Спасибо за материал.
Может я упустил, но кмк начинают с того, а кто собственно наш противник. Отсюда появляется бюджет на ИБ, который уже тратится по Вашему плану. С противником главное не заиграться, но и нельзя недооценить. Хотя бюджет отрезвит ретивых руководителей.
От себя добавлю, что чаще всего встречал проблемы на границе систем в обмене данных. Два отличных приложения работают прекрасно по отдельности, а вот как одно в другое — и все. А еще человеческий фактор тут как тут.
По-хорошему, надо сделать взлом экономически невыгодным. Но если именно за вас взялись, то взломают все равно.
Я бы добавил отсутствие мониторинга еще. Прозевать создание новой админской учетки, не логгировать приоритетный вход в БД. Заказчику есть над чем работать.
Вы правы, ограничить можно все. А если использовать более современные ОС, аля 10, можно вообще основательно все закрыть через Device Guard, аттестацию хоста и тд. Проблема в двух вещах: нужно отладить правила для работающего софта и следить за новыми байпассами.
Про файлы охотно верю, детишкам тяжело поддерживать нормальную инфраструктуру. Для атакующего нормально слать линк, иметь категоризированный домен, пару редиректоров, имплант исполняемый в памяти и тд.
Согласен, наличие политик, лучше их отсутствия, но это не панацея на все случаи жизни.
Хорошая статья. Я бы только добавил, что по-хорошему надо бы события соотносить к матрице MITRE с учетом особенностей Вашей инфраструктуры. Я боюсь, что если RDP в организации основной способ администрирования, то у Вас будет много шума и мало толку. Грамотный атакующий всегда будет маскировать себя под Ваш обычный траффик. Но тема очень важная.
Там как бы есть лист известных байпассов, новые веселые эксплойты и прочее каждый день выходят, нужно патчить и тд. Их не оправдываю, но это немалый проект, нужны опыт, люди, бюджет.
Есть сумма, когда можно сказать, что мы снизили риски на ХХХ%. А взломать при нужных финансах всегда можно. Шутка про термальный криптоанализ здесь. Задача сделать взлом экономически невыгодным.
P.S. Если это не был Ваш сарказм.
Ну такое дело. Чисто технически отличная находка, хорошее исследование. А вот практическая атака весьма сложна, нужно несколько условий, да и пользоваться ей будут скорее спецслужбы. Нов таком случае гораздо проще поюзать что-то типа NSO Group, если экспорт разрешен. Ну и фиксы порадовали, хотя сколько осталось без них, все эти EoL.
Уже есть США, где все суммируется и за кардерство больше, чем за наркотики. Проблема в доказательной базе и всяких мутных темах, типа продажи эксплойтов. Ну и ошибки аля Маркус Хатчинс.
Может я упустил, но кмк начинают с того, а кто собственно наш противник. Отсюда появляется бюджет на ИБ, который уже тратится по Вашему плану. С противником главное не заиграться, но и нельзя недооценить. Хотя бюджет отрезвит ретивых руководителей.
От себя добавлю, что чаще всего встречал проблемы на границе систем в обмене данных. Два отличных приложения работают прекрасно по отдельности, а вот как одно в другое — и все. А еще человеческий фактор тут как тут.
По-хорошему, надо сделать взлом экономически невыгодным. Но если именно за вас взялись, то взломают все равно.
Про файлы охотно верю, детишкам тяжело поддерживать нормальную инфраструктуру. Для атакующего нормально слать линк, иметь категоризированный домен, пару редиректоров, имплант исполняемый в памяти и тд.
Согласен, наличие политик, лучше их отсутствия, но это не панацея на все случаи жизни.
P.S. Если это не был Ваш сарказм.