Служба безопасности Bluecoat провела анализ атаки Sony и сообщает следующее:
«Этот конкретный пример подчеркивает ценность сетевой архитектуры, в которой рабочие станции не могут взаимодействовать друг с другом. Хотя совместное использование файлов и обмен данными между хостами могут быть удобными, он значительно упрощает боковое перемещение для злоумышленника». https://www.bluecoat.com/security-blog/2014-12-04/custom-sony-malware-indicates-previous-knowledge
Кто-нибудь знает, как это сделать? Я хочу понять реальный мир / реалистичный способ сделать это в средней или очень большой сети?
Первое, что вам нужно сделать, это запустить с минимальными привилегиями. Если ваши пользователи являются администраторами на рабочих станциях, вы уже проиграли битву. Затем убедитесь, что на каждой рабочей станции используется другой пароль администратора.
Следующая важная задача - логически сегментировать вашу сеть. В случае взлома все узлы в каждом сегменте должны иметь одинаковое значение. Think Desktop | Серверы | Active Directory. Тогда учетным записям с повышенным доступом в каждом сегменте разрешен доступ только к этому сегменту. Таким образом, учетная запись администратора сервера не может использоваться в сегменте рабочих станций. Учетную запись администратора Active Directory нельзя использовать в сегменте сервера или рабочей станции. Если они не используются, им следует запретить доступ.
Дело в том, что если учетная запись администратора домена используется на рабочей станции, то риску подвергается вся организация, если некоторые из них могут получить права администратора в одной системе. Это то, что нужно предотвратить.
Межсетевые экраны. Таким же образом вы ограничиваете сетевой трафик в любой другой ситуации. Вы, вероятно, захотите использовать управляемый брандмауэр на основе хоста, который разрешил бы связь с серверами и другими устройствами инфраструктуры на всех или определенных портах и не разрешал бы взаимодействие в противном случае. Вы также можете сильно ограничить доступ к сети для любой машины без управляемого брандмауэра, используя 802.1x.
Вы должны быть достаточно опытными, чтобы также учитывать потребности бизнеса, такие как мобильные пользователи и устройства, развертывание новых устройств и т. Д., Чтобы не допустить серьезных задержек и неудобств в обычной рабочей среде ИТ. Я нигде не видел такого, чтобы я работал.