открываем жанр технологичных карикатур🤟

"Вопрос:

От НКЦКИ поступила информация, что злоумышленники начали активно эксплуатировать уязвимости сервиса RDP ОС Windows. НКЦКИ также сообщил, что атаки  на  сервис RDP проводятся через распространение вредоносных вложений в электронной почте.

В письме НКЦКИ были указаны основные индикаторы компрометации:

IP командного сервера
Хеш вредоносного файла.

Как провести поиск возможной активности вредоносного ПО в инфраструктуре компании?.

Имеется FW, KES, SIEM"

В журналах FW/в SIEM поищите на всю глубину хранения обращения к IP адресу.

Ищите исходящие обращения на эти адреса в журналах fw, если был настроен аудит нормально то можно и на тачках попробовать поискать обращения в журналах. А так если у вас логируются все подключения на МСЭ то там и ищите обращение на эти адреса.

Почта и РДП? Странные зависимости

Вообще РДП наружу никогда не должен быть доступен

В принципе

В нем дыры всегда были

Ну там чуток по другому, по почте засылать нагрузку на компанию, а дальше если стрельнет то прокалывают прокси и начинают обмен с с2 , но если есть РДП то проще обновится, и настроить аудиту чтобы все подключения по РДП на тачки логировались и в сием уже будет видно кто когда и подключался по рдп на нужные вам тачки , и каждое соединения проверять его легитимность

NIST SP 1800-32, Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources.

Прежде всего, сам RDP настройте правильно, если он используется

Интересный гайд с попыткой построения практической безопасности как наложенными средствами, так и с активным использованием встроенных в устройства механизмами

Серега, спасибо! Интересный документ.

@ironbang, с днём рождения! Радости, счастья, здоровья, и keep calm and secure your ICS!

Админы: и только попробуйте сказать, что это оффтоп. Нет вещи, более праибэ и абасу

И скажу, все последующие поздравления прошу писать участникам в личку

Зануда.

Спасибо Денис))