Лечение корпоративной сети
Уважаемы знатоки! Допустим, есть корпоративная сеть с ЭН-ным количеством компьютеров. Почти достоверно известно, что один из сотрудников установил несколько хитровывернутых программ для перехватывания паролей и удалённого доступа.
Помогите понять процесс борьбы с этим. Как обнаружить сторонние программы, если антивирус ничего не находит. Если инфицированны все компьютеры, означает ли это, что нужно всё одновременно отключить от сети и не подключать до тех пор, пока не проведутся вивисекторские работы? (Или возможно пошаговое лечение при выстраивании достаточной защиты на каждом компе).
Тема "Лечение корпоративной сети" является многосторонней, поэтому в кратком комментарии можно изложить только общее представление сетевой безопасности. Для выработки плана конкретных действий нужно знать архитектуру сети и много других подробностей вплоть до правил трудовой дисциплины сотрудников организации.
В силу того, что атака корпоративной сети может привести к финансовым убыткам, организации нужно обращаться к специалистам по компьютерной безопасности как можно быстрее, не занимаясь "самолечением" и "играми" в частных детективов.
***
Если антивирус и межсетевой экран не фиксируют действия вредоносных программ, то это может означать, что программы установлены с необходимыми разрешениями и функционируют в рамках учётной политики сети не вызывая подозрений. Определяется круг лиц, которым позволено устанавливать программы с администраторскими правами, устанавливается фильтр внешнего трафика корпоративной сети и ведётся наблюдение за действиями пользователей. По выработанному плану мероприятий устанавливаются средства анализа безопасности программ.
Определение радикальности мер противодействия вредоносным программам происходит в зависимости от степени конфиденциальности и ценности сетевой информации, и производимых с ней операций, поэтому вопрос изоляции корпоративной сети от внешней решается специалистами "по ситуации".
В случае проведения расследования компьютерного инцидента (КИ) специалистам могут понадобиться для изучения:
- схема организационной структуры компании;
- список всех выполняемых действий каждым сотрудником;
- данные учёта входа/выхода субъектов доступа в систему;
- данные учёта выдачи печатных документов;
- данные учёта запуска/завершения всех программ и процессов сервера (иногда всех компьютеров);
- данные учёта попыток доступа программных средств к защищаемым файлам;
- данные учёта попыток доступа к: терминалам, линиям связи, внешним устройствам и другим объектам;
- данные учёта изменений полномочий и статуса субъектов доступа;
- данные учёта создаваемых защищаемых файлов, инициируемых защищаемых томов, каталогов, областей операливной памяти и другое.
Эти и многие другие регистрационные сведения должны быть проанализированы на предмет скрытых компьютерных диверсий, чтобы выявить случаи несанкционированного доступа (НСД) и несанкционированного воздействия (НСВ) на информацию.
***
Если "известно, что один из сотрудников установил несколько программ для перехватывания паролей и удалённого доступа", то это означает, что была использована уязвимость компьютерной сети в области человеческого ресурса. Нужно провести работу с сотрудниками, получить свидетельские показания с соблюдением прав допрашиваемых, проанализировать комплекс обеспечительных мер информационной защиты компании.
***
Узнать подробнее об основах информационной безопасности организации можно на канале "ИНФОРМАЦИОННОЕ ПРАВО в обществе" в статьях:
- Расследование применения вредоносных программ
- Расследование несанкционированного доступа к данным
- Информационная разведка и аудит безопасности в организации
9 сентября 2019 года.
автор: Демешин Сергей Владимирович.