Мастер-класс «Применение Application Whitelisting для защиты от шифровальщиков и нежелательных программ»

Проводится: 17.05.2022 с 12:00 по 13:00 . Автор: КОД ИБ. Категории: Мероприятия
Мастер-класс

На мастер-классе мы разберем:

Что такое Application Whitelisting (AWL)

  • В чём принципиальное отличие Whitelisting от Blacklisting, в каких областях используется Whitelisting (Firewalls, FileSystems, AccessControl)
  • Какое место занимает AWL в классификации средств защиты (AWL дополняет антивирус, but is not AV in any kind) (Australian DoD top 20 Security Controls)
  • От чего можно защититься с помощью AWL, а от чего нельзя (AWL очень эффективна, but is not a Panaceia)

Как можно задействовать AWL:

  • Встроенные средства ОС: GPO SRP, AppLocker, Device Guard, Smart App Control
  • Сторонние продукты: касперский, bit9, lumension, pcmatic, etc

Основные вызовы

  • Прямая поддержка руководства высшего уровня, без этого никакая технология безопасности не может быть внедрена вообще
  • Безопасность = ограничения. Но всегда найдётся кто-то, недовольный новыми ограничениями, и вам нужно будет уметь разбираться с заявками «ИТ не даёт мне работать»
  • Инструменты не создают процессы, а помогают исполнять существующие. Кто-то должен принять ответственность за учёт и утверждение аппликаций, политика лишь исполнит этот учёт
  • AWL — это культурный сдвиг в работе в первую очередь ИТ, поэтому начинать внедрение следует с ИТ (Discipline as a Core Tenet)
  • Запреты/блокировки запуска рандомных программ [например, с USB] должны сопровождаться улучшениями методов установки программ, такими как WDS/WSUS/SCCM

Фреймворк внедрения технологии

  • Назначение ответственных персон с опытом и готовностью принять ответственность за внедрение, готовых тратить на это человеко-часы (как разработчик, так и исполнители)
  • Инвентаризация [разрешённого] программного обеспечения, согласование мест его хранения/запуска (Know Your Environment)
  • Длительное наблюдение за системой, предварительный аудит списка реально запускаемых программ
  • Ответственная персона должна принимать решения, что делать с обнаруживаемыми несоответствиями политики (Переместить в Разрешённые Пути, Добавить Путь в Разрешённые, Запретить Использование)
  • Определяется целевая аудитория, технология внедряется пошагово с возможностью отката
  • Incident Response: ИТ-поддержке даются инструкции, как действовать в той или иной проблемной ситуации (перестали работать важные программы или нужно установить новую)
  • Важно наличие обратной связи пользователей с поддержкой, а поддержки с разработчиком

Практика 1 — Попробуйте дома

  • Аудит одиночной рабочей станции
  • Построение базовой политики SRP на одиночной рабочей станции
  • Обнаружение нестыковок и доработка политики
  • Временное снятие блокировок для установки новых программ

Практика 2 — Active Directory

  • Проблематика аудита большого количества машин
  • Построение базовых политик SRP в домене Active Directory
  • Уведомления на почту при обнаружении блокировок
  • Решение специфических проблем (наклеечные принтеры, автокад со рандомными ехе в папке Temp)
  • Делегирование полномочий и развитие структуры политик в домене

Практика 3 — Методы обхода политик

  • Использование разрешённых для записи папок (показать AccessEnum + запуск USB RubberDucky?)
  • Скрипты и макросы (показать xlsm)
  • Exploits (показать metasploit против msoffice или firefox)

Что получат участники:

1. Презентацию доклада

2. Запись мастер-класса


Ведущий мастер-класса

Петр Губаревич, OlainFarm/ IT Infrastructure Manager/Ethical Hacking Trainer.

Специалист по информационной безопасности, регулярно выступающий с докладами на IT-конференциях в Европе, России, Китае.

С 2000 года — инструктор курсов MS Windows Server, с 2012 года — инструктор курса этичного взлома (CEH)

Неоднократно был отмечен наградой Microsoft MVP: Enterprise Security.

В текущий момент является руководителем отдела IT-инфраструктуры фармацевтического завода OlainFarm (Latvia).


Условия участия

Стоимость участия в онлайн мастер-классе — 1 500 руб.

Оплатить участие можно банковской картой непосредственно на платформе Webinar при регистрации.


Когда и где

Мастер-класс состоится 17 мая в 12:00 Мск.
Мастер-класс будет проходить в формате онлайн на платформе Webinar.
Зарегистрироваться и оплатить участие можно по ссылке.

По расписанию Мероприятия

Об авторе КОД ИБ

Мероприятия «Код информационной безопасности» от агентства бизнес-событий «Экспо-Линк».
Читать все записи автора КОД ИБ

Добавить комментарий

Ваш адрес email не будет опубликован.