Comments 25
У вашей системы есть недостаток — она замечает вещи постфактум. Нормальные системы имеют uba/euba.
Без этого — только постмортемы писать.
Без этого — только постмортемы писать.
Насколько мне известно, ни одна ueba\uba система не обладает предсказывающими алгоритмами. Хотя как бы они могли работать — вообще загадка, разве что экстраполировать текущий тренд в будущее с большей или меньшей точностью.
Таким образом, они точно также базируют свой анализ на уже случившихся, собранных сборщиком и обработанных системой событиях. Никакой дополнительной магии они в описанный в статье процесс не принесут, разве что упростят процесс threat hunting-а.
Таким образом, они точно также базируют свой анализ на уже случившихся, собранных сборщиком и обработанных системой событиях. Никакой дополнительной магии они в описанный в статье процесс не принесут, разве что упростят процесс threat hunting-а.
Статья касается тематики ЕПСК, а используемые там технологии как раз блокируют вредоносные действия. Но, помимо простой блокировки, даже UTM даёт возможности для большой аналитики, о чем мы и пытались рассказать/
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Интересно, вот если есть сеть, в которой прокси явно не задаётся, но доступ к внешним портам запрещён, то каким лучше инструментом проверить, какие порты разрешены?
Например, разрешены TCP-коннекты на 22,80,443, это точно. А есть какие-то UDP порты, которые обычно разрешают?
Например, разрешены TCP-коннекты на 22,80,443, это точно. А есть какие-то UDP порты, которые обычно разрешают?
Каждая компания для себя сама определяет список разрешенных портов, в зависимости от нужд персонала и сервисов компании.
А есть что-нибудь часто используемое?
UDP 53 (DNS)?
Это первое, что приходит на ум. Но его часто принудительно заворачивают на свои сервера. А что есть ещё?
Из часто используемого UDP еще приходит в голову NTP. И кажется всё. Дальше начинаются экзотические частные случаи. Допустим, мне по работе было необходимо поиграть в CS:GO. И понеслась.
В UTM же с утечками помогает бороться модуль фильтрации веб-траффика. Так можно выявлять и/или блокировать обращения к файлообменникам.Когда у юзера есть домашний Nextcloud, на него можно выложить хоть всю организацию :)
Помнится когдато давным давно сильно сильно надо было скопировать файлы, а был только порезанный по фунционалу RDP. Задача решилась за 40 минут 5ю программистами. Написали 2 программы, одна рисовала части многотомного архива на экране, другая парсила их на стороне клиента и склеивала. Из проблем была только искаженная цветопередача. Потом рассказали заказчикам, они очень удивлялись нашей находчивости. Сильно не ругали, за что мы им еще с десяток способов для утечки придумали.
Вряд ли таким или подобным утечкам можно чтото противопоставить даже чисто теоретически.
Вряд ли таким или подобным утечкам можно чтото противопоставить даже чисто теоретически.
Для этого есть модуль контроля использования приложений, с помощью которого можно сформировать белые списки и который не допустит использование неразрешенных приложений.
Майнер был установлен на тестовом сервере и потому оставался незамеченным, пока заказчик не подключил свою инфраструктуру к нашей платформе.Значит, надо ставить obfsproxy, понятно :)
В примерах статьи нужно менять системных администраторов, а не только обвешиваться системами контроля. Даже в маленьких компаниях до 20 человек я обычно настраиваю на клиентских устройствах фаерволы, если на винде то стандартные виндовые через GPO, в том числе на исходящий трафик. Любые невнесенные в правила приложения не получат доступ в интернет. Опять же для винды через GPO вешаются software restriction policies по сертификатам/путям, не одобренные приложения не только не получать доступ в интернет, но и не запустятся. Настройка занимает прилично времени, зато потом можно спать спокойно, лет 10 уже не ловил ни одного вируса/шифровальщика ни в одной из компаний, которые обслуживаю, так же могу быть уверен что ни одно приложение не будет запущено/установлено без моего ведома.
Повезло тем компаниям, в которых Вы являетесь системным администратором. Но все же есть масса нюансов, например, недоменные пользователи, или в компании разрешено использование собственных компьютеров. Если взять компании больше 300 человек, ходить по каждому пользователю и проверять/настраивать их компьютеры уйдет слишком много времени, которого как правило нет, да и использование белых списков в таких компаниях не практикуется, всегда есть сотрудники, например, разработчики, которым необходимо огромное количество различного софта.
Да, я работаю в основном с небольшими компаниями, есть на 150 человек. Настраивать можно гибко, естественно, что у всех свои нюансы.
Оставить без контроля 300 компьютеров, они через пару месяцев превратятся в ботнет, вы больше времени потратите на устранение проблем/восстановление от шифровальщиков, чем на настройку. У каждого, конечно, свои случаи, но наверняка в этой сети стоит AD/LDAP, а с ними что 30, что 300, разница не очень небольшая.
На разные группы пользователей вешают разные политики ограничений, а не всем одно и то же, для тех, для кого критично — все строго, для остальных, к примеру, разработчиков менее строгие политики ограничений.
Не обязательно прямо белые списки, можно просто запретить запуск исполняемых из профиля пользователя, все остальное оставить разрешенным, к примеру софт ставят админы на местах, даже если они не настраивают SRP (в случае windows), они ставят программы в Program Files, и эти программы без проблем будут работать. Т.е. корпоративный teamviewer установленный администратором будет работать, а teamviewer/вирус который запускает пользователь из профиля — нет (права обычных пользователей, да и для рабочих аккаунтов админов, ограничены, нет записи в системные папки типа Program Files). Для разъездных/недоменных настраиваются локальные политики, создается локальный администратор, в случае необходимости пароль выдается пользователю, он ставит все что нужно, потом приезжает, компьютер проверяется, пароль локального админа меняется. В случае, когда свои компьютеры, мне предложить тут нечего — останутся без ограничений, но и отвественность за них я не несу в этом случае, раз руководство готово на такие риски, ничего не поделать.
Как я уже упоминал настройка занимает время, SRP включается вначале в режиме логгирования, т.е. Вы уже пишите правила, но они не блокируют ничего, а просто логгируют. Вы просматриваете логи, составляете группы, заодно видите кто и что запускает «запрещенного». Если разработчикам нельзя составить правила по сертификатам или указать директорию, из который они могут запускать свои бинари, то тогда правила для них не включаются, тут уже да, желательно повесить какую-то систему контроля.
В общем я не предлагаю прямо для всех применять строгие белые фильтры наподобие SRP в windows, я просто указываю на то, что они прекрасно работают вместе с системами контроля и настолько упрощают работу как системным администраторам так и безопасникам, что не использовать этот удобный инструмент, там где возможно, просто халатность, а в Ваших примерах в статье очень сильно на это похоже. Админ у которого украли пароль, вообще что-то невообразимое.
Если взять компании больше 300 человек, ходить по каждому пользователю и проверять/настраивать их компьютеры уйдет слишком много времени, которого как правило нет
Оставить без контроля 300 компьютеров, они через пару месяцев превратятся в ботнет, вы больше времени потратите на устранение проблем/восстановление от шифровальщиков, чем на настройку. У каждого, конечно, свои случаи, но наверняка в этой сети стоит AD/LDAP, а с ними что 30, что 300, разница не очень небольшая.
На разные группы пользователей вешают разные политики ограничений, а не всем одно и то же, для тех, для кого критично — все строго, для остальных, к примеру, разработчиков менее строгие политики ограничений.
Не обязательно прямо белые списки, можно просто запретить запуск исполняемых из профиля пользователя, все остальное оставить разрешенным, к примеру софт ставят админы на местах, даже если они не настраивают SRP (в случае windows), они ставят программы в Program Files, и эти программы без проблем будут работать. Т.е. корпоративный teamviewer установленный администратором будет работать, а teamviewer/вирус который запускает пользователь из профиля — нет (права обычных пользователей, да и для рабочих аккаунтов админов, ограничены, нет записи в системные папки типа Program Files). Для разъездных/недоменных настраиваются локальные политики, создается локальный администратор, в случае необходимости пароль выдается пользователю, он ставит все что нужно, потом приезжает, компьютер проверяется, пароль локального админа меняется. В случае, когда свои компьютеры, мне предложить тут нечего — останутся без ограничений, но и отвественность за них я не несу в этом случае, раз руководство готово на такие риски, ничего не поделать.
Как я уже упоминал настройка занимает время, SRP включается вначале в режиме логгирования, т.е. Вы уже пишите правила, но они не блокируют ничего, а просто логгируют. Вы просматриваете логи, составляете группы, заодно видите кто и что запускает «запрещенного». Если разработчикам нельзя составить правила по сертификатам или указать директорию, из который они могут запускать свои бинари, то тогда правила для них не включаются, тут уже да, желательно повесить какую-то систему контроля.
В общем я не предлагаю прямо для всех применять строгие белые фильтры наподобие SRP в windows, я просто указываю на то, что они прекрасно работают вместе с системами контроля и настолько упрощают работу как системным администраторам так и безопасникам, что не использовать этот удобный инструмент, там где возможно, просто халатность, а в Ваших примерах в статье очень сильно на это похоже. Админ у которого украли пароль, вообще что-то невообразимое.
не одобренные приложения не только не получать доступ в интернет, но и не запустятся.
Расскажите, как в таких условиях работают программисты? После каждого нажатия "Compile" бегут к вам получать разрешение на запуск получившегося бинаря? А как ограничивается запуск интерпретируемых языков?
Тоже придерживаюсь таких правил. Однако на винде столкнулся с массой проблем. Вот например. Запускаю git clone. Он ругается Permission Denied. Причем не везде, а на определенных репозиториях. На все известные мне бинарники гита есть правила с разрешениями. В каталоге 263 exe-файла. Как понять какой из них не может установить соединение с сервером? Пришлось отключить файервол. И такая ерунда происходит постоянно. Например, при обновлении браузеров.
Если с SRP, добавить или по сертификату, или всю директорию. Если фаервол, то попробуйте снифать трафик (для винды через Sysinternals ProcessExplorer/ProcessMonitor, утилитки от MS/Руссиновича), обычно через службу или 1 экзешник ходит в инет, это довольно просто, там сразу видно что за процесс и куда лезет.
это только в компаниях «до 20» человек и применимо, где можно к каждому подойти и руками что-то сделать.
с ростом количества сотрудников трудоемкость процесса растет геометрически, в моей предыдущей компании работало 70000+ человек, нет столько админов что бы это все причесать.
с ростом количества сотрудников трудоемкость процесса растет геометрически, в моей предыдущей компании работало 70000+ человек, нет столько админов что бы это все причесать.
На заглавной фотке не Яровая с ножницами?
Антивирус определил ее просто как нежелательное ПО (not a virus) и не произвел никаких действий
Типовая проблема, не настраиваются действия антивируса на потенциально опасное ПО (программы удаленного действия теже)
Sign up to leave a comment.
Майнеры, сливщики и Cobalt: как мы обеспечиваем заказчикам безопасный доступ в Интернет