Посоветуйте IDS/IPS/DLP - Страница 2 - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
Krec

Посоветуйте IDS/IPS/DLP

Автор Krec, в Выбор корпоративных средств защиты

Recommended Posts

Алексей Дрозд    0

Алексей Дрозд
Опубликовано
Мне интересно. Появилась ли DLP или иная система мониторинга, которая бы отслеживала факт физического вытаскивания харда или загрузки с liveCD/USB с последующим копированием информации.

И да, и нет. У Контура информационной безопасности SearchInform появился новый модуль ProgrammSniffer, который, в том числе, умеет отслеживать физическое снятие\установки железа. В частности: жёсткие диски, оперативку, видеокарты, мониторы, аудиокарты, процессоры.

А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим. В случае же с live-носителями, система взята "с потолка". Тут надо принципиально нового агента разрабатывать, который бы, например, в BIOS или UEFI прошивался.

Вечером выключил машину, утащил жесткий. Дома подключил к компьютеру с линуксом. Слил все что было. Утром пришел, вставил обратно. Загрузил рабочий комп.

Мне надо чтоб Длп агент, как только он вгрузился в систему с принесенного обратно харда, сразу прочухал, что хард вынимали и дал алерт .

Собственно, именно эту идею мы и приследовали, когда разрабатывали ProgramSniffer.

Боюсь что в этом случае DLP не поможет. По крайней мере я таких решений не знаю, где был бы такой функционал. Возможно кто-то из коллег подскажет что-то или знает больше.

Уже поможет. Такой функционал заложили и в более "лёгкий" продукт WorktimeMonitor, и в КИБ.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dfg    36

Dfg
Опубликовано
А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим.

Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

mvs    92

mvs
Опубликовано

неплохим дополнением - пароль на биос (для того чтобы нельзя было грузиться со всяких носителей), шифрование носителей ( в том числе ЖД), стикеры, наклейки, пломбы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Алексей Дрозд    0

Алексей Дрозд
Опубликовано
Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Согласен. Я говорил про текущее положение дел у КИБ. Не исключено, что подобные задачи поставлены на доработку и появятся в релизе в обозримом будущем.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Да, с этим файлом проблема, починю.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×