О пользе security awareness programs
Apr. 21st, 2016 11:37 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineКомпания получила рассылку Драйдекса, потому что почтовый фронтэнд его пропустил.
Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.
Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.
И о перспективах детекции Драйдекса антивирусами:
Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.
Выводы наши читатели делают сами
Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.
Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.
И о перспективах детекции Драйдекса антивирусами:
Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.
Выводы наши читатели делают сами
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-04-21 05:57 pm (UTC)1. Шлюз в любом случае пропустит 0day сабж в виде docx
2. Антивирус на Exch - тоже
3. Антивирус на компе - тоже
4. И только если в GPO стоит "НАХУЙ не подписанные нашим сертификатом макросы" есть шанс не подцепить
5. Ну и SRP понятно
Кстати вот тут парни делают отличную штуку)
https://www.foolishit.com/cryptoprevent-malware-prevention/
Как минимум позволяет выцепить целый список грамотных масок для SRP в сером режиме
(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:no subject
Date: 2016-04-21 06:36 pm (UTC)Может там из 1000 человек открыло-бы 500, а не 100.
Но в целом да, хреново :(
(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:(no subject)
From:no subject
Date: 2016-04-21 08:03 pm (UTC)Edit: Nvm, я понял, это внутренний номер, название штата сверху, и разрешения камеры не хватает, чтобы его рассмотреть.
no subject
Date: 2016-04-22 04:06 pm (UTC)http://pikabu.ru/story/komanda_dlya_obkhoda_windows_applocker_umeshchaetsya_v_odin_tvit_4152504
(no subject)
From:(no subject)
From:(no subject)
From:no subject
Date: 2016-04-22 10:01 pm (UTC)Хипс должен был алертнуть на нечто, врубающее из темпа рандлл, не? Или на клиентах ничего не стоит?
(no subject)
From:(no subject)
From:(no subject)
From: