Обновить
16
Дмитрий Березин@D_Berezin

Эксперт по информационной безопасности

6
Подписчики
Отправить сообщение
К сожалению, переход на опенсорсные продукты, так же как и специфичные настройки окружения, не дающие запуститься шифровальщику «одним кликом», не позволяет решить все проблемы. На прошлой неделе я участвовал в расследовании инцидента, когда в результате целенаправленной атаки был заражен один-единственный сервер, но этого оказалось достаточно, чтобы остановить работу небольшой компании. При этом, несмотря на довольно жесткую политику безопасности, злоумышленники смогли перехватить контроль над вспомогательной учеткой принт-сервера, а затем, используя цепочку эксплоитов и mimikatz, получили права администратора домена. Поэтому без интеллектуальных систем защиты не обойтись :)
Добрый день! Спасибо за комментарий. Действительно, одним из вариантов является внедрение жесткой политики Default Deny — запрет на доступ в Интернет, запрет на установку и запуск ПО, минимальные права на доступ ко всем информационным системам. К сожеланию, такой подход применим только в особых случаях, таких как банковские системы и сегменты АСУ ТП. Для большинства коммерческих организаций требуется более гибкий подход: HR нужен доступ к Facebook и vk.com, тендерному отделу нужно отправлять конфиденциальные данные в сеть Интернет, пользователям нужно обмениваться файлами по почте и через файловый сервер и др. Таким образом, возникает реальная потребность во внедрении систем защиты, которые не мешают нормальной работе организации, но оперативно обнаруживают и блокируют любые опасные действия потенциальных злоумышленников. А для защиты от вирусов-шифровальщиков есть несколько специализированных решений, в том числе Check Point Anti-Ransomware.
Спасибо за отзыв! Да, конечно ханипоты :) В рамках нашего облачного сервиса мы предлагаем решения класса Deception следующих вендоров: TrapX, Illusive Networks. По сравнению с обычными ханипотами, их практически невозможно отличить от реальной инфраструктуры, и они предоставляют расширенные логи о всех действиях хакера.
Расчет проводился для потока событий с пиками до 29000 EPS с длительностью хранения около 1 года. Потом логи архивируются и выгружаются в «холодное» хранилище.
Данную активность выявили за счет модуля Beaconing от Securonix. Он анализирует IP-адреса, DNS-запросы и объемы передаваемого трафика. Если модуль обнаруживает, что пользователь регулярно (например, каждые 5 минут) обращается к одному и тому же ресурсу, данная сессия помечается как подозрительная. Если есть и другие подозрительные действия, связанные с данным пользователем, система их связывает и генерирует инцидент. Чтобы снизить число ложных срабатываний, используются алгоритмы кластеризации: большая часть сессий будет связана с процессами обновления ОС\ПО, и только малая часть будет «выбиваться» из общей статистики и передаваться на анализ админу системы.
Действительно, проблема ложноположительных срабатываний, а также большое кол-во минорных инцидентов — это «бич» классических систем ИБ. К примеру, IPS, стоящая перед веб-сервером, за сутки даёт десятки тысяч срабатываний от сотен одинаковых автоматических сканеров, которые непрерывно шерстят Интернет в поиске незащищенных систем. Новые системы, в том числе UBA, используют несколько техник, которые позволяют сфокусироваться только на важных событиях. Во-первых, это динамическое профилирование минорных событий — правильно настроенный UBA вообще не будет уведомлять админа об «обычных» срабатываниях IPS, DLP и других систем, а сгенерирует инцидент только по новым векторам атак и нестандартным алертам. Во-вторых — привязка всех событий и потенциальных инцидентов к модели Kill Chain, позволяющей повысить приоритет минорного события при срабатывании эвристики.
Речь про защиту корпоративной ИТ-инфраструктуры, Большой брат ни при чём. Я постарался раскрыть направление защиты от самого опасного мошенника – инсайдера.

Информация

В рейтинге
Не участвует
Работает в
Зарегистрирован
Активность