Посоветуйте IDS/IPS/DLP - Страница 2 - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
Krec

Посоветуйте IDS/IPS/DLP

Автор Krec, в Выбор корпоративных средств защиты

Recommended Posts

Алексей Дрозд    0

Алексей Дрозд
Опубликовано
Мне интересно. Появилась ли DLP или иная система мониторинга, которая бы отслеживала факт физического вытаскивания харда или загрузки с liveCD/USB с последующим копированием информации.

И да, и нет. У Контура информационной безопасности SearchInform появился новый модуль ProgrammSniffer, который, в том числе, умеет отслеживать физическое снятие\установки железа. В частности: жёсткие диски, оперативку, видеокарты, мониторы, аудиокарты, процессоры.

А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим. В случае же с live-носителями, система взята "с потолка". Тут надо принципиально нового агента разрабатывать, который бы, например, в BIOS или UEFI прошивался.

Вечером выключил машину, утащил жесткий. Дома подключил к компьютеру с линуксом. Слил все что было. Утром пришел, вставил обратно. Загрузил рабочий комп.

Мне надо чтоб Длп агент, как только он вгрузился в систему с принесенного обратно харда, сразу прочухал, что хард вынимали и дал алерт .

Собственно, именно эту идею мы и приследовали, когда разрабатывали ProgramSniffer.

Боюсь что в этом случае DLP не поможет. По крайней мере я таких решений не знаю, где был бы такой функционал. Возможно кто-то из коллег подскажет что-то или знает больше.

Уже поможет. Такой функционал заложили и в более "лёгкий" продукт WorktimeMonitor, и в КИБ.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dfg    36

Dfg
Опубликовано
А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим.

Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

mvs    92

mvs
Опубликовано

неплохим дополнением - пароль на биос (для того чтобы нельзя было грузиться со всяких носителей), шифрование носителей ( в том числе ЖД), стикеры, наклейки, пломбы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Алексей Дрозд    0

Алексей Дрозд
Опубликовано
Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Согласен. Я говорил про текущее положение дел у КИБ. Не исключено, что подобные задачи поставлены на доработку и появятся в релизе в обозримом будущем.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • Ego Dekker
      Актуальные версии ESET Cyber Security 9

      От Ego Dekker · Опубликовано

      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×