Инструменты для защиты
Парадокс наличия инструментов в том, что без них вы не можете работать, но и хакеру они нужны. Один из подходов к решению этой проблемы - свести к минимуму количество инструментов, их функционал и доступность. Эта стратегия несколько затруднит вам работу, но при наличии адекватных мер безопасности потенциальному противнику станет еще труднее. Одним из недостатков этого подхода является то, что вы снижаете отказоустойчивость и надежность средств удаленного управления средой. Таким образом, если злоумышленник скомпрометирует важные инструменты, удалив или испортив их, ваши собственные средства защиты ограничат ваши возможности по управлению системой и восстановлению ее работоспособности. Работу с защитными инструментами можно начать вот с чего.
1. Определите базовый уровень. Проведите опрос сотрудников в зависимости от их роли и инвентаризацию программного обеспечения во всех системах вашей организации. Составьте список пользователей, номера версий и расположение каждого инструмента в вашей среде, включая все программное обеспечение/приложения, сценарии, библиотеки, системы и роли. Сюда относятся даже встроенные в ОС средства, такие как перечисленные далее.
|
sc.exe |
find.exe |
sdelete.exe |
runasuser.exe |
|
net.exe |
curl.exe |
psexec.exe |
rdpclip.exe |
|
powershell.exe |
netstat.exe |
wce.exe |
vnc.exe |
|
ipconfig.exe |
systeminfo.exe |
winscanx.exe |
teamviewer.exe |
|
netsh.exe |
wget.exe |
wscript.exe |
nc.exe |
|
tasklist.exe |
gpresult.exe |
cscript.exe |
ammyy.exe |
|
rar.exe |
whoami.exe |
robocopy.exe |
csvde.exe |
|
wmic.exe |
query.exe |
certutil.exe |
lazagne.exe |
2. Проанализируйте результаты и оцените свои потребности. Рассмотрите все инструменты, чтобы определить, какие из них нужны пользователям, а какие нет, а также то, где и когда их применяют. Для каждого инструмента оцените риск и определите вред, который может возникнуть, если злоумышленник получит к нему доступ. Задокументируйте, как можно ограничить возможности инструмента для повышения безопасности, но не в ущерб для бизнес-операций. Компромиссом может быть, например, отключение макросов в Microsoft Word и Excel.
3. Примените ограничения. Ограничьте доступность и авторизацию для слишком рискованных инструментов. Задокументируйте любые исключения и запланируйте их пересмотр раз в квартал, чтобы доступ продлевался лишь по запросу пользователей. Можете даже установить временный доступ, чтобы возможность применить инструмент автоматически ограничивалась через определенное время. Создайте белый список одобренных инструментов, чтобы любые нераспознанные или неавторизованные инструменты в систему не попадали. Рассмотрите возможность физической блокировки всех USB, съемных носителей, Thunderbolt, FireWire, консолей и внешних портов на всех системах и открывайте доступ к ним только по одобренному заявлению пользователя.
