BitterLemon
New member
Здравствуйте. Хочется услышать компетентное мнение касательно аудита системы и анализа утечек информации
Это своеобразная игра в мафию.
Условия:
- Компьютеры с OS Windows 7/8/10
- Физический доступ ко всем ПК. Белый подход, взламывать ничего не требуется
- Состояние ОС близкое к умолчанию, скорее всего у пользователя имееются права администратора
- Теоретически, на компьютерах может быть уже установлены любые вредноносные программы (А может и нет)
- Теоретически, вредноносное ПО возможно "ждёт, чтобы его обнаружили" и готово принять меры
- Состояние антивирусной защиты - неизвестно
Факт 1. В компании есть утечка информации. Кто сливает - неизвестно. Систем контроля (DLP/etc) нет.
Факт 2. С помощью изучения человеческого фактора - не было выяснено кто может слить данные.
Факт 3. Сотрудники уже знают что подозревают любого, было время замести следы.
Факт 4. Крот может быть беспрецендентно глуп и может спалиться на чем угодно.
Задачи:
- За максимально длительный период работы конкретных компьютеров определить ФАКТ утечки информации. Важна сама доказательная часть, конкретно что утекло - уже не так важно. Важно поймать крота.
Можно идти по пути "ловушки", можно найти факт утечки и убрать крота. Подойдёт любой способ.
Время ограничено - несколько суток на десяток компьютеров
Разное:
- Если сканирование разнообразнейшими средствами анти-вирусной/spy/mal/meterpreter ничего не даст, не будет фактов заражения либо вторжения - откуда брать факты воровства информации?
- В дефолтной ОС через расширенные опции извлечения истории (Thumbs/SystemLog/Temp/LastActivityView) можно найти факт подключения устройств (USB и прочих) - но по факту это уже ничего не даёт. (Или даёт?)
- Можно спарсить с каждого компьютера все логины-пароли, все явки на сайты и прочее - сопоставить, как и куда могли загружать корпоративные файлы
- На активном сетевом оборудовании логов нет
Как можно организовать толковую ловушку с помощью любых средств? Бюджет предпологается обширный. Компьютеры можно модифицировать на своё усмотрение.
Реинстал ОС с внедрением DLP либо любых других средств - самое толковое решение, но это потом. Есть шансы найти кто сливал инфу на дефолтной ОС ?
Буду рад помощи, заранее спасибо!
Это своеобразная игра в мафию.
Условия:
- Компьютеры с OS Windows 7/8/10
- Физический доступ ко всем ПК. Белый подход, взламывать ничего не требуется
- Состояние ОС близкое к умолчанию, скорее всего у пользователя имееются права администратора
- Теоретически, на компьютерах может быть уже установлены любые вредноносные программы (А может и нет)
- Теоретически, вредноносное ПО возможно "ждёт, чтобы его обнаружили" и готово принять меры
- Состояние антивирусной защиты - неизвестно
Факт 1. В компании есть утечка информации. Кто сливает - неизвестно. Систем контроля (DLP/etc) нет.
Факт 2. С помощью изучения человеческого фактора - не было выяснено кто может слить данные.
Факт 3. Сотрудники уже знают что подозревают любого, было время замести следы.
Факт 4. Крот может быть беспрецендентно глуп и может спалиться на чем угодно.
Задачи:
- За максимально длительный период работы конкретных компьютеров определить ФАКТ утечки информации. Важна сама доказательная часть, конкретно что утекло - уже не так важно. Важно поймать крота.
Можно идти по пути "ловушки", можно найти факт утечки и убрать крота. Подойдёт любой способ.
Время ограничено - несколько суток на десяток компьютеров
Разное:
- Если сканирование разнообразнейшими средствами анти-вирусной/spy/mal/meterpreter ничего не даст, не будет фактов заражения либо вторжения - откуда брать факты воровства информации?
- В дефолтной ОС через расширенные опции извлечения истории (Thumbs/SystemLog/Temp/LastActivityView) можно найти факт подключения устройств (USB и прочих) - но по факту это уже ничего не даёт. (Или даёт?)
- Можно спарсить с каждого компьютера все логины-пароли, все явки на сайты и прочее - сопоставить, как и куда могли загружать корпоративные файлы
- На активном сетевом оборудовании логов нет
Как можно организовать толковую ловушку с помощью любых средств? Бюджет предпологается обширный. Компьютеры можно модифицировать на своё усмотрение.
Реинстал ОС с внедрением DLP либо любых других средств - самое толковое решение, но это потом. Есть шансы найти кто сливал инфу на дефолтной ОС ?
Буду рад помощи, заранее спасибо!
