Как начинать тушить огонь до пожара или наш список общих принципов IT безопасности29.06.2017 23:32

Комментарии (4)

navion

29 июня 2017 в 18:10

+1

↑

↓

блокируют 135, 139, 445 TCP-порты (служб SMB и WMI)

а по возможности и SMBv2

Нет домена — нет проблем?
а пользователи должны находится в группе защищенных пользователей, в этом случае перехват паролей mimikatz невозможен

Тогда никто не сможет подключиться по RDP с недоменного компьютера и полностью спасёт лишь Credential Guard из Windows 10 Enterprise, где LSASS работает в виртуалке.
Secure Boot от шифровальщиков тоже не спасёт, большинство из них работает в юзерспейсе и не требуют перезагрузки для начала шифрования. В этот раз повезло из-за криворукости авторов малвари.
При этом ничего не сказано про SRP/AppLocker, LAPS и политики ACT для приложений, требующих прав админа.
Igorjan

29 июня 2017 в 18:43

+1

↑

↓

Клиентские компьютеры должны работать на Windows 10 LTSB

Любой билд или последний?
Обновления должны автоматически ставится

Вот тут весьма спорно. Далеко не все имеют возможность быстро восстановить работу пары сотен машин после чего-то типа MS14–045.
Разделение инфраструктурных сред по VLAN, между которыми должна быть настроена фильтрация трафика. В этом случае перекрыв доступ по определённым портам можно остановить сетевое распространение зловреда, как в случае Petya блокируют 135, 139, 445 TCP-порты (служб SMB и WMI)

тут тоже нужно прикладывать голову. При неверно подобранном оборудовании можно положить всю сеть копированием файла с сервера в другой подсети через маршрутизатор.
Специализированные и редкие программы, типа M.E. doc интернет банкинг (особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом.

если есть возможность пробросить электронную подпись. Вдруг еще не все банки от ключевых дискет отошли
Проводите семинары и другие мероприятия для повышения уровня IT осведомленности и IT культуры всех сотрудников, с обязательным приведением реальных примеров и последствий.

есть такие сотрудники, на которых и публичные казни не повлияют :-)
imbasoft

29 июня 2017 в 21:15

0

↑

↓

«Как начинать тушить огонь до пожара» —, а смысл? так даже картошку себе не пожаришь.
Приведенные рекомендации по ИБ для очень хорошо подойдут для сферического коня в вакууме. Применительно к реальной жизни безопасность все таки строится от существующей инфраструктуры.
Пересаживать всех на Win10 при условии, что Win7 работает и обновляется выглядит сомнительной идей. Более того, много «чудо»-софта наколенной разработки, но бизнес-критически важного перестанет работать совсем, что тогда?
Обновления должны ставится регулярно, не реже раза в две недели.

Обновления нужны это факт, но просто ставить апдейты — путь к остановке системы. Примеры «плохих» апдейтов уже приводили выше. Ставить апдейт без теста нельзя.
Я думаю реальной скоростью будет не реже раза в месяц для апдейтов ОС в инфраструктур компаний среднего бизнеса 1000+ человек, при условии, что у ИТ будет специально выделенное время для тестирования апдейтов, если его не будет, то не реже раза в квартал. Для апдейтов других систем (СУБД, драйвера, …) лаг только увеличится.
Критикам предлагаю составить в уме перечень действий, которые нужно предпринять для обновления BIOS на ферме гипервизора с сотней виртуалок, часть которых работает 24/7. Ну и соответственно составить roll-back план.
Dreyk

29 июня 2017 в 22:55

0

↑

↓

если что, Medoc оказался ни при чем

и можно же запретить выполнение из папки Temp, тогда напрямую из письма будет ничего не открыть

и еще
ьььььььььььььььььь

я вам тут отсыпал, пользуйтесь