Pull to refresh

Comments 4

Такое ощущение, что это советы для сети с достаточно неплохим масштабом бардака — правами локального админа у пользователей, нешифрованным LDAP, неотключенным RC4 для Kerberos либо клиентами на XP, и т.п. Понимаю, что таких много (наверное, даже большинство), но мониторинг тут — мертвому припарки.

Есть много ситуаций, когда измение инфраструктуры, наведение порядка — это процесс на годы.
Или определённые проблемы (с точки зрения ИБ) — это особенность (или фича) рабочих процессов (для бизнеса).


В таких случаях мониторинг — это одна из немногих мер, которые отдел ИБ может реализовать в сравнительно короткие сроки.
Если не можешь предотвратить проблему, постарайся сделать её контроируемой.

XP еще полно. Даже 2000 попадается ибо совместимость :(

Правильная статья! IT/ИБ-отделам давно пора задуматься над детектированием подобных атак доступными средствами.

Добавлю свои 5 копеек:
К сожалению детектировать DCShadow по траффику совершенно не эффективно в средних и больших предприятиях (у которых по 5 контроллеров и больше): придется тратить кровные $ на установку и администрирование сурикат/снортов на каждый территориально разнесенный контроллер — сложно будет выбить бюджет.

Тут более оптимально будет включение стандартного виндового аудита и мониторинг событий появления новых контроллеров домена в реплике 4928/4929 (такое случае не частно).

Only those users with full accounts are able to leave comments. Log in, please.