Применение Application Whitelisting для защиты от шифровальщиков и нежелательных программ

Петр Губаревич
OlainFarm/ IT Infrastructure Manager/Ethical Hacking Trainer
Специалист по информационной безопасности, регулярно выступающий с докладами на IT-конференциях в Европе, России, Китае.
С 2000 года - инструктор курсов MS Windows Server, с 2012 года — инструктор курса этичного взлома (CEH)
Неоднократно был отмечен наградой Microsoft MVP: Enterprise Security.
В текущий момент является руководителем отдела IT-инфраструктуры фармацевтического завода OlainFarm (Latvia).
Содержание мастер-класса
Что такое Application Whitelisting (AWL)
В чём принципиальное отличие Whitelisting от Blacklisting, в каких областях используется Whitelisting (Firewalls, FileSystems, AccessControl)
Какое место занимает AWL в классификации средств защиты (AWL дополняет антивирус, but is not AV in any kind) (Australian DoD top 20 Security Controls)
От чего можно защититься с помощью AWL, а от чего нельзя (AWL очень эффективна, but is not a Panaceia)
Как можно задействовать AWL:
Встроенные средства ОС: GPO SRP, AppLocker, Device Guard, Smart App Control
Сторонние продукты: касперский, bit9, lumension, pcmatic, etc
Основные вызовы
Прямая поддержка руководства высшего уровня, без этого никакая технология безопасности не может быть внедрена вообще
Безопасность = ограничения. Но всегда найдётся кто-то, недовольный новыми ограничениями, и вам нужно будет уметь разбираться с заявками "ИТ не даёт мне работать"
Инструменты не создают процессы, а помогают исполнять существующие. Кто-то должен принять ответственность за учёт и утверждение аппликаций, политика лишь исполнит этот учёт
AWL — это культурный сдвиг в работе в первую очередь ИТ, поэтому начинать внедрение следует с ИТ (Discipline as a Core Tenet)
Запреты/блокировки запуска рандомных программ [например, с USB] должны сопровождаться улучшениями методов установки программ, такими как WDS/WSUS/SCCM
Фреймворк внедрения технологии
Назначение ответственных персон с опытом и готовностью принять ответственность за внедрение, готовых тратить на это человеко-часы (как разработчик, так и исполнители)
Инвентаризация [разрешённого] программного обеспечения, согласование мест его хранения/запуска (Know Your Environment)
Длительное наблюдение за системой, предварительный аудит списка реально запускаемых программ
Ответственная персона должна принимать решения, что делать с обнаруживаемыми несоответствиями политики (Переместить в Разрешённые Пути, Добавить Путь в Разрешённые, Запретить Использование)
Определяется целевая аудитория, технология внедряется пошагово с возможностью отката
Incident Response: ИТ-поддержке даются инструкции, как действовать в той или иной проблемной ситуации (перестали работать важные программы или нужно установить новую)
Важно наличие обратной связи пользователей с поддержкой, а поддержки с разработчиком
Практика 1 - Попробуйте дома
Аудит одиночной рабочей станции
Построение базовой политики SRP на одиночной рабочей станции
Обнаружение нестыковок и доработка политики
Временное снятие блокировок для установки новых программ
Практика 2 - Active Directory
Проблематика аудита большого количества машин
Построение базовых политик SRP в домене Active Directory
Уведомления на почту при обнаружении блокировок
Решение специфических проблем (наклеечные принтеры, автокад со рандомными ехе в папке Temp)
Делегирование полномочий и развитие структуры политик в домене
Практика 3 - Методы обхода политик
Использование разрешённых для записи папок (показать AccessEnum + запуск USB RubberDucky?)
Скрипты и макросы (показать xlsm)
Exploits (показать metasploit против msoffice или firefox
Наш сайт использует cookie
Настоящий сайт использует файлы cookies. Используя настоящий сайт, вы соглашаетесь со сбором информации с помощью файлов cookies и условиями Политики конфиденциальности.
Код ИБ АКАДЕМИЯ
academy@codeib.ru
+7 (800) 511-07-26
авторизуйтесь