Come difendere al meglio dagli attacchi mirati?

Difendersi dagli attacchi mirati costringe i difensori a potenziare le capacità di osservazione.

Rafforzare le lacune difensive è grande (ad esempio accelerare la distribuzione delle patch, autorizzare gli app che possono essere eseguiti dagli utenti finali, fornire macchine virtuali rimuovibili, migliorare la sicurezza delle app client), ma poiché tutti gli strumenti di prevenzione dovrebbero fallire tempo (più veloce quindi quando bersagliato da avversari motivati) è essenziale espandere le capacità di monitoraggio che possiedi in modo da poter osservare tutti i percorsi che un utente malintenzionato può utilizzare per ottenere il controllo, rubare informazioni o altro. Il rilevamento è la componente chiave contro avversari di talento.

Potrebbe essere piuttosto facile impostare un portale interno in cui gli utenti finali possano scaricare speciali macchine virtuali progettate con sicurezza aggiuntiva (ciò che altri menzionano qui), ma in particolare con un monitoraggio extra. Supponiamo, ad esempio, che Marc il CFO debba eseguire alcuni bonifici bancari e inviare un'e-mail altamente sensibile. Marc potrebbe fare doppio clic su un collegamento sul desktop per avviare un'app o una VM (anche in modo trasparente, come la modalità Unity in VMware) che è preconfigurata con un maggiore livello di monitoraggio. Il browser è preconfigurato per instradare il traffico attraverso un'apposita configurazione interna del proxy Web per persone come Marc che richiedono funzionalità aggiuntive di monitoraggio e rilevamento. Il sistema operativo potrebbe essere indurito, preconfigurato con una configurazione HIDS ottimizzata, acquisizione di pacchetti completi o netflow potrebbe essere registrato e archiviato per un periodo di tempo, tutti i trasferimenti di file di ingresso / uscita (ad esempio la visualizzazione di PDF dopo il download tramite HTTPS) potrebbero essere inviati tramite malware offline strumenti di identificazione. Dopo che Marc ha completato i suoi compiti, puoi eseguire script che riassumono le sue attività e raggruppano tutti gli avvisi generati dalla suite di strumenti di sicurezza che hai preconfigurato.

Penso che l'esecuzione di un monitoraggio pesante temporaneo, quando appropriato, ti dia la possibilità di vincere. La realtà di attivare il monitoraggio completo su tutto il tempo è un fallimento per me. Pochi possiedono le risorse per analizzare a fondo il flusso di allarmi generati da un monitoraggio così intenso a tempo pieno.

Pensi di poter tenere il passo con " Partitioning my digital life di Joanna Rutkowska? nei domini di sicurezza "e gestisci ogni " persona di alto valore " come la sua? Saresti fantastico allora!

IMHO sta facendo le cose non sexy in modo coerente che ti forniranno le migliori difese contro attacchi anche mirati e "APT".

Come ho ha scritto quando RSA ha fornito i dettagli dei loro attacco avanzato le buone lezioni apprese sono:

• L'email come meccanismo di distribuzione del malware non è morta. Scava le presentazioni di sensibilizzazione degli utenti e aggiungi un po 'di formazione allo spear phishing e confidando ancora un po' nel filtro junk
• L'accesso a Internet è un lusso non un diritto predefinito. Non fornirlo se non è richiesto per un chiaro vantaggio aziendale
• Considera i siti web di annunci bianchi a cui è necessario accedere in base al ruolo dell'utente, essendo intelligenti come le regole che controllano che l'URL di riferimento sia Google può impedire il contraccolpo e la perdita di produttività migliorando significativamente la sicurezza
• Rivalutazione del motivo aziendale per software come Flash, Adobe Reader, Office, estensioni del browser come parte della creazione dell'oro per tutti i desktop e laptop. Esistono alternative, gli utenti con una ragione aziendale specifica possono richiederlo: tagliare la superficie di attacco
• Utilizza IDS per rilevare e idealmente IPS per impedire connessioni da endpoint a siti sospetti
• Configura un firewall desktop e un ID basato su host per bloccare qualsiasi nuova connessione in uscita senza approvazione
• Monitora gli avvisi dal tuo IDS / IPS - dispone di un team che è addestrato a reagire a questi avvisi con procedure chiare e provate
• Implementa l'autenticazione a due fattori per l'accesso dell'amministratore anche ai sistemi interni.
• Allontanarsi dall'accesso privilegiato permanente per i sistemi critici e monitorare gli accessi al di fuori delle modifiche approvate e dei ticket di supporto
• Sposta i controlli di sicurezza più vicino ai tuoi dati più preziosi con strumenti, persone e processi per DLP. La tua strategia di monitoraggio deve considerare i file crittografati, analizzando una versione decrittografata o segnalando eventuali nuovi trasferimenti crittografati. Crittografare i dati in memoria per aggiungere ulteriore livello di protezione anche in caso di furto è anche una buona idea
• Segmentazione della rete: crea zone di rete protette anche all'interno della tua rete interna per i tuoi gioielli della corona, controllo e accesso a questi
• Pensa a endpoint thin o zero del client

Soprattutto eseguire una valutazione del rischio, creare un modello di minaccia e attaccare alberi. Prendi alcune persone intelligenti in una stanza, idealmente non solo sicurezza e almeno un brainstorming:

• Valore: qual è la tua informazione più importante? Hai solo bisogno di sicurezza quanto hai un valore da proteggere
• Minacce: c'è qualcuno che ha gli incentivi e la capacità di causarti un problema?
• Punti deboli - quali sono i punti deboli nei sistemi, nelle persone e nei processi che potrebbero essere sfruttati? Quanto sono seri questi?
• Rischio - basato su tutto ciò qual è il tuo rischio attuale? Qual è la vera esposizione?
• Controlli: in che modo tutto ciò che hai speso per la sicurezza finora ti aiuta a ridurre questo rischio? Se ti sei liberato di un controllo, aumenterebbe significativamente il rischio? Vale la pena investire in nuove tecnologie, persone e processi?

Quello che troverai potrebbe non essere il materiale più sexy, probabilmente sono cose che avresti dovuto fare comunque ad es. patch Appache alias Sony ma alla fine della giornata probabilmente ti darà il miglior vantaggio in termini di costi per la difesa anche contro gli APT.

Il modo migliore per difendersi dagli attacchi mirati è lo stesso del modo migliore per difendersi da tutti gli altri attacchi; bilancia l'usabilità con la sicurezza e agisci di conseguenza.

Trovo difficile rispondere a questa domanda perché se si tratta di un attacco mirato, l'attaccante ha un obiettivo. Stanno andando, per la maggior parte del processo di attacco, utilizzare le stesse risorse di tutti gli altri attacchi che sono in the wild. L'unico vero cambiamento è che questo attacco mirato avrà una resilienza molto più alta e sarà molto più diretto. Se hanno le capacità e sono abbastanza determinati, stanno entrando nei tuoi sistemi (a patto che ci sia effettivamente una connessione da utilizzare).

Molte delle tue domande ti sembrano rispondere.

Vorrei che ci fosse un modo migliore, ma l'unica vera risposta è continuare ad aggiungere livelli fino a quando il contenuto e il ROI non saranno bilanciati.

Ho letto che in alcuni uffici governativi critici, ora è consuetudine dare a ciascun dipendente due computer, uno con accesso alla intranet, senza dischi o prese USB disponibili, e un altro desktop normale con accesso a Internet regolare, che è dove viene letta tutta l'email. Normalmente c'è poca necessità di trasferire dati da un lato all'altro

Mi dispiace per la tua situazione. Ho alcuni suggerimenti che potresti prendere in considerazione, ma non ho esperienza personale in questo tipo di situazione, quindi dovrai valutarli tu stesso:

• Offri ai tuoi utenti di alto valore un laptop appositamente configurato, preconfigurato con l'aggiornamento automatico e altre protezioni pre-abilitate.

• Dai loro un Mac. Al momento, molti attacchi mirati falliranno, se l'utente di destinazione utilizza un Mac.

• Se utilizzano Windows, prendi in considerazione la possibilità di sostituire il proprio client di posta elettronica. Uno dei motivi principali per cui gli attacchi alle e-mail mirati funzionano è dovuto al fatto che Outlook e altri importanti client di posta elettronica non sono progettati in modo adeguato dalla sicurezza. (Fare clic su un allegato può infettare l'intera macchina? Nuts. Non è facile da usare.) Forse puoi dare loro un client di posta elettronica che viene eseguito in una VM e apre tutti gli allegati in una VM isolata che viene scartata dopo chiudendo l'allegato.

• Potresti considerare di esaminare Polaris , Sandboxie e sistemi simili.

• Considerare gli strumenti per garantire che tutto il software sul proprio computer sia aggiornato. Secunia PSI è abbastanza carino per uso personale; Non so se esiste un equivalente aziendale.

• Considera l'utilizzo di "antivirus nel cloud". Prendi in considerazione la possibilità di configurare l'antivirus sul server di posta per eseguire periodicamente la scansione delle e-mail più vecchie, in modo che se un attacco viene superato e non lo si rileva subito, è comunque possibile che lo si rilevi un po 'più tardi. p>

• Se tutti gli utenti di alto valore necessitano di e-mail e accesso Web, potresti prendere in considerazione di fornire loro un netbook Google Chrome OS. Ha alcuni vantaggi di sicurezza. Tuttavia, non saranno in grado di eseguire Excel o altri strumenti di lavoro su di esso.

• Considera di offrire agli utenti di alto valore un dispositivo di autenticazione di secondo fattore e il loro accesso ad altri sistemi richiede quel dispositivo.

• Considera l'utilizzo della diversità: utilizzando sostituzioni meno popolari, per rendere più comuni gli attacchi più comuni. ad es., considera la possibilità di sostituire il loro lettore Adobe PDF con uno meno conosciuto, per difendersi dai file PDF dannosi destinati al lettore Adobe. (L'acquisto di un Mac è un'altra versione di questo.)

• Per l'amor del cielo, se dai loro una macchina Windows, non dare loro IE6! Sostituiscilo con una versione recente di Chrome, Firefox o IE9. Elimina tutti i sistemi aziendali interni che richiedono IE6 o che sono specifici per IE. Se ci sono quelli rimanenti che sono specifici per IE, dai agli utenti di alto valore l'accesso a un assistente amministrativo per gestire i restanti sistemi aziendali interni esistenti per loro conto.