На мастер-классе мы разберем:
Что такое Application Whitelisting (AWL)
- В чём принципиальное отличие Whitelisting от Blacklisting, в каких областях используется Whitelisting (Firewalls, FileSystems, AccessControl)
- Какое место занимает AWL в классификации средств защиты (AWL дополняет антивирус, but is not AV in any kind) (Australian DoD top 20 Security Controls)
- От чего можно защититься с помощью AWL, а от чего нельзя (AWL очень эффективна, but is not a Panaceia)
Как можно задействовать AWL:
- Встроенные средства ОС: GPO SRP, AppLocker, Device Guard, Smart App Control
- Сторонние продукты: касперский, bit9, lumension, pcmatic, etc
Основные вызовы
- Прямая поддержка руководства высшего уровня, без этого никакая технология безопасности не может быть внедрена вообще
- Безопасность = ограничения. Но всегда найдётся кто-то, недовольный новыми ограничениями, и вам нужно будет уметь разбираться с заявками «ИТ не даёт мне работать»
- Инструменты не создают процессы, а помогают исполнять существующие. Кто-то должен принять ответственность за учёт и утверждение аппликаций, политика лишь исполнит этот учёт
- AWL — это культурный сдвиг в работе в первую очередь ИТ, поэтому начинать внедрение следует с ИТ (Discipline as a Core Tenet)
- Запреты/блокировки запуска рандомных программ [например, с USB] должны сопровождаться улучшениями методов установки программ, такими как WDS/WSUS/SCCM
Фреймворк внедрения технологии
- Назначение ответственных персон с опытом и готовностью принять ответственность за внедрение, готовых тратить на это человеко-часы (как разработчик, так и исполнители)
- Инвентаризация [разрешённого] программного обеспечения, согласование мест его хранения/запуска (Know Your Environment)
- Длительное наблюдение за системой, предварительный аудит списка реально запускаемых программ
- Ответственная персона должна принимать решения, что делать с обнаруживаемыми несоответствиями политики (Переместить в Разрешённые Пути, Добавить Путь в Разрешённые, Запретить Использование)
- Определяется целевая аудитория, технология внедряется пошагово с возможностью отката
- Incident Response: ИТ-поддержке даются инструкции, как действовать в той или иной проблемной ситуации (перестали работать важные программы или нужно установить новую)
- Важно наличие обратной связи пользователей с поддержкой, а поддержки с разработчиком
Практика 1 — Попробуйте дома
- Аудит одиночной рабочей станции
- Построение базовой политики SRP на одиночной рабочей станции
- Обнаружение нестыковок и доработка политики
- Временное снятие блокировок для установки новых программ
Практика 2 — Active Directory
- Проблематика аудита большого количества машин
- Построение базовых политик SRP в домене Active Directory
- Уведомления на почту при обнаружении блокировок
- Решение специфических проблем (наклеечные принтеры, автокад со рандомными ехе в папке Temp)
- Делегирование полномочий и развитие структуры политик в домене
Практика 3 — Методы обхода политик
- Использование разрешённых для записи папок (показать AccessEnum + запуск USB RubberDucky?)
- Скрипты и макросы (показать xlsm)
- Exploits (показать metasploit против msoffice или firefox)
Что получат участники:
1. Презентацию доклада
2. Запись мастер-класса
Ведущий мастер-класса
Петр Губаревич, OlainFarm/ IT Infrastructure Manager/Ethical Hacking Trainer.
Специалист по информационной безопасности, регулярно выступающий с докладами на IT-конференциях в Европе, России, Китае.
С 2000 года — инструктор курсов MS Windows Server, с 2012 года — инструктор курса этичного взлома (CEH)
Неоднократно был отмечен наградой Microsoft MVP: Enterprise Security.
В текущий момент является руководителем отдела IT-инфраструктуры фармацевтического завода OlainFarm (Latvia).
Условия участия
Стоимость участия в онлайн мастер-классе — 1 500 руб.
Оплатить участие можно банковской картой непосредственно на платформе Webinar при регистрации.
Когда и где
Мастер-класс состоится 17 мая в 12:00 Мск.
Мастер-класс будет проходить в формате онлайн на платформе Webinar.
Зарегистрироваться и оплатить участие можно по ссылке.
