Перейти к содержанию
Krec

Посоветуйте IDS/IPS/DLP

Автор Krec, в Выбор корпоративных средств защиты

Recommended Posts

Алексей Дрозд    0

Алексей Дрозд
Опубликовано
Мне интересно. Появилась ли DLP или иная система мониторинга, которая бы отслеживала факт физического вытаскивания харда или загрузки с liveCD/USB с последующим копированием информации.

И да, и нет. У Контура информационной безопасности SearchInform появился новый модуль ProgrammSniffer, который, в том числе, умеет отслеживать физическое снятие\установки железа. В частности: жёсткие диски, оперативку, видеокарты, мониторы, аудиокарты, процессоры.

А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим. В случае же с live-носителями, система взята "с потолка". Тут надо принципиально нового агента разрабатывать, который бы, например, в BIOS или UEFI прошивался.

Вечером выключил машину, утащил жесткий. Дома подключил к компьютеру с линуксом. Слил все что было. Утром пришел, вставил обратно. Загрузил рабочий комп.

Мне надо чтоб Длп агент, как только он вгрузился в систему с принесенного обратно харда, сразу прочухал, что хард вынимали и дал алерт .

Собственно, именно эту идею мы и приследовали, когда разрабатывали ProgramSniffer.

Боюсь что в этом случае DLP не поможет. По крайней мере я таких решений не знаю, где был бы такой функционал. Возможно кто-то из коллег подскажет что-то или знает больше.

Уже поможет. Такой функционал заложили и в более "лёгкий" продукт WorktimeMonitor, и в КИБ.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dfg    36

Dfg
Опубликовано
А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим.

Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

mvs    92

mvs
Опубликовано

неплохим дополнением - пароль на биос (для того чтобы нельзя было грузиться со всяких носителей), шифрование носителей ( в том числе ЖД), стикеры, наклейки, пломбы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Алексей Дрозд    0

Алексей Дрозд
Опубликовано
Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Согласен. Я говорил про текущее положение дел у КИБ. Не исключено, что подобные задачи поставлены на доработку и появятся в релизе в обозримом будущем.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×