На очередном семинаре на тему ИТ-безопасности с докладом выступал Владислав Радетский от фирмы OptiData. Как всегда содержательно и последовательно. И актуально - из его доклада хотелось бы выделить фокус защиты конечных хостов. Собственно докладчик об этом говорит уже не первый год. Так как вектор атаки сейчас изменился, поэтому в 70% случаев будет действенно перекрыть канал доставки основного вредоносного кода.
Что же делать?
Контроль создания и запуска исполняемых файлов из:
- %Public%\*.exe
- %AppData%\*\*.exe
- %ProgramData%\*.exe
Контроль параметров запуска скриптов в Powershell:
- Execution Policy Bypass
- Hidden Powershell
- WMI script
- Download code
- Encoded commands
Контроль скриптов в файлах типа CMD, MSHTA и MS Office:
- блокировка выходного трафика
- запрет запуска CMD, MSHTA, MS Office для пользователей
- запрет перекрестных вызовов
- запрет запуска дочерних процессов из файлов MS Office
- запрет записи и чтения запрещенных(не используемых в работе комплекса) типов файлов.
Также обязательно удаляйте метаданные из финальных версий файлов Microsoft Office и PDF. Есть такой инструмент как Foca, который вам поможет извлечь и проанализировать метаданные. Foca может извлекать данные из файлов Microsoft Office, PDF файлов, графических файлов и других.
Чем, т.е. каким инструментом, контролировать такие запреты вопрос неоднозначный. Закупить мощный антивирус типа McAfee или SIEM типа QRadar? Решайте. Но однозначно экономить на защите вашей инфраструктуры сегодня нельзя!
Удачи.
No comments:
Post a Comment
А что вы думаете по этому поводу?