Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (36)
  • добавить в избранное
    Добавить в закладки

Антивирус «для галочки» — 2: проблемы и решения

Прочитали: 3832 Комментариев: 111 Рейтинг: 278

В первом выпуске серии «Антивирус "для галочки"» мы достаточно подробно рассмотрели ситуацию, когда защита предприятия организуется бессистемно. Можно ли избежать такого подхода и обеспечить настоящую безопасность? Можно, и достаточно просто!

Антивирусные продукты для защиты компаний имеют возможность централизованного управления — думаем, всем понятно, что обслуживать десятки, сотни и тысячи компьютеров, не имея такой возможности, было бы крайне сложно. Есть централизованная защита и в Dr.Web — Центр управления Dr.Web Enterprise Security Suite (хотя в нашей практике бывало, что по неизвестным нам причинам его не использовали, хоть этот компонент и бесплатный). Не будем рассматривать все возможности Центра управления Dr.Web (пошаговые инструкции только по основному функционалу занимают более 300 страниц) — остановимся только на том, что можно использовать для предотвращения описанной в первом выпуске ситуации.

Проблема

Исходное заражение произошло из-за того, что антивирус на рабочей станции сотрудника, запустившего ВПО из фишингового письма, содержащего documents.exe, был отключен или использовал устаревшие антивирусные базы.

https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

Решение

Тут все просто. Во-первых, запрещаем отключать антивирус тем пользователям, которым это делать не положено (т. е. практически всем).

#drweb

Затем настраиваем параметры автоматического обновления. Тут вариантов очень много, поэтому ограничимся скриншотом оглавления учебного курса DWCERT-002-ESS10 Dr.Web Enterprise Security Suite версии 10:

#drweb

Проблема

В числе прочего выявлялась подозрительная активность легитимного ПО Ammyy Admin.

Решение

В данном случае средствами Центра управления можно было настроить реакцию антивирусного ПО на вредоносное и потенциально опасное ПО:

#drweb

Проблема

Расследование показало, что запуск файла из фишинговых писем в разное время осуществили несколько сотрудников.

Решение

Нужно было настроить различные права для разных групп сотрудников и отдельных пользователей:

#drweb

Кроме того, Центр управления позволяет настроить уведомления о возникновении эпидемии — предупредить о множественных заражениях:

#drweb

Проблема

Для поиска и загрузки различных утилит (например, Mimikatz) злоумышленники использовали легитимные ресурсы, в частности распространенные поисковые системы, прямо со скомпрометированных узлов.

Решение

Офисный контроль — аналог известного всем пользователям Dr.Web Security Space Родительского контроля:

#drweb

Проблема

Анализ журналов системы защиты подтвердил перемещения в сети со скомпрометированных компьютеров, в том числе подтвердились факты подключений к банкоматам с помощью RAdmin. В инфраструктуре атакованного банка это ПО активно используется администраторами для удаленного управления, среди прочего, и банкоматами.

Решение

Центр управления позволяет анализировать действия администраторов, что дает возможность найти виновного в возникновении уязвимости сети.

#корпоративная_безопасность #антивирус #настройки_Dr.Web #Офисный_контроль

Dr.Web рекомендует

Грамотное использование антивирусных решений избавляет от головной боли в случае возможных инцидентов. А чаще всего — не дает им даже возникнуть!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: