Pull to refresh
13
0
Кирилл Антонов @an1ik

SOC-аналитик

Send message

Docmost в бете, Siyuan без выбора языка :(
Код Open-source и если есть навыки, то можно пересобрать с русской версией. Однако, там многое интуитивно понятно, не думаю, что это будет большой проблемой

Если у вас большие проекты, то перенос будет сложней, но Ctrl+C и Ctrl+V с Notion сохраняет практически все компоненты

На импорт, действительно, принимается только кастомное расширение, но экспорт возможен в любом формате

Да, упомянул, что при развертке сервиса Outline нужна дополнительная инфраструктура, не из коробки
В данном случае развертка и настройка почты

Affine вообще на любителя, с его особенностями интерфейса, но проект активно разрабатывают, так что из него может и получится что-то

Спасибо, забыл упомянуть, что нужен почтовый сервер

Да, вы правы, так же нашел утилиту в недрах директории. Касаемо контроля приложений, чем больше организация, тем сложнее настроить "белые списки" для ПО. Тут скорее зависит от размеров компании, но в идеале, конечно можно и поднять еще свои репозитории с безопасным ПО. Но в основном контроль запуска и работы приложений лежит на EPP. А идея "не должно быть прав запуска из областей доступных для записи ", кажется интересной !

К сожалению, ничего не нашел в документации по этому поводу. По крайней мере, в моем билде 22621.3880 Win 11 и Win 10 такой утилиты нет. Если предположить, что она появилась недавно, то в контексте массовой атаки цель нарушителя захватить больше конечных точек и узлов. А если ПО появилось недавно, то и реализовать атаку можно будет на небольшом количестве устройств по сравнению с "старым ПО". Для этого в примере и используем PS v1.

Это ваше личное и субъективное, основанное на количестве знаний атак и технологий. Доставка и заражение может происходит не только через файлы, а и URL-схемы и протокол ms-search, к примеру. И тут никакие запреты технические не помогут, если специалисты впервые увидели такую уязвимость сервиса поиска. В этом и суть фишинга, вы пытаетесь закрыть социальные дыры и уязвимости человека только физическим решением. А нужно работать комплексно не со следствием, а причиной.

Вполне возможна атака и через почтовый сервер, не обязательно сразу получать доступ к железу или софту. Фишинг и прочие атаки через ВПО никто не отменял, но вы верно подметили про две части, конечно, это более корректное решение. С точки зрения ИБ.

Цель фишинг-учений не наказать, а научить сотрудника в условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного", как файлы, так и сообщения почты. LNK не является исполнительным файлом, а лишь ярлыком, который ссылается на .exe. Но и если говорить о "нормальных компаниях", то вектор через подрядчика никто не отменял. И если бы все было так идеально, то ИБ уже бы не было так востребовано.

Возможно, вы не поняли, но это отображение того, как ярлык будет выглядеть на рабочем столе после скачивания. Суть в том, что формат lnk, даже при функции "Отобразить формат файла", не будет вписан в конец эксплойта.

А где вы увидели, что передача формата .lnk будет в той форме, как оно отображено на пк? Естественно это особенности любой системы и файл в почте будет выглядеть в виде "Положение №300.pdf.lnk"
Не каждый пользователь знает все форматы, не всегда дотошен к деталям и прочие моменты человеческого фактора, на которых и завязан фишинг. По-идее, вся атака закончится на этапе открытия исходного кода сообщения, при должных знаниях.

В любой корпоративной среде есть то, с чем не сталкивался сотрудник. Важно на реальном примере с последствиями показать способ их избежать, тогда задача для коллег не будет такой сложной. В принципе, для чего и нужны фишинг-учения.

В инфраструктуре существует СЗИ класса Mail Security, которое проверяет вложения и сами письма антивирусом автоматизировано. Недостаток в том, что подобного рода корпоративные решения зачастую используют свои же продукты, как пример Касперский Secure Mail Gateway. Поэтому это доп.эшелон защиты: решение, которое проверяет письма разными антивирусами и выдает результат по ним.

Information

Rating
Does not participate
Works in
Registered
Activity