Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Application whitelisting: стряхнем пыль и посмотрим по-новому!

119 views

Published on

Любой IT-инженер наслышан о недостатках application whitelisting. Поэтому используют эту технологию нечасто. Автор доклада реабилитирует AWL, расскажет о том, как AWL помогает бороться с ИБ-угрозами и как сделать эту технологию дружественной пользователю. Также будут затронуты вопросы автоматизации реагирования на события и исключений для ПО.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Application whitelisting: стряхнем пыль и посмотрим по-новому!

  1. 1. www.gk-is.ru AWL: стряхнем пыль и посмотрим по-новому! Артем Ильин
  2. 2. 2 AWL: waaaaat?
  3. 3. 3 Cherchez la femme…
  4. 4. 4 Что выбрать? SRPAntivirus
  5. 5. 5 Let’s go! Подготовка Аудит Настройка
  6. 6. 6 Подготовка • домен и OU • удаление local admins • привилегированные пользователи в отдельные OU
  7. 7. 7 Аудит • аудит приложений • «пустая» политика
  8. 8. 8 Аудит • аудит приложений • «нулевая» политика • «белый список» приложений HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers
  9. 9. 9 Аудит • аудит приложений • «пустая» политика
  10. 10. 10 Лог-файл аудита wscript.exe (PID = 10144) identified CONTOSO.CORPNETLOGONDisable.vbs as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302} explorer.exe (PID = 2972) identified C:Program FilesMicrosoft OfficeOffice15WINWORD.EXE as Unrestricted using path rule, Guid = {ddcdde02-83df-4d84-966e-882ad064d0eb} explorer.exe (PID = 2972) identified C:Windowssystem32SnippingTool.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca} SearchIndexer.exe (PID = 3804) identified C:Windowssystem32 SearchProtocolHost.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}
  11. 11. 11 Настройка • создание «белого списка» в SRP • включение политики SRP для OU • наполнение OU компьютерами
  12. 12. 12 Инцидент
  13. 13. 13 Backdoor/Win32.Androm
  14. 14. 14 SRP приходит на помощь Площадка без SRP Площадка с SRP
  15. 15. 15 Оперативное реагирование Service Desk Security Officers VT Web Server Triggered Disallowed
  16. 16. 16 Аудит запуска файлов Service Desk Security Officers All events VT Web Server Operator Scheduled Triggered Disallowed
  17. 17. 17 Интерфейс обработки событий
  18. 18. 18 Интерфейс обработки событий
  19. 19. 19 А что дальше? • ретроспективный анализ • IoC
  20. 20. 20 Недостатки SRP не справится с: • powershell-скриптами • продвинутым пользователем • запуском файлов под SYSTEM
  21. 21. 21 Плюшки • Endpoint-защита • На 30% меньше инцидентов ИБ • На 80% меньше нелегитимной установки ПО
  22. 22. ilin@infosecservice.ru +7 911 745 84 07

×