Gå til innhold

DNB setter først nå inn tiltak som kan hindre spredning av kryptovirus

NTB - digi

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
3FKY9EYR

3FKY9EYR

Skrevet
Skrevet

Såh..DNB har laget en GPO som instruerer Windows-brannmuren på klienten til kun å akseptere forbindelser fra servere?

 

Ja det burde alle selskaper implementere. De færreste organisasjoner har behov for at en PC ser kollegaens PC (den tilbyr jo ikke tjenester). PC-er har normalt bare behov for å nå 1) printere/scannere, 2) servere og 3) Internett. Mot 1) og 2) kan en i tillegg stramme godt inn på det som trenger være åpent.

Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet

Trudde det var pvlan jeg. Samt 802.11x

Nja, jeg ville helt klart startet med en brannmur-GPO. Det er en lavthengende frukt som er enkel å sette opp og gir god effekt. Private vlan er 'mer solid' men også mer krevende å sette opp men kanskje nettopp bankmiljø er steder hvor man *bør* sette opp tyngre sikkerhet?

 

802.11x tror jeg ikke er et tema her, ser ikke for meg i farta om det vil ha noen effekt på sidelengs bevegelse i nettverket.

  • Liker 1
Lenke til kommentar
3FKY9EYR

3FKY9EYR

Skrevet
Skrevet

 

Såh..DNB har laget en GPO som instruerer Windows-brannmuren på klienten til kun å akseptere forbindelser fra servere?

Trudde det var pvlan jeg. Samt 802.11x

Målbildet må være at du ikke kan se andre PC-er. Da pvlan eller vlan terminert direkte i FW en løsning. Mht. trådløse PC-er så må de få tildelt privat link-nett slik at de blir påtvunget ruting til andre PC-er slik at trafikken kan fanges i FW og stoppes.

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet (endret)

Nja, jeg ville helt klart startet med en brannmur-GPO. Det er en lavthengende frukt som er enkel å sette opp og gir god effekt. Private vlan er 'mer solid' men også mer krevende å sette opp men kanskje nettopp bankmiljø er steder hvor man *bør* sette opp tyngre sikkerhet?

 

802.11x tror jeg ikke er et tema her, ser ikke for meg i farta om det vil ha noen effekt på sidelengs bevegelse i nettverket.

Ment selvsagt 802.1x, vi bruker det sammen med pvlan og radius som gir tilganger basert på policy og grupper i AD. 

Vår GPO bruker også applocker i stor grad slik at kun godkjente programmer kan kjøre på de maskinene av de brukerne. 

MFA er videre brukt utstrakt basert som utløses basert på bruksmønster ikke funksjon selv om noen tjenester kraver MFA hele tiden av alle som har tilgang til dem.

 

Har selvsagt flere tiltak som dekker hele verdikjeden i det vi holder på med for IT og sammenkoblinger, veien her vi er nå har tatt tid, og vi har  enda en lang vei igjen vi blir aldri ferdig da nye trusler kommer hele tiden som vi må beskytte våre brukere i mot. når det kommer til stykke så er vår største risiko brukerne uansett hvor mange vegger eller hvor mye vi segmenter nett,tilgagner og applikasjoner så er det brukerne som kan gjøre feil. så det er sikkerenhets(virksomhetkultur)  må man også bygge sammen med tiltak på IT siden   

Endret av -Night-
Lenke til kommentar
belsebobb

belsebobb

Skrevet
Skrevet

Vel. Når har ikke jeg leste hele angreps rapporten. Men en gpo for å blokke maskin til maskin ville ikke nyttet på typen skadevare som traff hydro. Men, det kan hjelpe mot andre typer.

 

Whitelisting er viktig som noen sier her. Blokker ukjente filer via hash.

 

Iom. Angepet mot hydro var et dobbelt angrep etter jeg fikk med meg (AD med priv esc og gpo app distribuering av skadevaren) så ville jeg hatt følgende:

Whitelisting

Iam med skikkelig polp og pam samt overvåking av endringer i gpo.

Fjernet eventuell trust mellom domener (siden det greide spre seg helt til prosess nett, så antar jeg de er linket).

Et eller annet vuln. Scan system med anomoly detect.

 

Og mye mer:)

Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet

Vel. Når har ikke jeg leste hele angreps rapporten. Men en gpo for å blokke maskin til maskin ville ikke nyttet på typen skadevare som traff hydro. Men, det kan hjelpe mot andre typer.

Så vidt jeg kan forstå så har de angrepet AD og gått derfra mot klientene. Har du først erobret AD hjelper ikke klientbrannmur eller pvlan stort. Klientbrannmur hindrer først og fremst sidelengs bevegelse i nettverket. Noe som indirekte beskytter serverne siden du da vanskeliggjør angrep på admin sine klienter.

 

 

Og mye mer:)

Jepp. Det er summen av tiltak som gir god datasikkerhet. Det må patches, herdes, låses, dokumenteres, reservekopieres, isoleres og overvåkes. :)
Lenke til kommentar
Sandormen

Sandormen

Skrevet
Skrevet

Har det blitt gitt ut noen detaljer om hvordan angrepet hadde skjedd?

Ikke direkte, det får vi heller sannsynligvis ikke.

Men av det man kan lese forskjellige steder, kan man trekke sannsynlige ‘konklusjoner’. -Og om de fikk kontroll over Active Directory, AD, har de kommet riktig dypt inn i systemet. ?

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...