iT邦幫忙

2023 iThome 鐵人賽

DAY 21
0
自我挑戰組

我是超級工具人系列 第 21

《我是超級工具人》20-全境封鎖

  • 分享至 

  • xImage
  •  

自從被勒索病毒攻擊數次後
我就患上了強迫症,請外包把所有RDP都關閉
只準靠Anydesk讓同仁遠端回來連線
在知識量不足的情況下
僅知道Teamviewer有被入侵的風險,才會出此下策
其實像這種透過第三方伺服器的遠端桌面連線軟體
無論是Teamviewer、還是Anydesk
都是不安全的軟體
因為他們的運作方式是使用者->第三方伺服器->電腦
而如果是VPN,則是使用者->公司內防火牆的VPN->電腦
防火牆只要有簽硬體保固就能更新韌體
比起依靠別人的伺服器,靠自己還實在些
但當時沒有任何人教怎麼設定VPN
前輩們也不會設定防火牆的VPN
才導致使用這種方法連線

這就證明了幾件事

  1. 對公司任何設備都要簽保固協定
  2. 有保固協定,才能更新韌體修補漏洞
  3. 禁止所有遠端連線軟體
  4. 所有端點都要有防毒軟體

下面是換了防火牆才開始建立的規則
有些牌子的NGFW會內建應用程式的IP,只要封鎖相關服務即可

因為被駭太多次了
我決定從頭開始解決防毒軟體的問題
以當時的功力來說我也只知道硬體防火牆要顧好,防毒要建好
找來當初賣防毒的工程師重新檢視政策
才發現白名單沒有建立
也難怪以前的資訊不敢將防毒安裝在主機上

但是這樣又有一個問題
就是如果該程式被植入惡意程式
就沒有辦法掃到了
例如Sunburst的供應鏈攻擊

理論上安裝系統、與導入軟體時
我們要知道這些東西安裝的資料夾、以及預設要開啟的通訊埠
這樣才能加入防火牆與防毒軟體白名單
幸好唯一只有BI的派報系統會被防毒誤刪
其他的系統則是將資料夾加入白名單後解決
總算是讓公司安全了些
以前是裸奔
現在有輕型防彈背心


上一篇
《我是超級工具人》19-有一就有二,無三不成禮
下一篇
《我是超級工具人》21-EDR、MDR、XDR在嗄什麼
系列文
我是超級工具人32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言