Защита устройств

Атаки начинаются и заканчиваются на оконечных устройствах. Неважно насколько хорошо защищены сервисы или сети, если злоумышленник получает доступ к ПК, то получает доступ ко всем сервисам: VPN, почта, админки, 1С, банк и т.п. Если злоумышленник имеет доступ к серверу – получает доступ ко всем данным и возможность распространить атаку на остальную инфраструктуру. 

Рабочие компьютеры  

Мы понимаем важность защиты ПК, поэтому устанавливаем два антивируса и систему автоматизированного обновления:

  • Symantec Endpoint Protection [1,2,3] + 500 правил усиливающих защиту
  • Carbon Black Defence [1,2,3] защищает от атак нулевого дня.
  • IBM BigFix – система автоматизированной установки и обновления ПО для всех операционных систем (Windows, Mac, Linux) [1].

Такой набор позволяет спокойно пользоваться ПК без риска подхватить зловреда, даже при использовании учетной записи с правами администратора. Через несколько часов после установки вы получите первый отчет об удаленных вирусах и уверенность в том, что их больше не появится.

Серверы

Для серверов антивирус бесполезен, потому что главная угроза для севера не вредоносный файл, а уязвимость доступная злоумышленнику. Наша задача найти и устранить такую уязвимость раньше злоумышленника, либо зафиксировать и расследовать атаку. Для этого мы:

  • Регулярно сканируем порты и сервисы, как это делают хакеры.
  • Находим уязвимое ПО, выясняем нужно ли его обновлять, и даём инструкции по устранению.
  • Собираем логи, чтобы хакер не смог их удалить после взлома.
  • Логируем трафик, чтобы понимать куда и в каком объёме утекают данные.
  • Записываем манипуляции с файлами.
  • Фиксируем действия пользователей и админов на серверах.
  • Ищем признаки компрометации, если вас уже взломали.
  • Находим ошибки конфигурирования допущенные админами.

Реализуем с помощью: wazuhosquerysuricatafilebeatgraylog

Фактически сервер становится "под микроскопом", и мы всегда можем ответить на вопросы: "кто, когда и что делал?", "нет ли уязвимого ПО на сервере?", "не утекали куда-либо данные?".