volkovmm 3 июн в 18:00

Чек-лист для контроля мер защиты от шифровальщиков

3 мин

14K

Антивирусная защита*Облачные вычисления*Резервное копирование*Облачные сервисы*

Комментарии 20

DoomeR18G 3 июн в 18:50

Недурно

-5

NAI 3 июн в 19:50

п.0 Есть ли у вас бюджет на ИБ\Бэкапы - Да\нет\на пол~~шишечки~~харда

Shaman_RSHU 3 июн в 20:05

п.-1 Пока ничего не случилось даже не задумывайтесь о бюджете

volkovmm 5 июн в 10:12

Да, пора писать книгу "Вредные советы для ИТ", автор Востер :) Ну типа такого:
https://vc.ru/flood/31320-vrednye-sovety-po-informacionnoi-bezopasnosti-stihi-dlya-vseh-i-ni-dlya-kogo

Ratenti 3 июн в 20:28

Слишком сложно

kilgor-trout 3 июн в 22:47

нет главного вопроса:
уже выкинули вантуз и АДэшечку, хотя бы с серверов и компа главного за бэкапы?

jackcrane 4 июн в 08:26

виндовз может бысть настроен на политику W^X (нестандартными и самодельными средствами, которые еще предстоит создать хехе).

dimsoft 4 июн в 11:27

А как без адешечки то жить ?

Может просто научиться готовить ?

jackcrane 4 июн в 13:28

Может просто научиться готовить ?

бесполезно. допустим вы обернете трафик AD в IPsec и сегментируете по приватным вланам.

один неаккуратный пользователь - одна затрояненая р.станция - один затрояненный сервер - далее везде, только чуть медленнее.

dimsoft 4 июн в 13:54

Завести RoDC - его и показывать пользователям и их рабочим станциям. Закрутить гайки с SRP или AppLocker.

jackcrane 5 июн в 09:44

только RoDC и показывать ? может быть. а ресурсные домены ?

SRP и Applocker - поделки уровня "переименуй файл в разрешенное имя чтобы он запустился", даже время тратить не стоит.

сигнатурные антивирусы не помогут против свежих и хорошо таргетированных атак.

поведенческие антивирусы - ничего не скажу, кроме ресурсопожирания.

dimsoft 5 июн в 11:47

Если прав на запись не давать, то от шифровальщиков помогают.

jackcrane 5 июн в 17:35

старый лозунг старых экстремистов "права не дают, права берут".

локальное повышение привилегий - слышали про такое ?

если удалось запустить полезную нагрузку локально - считайте что поимет локальный админ и локальная система (S-1-5-18)

kilgor-trout 5 июн в 08:49

>Может просто научиться готовить ?

может просто конторка ваша из числа неуловимых джо?

dimsoft 5 июн в 11:50

может просто конторка ваша из числа неуловимых джо?

Возможно, но цифровая гигиена лишней не будет. Если прямо "хакеры" и прямо нас, то проще линейному персоналу денег предложить :)

post_ed 4 июн в 13:29

Помимо veeam, добавил машину на freebsd, которая сама тянет раз в неделю с помощью rsync файлы с windows server (использовал cwRsync)

volkovmm 4 июн в 15:14

хорошее решение

volkovmm 4 июн в 15:18

В личном сообщении предложили добавить в чек-лист:

Мониторится ли успешность выполнения бэкапа
Тестируется ли восстановление из бэкапа, DRP план
Закрыты ли небезопасные порты\протоколы
Контроль привилегированных пользователей
Есть ли резервные (независимые) точки подключения администраторов к инфраструктуре и резервным копиям
Проводится ли регулярное тестирование уязвимости и пентест
Устраняются ли обнаруженные уязвимости по результату тестирования

Atolstikov 12 июн в 06:07

Можно добавить, что резервные копии не должны делаться на сетевые диски. Ну и забирать периодически на S3 какой-нибудь.

Atolstikov 12 июн в 06:14

Закрыты ли небезопасные порты/протоколы? - Может надо в листе расписать их все?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Показать лучшие за всё время

Чек-лист для контроля мер защиты от шифровальщиков

Комментарии 20

Публикации

Истории