Bezpieczeństwo urządzeń końcowych

Bezpieczeństwo urządzeń końcowych

urządzenia końcowe są głównym celem ataków zawierają cenne dane i stanowią punkt dostępu do sieci firmowej. Praca zdalna zwiększa ryzyko a atak na jedno urządzenie może zagrozić całej firmie. Kluczowe zabezpieczenia to VPN i MFA, aktualizacje i edukacja

MFA

MFA to dodatkowa warstwa zabezpieczeń wymagająca więcej niż jednej metody uwierzytelniania. Standardowe hasło nie wystarczy, trzeba jeszcze potwierdzić np: hasło+kod SMS hasło+odcisk palca hasło+klucz bezpieczeństwa

Najważniejsze obszary ochrony Endpointów

Oprogramowanie zabezpieczeń AV EDR szyfr Aktualizacje Świadomość userów Ograniczanie dostępu do danych MFA i RBAC Monitoring i szybka reakcja Backupy i odzyskiwanie danych Audyty i testy penetracyjne

EDR

Endpoint detection and response monitoruje aktywność urządzeń końcowych w czasie rzeczywistym wykrywa podejrzane zachowania i automatycznie reaguje na zagrożenia np blokując ataki lub izolując zainfekowany system

RBAC

Role based access control System kontroli dostępu, który nadaje userom uprawnienia w oparciu o ich rolę w organizacji np księgowa do faktur a nie do kodu źródłowego firmy

Testy penetracyjne

Symulowane ataki na systemy IT organizacji, wykonywane przez etycznych hakerów (pentesterów) którzy sprawdzają czy można przełamać zabezpieczenia i wskazują słabe punkty do poprawy

Threat intelligence

Threat intelligence to zbiór info o zagrożeniach, które mogą wystąpić w sieci, obejmujący dane o atakujących, ich TTP. Zbieranie i analiza tych danych pozwala organizacjom przygotować się na potencjalne ataki. i identyfikować zagrożenie

Threat hunting

aktywne poszukiwanie zagrożeń w systemach zanim dojdzie do incydentu. Proces manualny oparty na analizie danych z systemów w celu identyfikacji nowych nieznanych zagrożeń które mogą umknąć tradycyjnym systemom wykrywania

SIEM

SIEM security information and event management to platforma, może np łączyć się z EDR, zbiera i analizuje dane z organizacji, pozwala wykrywać zagrożenia teraz analizuje dane generuje alerty umożliwia szybkie reaf kluczowe narzędzie organizacji

Podstawowe procesy systemu Windows

System IDLE info bezczynność CPU SYSTEM zarządzanie operacjami SERVICE EXE serwisy systemu WINIT EXE on podczas startu EXPLORER EXE interfejs graficzny LSASS EXE polityki bezpieczeństwa SVCHOST EXE uruchamia setwisy SPOOLSV od print WINLOGON za logowanie

Sysinternals

zestaw narzędzi od Microsoft. zaawan do rozwiązywaniu problemów i analizy systemu EXPLORER rozszerzenie Task menager AUTORUNS pozwala usuwać zbędne procesy, wydajność MONITOR monitoring teraz TCP VIEV show TCP UDP DISK2VHD ACCESCHK SIGHHEC PSEXEC komendy

Sysmon

Sysmon to część z Sysinternals do monitorowania systemu Windows celem detekcji zagrożeń i siedzenia aktywności. podobny do EDR trochę. LOGOWANIE ZDARZEŃ SZCZEGÓŁOWE INFO IoCs Threat hunting Dostosowanie do potrzeb organizacji Integracja z SIEM

Windows event logs

system do rejestrowania i przech info o zdarzeniach w Windows. Pozwala śledzić działania w systemie pojęcia: struktura logów ID i kategorie zdarzeń poziomowanie zdarzeń monitoring i analiza przetrzymywanie logów