惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
CXSECURITY Database RSS Feed - CXSecurity.com
L
LINUX DO - 热门话题
S
Secure Thoughts
TaoSecurity Blog
TaoSecurity Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
T
Threat Research - Cisco Blogs
AI
AI
B
Blog RSS Feed
S
Schneier on Security
雷峰网
雷峰网
Schneier on Security
Schneier on Security
Help Net Security
Help Net Security
Cloudbric
Cloudbric
L
LINUX DO - 最新话题
罗磊的独立博客
有赞技术团队
有赞技术团队
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Apple Machine Learning Research
Apple Machine Learning Research
P
Proofpoint News Feed
酷 壳 – CoolShell
酷 壳 – CoolShell
The Hacker News
The Hacker News
博客园 - Franky
Attack and Defense Labs
Attack and Defense Labs
The Cloudflare Blog
Webroot Blog
Webroot Blog
Last Week in AI
Last Week in AI
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
博客园 - 叶小钗
美团技术团队
L
Lohrmann on Cybersecurity
T
The Blog of Author Tim Ferriss
The Last Watchdog
The Last Watchdog
T
Troy Hunt's Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Vercel News
Vercel News
Know Your Adversary
Know Your Adversary
O
OpenAI News
博客园 - 【当耐特】
Hacker News - Newest:
Hacker News - Newest: "LLM"
C
Cybersecurity and Infrastructure Security Agency CISA
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
www.infosecurity-magazine.com
www.infosecurity-magazine.com
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
PCI Perspectives
PCI Perspectives
H
Heimdal Security Blog
I
InfoQ
GbyAI
GbyAI
T
Threatpost
C
Cisco Blogs

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Страшно, когда не видно: взгляд внутрь домена
ptsecurity ( · 2026-04-27 · via Все публикации подряд на Хабре

Страшно, когда не видно: взгляд внутрь домена

Время на прочтение12 мин

Охват и читатели246

Кейс

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? 

Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ‑менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия. Злоумышленники могут получить доступ к финансовым транзакциям и вывести деньги, или же украсть ноу‑хау компании, всего лишь захватив учетные данные с необходимыми для этого привилегиями. Для бизнеса это может обернуться катастрофой. Для защитников — это не просто еще один сервер, а важнейший источник данных об инфраструктуре, через который можно увидеть большую часть активов предприятия, обнаружить уязвимости, найти небезопасные настройки и даже вычислить Shadow IT.

Однако, как часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!


Большинство из вас наверняка работают с доменами и их контроллерами каждый день и знают о них если не все, то многое. Но для целостности картины, и чтобы все двигались в одном контексте, начнем с, казалось бы, очевидных вещей — о чем пойдет речь и зачем все это нужно.

Итак, домен — это логическая структура, которая объединяет множество компонентов ИТ‑инфраструктуры и покрывает практически всю айтишную часть организации. Многие серверы, рабочие станции пользователей и сервисы живут внутри определенного домена или взаимодействуют с ним. Но также существуют серверы, например, на unix‑ax или рабочие станции на MacOS, которые не учитываются в домене. В результате получаем ситуацию, когда не про все учётные записи и не про все компьютеры знает контроллер домена.

Контроллеры домена — это физические или виртуальные серверы, которые непосредственно управляют доменом. Они хранят базу данных, обрабатывают запросы на аутентификацию и авторизацию, следят за целостностью всей конструкции. Контроллеров может быть несколько — для отказоустойчивости или для разграничения зон ответственности между разными доменами.

Какие данные хранит домен? Вот база, которую нужно держать в голове:

  • Учетные записи пользователей. Логины, хэши паролей, атрибуты, членство в группах.

  • Компьютеры. Каждая рабочая станция и сервер, которые входят в домен, имеют там свою учетную запись.

  • Группы. Администраторы, пользователи, операторы — это основа для разграничения доступа.

  • Групповые политики (Group Policy Objects, GPO). Определяют, как настроены компьютеры и пользователи: от разрешений до реестра и прав на запуск отдельных программ.

  • Доверительные отношения. Домены могут доверять друг другу как внутри одного леса — объединением доменов с общей схемой, конфигурацией и глобальным каталогом, — так и между разными лесами.

Разумеется, в домене хранится гораздо больше информации, и управляется она разными способами. Но перечисленного достаточно, чтобы понять главное: тот, кто контролирует домен, контролирует всё.

Взгляд атакующего: векторы атак и инструменты

Для злоумышленника домен — не только хранилище информации, которое нужно захватить. Это еще и работающие сервисы, которые можно использовать прямо в ходе атаки. Начиная с банальной проверки существования учетных записей и заканчивая полноценным перебором паролей (если это, конечно, не запрещено настройками). В ход идут службы SMB, Exchange, терминальные серверы — любые доступные инструменты, которые позволяют продвинуться дальше. И с каждым таким шагом злоумышленник все ближе к заветной цели — полному контролю над доменом. Поговорим о том, какими техниками и инструментами этого можно добиться.

Популярные направления и несчастливые билеты

Векторов атаки существует огромное количество, одними из самых распространенных являются:

  1. Kerberoasting — атакующий запрашивает служебные билеты и взламывает их офлайн. Распространено в 40% атак на Active Directory.

  2. Pass‑the‑Hash/Pass‑the‑Ticket — кража хэшей или билетов Kerberos для имитации пользователя без знания пароля. По нашим данным, используется в 50% случаев горизонтального перемещения.

  3. Подбор паролей — всем знакомый брутфорс, то есть массовый подбор общих паролей для множества учетных записей. Такой, казалось бы, давно избитый прием в 30% случаев приводит к получению первоначального доступа (Initial access).

  4. DCSync/DCSshadow — имитация репликации контроллера домена для кражи данных или внесения изменений. Злоумышленники применяют этот метод в 20% продвинутых атак.

  5. Использование программ‑вымогателей через Active Directory — распространение через групповые политики (GPO) или SYSVOL. Около 70% атак с применением этого вредоносного ПО проходят по этому вектору для повышения привилегий и распространения по всей инфраструктуре.

По каждому из этих векторов написаны тонны литературы и статей. Более того, на профильных ресурсах по пентесту каждому посвящены отдельные разделы — с описанием, как именно атаковать, к чему это приводит и что можно получить в результате.

Отдельного разговора заслуживают атаки на билеты Kerberos. Самые известные из них — уже упомянутые Silver Ticket и Golden Ticket.

Silver Ticket считается менее шумным: для него нужен NT‑хэш учетной записи сервиса, после чего злоумышленник подделывает билет и пытается пройти дальше. Golden Ticket получить сложнее — требуется NT‑хэш учетной записи KRBTGT. Но если злоумышленник завладел золотым билетом, значит, он уже скомпрометировал ваш домен‑контроллер и может свободно гулять по инфраструктуре. И да, если такое случилось, мало просто сменить пароль от KRBTGT — предыдущая итерация пароля все еще будет легитимной. Это сделано специально, чтобы сервисы не разлогинили пользователей, а билеты еще какое‑то время жили, так что менять пароль нужно два раза подряд через небольшой промежуток времени. Например, поменяли пароль KRBTGT один раз, прошло 5 минут — поменяли еще раз.

Более новые атаки — Diamond Ticket и Sapphire Ticket — уже не требуют выписывания нового билета и работают через подделку уже существующего. Правда, чтобы расшифровать его данные, все равно нужны NT‑хэши от учетки KRBTGT. Нюансов там хватает, но суть ясна: этот вид атак постоянно эволюционирует, и за всеми изменениями нужно следить.

Легитимные утилиты в руках злоумышленников

Под стать векторам инструментов для реализации этих атак тоже предостаточно. Есть полностью легитимные утилиты — например, RSAT, который устанавливается в Windows Professional или Enterprise буквально в пару кликов, или набор Sysinternals, чьи утилиты подписаны сертификатами Microsoft. 

Собери Изучи их всех!

Собери Изучи их всех!

Ими пользуются большинство администраторов и именно поэтому их так любят атакующие: легитимный инструмент не вызывает подозрений. Даже такой специфичный инструмент, как ADExplorer, можно легко конвертировать в формат для BloodHound и использовать уже в откровенно злонамеренных целях. 

В идеальном мире все причастные должны знать эти утилиты, а также следить за обновлениями (ну или прочитать о каждой хотя бы пару статей). Если же вы безопасник — обязательно попробуйте запустить их. Такой тест поможет найти дыры в своей защите и закрыть их до того, как до них доберутся злоумышленники.

Взгляд защитников: инвентаризация, уязвимости и Shadow IT

Как мы уже говорили в предыдущих статьях нашего цикла: невозможно защитить то, о существовании чего вы даже не подозреваете. Данные внутри домена дают нам видимость огромной части инфраструктуры предприятия — пользователи, компьютеры, группы и связи между ними. Благодаря этому мы получаем каркас, на который потом накладывается все остальное.

Отдельная история — инвентаризация. С помощью данных из домена мы видим всех пользователей, все компьютеры и все группы. Но главное — через домен можно обнаружить так называемый Shadow IT. Это узлы сети, которые скрыты от регулярного мониторинга: забытые тестовые машины, устройства, подключенные к домену без ведома ИТ‑отдела, а также учетные записи давно выключенных и списанных компьютеров, которые (хотя и пребывают в статусе таковых) почему‑то по‑прежнему входят в привилегированные группы. Такие «мертвые» активы представляют для злоумышленников особый интерес, ведь за ними никто не следит. Атакующий может захватить такую учетную запись и войти в сеть незамеченным, а значит нам как защитникам нужно найти их первыми.

Как получить данные из домена и что с ними делать

Итак, мы разобрались, кому и зачем нужен домен — атакующим для захвата системы, а защитникам для сбора информации о ней. Конечно, нас, как защитников, интересует второе, но как именно мы можем получить все эти данные? Разберемся на примере наших продуктов.

Два профиля для аудита домена в MaxPatrol VM

В MaxPatrol VM для аудита домена предусмотрены два профиля с разными задачами. Первый называется Windows DC Audit. С его помощью можно собрать всю информацию о домене: пользователи, группы, компьютеры и так далее. Плюс к этому выполняется аудит самого домен‑контроллера — мы узнаём о программном обеспечении, которое на нём установлено, его версиях, настройках, параметрах. Этот профиль даёт наиболее полную картину и позволяет в том числе выявить уязвимости самого контроллера. Но задача с этим профилем будет выполняться дольше, потому что собирается больше информации.

Второй профиль называется Microsoft Active Directory Audit. Он собирает информацию только о домене через протокол LDAP. Мы получаем тех же пользователей, группы, компьютеры, но ничего не узнаём о самом домен‑контроллере — его операционной системе, параметрах и так далее. Этот профиль рекомендуется использовать, когда у вас довольно большая инсталляция и нужно сократить время на выполнение аудита. Либо можно разбить задачу сканирования на несколько этапов: сначала собрать данные о домене через этот профиль, а потом отдельно просканировать контроллеры обычным профилем для аудита Windows‑систем.

Контроль небезопасных настроек с MaxPatrol HCC

Модуль MaxPatrol HCC, в свою очередь, смотрит, скорее, на настройки и параметры работы компонентов. Стандарт PT Essentials Windows Server помогает обнаружить в сети активы, на которых имеются небезопасные настройки. Такие настройки тоже могут использоваться атакующим для продвижения или компрометации контроллера домена. И MaxPatrol HCC не просто находит проблемы — он даёт рекомендации по исправлению и позволяет отследить, применились ли эти исправления.

Обогащение событий данными с помощью MaxPatrol SIEM

Но управление уязвимостями и контроль настроек — это только часть работы. Данные из домена могут пригодиться и при расследовании инцидентов. MaxPatrol SIEM тоже умеет использовать информацию из Active Directory с помощью табличных списков Asset Grid, куда передаётся запрос из MaxPatrol VM. Такие списки автоматически наполняются данными об активах и регулярно обновляются, а затем используются в правилах корреляции и обогащения.

Например, можно создать список важных учётных записей администраторов, чтобы правила корреляции реагировали только на изменения в них, или добавить во все события информацию о должностях и департаментах пользователей. Благодаря этому сработка о запуске AD Explorer от администратора и от бухгалтера будет оцениваться по‑разному — с разным уровнем критичности и внимания.

Моделирование атак в MaxPatrol Carbon

Данные из домена пригодятся не только для обнаружения проблем, но и для того, чтобы понять, как этими проблемами может воспользоваться злоумышленник. MaxPatrol Carbon использует информацию об активах и привилегиях пользователей для моделирования путей атак. Например, на основе собранных данных интеллектуальная система строит один из возможных маршрутов: с помощью учётной записи саппорта, используя вектор Kerberoasting, можно получить доступ к администратору домена. Причём MaxPatrol Carbon не просто сообщает о существовании такого пути — он объясняет, что это за путь, насколько он опасен и как его устранить, чтобы хакер не смог добраться до цели и реализовать задуманное.

Аудит доменов на примере MaxPatrol VM

С чего начать практически? Нужно создать учетную запись, которая имеет права на чтение домена. Задача тривиальная, любой администратор знает, как это сделать. После создания добавляем эту учетную запись в интерфейсе MaxPatrol VM в список учетных записей. Далее создаем задачу на сбор данных с нужным профилем, указываем созданную учетную запись, при необходимости меняем порт, сохраняем и запускаем задачу на аудит. После завершения задачи мы увидим все данные, которые получили из домена: пользователи, компьютеры, группы и так далее.

Проверка доверенных доменов и поиск потерянных серверов

Первое, что нужно посмотреть после сканирования Active Directory, — это доверенные домены. Они могут быть как у леса в целом, так и у отдельных доменов. Поэтому мы достаем данные о самом лесе, доверенных доменах леса, а затем доверенные домены у всех доменов. Дальше присоединяем информацию обо всех активах и проверяем, какой доверенный домен нам известен, а какой нет. 

Пример обнаружения доверенных доменов в тестовой инфраструктуре. Один из них оказался не отсканирован — в лабораторной среде это проблема, так как там должно быть всё идеально.

Пример обнаружения доверенных доменов в тестовой инфраструктуре. Один из них оказался не отсканирован — в лабораторной среде это проблема, так как там должно быть всё идеально.

После проверки доверенных доменов можно проверить все контроллеры, которые в них указаны. Таким образом можно перепроверить, не пропустили ли мы что‑то в закрытых сегментах сети, или, возможно, просто не до конца настроили host discovery.

Результат сопоставления данных из Active Directory с активами в MaxPatrol VM.

Результат сопоставления данных из Active Directory с активами в MaxPatrol VM.

Например, в нашей лабораторной инфраструктуре обнаружилось, что один из контроллеров домена — а именно region DC01 — существует в AD, но актива с таким именем в VM нет. Это повод уточнить у ИТ‑специалистов, как так вышло: работает ли этот контроллер на самом деле или пора чистить AD от устаревших записей.

Раз уж мы можем доставать все машины из Active Directory, следующим шагом будет проверка серверов, указанных в доменах. Мы точно так же фильтруем все по типу «сервер» и выполняем присоединение данных несколько раз. Сначала добавляем просто все активы по полному доменному имени (FQDN), а затем из AD обратно все группы, где эта учётная запись существует. В итоге получаем максимально полную информацию, чтобы понять, что это за сервер, для чего он нужен и какие роли выполняет в инфраструктуре.

Самый популярный вопрос про аудит Active Directory

В ходе внедрений и общения с клиентами мы регулярно слышим один и тот же, который возникает у многих — нужно ли сканировать доверенные домены (а точнее, можно ли их не сканировать).

Как это обычно происходит: мы проводим обнаружение хостов и видим, что домен‑контроллеров больше, чем изначально предполагалось. Начинаем выяснять — оказывается, это дочерняя компания, и сканировать их ИТ‑инфраструктуру, по мнению клиента, как‑то неправильно. Формальные причины могут быть разными: не договорились, не наши, пусть сами отвечают за свою безопасность.

Мы уверены, что если между вашими и внешними доменами установлены доверительные отношения, сканировать такие домены нужно обязательно.

Заключение

Мы начали этот текст с простой мысли: невозможно защитить то, о чем не знаешь. За время, что мы разбирали устройство домена, векторы атак на домены и инструменты аудита, эта мысль, надеемся, стала еще очевиднее. Домен — это действительно сердце инфраструктуры, и тот, кто его контролирует, управляет практически всем.

Специалистам по информационной безопасности регулярный аудит контроллеров дает сразу несколько критически важных преимуществ. Во‑первых, вы наконец видите все введенные в домен компьютеры, учетные записи, группы и доверительные связи, а заодно находите забытые активы. Во‑вторых, скорость реагирования: когда инцидент все‑таки случается, актуальные данные о домене позволяют быстро понять, что за актив атакован, кому он принадлежит и какие средства защиты на нем стоят. В‑третьих, возможность заранее усилить защиту: найти уязвимости и устранить их, поправить небезопасные настройки, забрать у пользователей избыточные привилегии, тем самым закрыть недостатки инфраструктуры до того, как их обнаружит злоумышленник.

Чтобы разобраться в теме глубже, ловите ссылку на экспертное руководство по аудиту активов. Там пошагово и без воды говорится про то, как выстраивать процесс управления активами, чтобы контролировать и управлять всей потенциальной площадью атаки и быть на шаг впереди злоумышленника. А в следующей статье детально разберем системы виртуализации — заглядывайте, материал уже готовится!