Для этого не шариться надо, а ставить недешёвенький такой комплект различного софта и оборудования ИБ. Контролировать потоки внутри сети и через периметр, контролировать события на серверах, рабочих станциях и активном сетевом оборудовании. Все эти контроли сводить в SIEM (поскольку несколько сот тысяч, а то и миллионов событий в сутки "глазками" не просмотришь), далее, по итогам корреляции в SIEM отрабатывать цепочки событий, являющиеся инцидентами, далее, по каждому выявленному инциденту или подозрении на инцидент проводить отработку всей цепочки событий уже ручками... А "шаренье по сети" — это вообще не из той оперы...
Это не задача админа. Это задача ИБшника. А у нормального админа (именно нормального, а не номинального, и именно админа, а не эникейщика) занятий и без этого должно хватать. Хотя, мониторинг нагрузки на оборудовании — это его, да.
История чисто для бабушек в корпоративной безопасности не рубящих.
Ага, ну так взяли и прошляпили дырку в безопасности )
История видится так, некто работающий в пострадавших банковских структурах слил к себе в карман основную сумму, а крохи смахнул со стола стрелочникам которые и отсидят.
Как иногда шутят программисты об обновлениях программных продуктов "Что нового: Закрыли старые уязвимости, добавили новые...". ;) Одной из причин появления "дыр" в ПО как раз и являются настойчивые "рекомендации" спецслужб, желающих получить возможность для несанкционированного проникновения в компьютер в случае необходимости. Естественно, что злоумышленники стараются найти такие "потайные дверцы" для своих целей. Ну а потом, когда такие возможности становятся "секретом Полишенеля", разработчики выпускают обновление, закрывающее уязвимость... и создают новую "секретную дверцу" в другом месте...
вообще косяков у антивирусов полно.. нод выпускал несколько обновлений, после которых компы приходили в негодность из-за удаления критических компонентов ОС. Макафи вроде тоже таким баловался, симантек вообще так загаживает систему что после него только полная переустановка ос желательна из-за того что он везде прописывается где надо и не надо. У каспера тоже был аналогичный косяк, но только на зараженных компах — он удалял зловреда вместе с бибилиотекой и только запись чистой библиотеки восстанавливала работу оси. Др веб вообше не доверяю никак, он ловит только древнее говно мамонта из-за того что базы у него обновляются редко и мало, эвристика там как бы только в маркетинге и для древних ЧИХов
Насчёт "никто не знает" — это напрасно. *nix админы знакомы с ним довольно хорошо, т.к. его движок позволяет и веб и мейл трафик проверять. Пусть его эффективность и не так уж высока, но лучше хоть это, чем совсем ничего, когда денег на шлюзовые антивири не дают.
самое слабое звено любой системы — самый не защищенный комп в ней.. поэтому взламываются компы бухов простых, секретарш и прочего.. дальше по цепочке находятся в переписках, почте и прочем нужные пароли для уже полноценного доступа к терминалам с выходом на операции транзакций.. По идее не нужен доступ к по и компам самих банков, достаточно спереть большое количество паролей и сертификатов с ключами и удаленно переводить деньги на нужные счета через те-же онлайн банки, если там нет защиты на операции или подтверждение пользователя.
Но вот сказка про не подписанный файл... мне не верится что на всех компах админов отключен DEP и UAC, которые по любому начнут орать что файл не подписан.. (даже если uac отключен — подпись проверяется) Да и залезть в свойства файла и посмотреть сертификат не проблема.
Что-то кто-то не договаривает или не разбираясь в вопросе пишет статьи.
каспер это антивирус, троян это как бы не вирус и относится к вредоносным программам. каспер в основном заточен на поимку именно вирусов, трояны и прочие вредоносы он ловит только если они уже выявлены и занесены в базу.
Эти "как бы не вирусы" способны наносить вред намного больший, чем чистые вирусы, поскольку имеют средства маскировки и в большинстве случаев для своей деятельности используют легальные средства самой системы и установленного ПО. Так что современные антивирусы разрабатываются и совершенствуются в сторону быстрого и эффективного обезвреживания троянов методами "эвристического анализа", позволяющих выявлять и обезвреживать неизвестные зловреды на основе анализа их деятельности, а не кода (сигнатур).
И собственно последний абзац относится не к антивирусам, а к несколько иному классу систем — APT Protection. Суть антивируса сводится именно к сигнатурному анализу, с некоторыми элементами эвристики, что даёт небольшое преимущество на полиморфных вирусах. А системы контроля исполнения приложений (то, что сейчас выросло до APT Protection) могут как включаться в комплект с антивирусом, так и существовать совершенно самостоятельно, т.к., как правило, требуют значительно меньших ресурсов. В Windows XP некий прообраз подобного уже был, как в виде DEP, так и на уровне групповых политик. В Windows 7 есть Applocker. Эффективность мелкософтовских решений находится под вопросом, посему сейчас многие разработчики ИБ решений (как антивирусных, так и отдельных), включились в разработку систем класса APT Protection. Там в состав решения уже и песочница включается, и анализатор активности, и всякое разное.
Так кто-ж спорит что наносят вред? я говорю про основную задачу данного антивируса, и его основная задача — борьба с вирусами. Расширенные версии (не помню как они сейчас у каспера называются) имеют расширенные возможности отслеживания и лечения троянов, шифровальщиков и прочих не вирусов.
Задача вируса — сломать или испортить работу компа, ос, распространиться.. Трояны и бекдоры в основном не влияют на работу компа и заточены для кражи и слежения за деятельностью на нем. Поэтому это немного разные направления защиты. Эвристический анализ троянов находится в зачаточном состоянии в большинстве антивредоносных программ и находит в основном сравнивая с кодом уже изученных троянов.. внеси туда коммент или пробел — защитник провалит тест..
Учитывая, что в сутки генерится несколько десятков новых зловредов, вообще не удивительно. Особенно занятно то, что прежде чем запустить зловред "в массы", его сначала прогоняют через Virustotal...
ПО удалённого доступа не обязательно предполагает подключение с внешней стороны периметра. Сервисдеск частенько юзает такое для обслуживания рабочих станций внутри сети. При этом не удосуживаясь сначала изучить стандартный функционал того же мелкософта, где для этих целей "удалённый помощник" уже есть. Ну, если совсем с этим затык, юзабельно что-то типа RAdmin, он платный, посему в случае чего разработчику можно и предъявить, если косяки в софтине выявляются. Хотя... Как-то разок при расследовании выявлял один бэкдорчик, использующий одну из старых RAdmin-овских библиотек...
было и такое, но в основном на леченных библиотеках или старых версиях радмина.. свежие антивирусы частенько орут на старые р-админы..
Основное его преимущество — больше сжатия для узких каналов и некоторые фичи.. но в свежих РДП от МС появились такие недосягаемые функции как видео ускорение для удаленного компа, когда можно спокойно смотреть видео удаленно и играть в видеоигры.
Да и каналы потолще стали, это вам не 36.6Кбс на модеме )
Комментарии
Ага, ну так взяли и прошляпили дырку в безопасности )
История видится так, некто работающий в пострадавших банковских структурах слил к себе в карман основную сумму, а крохи смахнул со стола стрелочникам которые и отсидят.
А потом, когда борщ остыл, "нашли".
вообще косяков у антивирусов полно.. нод выпускал несколько обновлений, после которых компы приходили в негодность из-за удаления критических компонентов ОС. Макафи вроде тоже таким баловался, симантек вообще так загаживает систему что после него только полная переустановка ос желательна из-за того что он везде прописывается где надо и не надо. У каспера тоже был аналогичный косяк, но только на зараженных компах — он удалял зловреда вместе с бибилиотекой и только запись чистой библиотеки восстанавливала работу оси. Др веб вообше не доверяю никак, он ловит только древнее говно мамонта из-за того что базы у него обновляются редко и мало, эвристика там как бы только в маркетинге и для древних ЧИХов
Но вот сказка про не подписанный файл... мне не верится что на всех компах админов отключен DEP и UAC, которые по любому начнут орать что файл не подписан.. (даже если uac отключен — подпись проверяется) Да и залезть в свойства файла и посмотреть сертификат не проблема.
Что-то кто-то не договаривает или не разбираясь в вопросе пишет статьи.
Задача вируса — сломать или испортить работу компа, ос, распространиться.. Трояны и бекдоры в основном не влияют на работу компа и заточены для кражи и слежения за деятельностью на нем. Поэтому это немного разные направления защиты. Эвристический анализ троянов находится в зачаточном состоянии в большинстве антивредоносных программ и находит в основном сравнивая с кодом уже изученных троянов.. внеси туда коммент или пробел — защитник провалит тест..
Основное его преимущество — больше сжатия для узких каналов и некоторые фичи.. но в свежих РДП от МС появились такие недосягаемые функции как видео ускорение для удаленного компа, когда можно спокойно смотреть видео удаленно и играть в видеоигры.
Да и каналы потолще стали, это вам не 36.6Кбс на модеме )