1

Допустим, у меня есть Active Directory.

Я устанавливаю правила в Active Directory, предоставляя учетным записям ограниченный доступ только для чтения.

Допустим, теперь вымогатель wannacry попадает через электронную почту на компьютер пользователя, сможет ли он распространиться на мою сеть, поскольку все мои пользователи имеют ограниченные права на чтение и не могут ничего писать?

Насколько я понимаю, ответ был бы отрицательным, но, как я слышал, wannacry не нужно разрешение на чтение для распространения.

Большое спасибо за любые советы, которые вы могли бы дать.

Благодарю.

1 ответ1

1

Похоже, ваш вопрос сводится к следующему: «Предотвращает ли контроль доступа распространение червей?"

В общем случае ответ «возможно». Наличие контроля доступа является формой углубленной защиты, а это означает, что это еще один барьер, который вредоносное программное обеспечение должно преодолеть, чтобы делать то, что оно пытается (распространиться на другие системы, зашифровать ваши серверы, украсть ваши данные),

Обычно большинство систем контроля доступа имеют механизм, который позволяет изменять конфигурацию управления доступом (т. Е. Что такое контроль доступа; какие пользователи /IP / объекты разрешены / заблокированы и т.д.) Могут быть изменены. Поэтому цель многих исследований в области безопасности (как для черных, так и для белых шляп) связана с механизмом конфигурации системы контроля доступа и необходимостью получения несанкционированного доступа для изменения контроля доступа.

Так что это один из способов: найти эксплойт, который позволяет злоумышленнику законно изменять то, что разрешено / запрещено, в пользу своего вектора атаки. Например, получение повышения привилегий администратору управления доменом, вероятно, позволит злоумышленнику изменить настройки AD, которые позволят распространить своего червя на сетевые диски.

Другой способ - найти механизм контроля доступа, который можно обойти, даже когда он применяется. Это программный эквивалент ужасного ускорения прямо мимо полицейского, и хотя полицейский видит вас, его машина не может ехать достаточно быстро, чтобы догнать вас, и вы каким-то образом полностью избавляетесь от правосудия, даже если он требует резервного копирования Дорога.

Поэтому вместо того, чтобы менять настройку, если вы обнаружите подобную уязвимость, настройки не имеют значения - оставьте их "заблокированными" или "отключенными" для всех забот атакующего; он может эффективно отправлять полезные данные, которые каким-то образом убеждают вашу систему обрабатывать данные злоумышленника, как если бы они были разрешены или включены.

Если у вас есть часть сетевого программного обеспечения с незащищенной уязвимостью, и кто-то знает об этой уязвимости, вы никогда не будете в безопасности. Поскольку уязвимости «нулевого дня» возникают постоянно, следовательно, вы никогда не будете в безопасности; завтра может возникнуть новый нулевой день, в котором будут использованы новые подвиги.

Никакой контроль доступа не может окончательно предотвратить все виды атак такого рода. Самый надежный способ не допустить, чтобы что-то вроде криптовалюты испортило ваш день, - иметь автономные резервные копии, которые никоим образом не подключены к сети. Существует очень мало векторов атак, которые могут успешно использовать слабые места физической безопасности, и те, которые могут, должны быть очень точно нацелены на отдельные объекты (например, украсть значок авторизованного сотрудника и использовать его для входа через неохраняемый вход).

Существуют и другие механизмы глубокой защиты, помимо контроля доступа, которые могут помочь (но также не являются панацеей). Сетевая система обнаружения вторжений (NIDS), такая как Snort, также может помочь вам, обнаруживая полезные нагрузки атак по проводам и блокируя их еще до того, как они достигнут ваших уязвимых систем. Они используют эвристику и целевое сопоставление с образцом, чтобы идентифицировать известные или потенциальные попытки эксплойтов и блокировать их. Многие из этих систем поставляются с какой-то службой обновлений в реальном времени, которая применяет правила блокировки, чтобы отразить известные векторы атак, как только они обнаружены, что может занять несколько дней или недель, прежде чем вы сможете иммунизировать все свои системы. с программным патчем. Поэтому они уменьшают ваше окно уязвимости.

Но нет, все лучшие методы обеспечения безопасности в совокупности совершенно неэффективны против целенаправленного набора эксплойтов, использующих уязвимости без исправлений. Если вы не спите ночью, напишите или купите сертифицированную операционную систему EAL7 (и убедитесь, что на нем не запущено дополнительное программное обеспечение, которое не соответствует уровню сертификации). Это единственный способ получить 100,0% математически положительного результата, что никаких уязвимостей не существует. (Но даже в этом случае ошибка пользователя может привести к неправильной настройке, которая позволяет использовать уязвимость в конфигурации - эквивалентно наличию совершенно безопасного дверного замка, а затем оставить его незапертым - упс. Это никогда не заканчивается.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .