Тайная жизнь корпоративной инфраструктуры, или Что можно узнать при подключении сервисов ИБ

[olegtsss]

Было бы удобнее, чтобы в тексте статьи вы указали прямую ссылку на разработанное вами решение (https://utm.rt-solar.ru). Расскажите пожалуйста подробнее, на базе чего работает ваша система IDS и URL фильтрация.

[SolarSecurity]

Здравствуйте. Спасибо за ваш комметарий! Ссылки поставили. Что касается реализации, то она возможна на базе решений от Fortinet, Checkpoint или Usergate - в зависимости от потребностей заказчика.

[olegtsss]

А что вы имеете ввиду под контролем приложений?

[SolarSecurity]

Функция контроля приложений на основе обновляемых баз сигнатур может быть использована в правилах межсетевого экрана и правилах пропускной способности. Это обеспечивает защиту от угроз, связанных с программами, имеющими доступ в интернет.

[olegtsss]

Т.е., другими словами говоря, это динамический Firewall и Qos?

[SysadminComUa]

Чаще всего это головная боль маленьких компаний. У нас (sysadmin.com.ua) на ИТ обслуживании есть как корпорации, так и небольшие фирмы (до 10-15 сотрудников).

Мало того, что в больших компаниях стоят "железные" firewall и корпоративные антивирусы, так там ещё и сотрудники понимают, что если приходит непонятное письмо - прежде чем открыть нужно связаться с сисадминами. Собственно и шатаются по разным сайтам реже.

Зато микробизнес это нечто... Из средств защиты максимум Микротик за 50 долларов, который с боем выбили у руководства взамен старого D-Link. Бывают ситуации, что те же Микротики покупаем за свои деньги, чтобы хоть на примитивном уровне защититься. Компьютеры, которые не всегда тянут Windows 7, ну и пользователи с торрентами и "скидками на пиццу". Повлиять на такие компании практически невозможно.

Частично решается переносом на сервера, бэкапами, репликацией и прочими ухищрениями. Там мы хоть можем мониторить и контролировать ситуацию.

Но по статистике большинство проблем это именно действия пользователей ...и руководство компаний которые этот бардак разрешают. Если владелец компании сам не заинтересован в неведении порядка, то грешить на сотрудников и подавно не стоит (((

[lostpassword]

Мало того, что в больших компаниях стоят "железные" firewall и корпоративные антивирусы, так там ещё и сотрудники понимают, что если приходит непонятное письмо - прежде чем открыть нужно связаться с сисадминами

Ваши бы слова, да богу в уши... Видел несколько крупных компаний за свою карьеру, и везде пользователи прекрасно всё открывают, запускают и вообще всячески кликают. Только и молишься на концепцию defence-in-depth: что пользователь откроет, так то Аутлук не покажет. Что Аутлук покажет, так то Эксель без команды не запустит. Что запустится в Экселе, то антивирус прибьёт. Что антивирус не заметит, то до интернета через прокси не достучится.

И всё равно пробивают... Опять же, в крупных компаниях и атаки другие: Вам письмо придёт не с сообщением, что Вы выиграли миллион, а с претензией от налоговой за недоимку (реальный случай, причём в адресе отправителя был реальный адрес налоговой - сейчас, надеюсь, дыру залатали уже), или от контрагента, которого поломали (реальный случай, прямо с его почтового ящика и отправили), или вообще от министерства (реальный случай, поломали почтовый ящик какого-то сотрудника в домене министерства и рассылали спам). Такие дела...

[SysadminComUa]

Всякое бывает.... Буквально полгода назад тоже была подобная история. Звонит главбушка, бабушка божий одуванчик, и с матами на меня:

• Там из-за ваших антивирусов я не могу письмо из налоговой открыть.

Начинаем разбираться. Классика жанра: фишинговоее письмо, переход на сайт, ssl сертификат, от нормального сайта отличается на одну букву. Вот только один маленький нюанс. Письмо адресованное на конкретную фирму, с указанием ФИО главбуха. На этот раз "отбились", но что в следующий раз и кто захочет открыть?

Таких историй много. Чем крупнее фирма, тем изощрённый методы.

Хотя с точки зрения клиентов это не имеет значения. И у малого бизнеса, и у крупных корпораций на карту поставлено многое. Для кого-то деньги, для кого-то приватность и репутация.

[WORKANDRELAX]

Не залатали еще подстановку в адрес отправителя реальный адрес налоговой

[FlashHaos]

А можно вместо сервисов по информационной безопасности включить заказчику обновления винды и отобрать админские права у пользователей? Да и отобрать права на интернет у тех, кому они не нужны по службе - тоже идея хорошая. Хотя тогда и этого поста не будет.

Нет, я не считаю это панацеей, но перечень угроз в посте решается именно так.

[fouriki]

А стоимость где то можно узнать для условной типовой сети? Я понимаю, что все индивидуально, но хотя бы чтобы понимать, от какой цены отталкиваться. Вот меньше этого не будет

[SolarSecurity]

Здравствуйте. Условной типовой сети нет: стоимость зависит от количества точек подключения и совокупно пропускной способности сети. Для расчета нужно все-таки заполнить опросный лист. Задайте, пожалуйста, ваш вопрос с пометкой "Solar MSS" по адресу solar@rt-solar.ru Или запросите консультацию через сайт https://mss.rt-solar.ru/ Коллеги сориентируют

[Alexander_The_Great]

>А работало это все так хорошо лишь потому, что он использовал уязвимость Windows, которую Microsoft закрыла еще в 2017 году, однако многие отключают автоматические обновления.

Эх, если бы мелкомягкие ещё и центр обновления починили хотя бы в 2017 году, тогда такой проблемы бы не было.