Как защитить корпоративную сеть ?

[0way]

В общем расписал на сколько было возможно все выше описаное не гарантирует прям убер безопасность но убережет сеть от неприятных последствий.
Обновляй все что можно обновить роутеры оси и все прочее.

завтра лайков наставлю, сегодня лимит.

 

[0way]

я понимаю что человеческий фактор 80% проруба)) но я думаю нужно всех новеньких нужно инсктрутировать так, что бы не открывали ссылки в письме

 

[National Hazard Agency]

Куда опаснее вордовские докумены в письмах так что в обяз воткни нормальный ав + запрети всем сотрудникам включать макросы в вордовских документах!

 

[0way]

Вообще у меня тема в голове такая, что дроп бокс это полное говно, во первых потому что все юзеры качают все документы, во вторых они могут их использовать при устройстве на другую работу.

Просто я создал вчера челу новую админку, а чел как бы безопасник( не информационный) а просто что бы следил где огнетушители были в норме и прочее, и когда я увидел что ему на ноут качается все 90гб всей информации о компании, причем даже коммерчиские предложения... по сути зачем они ему??!! я и думаю предложить иерархическую систему типа owncloud/nextcloud

 

[National Hazard Agency]

Вообще у меня тема в голове такая, что дроп бокс это полное говно, во первых потому что все юзеры качают все документы, во вторых они могут их использовать при устройстве на другую работу.

Просто я создал вчера челу новую админку, а чел как бы безопасник( не информационный) а просто что бы следил где огнетушители были в норме и прочее, и когда я увидел что ему на ноут качается все 90гб всей информации о компании, причем даже коммерчиские предложения... по сути зачем они ему??!! я и думаю предложить иерархическую систему типа owncloud/nextcloud

клауды нормальная вещь главное чтобы пароли были в голове а не на компе а норм АВ убережет пароли от перехвата

 

[0way]

Куда опаснее вордовские докумены в письмах так что в обяз воткни нормальный ав + запрети всем сотрудникам включать макросы в вордовских документах!

А как можно запретить можешь пояснить? а то гуглить очень долго получится)) я пытался))

 

[0way]

Вообще у меня есть тема предложить Шефу тему типа nextcloud и не ебать мозги с этой х#йней... взять nas сервер для бекапов и не ебать мозги

 

[0way]

но я столкнулся с такой темой что в nextcloud нужен какой то свой офис внедрять

 

[National Hazard Agency]

Вообще у меня есть тема предложить Шефу тему типа nextcloud и не ебать мозги с этой х#йней... взять nas сервер для бекапов и не ебать мозги

просто при открытии документа вордовского сам ворд будет просить "для чтения этого документа необходимо включить макросы" и кнопка да или нет соответственно если ткнуть да тогда на комп может прогрузится что угодно

 

[0way]

просто при открытии документа вордовского сам ворд будет просить "для чтения этого документа необходимо включить макросы" и кнопка да или нет соответственно если ткнуть да тогда на комп может прогрузится что угодно

просто я сегодня настроил доступ к удаленному рабочему столу, вынес на рабочий стол, но при нажатии он показывает логин, хочу от этого избавиться и что бы юзер сразу попадал на удаленку

 

[0way]

просто при открытии документа вордовского сам ворд будет просить "для чтения этого документа необходимо включить макросы" и кнопка да или нет соответственно если ткнуть да тогда на комп может прогрузится что угодно

просто я сегодня настроил доступ к удаленному рабочему столу, вынес на рабочий стол, но при нажатии он показывает логин, хочу от этого избавиться и что бы юзер сразу попадал на удаленку для входа 1с там так настроено.

 

[rurk]

Всем привет, такой вопрос как защитить корпоративную сеть ??

Если можно по пунктам от и до...

Есть фирма в которой 30 машин, все пользуются дропбоксом(мне кажется это уже не очень безопасно, когда все 30 тел имеют доступ сразу ко всем файлам компании)

Знаю есть такие системы как owncloud/nextcloud в будущем будем переходить на них.

Но если есть знающие, можете помочь по базовым аспектам ?

Что и как лучше организовать ?

Нужно приводить корпоративную сеть в соответствие с Zero Trust Architecture. Подробнее на языке буржуев -

https://bit.ly/3iXrXbR

Это подход, когда считается, что злоумышленник уже внутри.
Если попытаться решить твой случай, следуя закону Парето, то 80% потенциальных угроз нейтрализуются запиливанием MFA там, где только возможно.

 

[0way]

Нужно приводить корпоративную сеть в соответствие с Zero Trust Architecture. Подробнее на языке буржуев - Скрытое содержимое
Это подход, когда считается, что злоумышленник уже внутри.
Если попытаться решить твой случай, следуя закону Парето, то 80% потенциальных угроз нейтрализуются запиливанием MFA там, где только возможно.

всегда считал что 80% взлом системы происходит в случае человеческого фактора Особенно когда в фирме дропбокс, при создании нового пользователя все файлы компании(около 90гб) скачиваются ему на машину. не исключая того факта что во первых менеджеры и бухгалтерия имеет доступ к одним и тем же файлам, это уже как я считаю неправильно )) как я вижу эту систему - Каждый отдел(группа людей) должна иметь доступ только к тем файлам, с которыми они работают. Ни в коем случае ни ко всем сразу.

 

[0way]

соответственно спам -рассылки привносят свою долю, менеджер открывает письмо - думая что это коммерческое предложение и льет на всю сеть червя/трояна и пошло поехало.

 

[Borte]

Hello everyone, the question is how to protect a corporate network ??

If possible, point by point from and to ...

There is a company in which there are 30 cars, everyone uses a dropbox (it seems to me that this is no longer very safe when all 30 bodies have access to all company files at once)

I know there are systems such as owncloud / nextcloud in the future we will switch to them.

But if you have knowledgeable people, can you help on basic aspects?

What is the best way to organize it?

Short term:
Install Anti-Virus on all machines. Update all current operating systems, software and drivers. Disable all services that are not needed. Consider: Installing the latest Operating System and some fallback solution like deepfreeze. Perhaps you could use virtual machines. Never only rely on password in your head! If you have carcrash or accident they might get lost. Think single point of failure, you do not want it.
Data storage: If anyone can read-write all data. The impact will be huge when you get ransomeware attack or who is accountable for kiddy porn or fraud?

For extra information search online for hardening! If you are acountable but currently lack knowledge -> get paid external expert help!

 

[Borte]

Hello everyone, the question is how to protect a corporate network ??

If possible, point by point from and to ...

There is a company in which there are 30 cars, everyone uses a dropbox (it seems to me that this is no longer very safe when all 30 bodies have access to all company files at once)

I know there are systems such as owncloud / nextcloud in the future we will switch to them.

But if you have knowledgeable people, can you help on basic aspects?

What is the best way to organize it?

Remove all unused hardware! For those that you need, update all physical hardware. Always remove \ change their default passwords. Check and update their software and drivers regulary also.
Perhaps install some network\ device monitoring system.
Disable USB ports if possible.

 

[darkrise]

лучший способ это сменить прокладку между мониттором и стулом

 

[checkXYZ]

соответственно спам -рассылки привносят свою долю, менеджер открывает письмо - думая что это коммерческое предложение и льет на всю сеть червя/трояна и пошло поехало.

Да, но антик может его спокойно поймать и сразу засигналить и тут всключаеться 2 человеческий фактор - просто не сказать об угрозе (сотрудник) и просто её заигнорить.
По мне лучшее решение это платный бизнес версии антивирус со встроенной системой уведомлений о любых угрозах, сразу откликающий тебе на почти или телефон. Естественно rdpguard или что-то типо того, т.к. сейчас много атак имеено rdp или vpn, там можно проверять с каких ip были заходы и пониторь. ну и бэкапы наше всё! каждый день на перезапись в 1 диск + каждую неделю отдельную копию в холодный диск
ИМХО

 

[0way]

Да, но антик может его спокойно поймать и сразу засигналить и тут всключаеться 2 человеческий фактор - просто не сказать об угрозе (сотрудник) и просто её заигнорить.
По мне лучшее решение это платный бизнес версии антивирус со встроенной системой уведомлений о любых угрозах, сразу откликающий тебе на почти или телефон. Естественно rdpguard или что-то типо того, т.к. сейчас много атак имеено rdp или vpn, там можно проверять с каких ip были заходы и пониторь. ну и бэкапы наше всё! каждый день на перезапись в 1 диск + каждую неделю отдельную копию в холодный диск
ИМХО

У меня была идея реализовать бекапы через микротики и фаервол но, что бы этот сервер подключался только в определенное время и с определенного ип..но пока не знаю как подобное можно организовать.
Например каждый день в 3:01 утра подрубается мой сервер и скачивает бекапы, которые основной сервер сделал в 2:50 ночи.