EDR-07 · ОПЫТ

Я надёжно запираю конечные точки и действительно закрываю выявленные проблемы.

Я развёртываю и настраиваю Trellix по всему вашему парку устройств, задаю усиленную базовую конфигурацию, которая держится, и разбираю очередь уязвимостей, пока проблемы не будут устранены и проверены. Скан, который помечает 400 пунктов, сделать легко. Закрыть их, доказать, что они закрыты, и удержать их закрытыми, вот настоящая работа, и именно эту часть я беру на себя.

Связаться Весь опыт

01 · Что я делаю

Реальная работа

Развёртываю и настраиваю защиту конечных точек Trellix на Windows и Linux, задавая политики под вашу среду, а не вендорские значения по умолчанию.
Задаю усиленную базовую конфигурацию для конечных точек и серверов, затем документирую и принудительно её применяю, чтобы дрейф конфигурации становился видимым, а не оставался незаметным.
Сортирую результаты сканирования уязвимостей по реальной эксплуатируемости и подверженности атакам, а не только по голому CVSS, чтобы команда сначала исправляла то, что действительно важно.
Устраняю выявленные проблемы проверенными решениями: патчами, изменениями конфигурации и компенсирующими мерами там, где патча ещё нет.
Проверяю каждое исправление повторным сканированием и фиксирую доказательства, чтобы проблема, помеченная как закрытая, оставалась закрытой.
Сопоставляю обнаружение и покрытие на конечных точках с MITRE ATT&CK, чтобы вы видели, что вы ловите и где остаются пробелы.
Настраиваю оповещения так, чтобы убрать ложные срабатывания и оставить только сигнал, на который ваша команда будет реагировать, а не консоль, которую никто не читает.

02 · Что вы получаете

Что у вас остаётся

Управляемое развёртывание Trellix, настроенное под вашу среду, с политиками, которые ваша команда может читать и менять.
Документированная базовая конфигурация конечных точек, с которой можно сверяться при аудите, чтобы дрейф ловился рано, а не накапливался.
Очередь уязвимостей, которая реально сокращается, где каждая закрытая проблема подтверждена повторным сканированием.
Оповещения, которым ваша команда доверяет, потому что шум ушёл, а то, что осталось, реально.
Короткий письменный отчёт о том, что изменилось, почему и что ещё отслеживается, переданный вашей команде.

03 · Инструменты и знания

С чем я здесь работаю

Trellix Endpoint Security
Консоль Trellix ePO
Усиление защиты базовой конфигурации
SCAP
Приоритизация уязвимостей
Устранение и проверка повторным сканированием
MITRE ATT&CK
PowerShell и Bash для устранения проблем

04 · Как я подхожу к этому

Спланировано, очерчено, под личной ответственностью

Всё начинается с 30-минутного звонка для определения объёма работ и письменной оценки соответствия в тот же день, чтобы вы понимали, где находится реальная подверженность атакам, ещё до того, как мы к чему-либо прикоснёмся. Дальше я работаю по документированному плану изменений с откатом для каждого изменения в рабочей среде, потому что усиление защиты действующей конечной точки может что-то сломать, и я хочу, чтобы путь назад был сначала на бумаге. Развёртывание политик, изменения базовой конфигурации и волны устранения проблем выполняются внутри заданного окна, сверяются с согласованными критериями приёмки, и за откат отвечаю я, если критерий не пройден. Ничто не помечается как готовое только с моих слов. Проблема закрыта тогда, когда повторное сканирование это подтверждает, а доказательства записаны.

Квалификация и стандартыМой сертификат CompTIA Security+ действителен, и защиту конечных точек я выстраиваю по опубликованным стандартам, а не по презентации вендора: семейства контролей NIST 800-53, SCAP для автоматических проверок базовых конфигураций и уязвимостей, и MITRE ATT&CK, чтобы связать покрытие обнаружения с тем, как на самом деле действуют атакующие.

05 · Вопросы

Хорошие вопросы, прямые ответы

Вы заменяете наши инструменты для конечных точек или работаете с тем, что у нас уже есть?

И то, и другое. Если вы уже на Trellix, я настраиваю и привожу в порядок то, что есть. Если вы только разворачиваете его или переходите на него, я устанавливаю и настраиваю с нуля. Я не навязываю полную замену, которая вам не нужна.

Как вы решаете, что устранять в первую очередь?

По реальной подверженности атакам, а не по голому баллу сканера. Проблема с высоким CVSS на изолированной машине может подождать после средней, которая смотрит в интернет и по которой активно бьют. Я взвешиваю эксплуатируемость, подверженность и то, что MITRE ATT&CK показывает о реально применяемых атакующими приёмах, и затем мы исправляем в этом порядке.

А что с проблемами, которые нельзя пропатчить сразу?

Они не остаются открытыми и забытыми. Там, где патча ещё нет, я ставлю компенсирующую меру, документирую риск и план, и отслеживаю это, пока не появится настоящее исправление.

06 · Смежный опыт

Смежные направления, которыми я занимаюсь

Нужно, чтобы этим занялись?

Расскажите, что вы пытаетесь сдвинуть с места и где оно застряло. Нескольких предложений вполне достаточно для начала, и они попадут прямо в мой почтовый ящик.

Связаться