А АSaturday 28 July 2018

Защита конечных хостов.

Всем привет.

На очередном семинаре на тему ИТ-безопасности  с докладом выступал Владислав Радетский от фирмы OptiData. Как всегда содержательно и последовательно. И актуально  - из его доклада хотелось бы выделить фокус защиты конечных хостов. Собственно докладчик об этом говорит уже не первый год. Так как вектор атаки сейчас изменился, поэтому в 70% случаев будет действенно перекрыть канал доставки основного вредоносного кода.

Что же делать?

Контроль создания и запуска исполняемых файлов из:

  • %Public%\*.exe
  • %AppData%\*\*.exe
  • %ProgramData%\*.exe

Контроль параметров запуска скриптов в Powershell:

  • Execution Policy Bypass                   
  • Hidden Powershell
  • WMI script
  • Download code
  • Encoded commands

Контроль скриптов в файлах типа CMD, MSHTA и MS Office:

  • блокировка выходного трафика
  • запрет запуска CMD, MSHTA, MS Office для пользователей
  • запрет перекрестных вызовов
  • запрет запуска дочерних процессов из файлов MS Office 
  • запрет записи и чтения запрещенных(не используемых в работе комплекса) типов файлов.

Также обязательно удаляйте метаданные из финальных версий файлов Microsoft Office и PDF. Есть такой инструмент как Foca, который вам поможет извлечь и проанализировать метаданные. Foca может извлекать данные из файлов Microsoft Office, PDF файлов, графических файлов и других. 

Чем, т.е. каким инструментом, контролировать такие запреты вопрос неоднозначный. Закупить мощный антивирус типа McAfee или SIEM типа QRadar? Решайте. Но однозначно экономить на защите вашей инфраструктуры сегодня нельзя!

Удачи.



No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное