1 мар. 2014 г.

Все ли соединения из сети наружу вы контролируете? А зашифрованные? Ну и хрен с ними, да?

Меня всегда удивляли правила межсетевых экранов, где внутренним пользователям разрешаются какие угодно соединения наружу. Всем лень их контролировать, и никто не обучает администраторов об угрозах такой беспечности. Возможно люди считают, что NAT надежно скрывает пользователей от атак из Интернет.

Как известно современные хакеры не приходят сами во внутреннюю сеть, они раскладывают по различным ресурсам Интернет "закладки" и ждут когда кто-нибудь на них клюнет. Для кого-то из жертв путь в лапы хакера начинается с сайта с играми, для кого-то это взломанные сайты, на которых размещены незаметно загрузчики троянов, для кого-то это торренты, креки, ну и конечно различные "оптимизаторы Windows" и другие "полезные" или "интересные" ресурсы.

Как только человек попался и его браузер или торрент скачал "нужную" программу, то он уже сам по сути запускает программу, которая изнутри соединяется с хакером и спрашивает что дальше делать.

Хакер заходит на этот компьютер и смотрит что ему интересно: файлы, соседние компьютеры, получает звук, видео, нажатия клавиш с этого компьютера. Например, для этого может быть использовано приложение PoisonIvy.

К чему я клоню? Надо бы озаботиться соединениями своих пользователей и разрешать только те соединения которые вы понимаете. Понимаете что они полезные. А остальные может и не нужны?

Для этого существуют продукты которые разбирают соединения и показывают что внутри за приложения, могут их расшифровать, проверить передаваемые файлы, проверить URL, IP на предмет наличия из в черном списке или репутационной базе.

Все что нужно в арсенале безопасника уже придумано - осталось начать пользоваться.