volkovmm 3 июн в 18:00

Чек-лист для контроля мер защиты от шифровальщиков

3 мин

15K

Антивирусная защита*Облачные вычисления*Резервное копирование*Облачные сервисы*

Комментарии 24

DoomeR18G 3 июн в 18:50

Недурно

NAI 3 июн в 19:50

п.0 Есть ли у вас бюджет на ИБ\Бэкапы - Да\нет\на пол~~шишечки~~харда

Shaman_RSHU 3 июн в 20:05

п.-1 Пока ничего не случилось даже не задумывайтесь о бюджете

volkovmm 5 июн в 10:12

Да, пора писать книгу "Вредные советы для ИТ", автор Востер :) Ну типа такого:
https://vc.ru/flood/31320-vrednye-sovety-po-informacionnoi-bezopasnosti-stihi-dlya-vseh-i-ni-dlya-kogo

Ratenti 3 июн в 20:28

Слишком сложно

volkovmm 26 июн в 12:59

Нужен упрощенный вариант?

kilgor-trout 3 июн в 22:47

нет главного вопроса:
уже выкинули вантуз и АДэшечку, хотя бы с серверов и компа главного за бэкапы?

jackcrane 4 июн в 08:26

виндовз может бысть настроен на политику W^X (нестандартными и самодельными средствами, которые еще предстоит создать хехе).

dimsoft 4 июн в 11:27

А как без адешечки то жить ?

Может просто научиться готовить ?

jackcrane 4 июн в 13:28

Может просто научиться готовить ?

бесполезно. допустим вы обернете трафик AD в IPsec и сегментируете по приватным вланам.

один неаккуратный пользователь - одна затрояненая р.станция - один затрояненный сервер - далее везде, только чуть медленнее.

dimsoft 4 июн в 13:54

Завести RoDC - его и показывать пользователям и их рабочим станциям. Закрутить гайки с SRP или AppLocker.

jackcrane 5 июн в 09:44

только RoDC и показывать ? может быть. а ресурсные домены ?

SRP и Applocker - поделки уровня "переименуй файл в разрешенное имя чтобы он запустился", даже время тратить не стоит.

сигнатурные антивирусы не помогут против свежих и хорошо таргетированных атак.

поведенческие антивирусы - ничего не скажу, кроме ресурсопожирания.

dimsoft 5 июн в 11:47

Если прав на запись не давать, то от шифровальщиков помогают.

jackcrane 5 июн в 17:35

старый лозунг старых экстремистов "права не дают, права берут".

локальное повышение привилегий - слышали про такое ?

если удалось запустить полезную нагрузку локально - считайте что поимет локальный админ и локальная система (S-1-5-18)

Ratenti 29 июн в 12:30

Есть же контролируемый доступ к папкам

https://learn.microsoft.com/ru-ru/defender-endpoint/controlled-folders

kilgor-trout 5 июн в 08:49

>Может просто научиться готовить ?

может просто конторка ваша из числа неуловимых джо?

dimsoft 5 июн в 11:50

может просто конторка ваша из числа неуловимых джо?

Возможно, но цифровая гигиена лишней не будет. Если прямо "хакеры" и прямо нас, то проще линейному персоналу денег предложить :)

post_ed 4 июн в 13:29

Помимо veeam, добавил машину на freebsd, которая сама тянет раз в неделю с помощью rsync файлы с windows server (использовал cwRsync)

volkovmm 4 июн в 15:14

хорошее решение

volkovmm 4 июн в 15:18

В личном сообщении предложили добавить в чек-лист:

Мониторится ли успешность выполнения бэкапа
Тестируется ли восстановление из бэкапа, DRP план
Закрыты ли небезопасные порты\протоколы
Контроль привилегированных пользователей
Есть ли резервные (независимые) точки подключения администраторов к инфраструктуре и резервным копиям
Проводится ли регулярное тестирование уязвимости и пентест
Устраняются ли обнаруженные уязвимости по результату тестирования