8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (31)
  • добавить в избранное
    Добавить в закладки

Антивирус «для галочки» — 2: проблемы и решения

Прочитали: 3378 Комментариев: 107 Рейтинг: 259

В первом выпуске серии «Антивирус "для галочки"» мы достаточно подробно рассмотрели ситуацию, когда защита предприятия организуется бессистемно. Можно ли избежать такого подхода и обеспечить настоящую безопасность? Можно, и достаточно просто!

Антивирусные продукты для защиты компаний имеют возможность централизованного управления — думаем, всем понятно, что обслуживать десятки, сотни и тысячи компьютеров, не имея такой возможности, было бы крайне сложно. Есть централизованная защита и в Dr.Web — Центр управления Dr.Web Enterprise Security Suite (хотя в нашей практике бывало, что по неизвестным нам причинам его не использовали, хоть этот компонент и бесплатный). Не будем рассматривать все возможности Центра управления Dr.Web (пошаговые инструкции только по основному функционалу занимают более 300 страниц) — остановимся только на том, что можно использовать для предотвращения описанной в первом выпуске ситуации.

Проблема

Исходное заражение произошло из-за того, что антивирус на рабочей станции сотрудника, запустившего ВПО из фишингового письма, содержащего documents.exe, был отключен или использовал устаревшие антивирусные базы.

https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

Решение

Тут все просто. Во-первых, запрещаем отключать антивирус тем пользователям, которым это делать не положено (т. е. практически всем).

#drweb

Затем настраиваем параметры автоматического обновления. Тут вариантов очень много, поэтому ограничимся скриншотом оглавления учебного курса DWCERT-002-ESS10 Dr.Web Enterprise Security Suite версии 10:

#drweb

Проблема

В числе прочего выявлялась подозрительная активность легитимного ПО Ammyy Admin.

Решение

В данном случае средствами Центра управления можно было настроить реакцию антивирусного ПО на вредоносное и потенциально опасное ПО:

#drweb

Проблема

Расследование показало, что запуск файла из фишинговых писем в разное время осуществили несколько сотрудников.

Решение

Нужно было настроить различные права для разных групп сотрудников и отдельных пользователей:

#drweb

Кроме того, Центр управления позволяет настроить уведомления о возникновении эпидемии — предупредить о множественных заражениях:

#drweb

Проблема

Для поиска и загрузки различных утилит (например, Mimikatz) злоумышленники использовали легитимные ресурсы, в частности распространенные поисковые системы, прямо со скомпрометированных узлов.

Решение

Офисный контроль — аналог известного всем пользователям Dr.Web Security Space Родительского контроля:

#drweb

Проблема

Анализ журналов системы защиты подтвердил перемещения в сети со скомпрометированных компьютеров, в том числе подтвердились факты подключений к банкоматам с помощью RAdmin. В инфраструктуре атакованного банка это ПО активно используется администраторами для удаленного управления, среди прочего, и банкоматами.

Решение

Центр управления позволяет анализировать действия администраторов, что дает возможность найти виновного в возникновении уязвимости сети.

#корпоративная_безопасность #антивирус #настройки_Dr.Web #Офисный_контроль

Dr.Web рекомендует

Грамотное использование антивирусных решений избавляет от головной боли в случае возможных инцидентов. А чаще всего — не дает им даже возникнуть!

Получайте Dr.Web-ки, оценивая выпуск! (1 голос = 1 Dr.Web-ка)

Авторизуйтесь и получите 10 Dr.Web-ок за публикацию ссылки на выпуск в соцсети.

[MAIL.RU] [Twitter]

В связи с техническими ограничениями Вконтакте и Facebook, мы, к сожалению, не можем дать Dr.Web-ок. Но зато вы можете поделиться ссылкой на этот выпуск безвозмездно. Т.е. даром.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: