На мастер-классе мы разберем:
Что такое Application Whitelisting (AWL)
-
В чём принципиальное отличие Whitelisting от Blacklisting, в каких областях используется Whitelisting (Firewalls, FileSystems, AccessControl)
-
Какое место занимает AWL в классификации средств защиты (AWL дополняет антивирус, but is not AV in any kind) (Australian DoD top 20 Security Controls)
-
От чего можно защититься с помощью AWL, а от чего нельзя (AWL очень эффективна, but is not a Panaceia)
Как можно задействовать AWL:
-
Встроенные средства ОС: GPO SRP, AppLocker, Device Guard, Smart App Control
-
Сторонние продукты: касперский, bit9, lumension, pcmatic, etc
Основные вызовы
-
Прямая поддержка руководства высшего уровня, без этого никакая технология безопасности не может быть внедрена вообще
-
Безопасность = ограничения. Но всегда найдётся кто-то, недовольный новыми ограничениями, и вам нужно будет уметь разбираться с заявками "ИТ не даёт мне работать"
-
Инструменты не создают процессы, а помогают исполнять существующие. Кто-то должен принять ответственность за учёт и утверждение аппликаций, политика лишь исполнит этот учёт
-
AWL — это культурный сдвиг в работе в первую очередь ИТ, поэтому начинать внедрение следует с ИТ (Discipline as a Core Tenet)
-
Запреты/блокировки запуска рандомных программ [например, с USB] должны сопровождаться улучшениями методов установки программ, такими как WDS/WSUS/SCCM
Фреймворк внедрения технологии
-
Назначение ответственных персон с опытом и готовностью принять ответственность за внедрение, готовых тратить на это человеко-часы (как разработчик, так и исполнители)
-
Инвентаризация [разрешённого] программного обеспечения, согласование мест его хранения/запуска (Know Your Environment)
-
Длительное наблюдение за системой, предварительный аудит списка реально запускаемых программ
-
Ответственная персона должна принимать решения, что делать с обнаруживаемыми несоответствиями политики (Переместить в Разрешённые Пути, Добавить Путь в Разрешённые, Запретить Использование)
-
Определяется целевая аудитория, технология внедряется пошагово с возможностью отката
-
Incident Response: ИТ-поддержке даются инструкции, как действовать в той или иной проблемной ситуации (перестали работать важные программы или нужно установить новую)
-
Важно наличие обратной связи пользователей с поддержкой, а поддержки с разработчиком
Практика 1 - Попробуйте дома
-
Аудит одиночной рабочей станции
-
Построение базовой политики SRP на одиночной рабочей станции
-
Обнаружение нестыковок и доработка политики
-
Временное снятие блокировок для установки новых программ
Практика 2 - Active Directory
-
Проблематика аудита большого количества машин
-
Построение базовых политик SRP в домене Active Directory
-
Уведомления на почту при обнаружении блокировок
-
Решение специфических проблем (наклеечные принтеры, автокад со рандомными ехе в папке Temp)
-
Делегирование полномочий и развитие структуры политик в домене
Практика 3 - Методы обхода политик
-
Использование разрешённых для записи папок (показать AccessEnum + запуск USB RubberDucky?)
-
Скрипты и макросы (показать xlsm)
-
Exploits (показать metasploit против msoffice или firefox)
Что получат участники:
1. Презентацию доклада
2. Запись мастер-класса
Ведущий мастер-класса
Петр Губаревич
OlainFarm/ IT Infrastructure Manager/Ethical Hacking Trainer
Специалист по информационной безопасности, регулярно выступающий с докладами на IT-конференциях в Европе, России, Китае.
С 2000 года - инструктор курсов MS Windows Server, с 2012 года — инструктор курса этичного взлома (CEH)
Неоднократно был отмечен наградой Microsoft MVP: Enterprise Security.
В текущий момент является руководителем отдела IT-инфраструктуры фармацевтического завода OlainFarm (Latvia).
Условия участия
Стоимость участия в онлайн мастер-классе - 1 500 руб.
Оплатить участие можно банковской картой непосредственно на платформе Webinar при регистрации.
Когда и где
Мастер-класс состоится 17 мая в 12:00 Мск.
Мастер-класс будет проходить в формате онлайн на платформе Webinar.
Зарегистрироваться и оплатить участие можно по ссылке.