Какой антивирус можно использовать для защиты от вирусов на руке подключенной к isod МВД России
Обновлено: 21.11.2024
Компьютерные вирусы предназначены для использования недостатков или ошибок в программном обеспечении. Эти недостатки или ошибки, известные как уязвимости, могут позволить злоумышленникам получить доступ и управлять целевым компьютером, который, в свою очередь, становится точкой входа в сеть. Настольные компьютеры, ноутбуки, серверы, приложения и сетевые устройства могут служить точками доступа к важным и конфиденциальным данным округа. Обновления системы безопасности, исправления и программное обеспечение для защиты от вредоносных программ используются и внедряются ISD для защиты и смягчения угроз для общего состояния сети округа Сан-Матео.
Цель политики
Целью этой политики является активное управление вычислительными ресурсами округа Сан-Матео и предотвращение их заражения компьютерными вирусами и вредоносным кодом.
Область
Все пользователи сети округа Сан-Матео, в том числе лица, работающие с компьютерами или сетевыми системами, подпадают под действие положений этой политики. Подрядчикам, которым ISD/округ предоставил удаленный доступ, должна быть предоставлена копия этой политики, и они должны согласиться с ее содержанием, прежде чем им будет разрешен доступ к системам округа.
Политика
Защита от вирусов
А. Все компьютеры и файловые серверы, подключенные к сети округа Сан-Матео, должны быть настроены в соответствии с этой политикой следующим образом:
<р>1. Все компьютерные устройства должны иметь самую последнюю версию антивирусного программного обеспечения, которое было протестировано и одобрено ISD, установлено и активно работает на этих устройствах.2. Все компьютерные устройства должны быть настроены на автоматическое получение ежедневных обновлений файлов описаний вирусов из централизованно управляемых ресурсов, управляемых ISD.
3. Все файлы на компьютерных устройствах должны периодически проверяться на наличие вирусов
4. Пользователь не должен без одобрения ISD предпринимать действия по исключению своего компьютера из обновлений, охватываемых данным разделом.
Б. Исключение может быть сделано ISD в тех случаях, когда программное обеспечение для защиты от вирусов вмешивается в проприетарные прикладные процессы отдела и структуры базы данных. Перед внедрением несоответствующей конфигурации необходимо отправить отказ и подписать его начальнику отдела, ответственному за приложение/систему, и сотруднику по информационной безопасности (ISO). Все исключения должны быть смягчены другими формами защиты и требовать.
Управление исправлениями
А. ISD предоставляет и поддерживает распространенные исправления и обновления программного обеспечения для вычислительных устройств.
<р>1. Все компьютеры и файловые серверы, подключенные к сети округа Сан-Матео, должны быть настроены на получение обновлений и исправлений из централизованно управляемого ресурса.2. Все исправления должны быть развернуты ISD в разумные сроки с учетом уровня риска. ISD уделяет первоочередное внимание устранению уязвимостей, представляющих непосредственный риск для вычислительной среды округа. ISD придерживается следующих принципов расстановки приоритетов:
а. Все обновления, классифицированные поставщиком как «критические» с известными атаками, должны быть применены в течение 30 дней после выпуска.
б. Все обновления, классифицированные поставщиком как «критические», но не содержащие известных атак, должны быть применены в течение 45 дней после выпуска.
с. Все обновления, отнесенные поставщиком к категории «важных», должны быть применены в течение 60 дней после выпуска.
д. Исправления, не связанные с безопасностью, например те, которые обеспечивают дополнительную функциональность или устраняют проблемы с производительностью, должны быть завершены, как только будет завершено надлежащее тестирование.
4. Все новые устройства должны быть исправлены до текущего уровня, определенного поставщиком операционной системы, до того, как устройство будет подключено к сети округа.
5. Если централизованный автоматизированный инструмент округа нельзя использовать для установки исправлений, владелец приложения должен разработать процесс подготовки обновлений и обеспечить развертывание обновлений.
Б. Для управления исправлениями в системах с проприетарными приложениями перед установкой может потребоваться сертификация поставщиков исправлений, включающая рассмотрение базовой операционной системы.
<р>1. В случае, если отделу требуется исключение для установки исправления, любая уязвимость должна быть смягчена другими формами компенсирующих мер по согласованию с ISD. Исключение требует предварительного письменного отказа, подписанного руководителем отдела, ответственного за приложение/систему, и утвержденного ISO.Управление уязвимостями
А. ISD периодически оценивает безопасность компьютерных систем округа, проводя оценку уязвимостей и тестирование на проникновение путем сканирования вычислительных устройств.
<р>1.После этих оценок ISD должен рекомендовать исправления безопасности или другие компенсирующие элементы управления для повышения безопасности вычислительной среды.Группа реагирования на инциденты компьютерной безопасности (CSIRT)
А. В случае угрозы вычислительным ресурсам округа Сан-Матео или обнаружения известного эксплойта в операционной системе ISD будет сотрудничать с Группой реагирования на инциденты компьютерной безопасности округа (CSIRT) для рассмотрения инцидента компьютерной безопасности и реагирования на него.
<р>1. Роли и обязанности CSIRT заключаются в следующем:a. CSIRT состоит из одного представителя от каждого департамента или агентства округа.
б. ИТ-директор или назначенное им лицо выступает в качестве председателя CSIRT.
с. CSIRT должна установить и поддерживать механизм связи для обеспечения быстрой и эффективной связи между членами группы.
д. CSIRT должна создать и поддерживать официальную систему оповещения о вирусах для уведомления сообщества округа о вспышках вируса и рекомендуемых мерах.
Б. Любая система, признанная зараженной, должна быть помещена в карантин и удалена из сети. Система не сможет вернуться в сеть, пока заражение не будет устранено.
Другие правила округа
В округе действуют другие политики, включая, помимо прочего, Политику ИТ-безопасности и Политику удаленного доступа, которые касаются конкретных областей информационной безопасности. Отделы также могут иметь внутренние политики, относящиеся к предмету, связанному с конкретной работой отдела. В случае конфликта будут применяться политики, обеспечивающие максимальный уровень безопасности округа.
Применение правил
ISD оставляет за собой право отключить зараженную систему от сети, если ответственный отдел не сможет своевременно справиться с инфекцией. Любая система, нарушающая эту политику, может привести к отключению системы до тех пор, пока ситуация не будет исправлена.
Организации, нацеленные на деструктивные вредоносные программы в Украине
Обзор
Действия, которые необходимо предпринять сегодня:
• Настройте антивирусные и антивредоносные программы на регулярное сканирование.
• Включите надежные спам-фильтры, чтобы предотвратить попадание фишинговых писем к конечным пользователям.
• Фильтровать сетевой трафик.
• Обновление программного обеспечения.
• Требовать многофакторную аутентификацию.
В преддверии неспровоцированной атаки России на Украину злоумышленники развернули деструктивное вредоносное ПО против организаций в Украине, чтобы уничтожить компьютерные системы и вывести их из строя.
- 15 января 2022 г. Центр Microsoft Threat Intelligence Center (MSTIC) сообщил, что вредоносное ПО, известное как WhisperGate, использовалось для нападения на организации в Украине. Согласно Microsoft, WhisperGate предназначен для разрушения и предназначен для вывода целевых устройств из строя.
- 23 февраля 2022 г. несколько исследователей в области кибербезопасности сообщили, что вредоносное ПО, известное как HermeticWiper, использовалось против организаций в Украине. По данным SentinelLabs, вредоносное ПО нацелено на устройства Windows, манипулируя основной загрузочной записью, что приводит к последующему сбою загрузки.
Деструктивное вредоносное ПО может представлять прямую угрозу для повседневной деятельности организации, влияя на доступность критически важных ресурсов и данных. Вероятны дальнейшие разрушительные кибератаки на организации в Украине, которые могут непреднамеренно распространиться на организации в других странах. Организации должны повысить бдительность и оценить свои возможности, включая планирование, подготовку, обнаружение и реагирование на такое событие.
В этом совместном совете по кибербезопасности (CSA) Агентства по кибербезопасности и безопасности инфраструктуры (CISA) и Федерального бюро расследований (ФБР) содержится информация о вредоносных программах WhisperGate и HermeticWiper, а также индикаторы компрометации с открытым исходным кодом (IOC) для организаций. обнаруживать и предотвращать вредоносное ПО. Кроме того, этот совместный CSA содержит рекомендуемые рекомендации и рекомендации для организаций, которые следует учитывать в рамках сетевой архитектуры, базовых показателей безопасности, непрерывного мониторинга и практики реагирования на инциденты.
Нажмите здесь, чтобы открыть PDF-версию этого отчета.
Нажмите здесь, чтобы просмотреть STIX.
Технические детали
Субъекты угрозы развернули деструктивное вредоносное ПО, в том числе WhisperGate и HermeticWiper, против организаций в Украине, чтобы уничтожить компьютерные системы и вывести их из строя. Ниже перечислены общие сведения о кампаниях с использованием вредоносного ПО. CISA рекомендует организациям ознакомиться с перечисленными ниже ресурсами для более глубокого анализа и ознакомиться с разделом "Смягчение последствий" для ознакомления с передовыми методами обработки разрушительного вредоносного ПО.
15 января 2022 г. Microsoft объявила об обнаружении сложного вредоносного ПО, нацеленного на несколько организаций в Украине.Вредоносная программа, известная как WhisperGate, состоит из двух этапов: она повреждает основную загрузочную запись системы, отображает поддельную заметку о программе-вымогателе и шифрует файлы на основе определенных расширений файлов. Примечание. Несмотря на то, что во время атаки отображается сообщение о программе-вымогателе, Microsoft подчеркнула, что целевые данные уничтожены и не могут быть восстановлены, даже если выплачен выкуп. Дополнительную информацию см. в блоге Microsoft о деструктивных вредоносных программах, нацеленных на украинские организации, и см. IOC в таблице 1.
Таблица 1. IOC, связанные с WhisperGate
23 февраля 2022 г. специалисты по кибербезопасности сообщили, что вредоносное ПО, известное как HermeticWiper, использовалось против организаций в Украине. По данным SentinelLabs, вредоносное ПО нацелено на устройства Windows, манипулируя основной загрузочной записью и приводя к последующему сбою загрузки. Примечание: согласно Broadcom, «[HermeticWiper] имеет некоторое сходство с более ранними атаками вайпера WhisperGate на Украину, когда вайпер был замаскирован под программу-вымогатель». См. следующие ресурсы для получения дополнительной информации и см. IOC в таблице 2 ниже.
Читайте также: