список общих принципов IT безопасности

Как начинать тушить огонь до пожара или наш список общих принципов IT безопасности

Разбирая последствия работы вирусов WannaCry и Petya, а так же то, как они повлияли на наших клиентов, хотим поделиться выводами и дать общие советы. В основном эти советы будут относится к системным администраторам Windows, а они, как известно, и пострадали от этих вирусов.

Сервера:

  • Уровень леса Active Directory должен быть не менее 2012r2, а пользователи должны находится в группе защищенных пользователей, в этом случае перехват паролей mimikatz невозможен;
  • Доступ к общим файлам должен быть реализован через систему с поддержкой версионности или снапшотов, например, Sharepoint + OneDrive Pro;
  • На гипервизорах должен быть включен secure boot, шифровальщик не сможет запуститься вместо родной ОС;
  • Настройки почтовых серверов должны запрещать получение исполняемых файлов и неоткрываемых архивов, крайней мерой можно сделать изменение формата писем на plain text, что исключит ссылки в теле писем;
  • Обновления должны ставится регулярно, не реже раза в две недели. Проведение регламентного обновления ОС серверов, драйверов, прошивок. Это один из самых важных пунктов ИБ, один он очень серьезно усилит вашу защиту. У вас должен быть четкий план выполнения обновлений с указанием даты последнего выполнения и ответственного;
  • Вынесение системы резервного копирования вне границ текущей среды. Настройка репликации на резервную площадку.

Рабочие станции:

  • Клиентские компьютеры должны работать на Windows 10 LTSB. LTSB имеет меньше потенциально опасных компонентов и, теоретически, не следит за пользователем, хотя запретить телеметрию все равно не помешает;
  • Включить UEFI и secure boot. Как и на серверах шифровальщик не сможет запустится вместо родной ОС. Вирус Petya перегружает машину для начала шифрования. Эти две настройки не дадут ему запустится. Есть большой шанс, что будущие шифровальщики будут использовать эту стратегию;
  • Обновления должны автоматически ставится не только на саму операционную систему, но и на все приложения, особенно на офис. С WSUS или напрямую с серверов Микрософт — не принципиально. Этот пункт не нуждается в комментариях: если на серверах обновления надо ставить вручную, контролируя процесс чтобы не остановить работу, то на рабочих станциях надо ставить автоматически;
  • Системные администраторы не должны работать на рабочих станциях с правами доменного администратора;

Общее:

  • Разделение рабочей среды и интернет серфинга, разделение разных направлений/отделов компании в изолированные среды, например, как указанно здесь;
  • Разделение инфраструктурных сред по VLAN, между которыми должна быть настроена фильтрация трафика. В этом случае перекрыв доступ по определённым портам можно остановить сетевое распространение зловреда, как в случае Petya блокируют 135, 139, 445 TCP-порты (служб SMB и WMI);
  • Желательно не пользоваться серверными программами, требующими сетевой доступ к общим папкам. Бизнес софт, такой как 1С должен быть на SQL Server;
  • На пользовательский станциях и серверах должен быть настроен сетевой фильтр на запрещение исходящего доступа всем приложениям кроме необходимых. Подробная информация как и зачем в статье;
  • На серверах и рабочих станциях должна быть выключена SMBv1, а по возможности и SMBv2;
  • Специализированные и редкие программы, типа M.E.doc интернет банкинг(особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом;
  • Не полагайтесь на антивирусы, они создают ложное ощущения безопасности, пример последних вирусов и реакции на них ведущих производителей. Например, даже стандартный Windows Defender обновился одними из первых;
  • Способствуйте получению технических сертификатов вашего IT штата. Аутсорсера выбирайте с действующими профессиональными сертификатами по требуемым вами направлениям;
  • Проводите семинары и другие мероприятия для повышения уровня IT осведомленности и IT культуры всех сотрудников, с обязательным приведением реальных примеров и последствий.

Обсуждение статьи доступно здесь.

Другие статьи на тему IT безопасность