Технология защиты |
Общая
результа-тивность
|
Возможное противо-дейстие персонала |
Стои-мость приоб-рете-
ния
|
Стои-мость реше-
ния
|
Результат - выявление/ предотв.
вторжения
|
Эффек-тивное дей-ствие на этапе испол-нения кода (1)
|
Эффекти-вное дей ствие на этапе распрост-ранения по сети (2) |
Эффекти-вное действие на утечки данных (3) |
- Патчинг приложений:
- PDF viewers,
- Flash Player,
- Майкрософт Office
- Java.
- Для критических уязвимостей установка патчей на протяжении недели.
- Использование последних версий приложений.
|
высокая |
Низкое |
Высокая |
Высокая |
предотв. |
да |
нет |
нет |
- Патчинг/апдэйт операционной системы.
- Установка патчей на протяжении недели для критических уязвимостей.
- Использование последних версий операционной системы.
|
высокая |
Низкое |
средняя |
средняя |
предотв. |
да |
вероятно |
вероятно |
- Минимизация количества пользователей с административными правами.
- Некоторым пользователям с административными правами требуется вести работу под отдельными непривилегиро-ванными учетными записями для исполнения текущих обязанностей, не требующих административных прав (просмотр электронной почты или веб-страниц).
|
высокая |
Среднее |
средняя |
низкая |
предотв. |
вероятно |
да |
вероятно |
- White-лист приложений, доступных для запуска (с использованием: MS Software Restriction Policies или APPLOCKER).
|
высокая |
Среднее |
Высокая |
средняя |
предотв.
/обнар.
|
да |
да |
да |
- Использование IDS/IPS систем для выявления аномального поведения вредоносного ПО
|
высокая |
Низкое |
средняя |
средняя |
предотв.
/обнар.
|
да |
нет |
вероятно |
- Фильтрация содержимого эл.почты.
- Предпочтительно контролировать вложения PDF и Майкрософт Office.
|
высокая |
высокое |
Высокая |
средняя |
предотв. |
да |
нет |
вероятно |
- Блокирование подложных электронных писем используя проверку Sender Policy Framework (SPF) входящих электрон-ных писем и 'hard fail' SPF, чтобы помочь предотвращать спуфинг домена организации.
|
высокая |
Низкая |
Низкая |
Низкая |
предотв. |
да |
нет |
нет |
- Увеличение осведомленности пользователей
- о интернет-угрозах, фишинге,
- обществен-ной инженерии,
- выборе паролей, распростра-нения адресов электронной почты,
- подключения несанкциони-рованных USB устройств и т.п.
|
высокая
|
Среднее |
Высокая |
средняя |
предотв.
/обнар.
|
Вероятно |
нет |
нет |
- Фильтрация входящего и исходящего веб-трафика с использованием white-листа разрешенных адресов и типов файлов.
|
высокая |
Среднее |
средняя |
средняя |
предотв. |
да |
нет |
вероятно |
- Применение white-листа разрешенных web-доменных имен, так как подобный подход безопаснее, чем подобный black-лист.
|
высокая |
высокое |
Высокая |
средняя |
предотв. |
да |
нет |
да |
- Применение white-лист web-доменных имен для HTTPS / SSL, так как подобный подход безопаснее, чем подобный black-лист.
|
высокая |
Среднее |
средняя |
средняя |
предотв. |
да |
нет |
да |
- Проверка рабочих станций на предмет соответствия файлов формата MSOffice на аномалии (к примеру, применение MS Office File Validation).
|
высокая |
Низкое |
низкая |
низкая |
предотв. |
да |
нет |
нет |
- Программные файерволы на рабочих станциях, для блокирования трафика изначально, защиты от вредоносного ПО или несанкциони- рованного входящего сетевого трафика.
|
неплохая |
Низкое |
средняя |
средняя |
предотв. |
да |
да |
нет |
- Программные файерволы на рабочих станциях, для блокирования трафика изначально, за исключением исходящего трафика приложений из white-листа.
|
неплохая |
Среднее |
средняя |
средняя |
предотв.
/обнар.
|
нет |
да |
да |
- Сегментация сети и разделение на зоны безопасности для защиты чувствительной информации и критически важных услуг ( аутентификация пользователей и информация о каталогах пользователей).
|
неплохая |
Низкое |
Высокая |
средняя |
предотв. |
вероятно |
да |
вероятно |
- Многофакторная аутентификация при доступе к особо доверенной информации.
|
неплохая |
Среднее |
Высокая |
средняя |
предотв. |
нет |
вероятно |
нет |
- Разделение паролей администраторов между несколькими сотрудниками.
- Применение доменных администраторов, вместо локальных.
|
неплохая |
Низкое |
средняя |
низкая |
предотв. |
нет |
да |
нет |
- Политики эксплуатации паролей - трудность, длина, запрет повторного эксплуатации и эксплуатации словарных слов.
|
неплохая |
Среднее |
средняя |
низкая |
предотв. |
нет |
да |
нет |
- Пограничный шлюз с использованием IPV6-совместимого файервола, для предотвращения компьютеров на прямую к Интернет, за исключением ДНС- сервера, почтового сервера, прокси-сервера веб-аутентификации.
|
неплохая |
Низкое |
низкая |
низкая |
предотв.
/обнар.
|
вероятно |
нет |
да |
- предотвращение исполнения данных с использованием аппаратных и программных механизмов для всех приложений, которые поддерживают DEP.
|
неплохая |
Низкое |
низкая |
низкая |
предотв. |
да |
нет |
нет |
- Антивирусное ПО с актуальными сигнатурами, репутациями и другими возможности эвристического обнаружения вредоносного ПО.
- Применение антивирусных программ отразличных поставщиков для настольных и серверных (шлюзовых) станций.
|
неплохая |
Низкое |
низкая |
низкая |
предотв.
/обнар.
|
да |
нет |
нет |
- Виртуальная доверенная среда выполнения с ограниченным доступом к общим файлам сети для рискованных операций (чтение электронной почты и просмотр веб-страниц).
|
неплохая |
высокое |
Высокая |
средняя |
предотв. |
нет |
да |
вероятно |
- Синхронизированное и централизованное по времени журналирование разрешенных и запрещенных действий в сети
- регулярный разбор журналов.
- Хранение журналов не менее 1,5 лет.
|
неплохая |
Низкое |
Высокая |
Высокая |
обнар. |
вероятно |
вероятно |
вероятно |
- Синхронизиро-ванное и централи-зованное по времени журналирование событий на рабочих станциях
- регулярный разбор журналов.
- Хранение журналов не менее 1,5 лет.
|
неплохая |
Низкое |
Высокая |
Высокая |
обнар. |
вероятно |
вероятно |
вероятно |
- Среда выполнения с отключением неиспользуемых функций операционной системы: IPV6, автозапуск, RDP, редактирование реестра и т.п.
|
неплохая |
Среднее |
средняя |
низкая |
предотв. |
да |
да |
вероятно |
- Настройка безопасности приложений на рабочих станциях:
- отключение необязательных функций PDF-viewers,приложений MS Office веб-браузеров
|
неплохая |
Среднее |
средняя |
средняя |
предотв. |
да |
нет |
нет |
- Отключение службы NETBIOS на рабочих станциях и на серверах, где это допустимо.
|
неплохая |
Низкое |
средняя |
низкая |
предотв. |
да |
да |
нет |
- Настройка безопасности серверных приложений (баз данных, веб-приложений и т.п.)
|
неплохая |
Низкое |
Высокая |
средняя |
предотв. |
да |
нет |
да |
- Контроль съемных и устройств в рамках предотвращения утраты конфидециальных данных ( white- листы USB-устройств, шифрование и т.п.)
|
неплохая |
высокое |
средняя |
средняя |
предотв. |
да |
вероятно |
да |
- TLS шифрование соединений между серверами электронной почты, для предотвращения перехвата писем и общественной инженерии.
- Сканирование содержимого электронной почты прежде расшифровывания трафика.
|
неплохая |
Низкое |
низкая |
низкая |
предотв. |
вероятно |
нет |
нет |
- Выключение поддержки LANMAN при хранении паролей и кэшированных учетных данных на рабочих станциях и серверах, чтобы усложнить для нарушителя взлом хэшей паролей.
|
неплохая |
Низкое |
низкая |
низкая |
предотв. |
нет |
да |
нет |
- Блокирование попыток доступа к сайту по его АЙПИ-адресу вместо эксплуатации доменного имени.
|
неплохая |
Низкое |
низкая |
низкая |
предотв.
/обнар.
|
да |
нет |
да |
- Сетевые IDS/IPS c используемыми сигнатурами и эвристикой для выявления аномального трафика как внутри, так и при пересечении границы DMZ.
|
средняя |
Низкое |
Высокая |
Высокая |
предотв.
/обнар.
|
вероятно |
вероятно |
вероятно |
- Black-лист на шлюзе, для блокировки доступа к известным вредоносным доменам и АЙПИ-адресам
|
средняя |
Низкое |
низкая |
Высокая |
предотв.
/обнар.
|
да |
нет |
да |
- Захват в сетевого трафика для анализа успешных вторжений(после происшествия), хранения сетевого трафика (min - неделя)
|
наиме-
ньшая
|
Низкое |
Высокая |
низкая |
обнар. |
нет |
нет |
нет |
Комментарии