Комментарии 28
С другой стороны не все предприятия имеют отдел информационной безопасности, который бы боролся с угрозами.
С третьей стороны, даже там, где такой отдел есть, зачастую на требования этого отдела забивают болт. Типа «а чё такого если пол предприятия знает учётки и пароли друг друга».
И самое главное — каждый считает, что его пронесёт…
Подумалось: раньше удалённые подключения шли по номеру телефона, через модем, и было гораздо безопаснее. Это достигалось за счёт того, что канал передачи отделялся от передаваемой информации. А сейчас и канал VPN организуется по IP, и внутренние данные тоже по IP.
А сейчас что простыми средствами позволит увеличить безопасность удалённого подключения, даже если средства удалённого доступа содержат уязвимости? Разве только длинный псевдослучайный IPv6 адрес, который не отвечает на traceroute/ping, и не подбирается перебором, и с которого нет исходящих подключений, чтобы он нигде в инете не засветился.
Или port knocking какой-нибудь, но это уже дополнительные какие-то приложения нужны. IPv6 адрес раз выдал, вбил, и пользуйся.
Либо специфические средства вроде VPN на уровне провайдера (а не через интернет), или выделенного APN у мобильного оператора.
Т.е. по сути весь посыл статьи в жлобстве выделения денег на безопасность, но никак не в шифровальщиках.
А кто мешает вирусописателю проверить не расширение, а заголовок файла. Вот если бы после сжатия еще и рандомизировать файл — уже меньше вероятности попасть в выборку для шифрования вируса
Полагаю свою долю попавших шифровальщик и так возьмет, незачем заморачиваться и пытаться найти все по содержимому
Хранение бэкапов на источнике бэкапа — суперпять.
Многие программы при установке распаковываются в темп, потом запускаются. Ну а здесь — была команда от администратора домена, поэтому вполне себе легальная операция.
Основная проблема, что, есть проги которые требуют права админа
В чем именно проблема, и как она решила бы данный кейс? Здесь идёт команда от администратора домена, на установку софта (будь то корпоративное обновление софта, или групповых/локальных политик итд). Ответственность полностью на админе, в надежде, что админ знает, что делает.
vviz Если бы запуск скриптов из темпа был запрещен, то хакеры запускали бы скрипты из другой директории, в чем проблема? Они и так получили контролера домена, они могут творить что угодно. Даже системно обратно разрешить запуск скриптов из темп директории, если они были бы запрещены.
Проблема здесь не в бэкапах, или настройках компа, а в том, что они ломанули учётку админа.
Если запретить все такие скрипты из темпа, то половина прог перестала бы нормально устанавливаться.
Ваш комент ради комента?
Нет
Запретить админам логиниться под админской учёткой — как угодно: интерактивно, через VPN? Использовать админскую учётку только для запуска конкретных приложений через runas? (Если что, в университете про такое рассказывают и показывают.)
Запретить логиниться под админской учёткой
Обычно это везде так и есть. Сделано в том числе для того, чтобы случайно слив свой обычный пароль, не занести какую нибудь грязь, тк пароль от админской учётки другой.
Использовать админскую учётку только для запуска конкретных приложений через runas?
По сути, здесь все так и произошло. Был вызов runas, подставилась учетка админа, его пароль и произведен запуск вируса. Только это делалось через powershell, аналог ssh для windows.
Даже если такое можно было бы делать отдельной группе админов, то ничего не мешало злоумышленникам создать новую учётку и выдать ей любого админа, потому что у них суперправа контроллера домена — контроль любой учётки, любого компьютера и любой групповой политики (в ТЧ запрет на запуск чего либо откуда либо).
Шифровальщики продолжают наступать: уязвимость в VPN Fortigate привела к остановке двух фабрик из-за ransomware