Aeza May 12 at 16:46

Выясняем, кто поселился в вашей сети

Medium

6 min

19K

Aéza corporate blogInformation Security*DIYAntivirus protection*

Tutorial

+27

Comments 10

x89377 May 12 at 21:09

Это всё полезно конечно, а что с оплатой через СБП ?

Ivan_shev May 13 at 07:59

Ты о чем?

Andrey_Biryukov May 13 at 17:34

Мы говорим о рабочих компах, соответственно если сотруднику для работы СБП и прочие платежные системы не требуются то запрещаем ему это оргмерами (политика безопасности организации) и техмерами (блокировка доступов к сайтам платежных систем на уровне МЭ). Если сотруднику для работы нужны платежные системы и без HTTPS никак, то для защиты от потенциального прослушивания нерадивыми админами должен использоваться второй фактор, передающий данные по другому каналу (например приложение на смартфоне в котором нужно нажать кнопочку для подтверждения второго фактора).

Cas_on May 13 at 11:45

Сохраняя ключи сессий, Вы открываете еще больше возможностей для злоумышленников. Тем более если они уже у Вас в инфраструктуре.

Andrey_Biryukov May 13 at 17:36

Если у злоумышленника есть админские права то он и так все сделает. В идеальном мире у пользователя нет админских прав и нет доступа в каталог, где сохраняются ключи. Все попытки обращения к файлам в каталоге должны мониториться и передаваться в SIEM/EDR.

lantonov May 14 at 11:17

Прошу заменить прочти весь специализированный софт для цифровой подписи требует наличия прав администратора на пк у пользователя и даже программе налоговой нужны эти права я неговю уже о разработке под 1c там почти всегда нужны адмиские права. И правильно говорить не как идеально а как самое правильное это анализ трафика запрет внешних dns запросов и smb3 с шифрованием + вход пользователля по сертификату. Вот это будет безопасно и хорошо и брентмауер включить запретить локально его отключать вот это безопасность

theult May 15 at 05:30

Анализ - это хорошо. Но злоумышленники на скомпрометированной машине могут пытаться заметать следы, удалив дампы или файлы с системного диска. Ключи за пределами машины уже не собрать, получается что их нужно собирать в реальном времени с пользовательских машин и логгировать на машине в сети. Правда ещё лучше просится сразу же сохранение логов сессий на машину в сети

pwn3r May 13 at 14:28

Вы упомянули использование Kerberos и LDAP для анализа сети. В некоторых случаях можно столкнуться с использованием нестандартных портов или туннелирования в таких протоколах. Есть ли у вас рекомендации по дополнительным фильтрам или методам, которые помогут эффективно выявить такие нестандартные активности?

Andrey_Biryukov May 13 at 17:52

В простейшем случае могу порекомендовать посмотреть настройки протокола в Wireshark (Edit-> Preferences...)

Можно поменять порты на нестандартные для того, чтобы Wireshark мог увидеть LDAP и можно было использовать стандартные фильтры. Если используется инкапсуляция в какой-то совсем нестандартный протокол, то можно попробовать написать свой плагин) https://www.wireshark.org/docs/wsdg_html_chunked/ChDissectAdd.html.

SidVisceos May 16 at 13:26

Ребята вы крутые! Я был с вами когда вы только начинали.... А теперь.....