Автор Тема: Интересные статьи, новости  (Прочитано 361472 раз)
line
Давненько
**
Offline Offline

Сообщений: 102


Просмотр профиля
« : Февраль 16, 2015, 21:16:56 »

В комментариях много занимательного можно вычитать

Цитировать
А еще это часто происходит, потому что всякие замы — частенько родственники, которые строят из себя невесть что, и когда админ банка им поясняет политику безопасности, они плюют на это свысока, а потом считают, что админ виноват.
Цитировать
Мое дело небольшое, я что-то вроде наемного сыщика пост-фактум. Насколько я знаю банк нанял специалиста по безопасности — отдельного человека который разрабатывает адекватные регламенты, чтобы не парализовать работу банка с одной стороны, но и предотвратить какую-то часть угроз с другой стороны, и внедрил что-то вроде системы контроля целостности — с отчетом об изменении состоянии систем. Есть несколько мест которые меняются не часто, и которые эксплуатируются такими атаками — например список сервисов на компьютере. Достаточно делать отчет изменений и просматривать его каждый день на предмет появления сервисов чтобы отловить что-то лишнее. Плюс поставили систему слива всех логов со всех машин на одну центральную в сети которая пишет все эвенты и там стоят какие-то фильтры которые отслеживают неудачные логины и вообще логины с не адресов внутри сети. Плюс поставили логгер попыток соединений между сетью и интернетом по самым популярный портам удаленного управления — TeamViewer, VNC, RDP и т.д. с отчетом так же.
В целом получается что атаки развиваются не мгновенно и если следить за изменениями по определенным местам можно найти подозрительную активность даже имея тысячу компьютеров. Но, к сожалению, нужен отдельный человек который не «закопается в других делах» для этого.
Цитировать
Кстати в пику рекламе касперского могу сказать что 0-day дроппер с которого начинается заражение он прошляпил, и вылечил только через примерно 20 дней постфактум (сняли образ машины с которой началось заражение и вертели его в виртуалке как могли, касперский верещал при наведении на изначальное письмо только после обновления баз приходившее через 20 дней после прихода письма). А все утилиты которые внедряются — легитимные утилиты которые вирусами не считаются. Ставятся всякие psexec из набора sysinternals, VNC сервера переименованные в неприметные сервисы и утилиты обратного соединения (когда машины соединяются с сервером контроля, на котором ее ждут чтобы попасть на десктоп) от совершенно легальных производителей. На которые касперский как бы в принципе не реагирует, потому что это не вирусы. На той самой изначальной машине касперский даже не моргал пока не откроешь то самое письмо двадцатидневной давности — потому что дроппер ставил легальные утилиты и сам себя удалял. Так что все это классно, но по итогам бесполезно. Только статьи такие писать о том что триста миллионов уже украдено.

Эти пользователи сказали вам СПАСИБО :

☭-Изделие 20Д

За это сообщение 1 пользователь сказал спасибо!
Записан