Назад | Перейти на главную страницу

Как вы проверяете, что серверы / компьютеры не заражены

Простой вопрос. ПК разработчиков должны иметь свободный доступ к сети, включая серверы и т. Д., И они должны иметь административный доступ для эффективного выполнения работы.

Однако разработчики также используют множество инструментов сторонних разработчиков, которые доступны как GPL, LGPL, MIT, free-for-all и т. Д.

Любой из них действительно может содержать вредоносный код. Даже библиотеки LGPL кто-то может использовать, скажем, для анализа XML.

И все мы знаем, что в тот самый момент, когда кто-то нажимает «да» в приглашении UAC или выполняет «sudo», ПК / сервер может быть взломан. А скомпрометированные серверы могут делать много плохих вещей, включая утечку информации, потерю данных и т. Д.

Как системные администраторы борются с этими проблемами? Вы доверяете антивирусам, другим инструментам?

Это постоянная битва, в которой вы никогда не выиграете, но вы должны продолжать сражаться. Несколько вещей, которые обязательно нужно сделать в любом магазине Microsoft:

  • Иметь корпоративное антивирусное программное обеспечение, которое принудительно запускается с помощью GPO и других средств и не может быть отключено или обойдено. В ту минуту, когда вы разрешаете пользователям отключать его, вы не защищены.
  • Всегда фильтруйте входящий и исходящий трафик. Многие вредоносные приложения пытаются «позвонить домой».
  • Используйте прокси для веб-трафика. Даже если вы не устанавливаете на него программное обеспечение для веб-фильтрации, удобно видеть, какие шаблоны трафика появляются (например, множество запросов к неизвестной странице asiapac с использованием метода POST могут указывать на вредоносное программное обеспечение).
  • Наконец, и, возможно, самое главное, обучите своих пользователей. Действительно хорошие разработчики не всегда обращают внимание на вопросы безопасности при выполнении своих служебных обязанностей. Полезно напомнить людям, что UAC - это не просто тест, чтобы узнать, насколько быстро вы можете нажать «Да», и что sudo - не просто вежливый способ запустить все ваши команды.

Удачи.. :)

Я искренне надеюсь, что у этих разработчиков есть только локальный администратор и только обычные учетные записи пользователей в Active Directory.

Разработчикам может потребоваться доступ к серверам и т. Д., Но если вы этого еще не сделали, вы можете использовать отдельную VLAN для среды разработки; нет доступа к производственным серверам, только к dev / qa / staging. Попросите разработчиков использовать другую рабочую станцию ​​для доступа к обычным производственным серверам.

В качестве альтернативы, что менее безопасно, вы можете попытаться разделить вещи на логическом уровне (например, другой лес Active Directory, возможно, домен).

Если разработчики имеют / получают доступ к производственным системам, увеличьте количество журналов и мониторинга производственных систем и проведите некоторое обучение пользователей: «Почему вы вошли в эту производственную базу данных и скопировали таблицу со всеми хэшами паролей?» Такие вещи.

Примечание: это, очевидно, зависит от размера и сложности вашей организации.

Просто замечание: вы, кажется, подозреваете, что инструменты с открытым исходным кодом опасны. Могут быть, но настоящая проблема не в контроле над хранением и использованием исполняемого кода на компьютерах разработчиков. Также может быть с закрытым исходным кодом;)