В прошлом году нашумела история про взлом норвежской сталелитейной компании Norsk Hydro, где офисы, заводы и склады в 40 странах были выведены из строя криптолокером LockerGoga .
Я рассказывал про атаку на Norsk Hydro на Positive Hack Days в 2019 году, когда рассказывал про новинку на рынке ИБ - продукт Cortex XDR.
Сегодня 6 марта 2020 года вышла еще одна новость про заражение Евраз криптолокером Ryuk. Считаю, что это приведет к пересмотру корпоративной политики безопасности. Про этот криптолокер было много статей, в том числе статья исследовательской лаборатории UNIT42 компании Palo Alto Networks.
Компания Palo Alto Networks настаивает, что использование только IPS внутри сети неэффективно. Нужно полностью переходить на Zero Trust. Атаки происходят от имени пользователей, пароли которых украдены - нужно использовать информацию о состоянии защиты хоста в правилах NGFW. Атаки проводятся стандартными утилитами - посмотрите на проект Living Off The Land Binaries and Scripts ( LOLBAS ). И нужно не просто давать авторизованным пользователям доступ в сети, а еще защищать их в момент когда они сами заразились. Для этого нужно использовать полный арсенал средств, начиная с хостового и потокового антивируса, заканчивая контролем трафика приложений в сети, контролем DNS и подключений к известным бот-сетям, контролем имени пользователя в ЦОД (user-id), контролем передаваемых файлов по типам. Это все реализовано внутри NGFW.
Вот пример, тех техник, которыми пользуются хакеры и которым мы должны противостоять.
Вот пример, тех техник, которыми пользуются хакеры и которым мы должны противостоять.
Что же делать? Страничка рекламы из презентации Palo Alto Networks ) И это не просто реклама - это работает!
Для примера, в одном крупном заказчике было два ЦОД. В одном ЦОД был просто L4 firewall, в другом ЦОД был NGFW. В ЦОД с L4 firewall появился wannacry и все зашифровал, в ЦОД c NGFW он не смог распространиться.
Один из мифов, который есть про Zero Trust, что его сложно и дорого реализовать. Этому подходу уже 10 лет, с тех пор как он был опубликован компаний Forrester. Он уже "Притча во языцех" и поэтому мы решили рассказать все новости и мифы и показать что все реально, если захотеть. Мы будем рассказывать про Zero Trust и как его настроить на вебинаре 17 марта в 12:00. Приглашаю, регистрируйтесь
Семинар по защите ЦОД уже был, его можно посмотреть тут