Comments 7
В пункте 2 необходимо участие двух сотрудников разных служб.
Например, ИТ специалист проверяет и передаёт информацию специалисту СБ. Специалист СБ подтверждает или отвергает запрос на предоставление доступа.
Так будет меньше ошибок.
И не забывайте про ГОСТ 57580, в котором все изложено подробно и доходчиво.
Да, понимаю, что ГОСТ специфичный, но в него включены все основные must have правила
Не понял из статьи, как подмененная софтина смогла создать пользователя с привилегированными правами, причем даже не локального, а доменного, запустившись лишь под ограниченной учеткой какого-то пользователя. Или ее потом кто-то запустил из-под учетки с правами администратора домена? Тогда это тоже можно бы исправить - нечего "сидеть под рутом".
Еще не понял, с чего началось проникновение: как и кем был подменен экзешник. Либо это сделали намеренно, либо было заражение какой-то машины этим зловредом, который сам нашел доступный для перезаписи экзешник на общем ресурсе. Без расследования этой информации имхо остается возможность повторения инцидента даже после всех принятых мер.
Все правильно вы понимаете 8)
Видимо, мы ознакомлены с официальной версией, подготовленной для руководства. И Action items - это просто затыкание дыр, вместо реализации комплексной политики безопасности. На что руководство еще нужно уговорить/убедить.
Прохождения курса MSCA по Windows Server дало бы знания достаточные для исключения такой атаки. Software Restriction Policy/AppLocker + гранулированные права на директории и файлы помогли бы исключить подобный случай.
Я бы за такое всех этих горе айтишников уволил бы. По тексту автора видно, что он сам только что начал изучать тему безопасности...
По своему опыту могу сказать, все дело в эффективном менеджменте и то, что зачастую руководство компании не отдает себе отчёт зачем ИТ нужно, плюс к этому не разумная экономия финансов на структуру которую топ менеджеры расценивают как обслуживающий персонал, они не хотят признаться себе в том, что в частности благодаря ИТ подразделению они могут работать или работают эффективнее. Всех волнует вопрос, сколько мы заработаем на этом? А ИТ только тратят и вообще сидят целый день за компьютером своим и ничего не делают.
В некоторых конторах нет ИБ и эту роль по совместительству выполняет системный администратор или иной специалист ИТ.
Подняли службу/сервис и т.д. но нет времени за ней следить вовремя обновлять и тд. потому, что попросту нет человекоресурсов.э и т.д.
А так да фантазировать можно сколько угодно, как можно было бы поступить.
По поводу бекапов, можно использовать ленту, тогда сервер с бекапами не зашифруют и всегда будет вариант восстановления, но возвращаясь уже к сказанному нужно доказать, что это нужно и выбить на это средства.
Обычно это делают уже после того, как в зад что-то клюнуло. Начинают раздавать карт-бланши для ИТ и говорить делайте все, что нужно, а то ж деньги утекают.
Как компания, в которой я работаю, подверглась хакерской атаке и как можно было этого избежать