Antivirus «como formalidad» - 2: cómo solucionar los problemas
miércoles, 23 de agosto de 2017
En la primera edición del tema «Antivirus «como formalidad» hemos analizado con detalle la organización de la protección no sistematizada de una empresa. ¿Se puede evitar este enfoque y proporcionar la verdadera seguridad? Se puede, y es bastante fácil.
Los productos antivirus para la protección de empresas pueden ser administrados de forma centralizada – todos entenderán que sería muy difícil proporcionar servicio a decenas, centenares y miles de equipos sin tener esta posibilidad. También hay protección centralizada en Dr.Web — el Centro de control Dr.Web Enterprise Security Suite (que en la práctica a veces no se usa, aunque este componente es gratuito). No vamos a analizar todas las posibilidades del Centro de control Dr.Web (las instrucciones paso a paso solo de la funcionalidad básica ocupan más de 300 páginas) – vamos a ver solo lo que se puede usar para prevenir las situaciones descritas en la primera edición.
Problema
La infección inicial fue posible porque el antivirus en la estación de trabajo del empleado que lanzó el virus desde un mensaje de phishing que contiene documents.exe estaba desactivado o usaba las bases de virus obsoletas.
https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf
Solución
Todo es fácil. Primero, prohibimos a los usuarios que no deben hacerlo (es decir, casi a todos) desactivar el antivirus.
Luego configuramos las opciones de actualización automática.
Problema
Además, fue detectada la actividad sospechosa del software legítimo Ammyy Admin.
Solución
En este caso, con los medios del Centro de control se podía configurar la respuesta del software antivirus al software nocivo y potencialmente peligroso:
Problema
La investigación demostró que varios empleados en varios momentos lanzaron el archivo de los mensajes phishing.
Solución
Había que configurar varias reglas para varios grupos de empleados y usuarios autónomos:
Además, el Centro de control permite configurar las notificaciones sobre la epidemia – notificar sobre múltiples infecciones:
Problema
Para buscar y descargar varias utilidades (por ejemplo, Mimikatz), los malintencionados usaron los recursos legítimos, así mismo, los sistemas de búsqueda populares, desde los nodos comprometidos.
Solución
El control de oficina es un análogo del Control parental, conocido para todos los usuarios de Dr.Web Security Space:
Problema
El análisis de los registros del sistema de protección confirmó los desplazamientos en la red desde los equipos comprometidos, así mismo, se confirmaron los hechos de conexiones a cajeros automáticos usando RAdmin. En la infraestructura del banco atacado este software se usa activamente por los administradores para la administración remota de cajeros automáticos.
Solución
El centro de control permite analizar las acciones de administradores, lo que permite buscar al culpable de la vulnerabilidad de la red.
#seguridad_corporativa #antivirus #configuración_Dr.Web #Control de_oficinaEl mundo de antivirus recomienda
El uso correcto de soluciones antivirus permite evitar problemas en caso de posibles incidentes. Y con mucha frecuencia ni siquiera permite que los mismos surjan.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
07:56:54 2018-08-11
Неуёмный Обыватель
00:31:55 2018-07-13