Доверяй, но проверяй. Мониторинг ПК, полученных из доверенных источников

Покупал я тут как-то домой ноутбук HP с предустановленной виндой. Все хорошо, пока ты не понимаешь, что помимо собственно самой операционной системы она напичкана кучей каких-то непонятных системных приложений от HP, которые призваны помочь мне сделать работу с ноутбуком незабываемой и комфортной.

Там и средства диагностики, и какая-то аналитика, и средства восстановления, и командный центр, управляющий скоростью вентилятора и уровнем его шума, и средства управления звуком, и инструменты обновления драйверов и много чего еще. Такая история не только у HP, но и у Lenovo, Acer, Asus, Dell и т.п.

И вот приносите вы свой ноутбук на работу (у вас же продвинутая компания и разрешила приносить свои устройства), подключаете к сети и… бац, ваш комп карантинят, а вам звонит сотрудник службы ИБ и утверждает, что ваш компьютер заражен вредоносной программой. Вы уверены, что этого не может быть и начинаете разбираться в происходящем.

Анализ показывает, что предустановленный на ноутбуке под системной учетной записью HP Support Assistant умеет следующее:

  • Модифицировать файлы
  • Читать настройки и конфигурацию компьютера
  • Получать доступ к системным сервисам
  • Посылать контрольные коды сервисам
  • Прослушивать входящие сетевые соединения
  • Искать IP-адреса в памяти и исполняемых файлах
  • Изменять настройки политик
  • Изменять настройки прокси
  • Читать ключи реестра для установленных приложений
  • И много чего еще.

И вроде это доверенный производитель, который поставляет доверенное ПО (доверенное ли), но не слишком ли много у него возможностей, так похожих на то, чем обладают вредоносные программы? И как мне настраивать EDR? Включать эти системные утилиты в белый список разрешенных приложений? Но это приводит к появлению большой дыры, которой могут воспользоваться злоумышленники. А может просто отключить эти системные утилиты или удалить их? Ведь в корпоративной среде они не особо и нужны — весь функционал может быть реализован корпоративно управляемым ПО. Этот же предустановленный софт только отжирает память и… А что еще он делает?

Различные исследования показывают, что почти у всех производителей ноутбуков в системном ПО, которые они устанавливают на ноутбуки, имеются уязвимости, позволяющие выполнить произвольный код с системными правами. Более того, эти утилиты часто не проверяют целостность загружаемых обновлений, не используют защищенных соединений, а  прилагаемые к обновлениям файлы SBOM могут быть не подписаны производителем. А если добавить сюда используемое некоторыми вендорами шифрование URI серверов обновления и установку патчей и ПО без согласия пользователя?

В целом получается не очень радужная картинка. С одной стороны BYOD и все плюшки от возможности снизить нагрузку на ИТ и бухгалтерию, а с другой — появление новых задач у корпоративного SOCа и службы ИБ. В централизованно покупаемых ноутбуках вы можете определять их конфигурацию и самостоятельно предустанавливать нужно вам ПО, описав для ноутбука свой профиль и для EDR, и для NDR, и для систем мониторинга, снизив число ложных срабатываний.   

А вот разрешая личные устройства, надо понимать, что работы у SOCа прибавится и придется строить сложные правила, учитывающие описанные нюансы. Также придется реализовать один из следующих вариантов:

  • требовать от работников приносить все компы в ИТ и переустанавливать на них корпоративный имидж ПО (либо автоматизировать данную процедуру и дать ее реализовывать удаленно)
  • требовать от работников удалять все лишние приложения или делать это автоматически за счет централизованно раскатываемого на все BYOD-устройства системного ПО
  • включать для новых, ранее нефиксируемых в корпоративной сети устройств, особую политику EDR, которая будет учитывать, что не каждая программа, умеющая читать реестр, слушать внешний трафик и скачивать ПО, является изначально вредоносной.

В любом случае, корпоративный или аутсорсинговый SOC — это не вещь в себе, которая живет по своим правилам без оглядки на происходящее у “смежников”. Лучше знать, по каким законам живет ИТ и к чему они могут привести, чтобы не было сюрпризов и из-за жесткой политики ИБ новый купленный генеральным директором ноутбук не был заблокирован на порту коммутатора только потому, что SIEM принял активность нового устройства за вредоносную и внес его в черный список.

 

Источник: Бизнес без опасности

13 июня, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных