Wannacry hoặc wannacry 2.0 có thể bị tạm dừng hoặc chậm lại chỉ với quyền đọc cho người dùng được đặt qua thư mục hoạt động

Hãy nói rằng tôi có một Active Directory.

Tôi đang thiết lập các quy tắc trong Active Directory, cung cấp cho các tài khoản quyền truy cập hạn chế chỉ đọc.

Giả sử bây giờ một phần mềm ransomware Wannacry hạ cánh qua email đến máy tính của người dùng, liệu nó có thể lan truyền đến mạng của tôi không vì tất cả người dùng của tôi có quyền đọc hạn chế và không thể viết bất cứ điều gì?

Theo hiểu biết của tôi, câu trả lời sẽ là không nhưng như tôi đã nghe, Wannacry không cần sự cho phép đọc để tuyên truyền.

Rất cám ơn cho bất kỳ lời khuyên bạn có thể cung cấp.

Cảm ơn.

Có vẻ như câu hỏi của bạn sôi nổi lên, "Kiểm soát truy cập có ngăn chặn sâu lây lan không?"

Câu trả lời chung cho trường hợp là "Có thể." Có các điều khiển truy cập là một hình thức bảo vệ chuyên sâu , điều đó có nghĩa, đó là một rào cản nữa mà phần mềm độc hại phải vượt qua để làm bất cứ điều gì nó cố gắng làm (lây lan sang các hệ thống khác, mã hóa máy chủ của bạn, đánh cắp dữ liệu của bạn) .

Thông thường, hầu hết các hệ thống kiểm soát truy cập đều có cơ chế cho phép cấu hình kiểm soát truy cập (nghĩa là các điều khiển truy cập là gì, người dùng / IP / đối tượng nào được phép / chặn; v.v.) để được sửa đổi. Do đó, mục tiêu của nhiều nghiên cứu bảo mật (bởi cả mũ đen và mũ trắng) là về cơ chế cấu hình của hệ thống kiểm soát truy cập và những gì cần có để có quyền truy cập trái phép để thay đổi kiểm soát truy cập.

Vì vậy, đó là một cách thông qua: tìm một khai thác cho phép kẻ tấn công thay đổi hợp pháp những gì được phép / không được phép để ủng hộ vectơ tấn công của chúng. Ví dụ: có được sự leo thang đặc quyền cho quản trị viên kiểm soát miền có thể cho phép kẻ tấn công thay đổi cài đặt AD cho phép lây lan sâu của chúng trên các ổ đĩa mạng.

Một cách khác là tìm một cơ chế kiểm soát truy cập có thể bỏ qua, ngay cả khi nó được thi hành . Đây là phần mềm tương đương với việc tăng tốc khủng khiếp ngay trước một cảnh sát, và mặc dù cảnh sát nhìn thấy bạn, chiếc xe của anh ta không thể đi đủ nhanh để theo kịp bạn, và bằng cách nào đó bạn thoát khỏi công lý hoàn toàn, mặc dù anh ta gọi để sao lưu đường.

Vì vậy, thay vì thay đổi cài đặt, nếu bạn tìm thấy một lỗ hổng như thế, các cài đặt không thành vấn đề - hãy để nó bị "chặn" hoặc "vô hiệu hóa" cho tất cả những kẻ tấn công quan tâm; anh ta có thể gửi một khối lượng dữ liệu một cách hiệu quả bằng cách nào đó thuyết phục hệ thống của bạn xử lý dữ liệu của kẻ tấn công như thể nó được cho phép hoặc kích hoạt.

Nếu bạn có một phần mềm được nối mạng với lỗ hổng chưa được vá và ai đó biết về lỗ hổng đó, bạn sẽ không bao giờ an toàn. Do các lỗ hổng "zero-day" luôn luôn mọc lên, do đó, bạn không bao giờ thực sự an toàn; ngày mai một ngày không mới có thể mọc lên sẽ tận dụng lợi thế của việc khai thác mới.

Không có kiểm soát truy cập chắc chắn có thể ngăn chặn tất cả các hình thức của loại tấn công này. Cách đáng tin cậy nhất để ngăn chặn thứ gì đó như tiền điện tử phá hỏng ngày của bạn là sao lưu ngoại tuyến không theo bất kỳ cách nào được kết nối với mạng. Có rất ít vectơ tấn công có thể khai thác thành công điểm yếu trong bảo mật vật lý, và những vectơ có thể, phải được nhắm mục tiêu rất cụ thể đến các cơ sở riêng lẻ (ví dụ như đánh cắp huy hiệu của nhân viên được ủy quyền và sử dụng nó để đi qua lối vào không được bảo vệ).

Có các biện pháp bảo vệ khác trong các cơ chế chuyên sâu ngoài các kiểm soát truy cập có thể giúp ích (nhưng cũng không phải là thuốc chữa bách bệnh). Hệ thống phát hiện xâm nhập mạng (NIDS), như Snort, cũng có thể giúp bạn, bằng cách phát hiện tải trọng tấn công trên dây và chặn chúng trước khi chúng đến được các hệ thống dễ bị tấn công của bạn. Họ sử dụng phương pháp phỏng đoán và khớp mẫu được nhắm mục tiêu để xác định các nỗ lực khai thác đã biết hoặc tiềm năng và chặn chúng. Nhiều hệ thống trong số này đi kèm với một số loại dịch vụ cập nhật theo thời gian thực, sẽ áp dụng các quy tắc chặn để tránh các vectơ tấn công đã biết ngay khi chúng được phát hiện, thường có thể là vài ngày hoặc vài tuần trước khi bạn có thể chủng ngừa tất cả các hệ thống của mình với một bản vá phần mềm. Do đó, chúng làm giảm cửa sổ dễ bị tổn thương của bạn.

Nhưng không, tất cả các thực tiễn bảo mật tốt nhất được kết hợp là hoàn toàn không hiệu quả đối với một bộ khai thác được nhắm mục tiêu đúng, tận dụng các lỗ hổng chưa được vá. Nếu điều này khiến bạn thức đêm, hãy viết hoặc mua một hệ điều hành được chứng nhận EAL7 (và đảm bảo không chạy bất kỳ phần mềm bổ sung nào trên đó cũng không cùng cấp chứng nhận). Đó là cách duy nhất để tích cực 100% về mặt toán học mà không có lỗ hổng nào tồn tại. (Nhưng ngay cả khi đó, một lỗi người dùng có thể dẫn đến cấu hình sai cho phép khai thác lỗ hổng trong cấu hình - tương đương với việc khóa cửa an toàn tuyệt đối và sau đó để mở khóa - rất tiếc. Nó không bao giờ kết thúc.)