03.06.2024 15:00
volkovmm 18 12000 Источник

Друзья, давайте поможем наши коллегам?
Решил написать этот чек-лист. Жесткая критика и конструктивные предложения приветствуются! :)
Что упущено? Что стоит добавить-убавить?

1. Резервное копирование данных (правило 3-2-1-1)

Вы делаете три копии данных (основная и две резервные)?

Хранятся ли резервные копии на двух разных носителях?

Храните ли вы одну копию резервных данных за пределами вашей основной локации (вне офиса, в облаке)?

Есть ли у вас одна копия данных в offline или air-gapped для защиты от кибератак?

Мониторится ли успешность выполнения бэкапа?

Тестируется ли восстановление из бэкапа, DRP план?

2. Обновление программного обеспечения

Обновляете ли вы операционную систему и все приложения до последней версии?

Применяются ли патчи безопасности сразу после их выхода?

3. Использование антивирусного программного обеспечения

Установлено ли антивирусное ПО на всех устройствах?

Регулярно ли обновляется антивирусное ПО?

Настроено ли регулярное сканирование системы?

4. Сегментация сети

Разделена ли ваша сеть на сегменты для ограничения распространения вредоносного ПО?

Используются ли VLAN и брандмауэры для защиты критически важных ресурсов?

Закрыты ли небезопасные порты/протоколы?

5. Обучение пользователей

Проводите ли вы регулярное обучение сотрудников по вопросам безопасности?

Знакомы ли сотрудники с опасностями фишинга и социальной инженерии?

6. Контроль доступа

Применяется ли принцип минимальных привилегий?

Используется ли многофакторная аутентификация (MFA) для доступа к важным системам?

Контроль привилегированных пользователей?

Есть ли резервные (независимые) точки подключения администраторов к инфраструктуре и резервным копиям?

7. Мониторинг и обнаружение

Настроена ли система мониторинга для обнаружения аномальной активности в сети?

Используются ли системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS)?

8. План реагирования на инциденты

Разработан ли у вас план реагирования на инциденты безопасности?

Проводите ли вы учения и симуляции для проверки готовности команды?

9. Политики безопасности

Разработаны ли и внедрены политики безопасности для регулирования использования и защиты данных?

Соблюдают ли сотрудники и подрядчики эти политики?

10. Использование современных технологий защиты

Рассматриваете ли вы использование технологий изоляции приложений (sandboxing) и нулевого доверия (Zero Trust)?

Используются ли решения для защиты от угроз на уровне конечных устройств (EDR)?

11. Резервное копирование на уровне приложений, сервисов PaaS / СУБД и инфраструктуры

Проводите ли вы резервное копирование с необходимой глубиной на уровне приложений?

Осуществляется ли резервное копирование на уровне сервисов PaaS / СУБД?

Обеспечивается ли резервное копирование на уровне инфраструктуры?

12. Технологии DR, репликации и резервный ЦОД

Используете ли вы технологии аварийного восстановления (DR) для быстрого восстановления данных?

Применяются ли технологии репликации для дублирования данных в реальном времени?

Имеется ли у вас резервный ЦОД?

Используете ли вы "холодный резерв" для минимального уровня готовности системы?

Используете ли вы "теплый резерв" для среднего уровня готовности системы?

Используете ли вы "горячий резерв" для максимального уровня готовности системы?

Проводится ли регулярное тестирование уязвимости и пентест?

Устраняются ли обнаруженные уязвимости по результату тестирования?

Для получения консультаций и рекомендаций по осуществлению мер, указанных в чек-листе, свяжитесь с экспертом по адресу...

Комментарии (18)


  1. DoomeR18G
    03.06.2024 15:50
    #26894731

    Недурно


  1. NAI
    03.06.2024 15:50
    #26894923
    +1

    п.0 Есть ли у вас бюджет на ИБ\Бэкапы - Да\нет\на полшишечкихарда


    1. Shaman_RSHU
      03.06.2024 15:50
      #26894983
      +1

      п.-1 Пока ничего не случилось даже не задумывайтесь о бюджете


      1. volkovmm Автор
        03.06.2024 15:50
        #26900323

        Да, пора писать книгу "Вредные советы для ИТ", автор Востер :) Ну типа такого:
        https://vc.ru/flood/31320-vrednye-sovety-po-informacionnoi-bezopasnosti-stihi-dlya-vseh-i-ni-dlya-kogo


  1. Ratenti
    03.06.2024 15:50
    #26895055
    +1

    Слишком сложно


  1. kilgor-trout
    03.06.2024 15:50
    #26895419

    нет главного вопроса:
    уже выкинули вантуз и АДэшечку, хотя бы с серверов и компа главного за бэкапы?


    1. jackcrane
      03.06.2024 15:50
      #26896027

      виндовз может бысть настроен на политику W^X (нестандартными и самодельными средствами, которые еще предстоит создать хехе).


    1. dimsoft
      03.06.2024 15:50
      #26896679

      А как без адешечки то жить ?

      Может просто научиться готовить ?


      1. jackcrane
        03.06.2024 15:50
        #26897145

        Может просто научиться готовить ?

        бесполезно. допустим вы обернете трафик AD в IPsec и сегментируете по приватным вланам.

        один неаккуратный пользователь - одна затрояненая р.станция - один затрояненный сервер - далее везде, только чуть медленнее.


        1. dimsoft
          03.06.2024 15:50
          #26897235

          Завести RoDC - его и показывать пользователям и их рабочим станциям. Закрутить гайки с SRP или AppLocker.


          1. jackcrane
            03.06.2024 15:50
            #26900171
            +1

            только RoDC и показывать ? может быть. а ресурсные домены ?

            SRP и Applocker - поделки уровня "переименуй файл в разрешенное имя чтобы он запустился", даже время тратить не стоит.

            сигнатурные антивирусы не помогут против свежих и хорошо таргетированных атак.

            поведенческие антивирусы - ничего не скажу, кроме ресурсопожирания.


            1. dimsoft
              03.06.2024 15:50
              #26900743

              Если прав на запись не давать, то от шифровальщиков помогают.


              1. jackcrane
                03.06.2024 15:50
                #26902159

                старый лозунг старых экстремистов "права не дают, права берут".

                локальное повышение привилегий - слышали про такое ?

                если удалось запустить полезную нагрузку локально - считайте что поимет локальный админ и локальная система (S-1-5-18)


      1. kilgor-trout
        03.06.2024 15:50
        #26899995

        >Может просто научиться готовить ?

        может просто конторка ваша из числа неуловимых джо?


        1. dimsoft
          03.06.2024 15:50
          #26900759

          может просто конторка ваша из числа неуловимых джо?

          Возможно, но цифровая гигиена лишней не будет. Если прямо "хакеры" и прямо нас, то проще линейному персоналу денег предложить :)


  1. post_ed
    03.06.2024 15:50
    #26897147
    +1

    Помимо veeam, добавил машину на freebsd, которая сама тянет раз в неделю с помощью rsync файлы с windows server (использовал cwRsync)


    1. volkovmm Автор
      03.06.2024 15:50
      #26897537

      хорошее решение


  1. volkovmm Автор
    03.06.2024 15:50
    #26897555

    В личном сообщении предложили добавить в чек-лист:

    1. Мониторится ли успешность выполнения бэкапа

    2. Тестируется ли восстановление из бэкапа, DRP план

    3. Закрыты ли небезопасные порты\протоколы

    4. Контроль привилегированных пользователей

    5. Есть ли резервные (независимые) точки подключения администраторов к инфраструктуре и резервным копиям

    6. Проводится ли регулярное тестирование уязвимости и пентест

    7. Устраняются ли обнаруженные уязвимости по результату тестирования