Пётр: удивляется, что для защиты от шифровальщиков предпринимаются слабые меры.

Метод №1 в защите: application white listing

Стратегия: 1. Работать только с правами пользователя. 2. Белый список приложений. 3. Бэкап

Возражение: есть куча способов поднять права в системе и про теневые копии тоже все знают.

О вечном: безопасники не могут получить средств, потому что бизнес не понимает, что это ему даст с точки зрения business value :)

Что делать если:
- понять, что попало под раздачу
- посмотреть. где еще могут прижать
- проверить машины, с которых мог произойти взлом
- посмотреть актуальность бэкапов
- действия должны быть прописаны в доктрине по ИБ
- снять форензик копи и с копией поработать на предмет источника проникновения

Говоря с шифровальщиками сегодня, нельзя быть уверенными, что вместо дешифратора вы не получите украинский флаг. Поэтому - ДЕЛАЙТЕ БЭКАПЫ АСАП :)

Какие решения могут защищать от шифровальщика через почту?
- антивирус не поможет
- нет настоящего искусственного интеллекта, поэтому блэклистинг работает слабо
- лучше в контексте предотвращения работает вайтлистинг

Еще рекомендации, что делать, если вас зашифровали?
- Новопассит, коньяк и тп для руководства :)
- выключить все что можно физически, предварительно сделав дамп памяти
- если есть возможность, подключить жесткий диск к системе, которая гарантировано не заражена, проверяем на вирусы, делаем бэкапы данных, которые нужны прямо сейчас (это если СУИБ не построена вообще)
- прежде, чем восстанавливать все из копий, надо удостоверится, что система безопасна
- разворачивать систему только в защищенном контуре
- бэкапы и ядро системы должны также находится в защищенном контуре
- внутрь контура бэкапов не должно быть доступа извне

Не трогайте ВИПов, так вы кратно повысите опасность заражения )))

Проза жизни: ВИПы нервно воспринимают урезание собственных прав на компьютере! :)

Резюме от слушателя: 95% шифровальщиков - из-за раздолбайства и отсутствия нормальных регламентов в компании.

Рекомендация: Предотвратить трагедию поможет аудит системы. Это не долго и не дорого. Специалист в течении часового интервью уже может дать рекомендации. Дальше можно проводить инструментальные проверки.

Табличка для самоаудита от Forensic Tools - https://news.1rj.ru/str/forensictools/334

Трансляция завершена. Всем спасибо за участие! Запись будет доступна на канале по ссылке - https://youtu.be/_VMdDAwBTWQ
ПС. В Телеграм сегодня что-то не пошло 🤷‍♂️

⚡️ #ИБшныйДвиж сегодня в 10:30 мск в канале @codeibnews ⚡️
Новая рубрика, в рамках которой мы каждый четверг общаемся с сообществом на злободневные темы 💬

👤 Гость этой недели — Алексей Курских, Руководитель направления pre-sale по ИБ , Arinteg

💬 Тема — Безопасно ли использовать OpenSource для защиты корпоративной среды