Комментарии 10
Действительно, нельзя исключить возможность заражения. Вот поэтому в компании руководствуются главным правилом системного администратора «Разделяй и властвуй»: работать только с учетной записью с правами пользователя. Для администрирования у администраторов существует отдельная учетная запись с повышенными правами.
Это конечно все хорошо, но большинство проблем возникает просто из за халатности пользователей, из личного опыта, пришел в компанию, изменил на контроллере домена GPO чтобы пароли менялись каждые 42 дня и чтобы пароль был минимально сложным (8 символов, буквы в разных регистрах, плюс цифры), вы не поверите, но буквально через несколько дней звонит финансовый директор и в довольно не вежливой форме просит вернуть все как было, следом вызвали на ковер к генеральному директору, он тоже возмущается почему как раньше нельзя использовать пароль 25102015, тоже самое и главный бухгалтер у нее везде пароль дата рождения мужа, вы подумаете наверное какая то мелкая фирма, но нет это крупный холдинг, при чем есть разработанная политика безопасности компании подписанная и утвержденная этим самым руководством, некоторые пользователи просят дать права локального администратора, мол типа не бойся я опытный почти как программист, мне можно или те же самые руководители требуют открыть запрещенные сайты, видеохостинги, сайты женской одежды и т.д.
Теперь об инструментах безопасности, не все они удобны, а зачастую мешают пользователям работать, например ИБ специалист попросил развернуть везде DLP систему, развернул и побежали жаловатья пользователи, так как эта DLP (решение от MCafee) жрет ресурсы компьютера как не в себя, компы виснут, работать невозможно.
Я за ИБ в компаниях, но все же нужно учитывать наш «совковый» опыт.
Теперь об инструментах безопасности, не все они удобны, а зачастую мешают пользователям работать, например ИБ специалист попросил развернуть везде DLP систему, развернул и побежали жаловатья пользователи, так как эта DLP (решение от MCafee) жрет ресурсы компьютера как не в себя, компы виснут, работать невозможно.
Я за ИБ в компаниях, но все же нужно учитывать наш «совковый» опыт.
Отчего же, очень верим. По нашему опыту, многие атаки происходят потому, что кому-то в компании «на минутку» открыли доступ в интернет в обход прокси, а потом забыли закрыть, пользователь обладал правами администратора на машине, но не знал азов ИБ и т.д.
Безопасность часто конфликтует с удобством пользователей, и здесь очень помогают две вещи: внутренние обучения пользователей и умение обосновать руководству необходимость в ИБ с точки зрения выгоды для бизнеса.
Безопасность часто конфликтует с удобством пользователей, и здесь очень помогают две вещи: внутренние обучения пользователей и умение обосновать руководству необходимость в ИБ с точки зрения выгоды для бизнеса.
НЛО прилетело и опубликовало эту надпись здесь
К третьей истории можно добавить ещё один совет:
Нужно регулярно (хотя бы раз в квартал, а лучше — в месяц) отслеживать состояние антивируса на хостах и при отсутствии «пинга» до сервера управления в течение какого-то времени — либо выявлять и решать проблему, либо хотя бы переустанавливать антивирус / агент.
Это очень хороший совет, но, к сожалению, не для этого инцидента. Тут нюанс истории был ровно в том, что созданный fake агент антивируса действительно периодически стучался в центр управления и демонстрировал собственную «живость». Наверняка его можно было бы «обмануть», послав какую-то нестандартную команду из центра управления, и он бы отреагировал неадекватно, но до этого дело при расследовании не дошло :)
НЛО прилетело и опубликовало эту надпись здесь
мне интересно, DNS-tunneling может помочь обойти, например, great china firewall?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Проверь себя: сможете ли вы защитить компанию от кибератаки?