Корпоративный саботаж

Я бы нанял специалистов и специалистов по аудиту для аудита специалистов.
Ибо закладки такого рода эникейщиками не выявляются.

И тут руководство шарашкиной конторы посмотрит на ценник и решит то оно того не стоит.

А своими силами смысла нет инспектировать. Ибо если уже пропустили такое говно — значит квалификация даже близко не лежала с той, которая тут нужна. И такая инспекция будет пустой тратой времени.

Вызов специалиста на дом.
Если таковые еще имеются.

Не специалист, но мнение имею. По моим понятиям, в такой ситуации надо полагать, что вся корпоративная среда - враждебное зараженное окружение с тонной meltdown-троянов, usb-модемами или подключенными телефонами для неконтроллируемого интернета, запущенными с флешек тимвьюверами, находящимися в инкубационном периоде шифровальщиками и неопасными, но сжирающими ресурсы майнерами.

Поэтому, проверка, даже если ты что-то найдешь, ничего не даст: сколько там еще скелетов ненайденных, никому неизвестно.

Начинать надо с организации безопасного периметра - береш чистый сервак, поднимаешь файлопомойку, ставишь антивирь, организуешь доступ и т.д. (почта, приложения, постепенно все пользователи (например, покабинетно)). «Чистые» взаимодействуют с «грязыми» по регламенту «общение с внешним миром», «чистые» взаимодействуют между собой по регламену «внутреннее».

Как это делается по уму в реальности,хз.

Можно конечно прогнать антивирус и успокоиться! Но даже это нужно сделать в оффлайн, на каждой машине, загрузившись с livecd.

А еще, можно быть хитрее.

Во-первых, устранить явную причину, что побудило руководство задуматься на эту тему. Например, шифровальщик или надоедливый порнобаннер на ноутбуке босса. Или сотрудники, занимающиеся социальными сетями вместо работы (но тут больше административные правила надо вводить, а не технические).

Во-вторых, устранив п.1, развернуть деятельность по какой-нибудь «чистке реестров» на особо выдающихся машинах.

В-третьих, отрапортовать, что сделано, что найдено, что устранено. И, главное, попросить денег на какой-нибудь девайс (железный FW), подписку на антивирь, модный аудит сторонней фирмой и увеличение штата отдела админов и отдела безопасности. А еще оденься поприличней, костюм не обязательно, но новые джинсы и чистый свитер. Начальство завернет 90% инициатив, требующих денег, но вскоре жди повышения!

Да, вы сейчас описали именно так, как и складывается в моей голове. Чтобы все было красиво, надо все строить с нуля, включая переустановку ОС на каждом рабочем месте. Но, блин, все это время, а срок - пара дней.

А вот такой вопрос еще. Если врезать между имеющимся маршрутизатором и глобалом iptables, который будет разделять процессы по тому же 443 порту, который умеет использовать тимвьювер. Позакрывать все по принципу, «что не разрешено, то запрещено». Это может спасти от процессов, которые организуют двустороннюю связь в направлении «рабочая станция -> внешний мир»?

Прошу прощения еще раз за может быть ламерские вопросы, но с такой задачей не приходилось сталкиваться. На прошлых рабочих местах строил всю инфраструктуру сам, также вот начиная с переустановки ОС, организации AD и ввода iptables.

А вот такой вопрос еще. Если врезать между имеющимся маршрутизатором и глобалом iptables, который будет разделять процессы по тому же 443 порту, который умеет использовать тимвьювер.

У твоего нового фаервола все равно не будет информации о процессах, запущенных на машинах пользователя. Нужно будет наворачивать какой-никакой DPI... В любом случае, гибкий фаервол нужен. Как минимум, выжми всё, что можно, из существующего.

Если вопрос сводится к ограничению доступа пользователей к определенным сайтам - то лучше отдельный топик сделать, имхо. А предварительно поискать по этой теме, уже куча написано об этом.

Да сайты, может постольку-поскольку. Больше волнует возможность проникновения в сетку и получение доступа к машине, а значит и ко всему остальному по горизонтали и вертикали в соответствии с ее доступом. Это всякие там тимвьюверы, радмины и проч дребедень. То есть я не уверен, например, что на машине за номером 32 в отделе снабжения не стоит на автозапуске тимвьювер, автоматом, подключенный куда-либо, используя подключение к интернет предприятия. Сомнительно, что файер того аппаратного роутера aka d-link сможет отловить этот процесс, хотя шлюзом у всех стоит именно этот роутер.

Сомнительно, что файер того аппаратного роутера aka d-link сможет

Наверно, это так.

Но я бы начал с ознакомления с тем, как блокировать teamviewer фаерволом. Возможно черный список серверов и несколько портов на фаерволе решит проблему.

Заменить\включить после d-link-а более лучший фаер всегда успеешь.

Кроме тимвьювера могут быть и ами админы всякие, и VNC с обратным подключением, и ssh на 443 порт (привет, WSL).

Гарантировано эникейщику поможет только белый список на роутере.

Можешь собрать статистику DNS запросов и IP к которым обращаются абоненты. Потом зарезать те ip, по которым запросов не было (чтобы исключить какой-нибудь reverse VNC на VPS вредителя) и пробежаться по DN, вырезать неугодных. По другому, когда у тебя пользователи с админскими правами и ОС, полноценный аудит которых ты не можешь провести, ты не защитишься.

Просто оставлю эту ссылку https://www.ptsecurity.com/ru-ru/products/

Спасибо вам - очень интересный вариант.

Не специалист, но мнение имею.

А иногда и мнение имеет тебя...

Очереди специалистов что-то не наблюдается. Иначе я подвинусь, не гордый.

Лучшим решением, как правило, является выходное пособие для админа.

Словом, как бы вы поступили, если бы была поставлена задача проверить локалку на разного рода вредности?

У меня есть опыт форенсики, и, к сожалению, в двух словах такие вещи не описать. Советую нанять кого-нибудь — это выйдет не так дешево, как выходное пособие, но даст больше уверенности, чем проверка человеком, который делает это первый раз.

А не проще/надёжнее ли будет просто снести и переустановить/перенастроить всё с нуля, с переносом только данных? Раз уж возникло подозрение в наличии таких проблем.

задача проверить локалку на разного рода вредности?

Как именно стоит задача, проверить, найти, не найти или всё таки предотвратить?

Ты не решишь эту задачу, зови профи.

Лучшим решением, как правило, является выходное пособие для админа.

Это если админ совсем невменяемый и необучаемый. Но такое бывает редко.

Как вам уже в основном сказали предыдущие ораторы, вам поставили непосильную задачу. Судя по всему, контора ваша, включая руководство и отчасти вас - непрофессиональная. Значит, задачу понимать буквально понимать не надо. Ваша задача, как админа, подойти с другой стороны, а именно организационной. Основной принцип безопасности в таких учреждениях - «все, что не разрешено, должно быть запрещено». Составляете список таких действий, и вперед. Запреты на установку софта, на копирование, на подключение внешних носителей, на посещение ненужных адресов. Все остальное - только с ограниченного количества машин и с вашей санкции. Персоналу это вряд ли понравится, зато понравится руководству, а вам будет под силу.

задача стоит проверить и предотвратить, если такое есть.

Отдельно хочу сказать пару слов тем, кто взывает к моей компетенции. Найти специалиста где-то на стороне - это и ежу понятно, ну к чему же такие капитаночевидныесоветы? Ну, а если уж попираете мой профессионализм, то, пожалуйста, дайте профессиональный практический совет. Ну, например, запускаешь вот такой-то софт, сканишь сеть вот так или обрати внимание на такой-то пункт в маршрутизаторе.

Простите.

Ну да, так сделаю со временем. В любом случае это все придется делать, поскольку надо вычищать пиратское ПО, внедрять AD и прочее. Только это же не сразу будет...

Да не к вашей компетенции взывают, а к компетенции того, кто такие задачи вам ставит. Потому что это не админская задача. Но уж коль она возникла - значит в консерватории нелады и надо принимать организационные меры сначала, а потом технические. Если каждый сотрудник может себе безнаказанно понаставить тимвьюеров, а админ должен пытаться выслеживать каждый шаг и лепить заплатки при полной анархии - это бесперспективная лажа. Обсудите с руководством ситацию и предложите иное, правильное решение. Так должен сделать любой, независимо от профессионализма.

А если сейчас нет но может появится предотвращать нужно?

Не уверен, что правильно понял ваш вопрос)

Вам говорят примерно то же, что и я и другие. Смысла в аудите нет, если вы не собираетесь принципиально решить вопрос в сути. То есть организационно.

Ntopng на шлюзе поможет выявить нежелательный трафик. Хотя в идеале suricata,но за пару дней ты ее не осилишь.

Насчет смысла - не знаю, но есть такая задача. Я пришел сюда в надежде за техническими рекомендациями, а не субъективными мнениями о смыслах, в том то и дело)

Спасибо!

Пока у пользователей есть админский доступ на компах, админ не контролирует ситуацию. Найденное [вредоносное по] сейчас, может появиться и завтра и послезавтра. Велика вероятность что полумеры, предпринятые из-за сжатых сроков, будут лишь зря потраченным временем. Либо делать комплексно с обоснованием необходимого времени на работы, либо просто забить, т.к. хуже вряд ли будет.

у пользаков адм доступ

Забей. Либо пиши всё, что придёт в голову и ставь галочку сразу.

Прежде всего компании нужно проверять рекомендации и места предыдущей работы нанимаемых служащих.

Сносить всё к чертям и строить по науке. Других путей нет, все они лишь трата ресурсов на то что не даст надежного результата.

Отключить маршрутизацию интернета и сделать прокси. Выпускать на сайты из белого списка.

Но тут уже отметили существование в дикой природе usb модемов.

Сносить всё к чертям и строить по науке

А бизнес-процесс на сколько время остановлен будет?

Обычно на твоем месте договариваются с поставщиком дорогого продукта за откат. Это может быть что угодно, хоть антивирь хоть аппаратный фаервол, а лучше и то и другое. Толку никакого зато босс спокоен и дополнительные деньги заработаны.

В том то и дело, это - одна из основных проблем. Ну придется действовать последовательно, выхода нет. Ставить еще один роутер внутри локалки, создавать вторую подсеть, вешать контроллер домена в нее и туда же - проработанные рабочие места. Под словом «проработанные» понимать - полную переустановку ОС, замену пиратского софта на свободный или покупать, если замена не найдется, вгонять в домен с соответствующими политиками и проч. Писать административные регламенты для сотрудников по установке других программ - например, требование от сотрудника, где будет указана программа, обоснование целесообразности ее вменения в рабочий процесс. Это требование потом пользак несет своему руководителю отдела, тот подписывает, потом подписывает админ и ставит этот софт. Ну или не подписывает и вводит отказ. Словом, все делать красиво.

но время очень сжато, а там даже AD нету, а у пользаков адм доступ

Купи «фортигейт» на шлюз в инет с UTM и поддержкой, параллельно строишь домен под централизованное управление этим адом, заручаешся бумажкой и поддержкой руководства чтоб те пользователи которые привыкли сами ставить ПО и админить свои воркстэйшны могли быть посланы «к руководству». фортигейтОм рубишь всё кроме того что можно (веб, скайп, вайбер..), смотришь логи. желательно знать имена рабочих станций и соответствие к их мак-ай-пи чтоб персонифицировать нарушителей. На все раб станции можно накатить клиент фортигейта например ну или лучше конечно централизованный антивирус-сервер кашпер/дрвеб или если украина е-сэт/симантэк.

Ну, например, запускаешь вот такой-то софт

https://ru.wikipedia.org/wiki/AVZ , хотя, про неё должен знать каждый вендоадмин.

Кстати, если открываешь директорию с этой штукой и explorer падает, а тем паче вылетает синий экран, то это не случайность 8)

Да ну нафик всякий мутный кал. Уж лучше тогда загрузочный диск от каспера. Хотя я всегда был сторонником более радикальных мер в случае с виндой - переустановка. Никакая, даже самая глубокая антивирусная проверка не гарантирует ничего. Разве только какие-то явные проблемы, типа порнобаннера.

AVZ

всякий мутный кал

Да, ты эксперт, как я погляжу 8)

О, вы уже правильно смотрите на проблему. Вообще правильный админ не просто выполняет пожелания начальства, а сам объясняет начальству что оно на самом деле хочет. Выясните для начала, насколько начальству это нужно и на какую примерно сумму оценивает шаги в этом направлении. Если все это подразумевается только вашей обязанностью без особых вложений, тогда то, что вы написали - совершенно верный подход. Более того, если вы получите добро, то вы можете начинать с модернизации имеющейся техники, а не создания параллельной. Физически отключаете все usb порты, политиками запрещаете установку софта, не торопясь проводите ревизию установленного ПО.

Да и вы сами после этого станете весомой фигурой в коллективе )

По хорошему, вопрос звучит так:
Как из бочки мёда быстро вывести хорошо замешанную ложку дёгтя?
Сам то как думаешь?
Есть регламенты на сайте ФСТЭК, берешь 4-й уровень, если ты сотрудник, если на ты на аутсорсе, то это твой Клондайк, т.к. их имя (у утечек и вирусов) «Легион».

Честно сказать, я и до создания этого треда на нее смотрел именно так. Другой вопрос, что я никак не высказывал свое мнение на сей счет, а просто задал вопрос, как бы кто-то иной поступил на моем месте. Знания и опыт лишними никогда не бывают)

А бизнес-процесс на сколько время остановлен будет?

Ну я не знаю «на сколько время» вам для этого требуется останавливать бизнес-процесс... У меня, как у любого профессионала, всегда во главе стоит не нарушать работы персонала и предприятия. Для этого существует огромное кол-во разных приемов: выполнение работ этапами, выполнение работ в нерабочее время, использование надежной техники и ПО, резервирование разного рода (рейды, репликации и прочее, прочее). Ваш вопрос нахожу весьма странным...

Смысл такой, по описанию неважно что это будет за проверка, достаточно прогнать антивирусом. Но единстаенный вариант не допустить факапа в будущем - навести порядок (как минимум переставить все с нуля и отобрать админские права), что как я понимаю невозможно.

А зачем что-то блоктровать?
Пусть у сотрудника будут два компа, «рабочий» на винде и с тимвьювером и «организационный» с Линукс для работы в корпоративной сети.
Файлы между ними при необходимости переносятся на флешке.

)

Железобетонный надежный способ(надежнее чем вызов так называемвх Асов по безопасности) - чистая переустановка систем на ВСЕХ машинах и последующее максимально возможное ограничений прав доступа. Главная трудность - убедить руководство на такие временные затраты. Но хороший админ должен уметь доказать свою позицию.