Доверяй, но проверяй. Мониторинг ПК, полученных из доверенных источников

Доверяй, но проверяй. Мониторинг ПК, полученных из доверенных источников

Покупал я тут как-то домой ноутбук HP с предустановленной виндой. Все хорошо, пока ты не понимаешь, что помимо собственно самой операционной системы она напичкана кучей каких-то непонятных системных приложений от HP, которые призваны помочь мне сделать работу с ноутбуком незабываемой и комфортной. Там и средства диагностики, и какая-то аналитика, и средства восстановления, и командный центр, управляющий скоростью вентилятора и уровнем его шума, и средства управления звуком, и инструменты обновления драйверов и много чего еще. Такая история не только у HP, но и у Lenovo, Acer, Asus, Dell и т.п.

И вот приносите вы свой ноутбук на работу (у вас же продвинутая компания и разрешила приносить свои устройства), подключаете к сети и… бац, ваш комп карантинят, а вам звонит сотрудник службы ИБ и утверждает, что ваш компьютер заражен вредоносной программой. Вы уверены, что этого не может быть и начинаете разбираться в происходящем.

Анализ показывает, что предустановленный на ноутбуке под системной учетной записью HP Support Assistant умеет следующее:

  • Модифицировать файлы
  • Читать настройки и конфигурацию компьютера
  • Получать доступ к системным сервисам
  • Посылать контрольные коды сервисам
  • Прослушивать входящие сетевые соединения
  • Искать IP-адреса в памяти и исполняемых файлах
  • Изменять настройки политик
  • Изменять настройки прокси
  • Читать ключи реестра для установленных приложений
  • И много чего еще.

И вроде это доверенный производитель, который поставляет доверенное ПО (доверенное ли), но не слишком ли много у него возможностей, так похожих на то, чем обладают вредоносные программы? И как мне настраивать EDR? Включать эти системные утилиты в белый список разрешенных приложений? Но это приводит к появлению большой дыры, которой могут воспользоваться злоумышленники. А может просто отключить эти системные утилиты или удалить их? Ведь в корпоративной среде они не особо и нужны — весь функционал может быть реализован корпоративно управляемым ПО. Этот же предустановленный софт только отжирает память и… А что еще он делает?

Различные исследования показывают, что почти у всех производителей ноутбуков в системном ПО, которые они устанавливают на ноутбуки, имеются уязвимости, позволяющие выполнить произвольный код с системными правами. Более того, эти утилиты часто не проверяют целостность загружаемых обновлений, не используют защищенных соединений, а  прилагаемые к обновлениям файлы SBOM могут быть не подписаны производителем. А если добавить сюда используемое некоторыми вендорами шифрование URI серверов обновления и установку патчей и ПО без согласия пользователя?

В целом получается не очень радужная картинка. С одной стороны BYOD и все плюшки от возможности снизить нагрузку на ИТ и бухгалтерию, а с другой — появление новых задач у корпоративного SOCа и службы ИБ. В централизованно покупаемых ноутбуках вы можете определять их конфигурацию и самостоятельно предустанавливать нужно вам ПО, описав для ноутбука свой профиль и для EDR, и для NDR, и для систем мониторинга, снизив число ложных срабатываний.   

А вот разрешая личные устройства, надо понимать, что работы у SOCа прибавится и придется строить сложные правила, учитывающие описанные нюансы. Также придется реализовать один из следующих вариантов:

  • требовать от работников приносить все компы в ИТ и переустанавливать на них корпоративный имидж ПО (либо автоматизировать данную процедуру и дать ее реализовывать удаленно)
  • требовать от работников удалять все лишние приложения или делать это автоматически за счет централизованно раскатываемого на все BYOD-устройства системного ПО
  • включать для новых, ранее нефиксируемых в корпоративной сети устройств, особую политику EDR, которая будет учитывать, что не каждая программа, умеющая читать реестр, слушать внешний трафик и скачивать ПО, является изначально вредоносной.

В любом случае, корпоративный или аутсорсинговый SOC — это не вещь в себе, которая живет по своим правилам без оглядки на происходящее у “смежников”. Лучше знать, по каким законам живет ИТ и к чему они могут привести, чтобы не было сюрпризов и из-за жесткой политики ИБ новый купленный генеральным директором ноутбук не был заблокирован на порту коммутатора только потому, что SIEM принял активность нового устройства за вредоносную и внес его в черный список.

Заметка Доверяй, но проверяй. Мониторинг ПК, полученных из доверенных источников была впервые опубликована на Бизнес без опасности .

Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!