Zerotrust по-пацански #3. Защита конечных устройств

[AlexeyK77]

на практике закат солнца (ZT) вручную - слишком трудоемко. Проще по классике выделить админские станции в отдельный защищенный административный сегмент, изолировать его фаерволом от остальной сети, изолировтаь от инета по возможности, накрутить харденинг и усиленную защиту. А доступ к админ-консолям открыть только для этого сегмента. Во всяком случае это классический и посильный путь без костылей.

[hollow1]

Для внедрения действительно нужен определенный уровень ИТ зрелости и достаточно большое количество ресурсов от иб, а также buy-in от руководства.

[Nexoic]

Теоретически разве все эти системы мониторинга сами по себе не открывают новые возможные вектора атаки ?

[hollow1]

В osquery действительно есть функционал rce, который можно отключить, что же касается остальных систем - их также нужно мониторить с помощью Security Opertaions Centre, причем с особой тщательностью.

[Keeper22]

Сперва прочитал как "Защита копеечных устройств". Показалось.

[ElvenSailor]

В таких случаях важно понимать, что параноить надо с умом. Например:

В любой момент времени статус устройства может измениться - например, появилось новое RCE в браузере, а обновления еще не установлены. В этот момент СПР меняет статус устройства на незащищенный,  и пользователю вместо данных в админке показывается заглушка, сообщающая о необходимости обновиться.

Выглядит красиво, секьюрно...

... и тут случается факап красного уровня, и вотпрямщас надо попасть в админку, допустим, СХД. Или бэкапилки. Или сетевого устройства. И как назло, под рукой только этот ноут, всё остальное недоступно/без питания/ещёчтотовэтомроде. И инета, чтоб обновиться, тоже нет. Приплыли.

На такой случай должна быть возможность подстелить себе соломку, т.е. аварийного оверрайда политики, например из локальной консоли, главное чтоб этот способ был неочевиден злобным кулхацкерам (а то всё наше ZT превратится в тыкву).