- PVSM.RU - https://www.pvsm.ru -

Приключения неуловимой малвари: многосторонняя оборона (заключительные мысли)

Приключения неуловимой малвари: многосторонняя оборона (заключительные мысли) - 1

Эта статья является частью серии «Fileless Malware». Все остальные части серии:

Думаю, все мы можем согласиться с тем, что у хакеров есть много трюков и методов, чтобы скрытно войти в вашу ИТ-инфраструктуру и остаться там незамеченными, пока они крадут ваши цифровые активы. Ключевой вывод этой серии заключается в том, что обнаружение вредоносных программ на основе сигнатур легко обходится даже несложными подходами, некоторые из которых я представил в этой серии.

Я очень хорошо понимаю исследователей безопасности [6], которые часто называют вирусные сканеры бесполезными, но не стоит их теперь из-за этого просто выбрасывать. Все-таки еще есть много вредоносных программ, написанных ленивыми скрипт-кидди хакерами, которые будут заблокированы этими сканерами.

Лучшая идеология в борьбе с безфайловыми вредоносными программами и скрытными методами эксплуатации состоит в том, чтобы дополнить стандартную защиту периметра — сканеры портов и детекторы вредоносных программ — вторичными линиями защиты и иметь планы реагирования и восстановления, когда неизбежное все же происходит, включая программу реагирования на атаку.

Я имею в виду понятие многосторонняя оборона [7] (Defense In-Depth, или DiD). Это очень практичный подход к борьбе с продвинутыми хакерами, которые смеются над средствами защиты периметра и программным обеспечением для сканирования подписи файла.

Есть ли у DiD проблемы? Конечно. Те же самые профессионалы в области безопасности, которые сперва потеряли веру в традиционные меры защиты, теперь продвигают белый [8] cписок приложений, которые могут быть вам полезны, особенно после факта первоначального проникновения.

Как мы видели, методы атак без кода, которые я демонстрировал [5] ранее в этой серии, могут быть использованы даже для обхода такого белого списка. Это уже подпадает под новую тенденцию методов взлома, которые подрывают веру в законные инструменты и традиционное программное обеспечение, и используют его для своих злобных целей
Оставайтесь с нами и следите за будущими публикациями.

Приключения неуловимой малвари: многосторонняя оборона (заключительные мысли) - 2

Вопрос: Можете ли вы обойти средства защиты безопасности Windows, тайком передавая команды в regsvr32.exe? Ответ: да

Серьезно о безопасности данных

На мой взгляд, глубинная защита – это минимизация вреда: берем в качестве максимума наихудший исход и пошагово превращаем его в то, что уже не слишком страшно для нас или же будет стоить выполнить слишком дорого для нападающих.

Представим, что хакер проник в сеть, но из-за идеальных ограничительных политик разрешений в вашей компании [9], вы помешали ему получить доступ к конфиденциальным данным. Или хакеры получили доступ к конфиденциальным данным, но ваша удивительная технология анализа поведения пользователей обнаружила злоумышленников и отключила учетные записи прежде, чем дамп миллионов кредитных карт был слит. Или, возможно, хакер получил доступ к адресам электронной почты ваших клиентов, но ваш оперативный план реагирования на нарушения, который включает мониторинг в реальном времени необычной активности с файлами, позволил в рекордное время связаться с регулирующими органами и пострадавшими, тем самым избежав штрафов и антирекламы.

Защита здравого смысла

Глубинная защита – это, скорее, набор рекомендаций и некая философия, то есть некоторые практические шаги и решения [10], чтобы сделать жизнь проще.

Если бы лично мне пришлось описать такой подход к защите и превратить его в три действенных пункта, вот что бы я порекомендовал в первую очередь:

  • Оцените риски путем инвентаризации того, что вам нужно защитить. Обозначьте персональные и другие конфиденциальные данные, которые, как правило, разбросаны по всей файловой системе. Вы должны выяснить, кто работает с ними и кто действительно должен иметь к ним доступ. Предостережение: это не так-то уж и легко сделать, как может показаться, но если у вас есть подходящие инструменты [11], то вы справитесь;
  • Защитите данные. Теперь, когда вы нашли данные, ограничьте потенциальный ущерб будущих нарушений: сократите слишком широкий и глобальный доступ на основе групп, упростите структуры разрешений и избегайте прямых прав на уровне пользователя. Минимизируйте общий потенциальный риск, удаляя устаревшие данные и архивируя данные [12], которые больше не нужны активно в работе;
  • Поддерживайте безопасное состояние, автоматизируя рабочие процессы предоставления доступа, регулярной проверки и аттестации прав, а также хранения данных на основании политик;
  • И, наконец, постоянно проводите мониторинг необычного поведения [13] пользователей и систем.

Автор: Varonis

Источник [14]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/javascript/326154

Ссылки в тексте:

[1] Приключения неуловимой малвари, часть I : https://habr.com/ru/company/varonis/blog/456440/

[2] Приключения неуловимой малвари, часть II: скрытные VBA-скрипты: https://habr.com/ru/company/varonis/blog/458010/

[3] Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли: https://habr.com/ru/company/varonis/blog/459506/

[4] Приключения неуловимой малвари, часть IV: DDE и поля документа Word: https://habr.com/ru/company/varonis/blog/460521/

[5] Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов: https://habr.com/ru/company/varonis/blog/461707/

[6] исследователей безопасности: https://www.theregister.co.uk/2016/11/17/google_hacker_pleads_try_whitelists_not_just_bunk_antivirus_ids/

[7] многосторонняя оборона: https://www.technologyreview.com/s/538311/big-data-big-security-defense-in-depth/

[8] белый : https://www.schneier.com/blog/archives/2011/01/whitelisting_vs.html

[9] политик разрешений в вашей компании: https://www.varonis.com/blog/automating-permissions-cleanup/

[10] решения: https://www.varonis.com/ru/products-datadvantage/

[11] подходящие инструменты: https://www.varonis.com/ru/products-data-classification-engine/

[12] удаляя устаревшие данные и архивируя данные: https://www.varonis.com/ru/products-data-transport-engine/

[13] мониторинг необычного поведения: https://www.varonis.com/ru/products-datalert/

[14] Источник: https://habr.com/ru/post/462571/?utm_campaign=462571&utm_source=habrahabr&utm_medium=rss