Да не вопрос. Сейчас тема о «размытии сетевого периметра», облаков и BYOD в большом почете. Надо только расписать руководству все риски таких подходов. Если руководство подписывается под этими рисками, то безопаснику только и остаётся работать в заданных условиях.
Тут кстати интересный вопрос, что еще дешевле выйдет, закрыть прямой доступ в интернет (воздушный зазор) или доступ оставить и озаботиться услугами SOC аутсорсера.
Информацию часто сливает инсайдер. А инсайдеру выдан как правило доступ по служебным обязанностям. Он же из своих обязанностей знает где лежит правильная информация, иначе свои обязанности выполнить не сможет.
Если нарушитель.внешний, то «зашумленность» действительно полезно использовать в комплексе остальных мер ЗИ. В самом простом варианте это классические ханипоты.
К сожалению, мы за все время работы таких компаний пока не встречали.
Однако именно к таким политикам надо стремиться. Это один из эффективных методов защиты. Белые списки.
Все остальное это чёрные списки уже отработанных атак, командные адреса малвари, базы сигнатур известных вирусов и т.д. Это может использоваться только как вспомогательные средства. Иначе получится как воду носить в сите, одну дырку заткнули, льется через другие.
По классике колонкостроения, хорошим подходом является совмещение динамиков по вертикальной оси. Т.е вч нужно было утопить внутрь, прикрутив подложку изнутри.
Mimikatz и брут паролей, способствовал расползанию по сеткам. Непонятно почему все говорят о направленных атаках. Тут шла не адресная рассылка, а ломали всех без разбору кто новостные сайты посещал.
Взлом популярных сайтов это уже много раз было.
Скорее логика — против воли заставили купить и принудительно играть в онлайн игру армию пользователей, которые никогда этого не делали да и в ИТ не разбираются, а оно при этом глючит и не играет.
Если корректное внедрение это дорого, то нужна готовая защищенная железка, устойчивая в любых условиях работы. Поставил и забыл.
Тогда нужны требования к производителям онлайн-касс, где будут изложены вопросы защищенности, например наличие встроенного межсетевого экрана, замкнутая программная среда и т.д.
Есть ли такие требования?
Тогда должны быть требования для внедренцев на законодательном уровне, «порядок» подключения касс к Интернету, где рассмотрены вопросы в том числе безопасности. Например через приказы ФСТЭК или постановлениями Правительства.
В итоге приходим к аккредитации, т.е не каждый вася по желанию может ставить кассы, а только специально обученный и с лицензией. А фирма, где работает вася, отвечает головой и деньгами за безопасность того, как внедрена касса.
Как решалось требование 17 приказа по ЗТС и ЗНИ?
Т.е организация контролируемой зоны, охрана оборудования и контроль выноса носителей информации.
Понятно что заказчик не может по классике включить Вас в периметр своей КЗ. Вы другое юр.лицо.
Stuxnet запускался автоматом при подключении флешек из за уязвимости в ОС. Потом было ещё несколько подобных уязвимостей, которую уже использовала вполне обычная вирусов.
Ваши добропорядочные киповцы сами того не зная воткнутся флешкой в какой нибудь внешний зараженный комп и получат недокументированный автозапуск.
Часто вирусня делает ещё проще.
Порядочный дед Петро думал, что заходил в папочку с прошивками на флешке, а оказалось что это вирусня подменила иконку на желтенькую и обманула честного гражданина. Запустил то он в итоге «Мой каталог микропрограмм.scr». :)
Схема хорошая, как часть мер. Касательно контролера домена аналогичного можно достичь убрав из админов всех клиентских машин учетку администратора домена. Для обслуживания машин, отдельные учетки саппорта.
Малварь или нарушитель часто сидят и ждут, когда же придёт админ и угоняют учетку.
К сожалению есть сервера которым нужны прямые доступы к клиентам. Те же сервера саппорта или централизованного распространения ПО.
Что за рекомендация отключить 1024-1035 порты. Если речь про RPC + WMI то динамически может назначаться любой порт выше 1024, т.е рубить надо весь диапазон.
Минимум же достаточно заблочить 135,139 и 445 порт, тогда вирус не сможет провести инициализации динамического порта.
2.3 Разрешение по путям в данной атаке не работает, исполняемый файл запускался с высокими правами как раз из системных каталогов. Сработало бы если бы включён контроль запрета всех неизвестных exe.
1. Если только классические сигнатуры, то не спасло бы. Нужно чтобы был непрерывный онлайн доступ к KSN. Это настраивается в политиках.
1.Поднимается сервер печати и все принтеры заводятся на него.
2.Клиентские пк печатают через сервер печати, а не напрямую через соседа.
3. Сеть отстраиваем на разрешение серверных ресурсов ( печать и прочее) и изоляцию клиентов друг от друга.
Тут кстати интересный вопрос, что еще дешевле выйдет, закрыть прямой доступ в интернет (воздушный зазор) или доступ оставить и озаботиться услугами SOC аутсорсера.
Если нарушитель.внешний, то «зашумленность» действительно полезно использовать в комплексе остальных мер ЗИ. В самом простом варианте это классические ханипоты.
Однако именно к таким политикам надо стремиться. Это один из эффективных методов защиты. Белые списки.
Все остальное это чёрные списки уже отработанных атак, командные адреса малвари, базы сигнатур известных вирусов и т.д. Это может использоваться только как вспомогательные средства. Иначе получится как воду носить в сите, одну дырку заткнули, льется через другие.
https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
Mimikatz и брут паролей, способствовал расползанию по сеткам. Непонятно почему все говорят о направленных атаках. Тут шла не адресная рассылка, а ломали всех без разбору кто новостные сайты посещал.
Взлом популярных сайтов это уже много раз было.
Если корректное внедрение это дорого, то нужна готовая защищенная железка, устойчивая в любых условиях работы. Поставил и забыл.
Тогда нужны требования к производителям онлайн-касс, где будут изложены вопросы защищенности, например наличие встроенного межсетевого экрана, замкнутая программная среда и т.д.
Есть ли такие требования?
В итоге приходим к аккредитации, т.е не каждый вася по желанию может ставить кассы, а только специально обученный и с лицензией. А фирма, где работает вася, отвечает головой и деньгами за безопасность того, как внедрена касса.
Как решалось требование 17 приказа по ЗТС и ЗНИ?
Т.е организация контролируемой зоны, охрана оборудования и контроль выноса носителей информации.
Понятно что заказчик не может по классике включить Вас в периметр своей КЗ. Вы другое юр.лицо.
Создатели пети попросили 100 биткоинов за ключ. Дешифровка возможна.
http://www.securitylab.ru/news/487160.php
Ну тогда я спокоен, у вас есть еще грамотные админы, которые не прислушиваются к вашим «рецептам» из начала ветки аля ;)
---Никаких антивирусов с их требования интернета для обновления.---
Ваши добропорядочные киповцы сами того не зная воткнутся флешкой в какой нибудь внешний зараженный комп и получат недокументированный автозапуск.
Часто вирусня делает ещё проще.
Порядочный дед Петро думал, что заходил в папочку с прошивками на флешке, а оказалось что это вирусня подменила иконку на желтенькую и обманула честного гражданина. Запустил то он в итоге «Мой каталог микропрограмм.scr». :)
Малварь или нарушитель часто сидят и ждут, когда же придёт админ и угоняют учетку.
К сожалению есть сервера которым нужны прямые доступы к клиентам. Те же сервера саппорта или централизованного распространения ПО.
Что за рекомендация отключить 1024-1035 порты. Если речь про RPC + WMI то динамически может назначаться любой порт выше 1024, т.е рубить надо весь диапазон.
Минимум же достаточно заблочить 135,139 и 445 порт, тогда вирус не сможет провести инициализации динамического порта.
1. Если только классические сигнатуры, то не спасло бы. Нужно чтобы был непрерывный онлайн доступ к KSN. Это настраивается в политиках.
1.Поднимается сервер печати и все принтеры заводятся на него.
2.Клиентские пк печатают через сервер печати, а не напрямую через соседа.
3. Сеть отстраиваем на разрешение серверных ресурсов ( печать и прочее) и изоляцию клиентов друг от друга.
Получаем и учёт принтеров и безопасность.