В идеальном мире (и маркетинговых буклетах антивирусных вендоров) все так и есть.
В реальном мире вредоносная программа, которая детектится антивирусом — это плохая программа и некачественно подготовленная атака. Доступы в компании объема СДЭКа требуются такие, которые почти никогда нельзя определить простым вайтлистом, и у части сотрудников всегда будет возможность ходить куда угодно, а веб-фильтры работают в среднем так же эффективно, как антивирусы.
Нет, тут имеются в виду интересные в тройных кавычках. Классические кавычки слишком скучно, а одинарные и двойные звездочки как раз заняты болдом и италиком
Касательно того, чего пытается достичь атакующий при попадании в систему — зависит от того, что этой системой обрабатывается и для чего она нужна. Тут необязательно нужны веб-сервера, атаки на уровнях от физического до сетевого никуда не делись (как пример, stuxnet).
Говоря о защите, снова упираемся в назначение системы. Чем дешевле активы, тем меньше заинтересованность хакеров и меньше затраты на ИБ. Тут только Вам выбирать, может и английского замка хватит)
Что вы имеете в виду под изолированными системами? Если это что-то вроде внутреннего сервиса компании, это значит, что туда входят какие-то данные, преобразовываются и выходят, значит, доступ есть (через web-интерфейс, терминал или ту же флешку), и все указанное выше актуально)
В идеальном мире (и маркетинговых буклетах антивирусных вендоров) все так и есть.
В реальном мире вредоносная программа, которая детектится антивирусом — это плохая программа и некачественно подготовленная атака. Доступы в компании объема СДЭКа требуются такие, которые почти никогда нельзя определить простым вайтлистом, и у части сотрудников всегда будет возможность ходить куда угодно, а веб-фильтры работают в среднем так же эффективно, как антивирусы.
Результат — 68% инцидентов происходит из-за действий людей, несмотря на то, что хорошие антивирусы есть примерно у всех: https://www.verizon.com/business/resources/reports/dbir/
Нет речи о том, чтобы тренировкой сотрудников заменить антивирусы.
Но в классической триаде «технологии—процессы—люди» важны все три стороны.
Фишинг по классике вообще обходится без ВПО на стадии Initial Access — люди просто отдают свои логины и пароли по ссылке.
Второй сценарий тоже отлично сработает и с Виндой, и с Линуксом, и с любой другой операционкой на серверах и рабочих станциях.
Мы тоже любим Линукс, но, к сожалению, его внедрение везде само по себе проблему не решит.
Нет, тут имеются в виду интересные в тройных кавычках. Классические кавычки слишком скучно, а одинарные и двойные звездочки как раз заняты болдом и италиком
В матрице MITRE на стадии Initial Access девять техник, и каждая реализуется с участием человека
Касательно того, чего пытается достичь атакующий при попадании в систему — зависит от того, что этой системой обрабатывается и для чего она нужна. Тут необязательно нужны веб-сервера, атаки на уровнях от физического до сетевого никуда не делись (как пример, stuxnet).
Говоря о защите, снова упираемся в назначение системы. Чем дешевле активы, тем меньше заинтересованность хакеров и меньше затраты на ИБ. Тут только Вам выбирать, может и английского замка хватит)
Что вы имеете в виду под изолированными системами? Если это что-то вроде внутреннего сервиса компании, это значит, что туда входят какие-то данные, преобразовываются и выходят, значит, доступ есть (через web-интерфейс, терминал или ту же флешку), и все указанное выше актуально)