Чи може wannacry або wannacry 2.0 бути призупинено або уповільнене лише з правами на читання для користувачів, встановлених через активний каталог

Припустимо, у мене є Active Directory.

Я створюю правила в Active Directory, надаючи обліковому запису обмежений доступ лише для читання.

Скажімо, тепер Wannacry ransomware вирушає через електронну пошту на комп'ютер користувача, чи зможе він поширюватися на мою мережу, оскільки всі мої користувачі мають обмежені права на читання і не можуть нічого писати?

З мого розуміння, відповідь була б не такою, але, як я чув, wannacry не потребує дозволу на читання для розповсюдження.

Велике спасибі за будь-які поради, які ви могли б дати.

Дякую.

Здається, ваше запитання зводиться до того, "Чи контролюють доступ керуючі черв'яки від розповсюдження?"

У загальному випадку відповідь "Можливо". Наявність елементів керування доступом є формою оборона в глибині Це означає, що це ще один бар'єр, який зловмисне програмне забезпечення має пробити, щоб зробити все, що він намагається зробити (поширити на інші системи, шифрувати сервери, вкрасти ваші дані).

Зазвичай більшість систем контролю доступу мають механізм, що дозволяє контролювати доступ конфігурації (тобто, якими є засоби управління доступом; які користувачі / IP-адреси / об'єкти дозволені / заблоковані тощо), які потрібно змінити. Таким чином, багато досліджень безпеки (як чорні капелюхи, так і білі капелюхи) спрямовані на механізм конфігурації системи контролю доступу, і що потрібно для отримання несанкціонованого доступу для зміни контролю доступу.

Отже, це один із способів: знайти експлуатат, який дозволяє зловмиснику легітимно зміни що дозволяється / забороняється на користь свого вектора атаки. Наприклад, отримання ескалації привілеїв адміністратору контролю домену, ймовірно, дозволить зловмисникам змінити налаштування AD, які дозволять розповсюджувати їх на мережевих дисках.

Іншим способом є пошук механізму контролю доступу, який можна обійти, навіть тоді, коли це виконується . Це програмний еквівалент прискореного швидкого проходження повз поліцейського, і навіть якщо поліцейський бачить вас, його автомобіль не може йти достатньо швидко, щоб наздогнати вас, і ви як-небудь виходите з правосуддя, хоча він вимагає резервного копіювання дороги.

Отже, замість зміни налаштувань, якщо ви знайдете такі вразливості, налаштування не має значення - залиште його "заблокованим" або "відключеним" для всіх підопічних зловмисника; він може ефективно відправляти корисне навантаження даних, яке якось переконує вашу систему в обробці даних зловмисника, як ніби це дозволено або включено.

Якщо у вас є частина мережевого програмного забезпечення з незакритою вразливістю, і хтось знає про цю вразливість, ви ніколи не будете в безпеці. Оскільки "нульовий день" уразливості виникають весь час, тому, ви ніколи не насправді безпечно; завтра може виникнути новий нульовий день, який би скористався новими подвигами.

Жоден контроль доступу не може остаточно запобігти всім формам такого роду атаки. Найбільш надійний спосіб запобігти зруйнуванню дня, подібного до cryptomalware, - це автономне резервне копіювання, яке не пов'язане з мережею. Є дуже мало векторів нападу, які можуть успішно використовувати слабкі місця у фізичній безпеці, і ті, які можуть, повинні бути дуже конкретно спрямовані на окремі об'єкти (крадіжка значка уповноваженого працівника і використання його для входу, наприклад, через незахищений вхід).

Існують інші механізми захисту в глибині поза межами контролю доступу, які можуть допомогти (але вони також не є панацеєю). Система виявлення вторгнень в мережу (NIDS), як і Snort, також може допомогти вам, виявляючи корисні навантаження на дріт і блокуючи їх, перш ніж вони навіть досягнуть вразливих систем. Вони використовують евристику і цільове узгодження зразків для виявлення відомих або потенційних спроб експлуатації і блокування їх. Багато з цих систем постачаються з якоюсь службою оновлення в реальному часі, яка застосовуватиме правила блокування, щоб відвернути відомі вектори атаки, як тільки вони виявляться, що часто може бути днями або тижнями, перш ніж ви зможете імунізувати всі ваші системи з патчем програмного забезпечення. Таким чином, вони зменшують ваш вікно вразливості.

Але ні, всі кращі практики захисту повністю поєднані з належним чином спрямованим пакетом експлуатацій, які використовують переваги недоступних уразливостей. Якщо це утримує вас уночі, йдіть або пишіть EAL7 сертифікована операційна система (і переконайтеся, що на ній не запускається жодного додаткового програмного забезпечення, яке не має того ж рівня сертифікації). Це єдиний спосіб бути математично позитивним на 100,0%, що не існує вразливостей. (Але навіть тоді, помилка користувача може призвести до неправильної конфігурації, що дозволяє уразливість в конфігурації бути експлуатованим - еквівалент мати абсолютно надійний замок дверей, а потім залишивши його розблоковано - ой. Він ніколи не закінчується.)