальные не подходят).
Команда вводится явно, внешних данных нет - то есть риски с точки зрения безопасности минимальны.
При желании можно всегда заменить shell на command (если хочется ещё большей надёжности, или если политика безопасности запрещает shell).
В обоих случаях смысл шага плейбука абсолютна идентичен - просто получение значения параметра для дальнейшей логики.
Нет обязательного требования про “специальную версию Ansible”, прошедшую SAST/DAST/SCA/Fuzz с нулём критических уязвимостей. Однако, если компания внедряет СУИБ по требованиям ФСТЭК, обычно определяется порядок проверки ПО, и в ряде случаев сами организации проводят подобные тесты для используемых инструментов. Иногда, если есть такие внутренние правила или требования, используют “доверенные сборки” или доверенные репозитории. Главное — показать, что выбранное ПО контролируется на наличие уязвимостей, своевременно обновляется и не содержит известных эксплойтов или закладок.
Рекомендации, утвержденные Минобрнауки России, рассмотрены в разделе "Критическая информационная инфраструктура". Для удобства добавили гиперссылки в текст.
В решении Efros EDO модуль NAC выступает в качестве AAA-сервера. Главное, чтобы сетевое оборудование поддерживало работу по протоколу RADIUS (RFC 2865 и RFC 2866) и стандарт IEEE 802.1X. Не имеет значения, что это - коммутаторы, беспроводные точки доступа или беспроводные контроллеры точек доступа. Для организации контроля предоставления доступа к целевым ресурсам в рамках VPN – доступа VPN – шлюз также должен поддерживать работу по протоколу RADIUS (RFC 2865 и RFC 2866).
Да, все верно. На сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) представлен реестр операторов, осуществляющих обработку персональных данных (далее – ПДн). Также обращаем внимание, что в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», операторы ПДн должны информировать субъектов ПДн о том, кому и для каких целей передаются их данные. Для того, чтобы обеспечить соблюдение этих требований и минимизировать риски утечки или неправомерного использования ПДн, каждой организации необходимо вести и поддерживать в актуальном состоянии Перечень третьих лиц, которым может быть поручена обработка и могут быть переданы ПДн субъектов ПДн.
Спасибо за комментарий! Основные рекомендации для операторов с целью снижения рисков нарушения требований законодательства при обработке персональных данных (далее – ПДн) приведены в статье. За консультацией по услуге аудита процессов обработки ПДн можно обратиться: +7 (343) 379-98-34,info@ussc.ru.
Интеграция с pandoc возможна всего в одну строчку кода: добавьте его команду в crawl.sh под нужным mime-type. Но учитывайте, что pandoc ограничен типами файлов, он не сможет exe, elf, zip, tar, 7z, etc. Ограничения нам не нужны.
Спасибо за комментарий! Поисковая система ничего не разрушает, поэтому её создание — это созидание. Эта система 100% опенсорсна и у неё есть интерфейс. Но вас никто не обязывает искать именно пароли, это лишь самый наглядный пример. Эту систему можно использовать и простым людям, чтобы ориентироваться, где какие документы можно найти.
Видеозапись митинга содержит звуковую дорожку, которую можно извлечь с помощью ffmpeg и далее распознать текст с помощью vosk. Так, задача может быть решена в две команды. Вот если бы вы спросили как извлечь текст именно из видеоряда)
Спасибо за вопрос! Помимо sqlite есть ещё два варианта поиска. В самом начале вы имеете текстовые данные (csv) и можете искать по ним обычным grep, а его недооценивать не стоит. Наконец, elasticsearch, куда можно свалить хоть терабайт информации и это не предел. В любом случае, вы сами выбираете, в каком виде вам работать с данными. Если вы пентестер и у вас несколько дней на проект, просто grep по csv. Если вы админ и разворачиваете непрерывный краулинг, то elasticsearch/opensearch.
Спасибо за вопрос! Выявить работу SIEM возможно только при активном перехвате трафика между устройствами сети. При захвате широковещательного трафика Wi-Fi определить наличие SIEM не удастся. Также важно отметить, что IP-камеры ставят на мониторинг гораздо реже, чем серверы и АРМ. В случае, если камера не на мониторинге, обнаружение активности может произойти за счёт анализа трафика на межсетевых экранах или на системе обнаружения вторжений.
Согласны, проблема с повторяющимися паролями актуальна для многих компаний из разных сегментов. Что касается кассовых аппаратов, в нашей практике даже встречались ситуации, когда доступ к ним можно было получить без пароля. Спасибо за идею для публикации!
Проверьте настройки безопасности телефона. Убедитесь, что у вас включены функции безопасности, такие как блокировка экрана (PIN, пароль, отпечаток пальца). Дополнительно смените и установите более сложный пароль.
Убедитесь, что на вашем телефоне установлены последние обновления операционной системы и приложений.
Удалите из телефона любые подозрительные или ненужные приложения, особенно те, которые вы не устанавливали или не помните, зачем они вам нужны.
Просканируйте устройство на наличие вредоносного ПО антивирусной программой, например, от компании Лаборатория Касперского.
Проверьте права доступа приложений, которые могут получать доступ к вашим конфиденциальным данным, включая те, которые могут читать ваши контакты, просматривать ваши фотографии, получать доступ к вашим журналам чатов и другим частным данным.
Выйдите со всех устройств из мессенджеров и социальных сетей .
Смените пароли во всех мессенджерах, почтах, социальных сетях. Включите двухфакторную авторизацию или пин-код.
Проверьте подключенные услуги у сотового оператора.
Не подключайтесь к гостевым WI-FI сетям.
Проверьте список подключенных устройств и активных сессий в ваших учетных записях (например, Google, Apple ID).
Если вы продолжаете подозревать взлом, рассмотрите возможность сброса телефона до заводских настроек.
Если вы не уверены в своих действиях или ситуация кажется серьезной, обратитесь к специалисту по кибербезопасности или в службу поддержки вашего устройств.
Использование специализированного Proxy-сервера для управления безопасностью может быть удобным решением, но он не способен защитить от всех типов атак. Прокси-серверы обычно работают на сетевом уровне и хорошо справляются с защитой от таких угроз, как DDoS, шифрование трафика и базовая аутентификация. Однако этого недостаточно для защиты от множества других векторов атак, например, CSRF, XSS, SQL-инъекций или уязвимостей, связанных с обработкой данных внутри приложения.
Встроенные механизмы безопасности фреймворков, таких как Django или FastAPI, предоставляют защиту на уровне логики приложения. Эти инструменты интегрируются непосредственно с бизнес-логикой и данными, обеспечивая более глубокую проверку и защиту от сложных атак. Например, защита от XSS напрямую связана с рендерингом шаблонов, а противодействие CSRF встроено в управление сессиями.
Proxy-сервер может быть полезен как дополнительный уровень безопасности, но встроенные механизмы фреймворков незаменимы для полноценной защиты, особенно когда угрозы касаются внутренней логики и данных приложения.
Спасибо за вопросы и интерес к нашей статье. Сейчас постараемся подробно ответить на каждый
Ключевой принцип, лежащий в основе ZTNA:
На вопрос «Что мешает устройствам "ходить друг к другу напрямую"?» — фундаментальный ответ заключается в жесткой микросегментации сети. Даже если всё оборудование физически расположено в одной сети, логически оно делится на изолированные сегменты (VLAN). Трафик между этими сегментами строго контролируется межсетевым экраном (Firewall) согласно политике «запрещено всё, что не разрешено явно». Именно это правило по умолчанию блокирует любые несанкционированные попытки доступа, например, с рабочей станции бухгалтера к серверу разработки.
Ответы на частные вопросы из обсуждения:
«Бухгалтер работает только в 1С, но получает документы»
Это решается корректной настройкой прав доступа на самом файловом сервере (например, через групповые политики Active Directory). Бухгалтеру предоставляется доступ только на чтение в конкретную папку, например, \Договоры. Роль ZTNA в данной ситуации — обеспечить безопасный зашифрованный канал доступа к этому ресурсу извне, но не управление правами внутри него.
«Менеджеры не смогли слить БД»
Это ожидаемое и правильное поведение системы. У сотрудников данной группы не должно быть сетевого доступа к серверу базы данных. Данная политика обеспечивается правилами на межсетевом экране и является базовым элементом архитектуры безопасности.
«Печать на общих принтерах»
Периферийные устройства (принтеры, IP-камеры и т.д.) должны быть вынесены в отдельный, изолированный сегмент сети (VLAN). Это предотвращает возможность их использования для атак на критическую инфраструктуру, при этом сохраняется возможность инициировать подключение к ним для печати.
Важно понимать, что ZTNA — это не «волшебный агент», который устанавливается в каждую розетку. Это, в первую очередь, логическая перестройка сетевой архитектуры, основанная на принципах строгой сегментации и детализированных политиках межсетевого экрана.
Наша рекомендация: для получения точных и практических инструкций по внедрению всегда обращайтесь к официальной документации конкретных вендоров (например, решений ZTNA от Cisco, Fortinet, Zscaler и других), так как реализация может иметь свои особенности.
Можно подобрать варианты, при которых финансовые вложения будут минимальными: наложенные средства защиты, организационные или компенсирующие мероприятия. Или, например, харденинг в широком смысле не будет стоить вам ничего, кроме времени затраченного специалистами, а это тоже деньги.
Без финансовых вложений, пожалуй, можно поднять уровень экспертизы за счет изучения подобного рода статей или иных профильных источников информации.
Далее, что мы подразумеваем под "отбить", если речь о получении результата или оценке эффективности? В таком случае на вопрос ответить можете только вы относительно своей СОИБ. Какие цели вы преследуете, какие используете метрики?
При высококачественном исполнении рекомендаций с учетом текущей ситуации и потребностей именно вашей организации эффект должен быть прямо противоположен результату каждой из приведенных проблем.
В настоящее время нет действующей судебной практики по данному вопросу. Для правильной квалификации деяния должны быть установлены нормативные акты, закрепляющие требование обязательной сертификации информационных систем, баз и банков данных, средств защиты информации, используемых в определенных целях.
Например, в соответствии с п.8 Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи представление налоговой декларации в электронном виде допускается при обязательном использовании сертифицированных средств электронной подписи. При нарушении гражданином данного требования, он может быть привлечен к административной ответственности по ч.2 ст.13.12 КоАП РФ.
Команда shell: cat нужна, чтобы получить текущее значение параметра ядра Linux прямо из файла /proc/sys/kernel/kptr_restrict.
В Ansible нет встроенного модуля для чтения значений из файлов в директории /proc. Модуль ansible.builtin.sysctl позволяет работать только с параметрами, установленными через /etc/sysctl.conf, или временно изменять их. Поэтому самый простой способ - это использовать shell: cat.
Можно было бы использовать:
модуль ansible.builtin.slurp (или просто slurp), но тогда пришлось бы дополнительно декодировать base64 и обрабатывать результат;
модуль ansible.builtin.command (или просто command), безопаснее с точки зрения инъекций, но суть осталась бы той же.
Использование именно shell в данном кейсе обусловлено следующими причинами:
Нужно быстро и просто прочитать однострочное значение из файла в /proc.
Нет простого встроенного модуля в Ansible, который отдаёт это значение "как есть" (например, sysctl - только для управления, slurp - неудобен, остальные не подходят).
Команда вводится явно, внешних данных нет - то есть риски с точки зрения безопасности минимальны.
При желании можно всегда заменить shell на command (если хочется ещё большей надёжности, или если политика безопасности запрещает shell).
В обоих случаях смысл шага плейбука абсолютна идентичен - просто получение значения параметра для дальнейшей логики.
Нет обязательного требования про “специальную версию Ansible”, прошедшую SAST/DAST/SCA/Fuzz с нулём критических уязвимостей.
Однако, если компания внедряет СУИБ по требованиям ФСТЭК, обычно определяется порядок проверки ПО, и в ряде случаев сами организации проводят подобные тесты для используемых инструментов.
Иногда, если есть такие внутренние правила или требования, используют “доверенные сборки” или доверенные репозитории.
Главное — показать, что выбранное ПО контролируется на наличие уязвимостей, своевременно обновляется и не содержит известных эксплойтов или закладок.
Рекомендации, утвержденные Минобрнауки России, рассмотрены в разделе "Критическая информационная инфраструктура". Для удобства добавили гиперссылки в текст.
В решении Efros EDO модуль NAC выступает в качестве AAA-сервера.
Главное, чтобы сетевое оборудование поддерживало работу по протоколу RADIUS (RFC 2865 и RFC 2866) и стандарт IEEE 802.1X. Не имеет значения, что это - коммутаторы, беспроводные точки доступа или беспроводные контроллеры точек доступа.
Для организации контроля предоставления доступа к целевым ресурсам в рамках VPN – доступа VPN – шлюз также должен поддерживать работу по протоколу RADIUS (RFC 2865 и RFC 2866).
Да, все верно. На сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) представлен реестр операторов, осуществляющих обработку персональных данных (далее – ПДн). Также обращаем внимание, что в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», операторы ПДн должны информировать субъектов ПДн о том, кому и для каких целей передаются их данные. Для того, чтобы обеспечить соблюдение этих требований и минимизировать риски утечки или неправомерного использования ПДн, каждой организации необходимо вести и поддерживать в актуальном состоянии Перечень третьих лиц, которым может быть поручена обработка и могут быть переданы ПДн субъектов ПДн.
Спасибо за комментарий!
Основные рекомендации для операторов с целью снижения рисков нарушения требований законодательства при обработке персональных данных (далее – ПДн) приведены в статье. За консультацией по услуге аудита процессов обработки ПДн можно обратиться: +7 (343) 379-98-34, info@ussc.ru.
Интеграция с pandoc возможна всего в одну строчку кода: добавьте его команду в crawl.sh под нужным mime-type.
Но учитывайте, что pandoc ограничен типами файлов, он не сможет exe, elf, zip, tar, 7z, etc. Ограничения нам не нужны.
Спасибо за комментарий!
Поисковая система ничего не разрушает, поэтому её создание — это созидание.
Эта система 100% опенсорсна и у неё есть интерфейс.
Но вас никто не обязывает искать именно пароли, это лишь самый наглядный пример. Эту систему можно использовать и простым людям, чтобы ориентироваться, где какие документы можно найти.
Видеозапись митинга содержит звуковую дорожку, которую можно извлечь с помощью ffmpeg и далее распознать текст с помощью vosk. Так, задача может быть решена в две команды.
Вот если бы вы спросили как извлечь текст именно из видеоряда)
Всё зависит от парсера. Большинство утилит сможет понять любые языки.
Спасибо за вопрос!
Помимо sqlite есть ещё два варианта поиска. В самом начале вы имеете текстовые данные (csv) и можете искать по ним обычным grep, а его недооценивать не стоит. Наконец, elasticsearch, куда можно свалить хоть терабайт информации и это не предел.
В любом случае, вы сами выбираете, в каком виде вам работать с данными. Если вы пентестер и у вас несколько дней на проект, просто grep по csv. Если вы админ и разворачиваете непрерывный краулинг, то elasticsearch/opensearch.
Спасибо за вопрос!
Выявить работу SIEM возможно только при активном перехвате трафика между устройствами сети. При захвате широковещательного трафика Wi-Fi определить наличие SIEM не удастся. Также важно отметить, что IP-камеры ставят на мониторинг гораздо реже, чем серверы и АРМ. В случае, если камера не на мониторинге, обнаружение активности может произойти за счёт анализа трафика на межсетевых экранах или на системе обнаружения вторжений.
Согласны, проблема с повторяющимися паролями актуальна для многих компаний из разных сегментов. Что касается кассовых аппаратов, в нашей практике даже встречались ситуации, когда доступ к ним можно было получить без пароля.
Спасибо за идею для публикации!
Спасибо за вопрос!
Попробуйте выполнить ряд рекомендаций:
Проверьте настройки безопасности телефона. Убедитесь, что у вас включены функции безопасности, такие как блокировка экрана (PIN, пароль, отпечаток пальца). Дополнительно смените и установите более сложный пароль.
Убедитесь, что на вашем телефоне установлены последние обновления операционной системы и приложений.
Удалите из телефона любые подозрительные или ненужные приложения, особенно те, которые вы не устанавливали или не помните, зачем они вам нужны.
Просканируйте устройство на наличие вредоносного ПО антивирусной программой, например, от компании Лаборатория Касперского.
Проверьте права доступа приложений, которые могут получать доступ к вашим конфиденциальным данным, включая те, которые могут читать ваши контакты, просматривать ваши фотографии, получать доступ к вашим журналам чатов и другим частным данным.
Выйдите со всех устройств из мессенджеров и социальных сетей .
Смените пароли во всех мессенджерах, почтах, социальных сетях. Включите двухфакторную авторизацию или пин-код.
Проверьте подключенные услуги у сотового оператора.
Не подключайтесь к гостевым WI-FI сетям.
Проверьте список подключенных устройств и активных сессий в ваших учетных записях (например, Google, Apple ID).
Если вы продолжаете подозревать взлом, рассмотрите возможность сброса телефона до заводских настроек.
Если вы не уверены в своих действиях или ситуация кажется серьезной, обратитесь к специалисту по кибербезопасности или в службу поддержки вашего устройств.
Коллеги, главное, что все поняли друг друга)
Спасибо за комментарий! Наши ребята пишут сами, поэтому и профессиональный сленг в материалах остается)
Спасибо за вопрос!
Использование специализированного Proxy-сервера для управления безопасностью может быть удобным решением, но он не способен защитить от всех типов атак. Прокси-серверы обычно работают на сетевом уровне и хорошо справляются с защитой от таких угроз, как DDoS, шифрование трафика и базовая аутентификация. Однако этого недостаточно для защиты от множества других векторов атак, например, CSRF, XSS, SQL-инъекций или уязвимостей, связанных с обработкой данных внутри приложения.
Встроенные механизмы безопасности фреймворков, таких как Django или FastAPI, предоставляют защиту на уровне логики приложения. Эти инструменты интегрируются непосредственно с бизнес-логикой и данными, обеспечивая более глубокую проверку и защиту от сложных атак. Например, защита от XSS напрямую связана с рендерингом шаблонов, а противодействие CSRF встроено в управление сессиями.
Proxy-сервер может быть полезен как дополнительный уровень безопасности, но встроенные механизмы фреймворков незаменимы для полноценной защиты, особенно когда угрозы касаются внутренней логики и данных приложения.