Задать вопрос

Какие есть неочевидные способы обнаружения вирусов в сети?

Обнаружение и обезвреживание вирусов - общая проблема компаний любого масштаба. Здесь, по моему мнению, нет конкурентов, все мы в одной лодке.

Коллеги, кто использует неочевидные методы (не включаемые в состав IPS или редко включаемые) поиска зараженных машин в своей сети, косвенные, нетривиальные, прошу помочь советом, поделиться своим опытом.

Заранее благодарен.
  • Вопрос задан
  • 3145 просмотров
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
Deerenaros
@Deerenaros
Программист, математик, задрот и даже чуть инженер
Возможно, кому-то открою Америку, но.. Мозгами.

Собственно, если нет возможностей использовать *nix'ы, то выход один - сильно повысить граммотность пользователей сетей. Граммотно используемая система не даст ни одного шанса пробратся вирусу в систему, за исключением, офк, огромнейших дыр в безопасности.

То есть, настраиваем групповые политки, только то, что нужно для работы. Остально - или нафиг, или в sandbox'е.

К слову - sandbox'ы интересная штука. Не так давно провёл эксперимент, превзошедший все ожидания: поставил и настроил chromium-based браузер, который всё сохраняет в sandbox'ах. Всё что скачивается попадает, так сказать, в root-овый sandbox. Любой исполняемый файл запускаемый внутри sandbox'а получает свой собственный полностью изолированный sandbox. На чтение - всё в пределах root'а, на запись - только в себя. Единственный способ получить полный доступ к файловой систем - запустить из вне, но это может только админ. Как он превзошёл все ожидания? Да хз, вирусы не измерял, но стало возможным нормально сёрфить прон =)

Ну и ещё - все сервера только *nix'овые, root только с локалки, sudo хочет рутовый пароль, который знает только админ, ssh на отдельные пароли длиной в 8 символов из чего угодно.
Ответ написан
morgane
@morgane
analyse comportementale
Можете добавить анализ входящей электронной почты на предмет вложений исполняемых файлов, скриптов, ссылок.
Сначала ручной разбор, если удивитесь найденному то пробуйте mail gateway.
Ответ написан
Комментировать
Задача защиты от вредоносного кода (вирусы и прочее) должна решаться комплексно:
- жесткие, но разумные ограничения (Интернет, права пользователей, устанавливаемое ПО, подключаемые устройства и т.д.)
- антивирусная защита в несколько уровней (несколько вендоров, это сложнее поддерживать, но и сложнее обойти)
- политика обновления ПО (ОС, прикладного ПО, прошивок оборудования)
- мониторинг трафика (IDS/IPS, сервисы фильтрации DNS трафика, блокировка неиспользуемых протоколов)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы