Доверяй, но проверяй. Мониторинг ПК, полученных из доверенных источников

Покупал я тут как-то домой ноутбук HP с предустановленной виндой. Все хорошо, пока ты не понимаешь, что помимо собственно самой операционной системы она напичкана кучей каких-то непонятных системных приложений от HP, которые призваны помочь мне сделать работу с ноутбуком незабываемой и комфортной.

Там и средства диагностики, и какая-то аналитика, и средства восстановления, и командный центр, управляющий скоростью вентилятора и уровнем его шума, и средства управления звуком, и инструменты обновления драйверов и много чего еще. Такая история не только у HP, но и у Lenovo, Acer, Asus, Dell и т.п.

И вот приносите вы свой ноутбук на работу (у вас же продвинутая компания и разрешила приносить свои устройства), подключаете к сети и… бац, ваш комп карантинят, а вам звонит сотрудник службы ИБ и утверждает, что ваш компьютер заражен вредоносной программой. Вы уверены, что этого не может быть и начинаете разбираться в происходящем.

Анализ показывает, что предустановленный на ноутбуке под системной учетной записью HP Support Assistant умеет следующее:

  • Модифицировать файлы
  • Читать настройки и конфигурацию компьютера
  • Получать доступ к системным сервисам
  • Посылать контрольные коды сервисам
  • Прослушивать входящие сетевые соединения
  • Искать IP-адреса в памяти и исполняемых файлах
  • Изменять настройки политик
  • Изменять настройки прокси
  • Читать ключи реестра для установленных приложений
  • И много чего еще.

И вроде это доверенный производитель, который поставляет доверенное ПО (доверенное ли), но не слишком ли много у него возможностей, так похожих на то, чем обладают вредоносные программы? И как мне настраивать EDR? Включать эти системные утилиты в белый список разрешенных приложений? Но это приводит к появлению большой дыры, которой могут воспользоваться злоумышленники. А может просто отключить эти системные утилиты или удалить их? Ведь в корпоративной среде они не особо и нужны — весь функционал может быть реализован корпоративно управляемым ПО. Этот же предустановленный софт только отжирает память и… А что еще он делает?

Различные исследования показывают, что почти у всех производителей ноутбуков в системном ПО, которые они устанавливают на ноутбуки, имеются уязвимости, позволяющие выполнить произвольный код с системными правами. Более того, эти утилиты часто не проверяют целостность загружаемых обновлений, не используют защищенных соединений, а  прилагаемые к обновлениям файлы SBOM могут быть не подписаны производителем. А если добавить сюда используемое некоторыми вендорами шифрование URI серверов обновления и установку патчей и ПО без согласия пользователя?

В целом получается не очень радужная картинка. С одной стороны BYOD и все плюшки от возможности снизить нагрузку на ИТ и бухгалтерию, а с другой — появление новых задач у корпоративного SOCа и службы ИБ. В централизованно покупаемых ноутбуках вы можете определять их конфигурацию и самостоятельно предустанавливать нужно вам ПО, описав для ноутбука свой профиль и для EDR, и для NDR, и для систем мониторинга, снизив число ложных срабатываний.   

А вот разрешая личные устройства, надо понимать, что работы у SOCа прибавится и придется строить сложные правила, учитывающие описанные нюансы. Также придется реализовать один из следующих вариантов:

  • требовать от работников приносить все компы в ИТ и переустанавливать на них корпоративный имидж ПО (либо автоматизировать данную процедуру и дать ее реализовывать удаленно)
  • требовать от работников удалять все лишние приложения или делать это автоматически за счет централизованно раскатываемого на все BYOD-устройства системного ПО
  • включать для новых, ранее нефиксируемых в корпоративной сети устройств, особую политику EDR, которая будет учитывать, что не каждая программа, умеющая читать реестр, слушать внешний трафик и скачивать ПО, является изначально вредоносной.

В любом случае, корпоративный или аутсорсинговый SOC — это не вещь в себе, которая живет по своим правилам без оглядки на происходящее у “смежников”. Лучше знать, по каким законам живет ИТ и к чему они могут привести, чтобы не было сюрпризов и из-за жесткой политики ИБ новый купленный генеральным директором ноутбук не был заблокирован на порту коммутатора только потому, что SIEM принял активность нового устройства за вредоносную и внес его в черный список.

 

Источник: Бизнес без опасности

13 июня, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных