Comments 25
Без этого — только постмортемы писать.
Таким образом, они точно также базируют свой анализ на уже случившихся, собранных сборщиком и обработанных системой событиях. Никакой дополнительной магии они в описанный в статье процесс не принесут, разве что упростят процесс threat hunting-а.
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Например, разрешены TCP-коннекты на 22,80,443, это точно. А есть какие-то UDP порты, которые обычно разрешают?
UDP 53 (DNS)?
Из часто используемого UDP еще приходит в голову NTP. И кажется всё. Дальше начинаются экзотические частные случаи. Допустим, мне по работе было необходимо поиграть в CS:GO. И понеслась.
В UTM же с утечками помогает бороться модуль фильтрации веб-траффика. Так можно выявлять и/или блокировать обращения к файлообменникам.Когда у юзера есть домашний Nextcloud, на него можно выложить хоть всю организацию :)
Вряд ли таким или подобным утечкам можно чтото противопоставить даже чисто теоретически.
Майнер был установлен на тестовом сервере и потому оставался незамеченным, пока заказчик не подключил свою инфраструктуру к нашей платформе.Значит, надо ставить obfsproxy, понятно :)
Если взять компании больше 300 человек, ходить по каждому пользователю и проверять/настраивать их компьютеры уйдет слишком много времени, которого как правило нет
Оставить без контроля 300 компьютеров, они через пару месяцев превратятся в ботнет, вы больше времени потратите на устранение проблем/восстановление от шифровальщиков, чем на настройку. У каждого, конечно, свои случаи, но наверняка в этой сети стоит AD/LDAP, а с ними что 30, что 300, разница не очень небольшая.
На разные группы пользователей вешают разные политики ограничений, а не всем одно и то же, для тех, для кого критично — все строго, для остальных, к примеру, разработчиков менее строгие политики ограничений.
Не обязательно прямо белые списки, можно просто запретить запуск исполняемых из профиля пользователя, все остальное оставить разрешенным, к примеру софт ставят админы на местах, даже если они не настраивают SRP (в случае windows), они ставят программы в Program Files, и эти программы без проблем будут работать. Т.е. корпоративный teamviewer установленный администратором будет работать, а teamviewer/вирус который запускает пользователь из профиля — нет (права обычных пользователей, да и для рабочих аккаунтов админов, ограничены, нет записи в системные папки типа Program Files). Для разъездных/недоменных настраиваются локальные политики, создается локальный администратор, в случае необходимости пароль выдается пользователю, он ставит все что нужно, потом приезжает, компьютер проверяется, пароль локального админа меняется. В случае, когда свои компьютеры, мне предложить тут нечего — останутся без ограничений, но и отвественность за них я не несу в этом случае, раз руководство готово на такие риски, ничего не поделать.
Как я уже упоминал настройка занимает время, SRP включается вначале в режиме логгирования, т.е. Вы уже пишите правила, но они не блокируют ничего, а просто логгируют. Вы просматриваете логи, составляете группы, заодно видите кто и что запускает «запрещенного». Если разработчикам нельзя составить правила по сертификатам или указать директорию, из который они могут запускать свои бинари, то тогда правила для них не включаются, тут уже да, желательно повесить какую-то систему контроля.
В общем я не предлагаю прямо для всех применять строгие белые фильтры наподобие SRP в windows, я просто указываю на то, что они прекрасно работают вместе с системами контроля и настолько упрощают работу как системным администраторам так и безопасникам, что не использовать этот удобный инструмент, там где возможно, просто халатность, а в Ваших примерах в статье очень сильно на это похоже. Админ у которого украли пароль, вообще что-то невообразимое.
не одобренные приложения не только не получать доступ в интернет, но и не запустятся.
Расскажите, как в таких условиях работают программисты? После каждого нажатия "Compile" бегут к вам получать разрешение на запуск получившегося бинаря? А как ограничивается запуск интерпретируемых языков?
Тоже придерживаюсь таких правил. Однако на винде столкнулся с массой проблем. Вот например. Запускаю git clone. Он ругается Permission Denied. Причем не везде, а на определенных репозиториях. На все известные мне бинарники гита есть правила с разрешениями. В каталоге 263 exe-файла. Как понять какой из них не может установить соединение с сервером? Пришлось отключить файервол. И такая ерунда происходит постоянно. Например, при обновлении браузеров.
с ростом количества сотрудников трудоемкость процесса растет геометрически, в моей предыдущей компании работало 70000+ человек, нет столько админов что бы это все причесать.
Антивирус определил ее просто как нежелательное ПО (not a virus) и не произвел никаких действий
Типовая проблема, не настраиваются действия антивируса на потенциально опасное ПО (программы удаленного действия теже)
Майнеры, сливщики и Cobalt: как мы обеспечиваем заказчикам безопасный доступ в Интернет