Combattere Malware senza spendere soldi

La triste verità è che stringere la tua rete ti renderà impopolare sul posto di lavoro. Detto questo, molti amministratori di sistema preferirebbero essere impopolari sapendo di avere una rete sicura (r) piuttosto che popolare e spendendo tutto il loro tempo a ripulire il malware.

Alcuni modi economici ed efficaci per sradicare il malware

• porta via l'amministratore locale, come hai intenzione di fare (non posso sottolineare abbastanza)
• Aggiornamento dei browser Web / Flash / Java / PDF Software tramite GPO e WSUS. I browser Web e i PDF sono due grandi obiettivi per il malware.
• È possibile eseguire No Script per evitare download drive-by se si desidera
• Aggiorna le tue macchine con WSUS (come fai attualmente)
• Estensioni di file di estensione .exe / .bat / .vbs / .sh da inserire tramite e-mail
• Rafforza il tuo anti-spam sul tuo server di posta (se applicabile - vamsoft ORF è un ottimo anti-spam di MS Exchange che costa circa $ 160 USD)
• ISTRUISCI I TUOI UTENTI - Conduci qualche pranzo e impara e fai sapere ai tuoi utenti che cosa è un'e-mail sospetta, che non devono fare clic sui link nelle e-mail di destinatari che non conoscono, pratiche di navigazione web sicure , ecc.
• Blocca il traffico in uscita sulla porta 25 da qualsiasi computer della rete, ad eccezione dei server di posta. Questo ti impedirà di essere inserito nella lista nera.
• Rimani aggiornato sul malware e leggi i feed RSS per leggere il malware. Rimanere proattivi e bloccare il traffico in uscita su qualsiasi porta nota utilizzata dal malware nel tentativo di bloccare i computer infetti con la comunicazione con le macchine C & C.

Spero che questi suggerimenti siano d'aiuto. È importante notare che inevitabilmente avrai del malware che scivola attraverso le fessure (zero giorni sono un bugger), ma scoprirai che le buone pratiche possono fare molto per mantenere una rete pulita.

Hai buoni pensieri, e in questa discussione sono stati pubblicati molti buoni consigli, ma lascia che tocchi due cose che non vedo indirizzate:

1. Sei stato in grado di determinare i vettori di infezione per le macchine che sono state compromesse e reimmagini? Se puoi determinare in che modo le persone continuano a essere colpite, ad esempio la posta elettronica e la navigazione web, può aiutarti a concentrarti sulle misure che indirizzeranno più direttamente alla fonte del tuo dolore oggi.
2. Sembra che continui a scoraggiare il tuo capo dallo spendere soldi. Niente di male in questo di per sé , specialmente se è improbabile che i suoi acquisti diano ciò che promettono. Ma se hai un capo con denaro, allora devi avere un elenco di ciò che tu vuoi spendere in denaro. Non c'è cura per tutti, ma gli acquisti giusti possono aiutarti a migliorare in modo incrementale le tue difese, quindi sii pronto quando il denaro ti viene sventolato in faccia.

Sono attualmente nella tua stessa situazione. Tuttavia, lavorando in alto ed., Le nostre mani sono legate dietro la schiena un po '. La rimozione dei diritti di amministratore per i professori non potrà mai volare, quindi limiteremo i diritti degli utenti solo agli impiegati amministrativi. Finora abbiamo fatto quanto segue;

• Setup Wsus (great move)

• Spingi (non conosco il termine giusto) aggiornamento di Criteri di gruppo aggiornato alle macchine xp usando Wsus
• Imposta regole rigorose per i criteri del gruppo di dominio per gli aggiornamenti automatici di Windows
• Imposta SCCM con Microsoft Forefront che funziona davvero bene!
• Abilitato il firewall di Windows
• Blocca la maggior parte delle porte dall'esterno e imposta openvpn per gli utenti

Attualmente lavorando su

• assicurandoti che Flash, Java ecc. rimangano aggiornati in ogni momento noi SCCM
• Uscire dal business della pulizia delle infezioni e semplicemente riformattare
• Tutti aggiornano a Win 7 64 bit
• Aggiornamento dei nostri controller di dominio
• Configurare packetfence che credo sarà un enorme passo nella giusta direzione. Ho intenzione di limitare gli utenti che non sono aggiornati dalla rete e di dare loro l'accesso a Wsus e SCCM fino a quando non vengono riparati.

Beh ... va bene. Quindi potrei essere un po 'di parte qui. Il mio attuale stato di lavoro è appaltatore di AV Bypass sulla punta affilata del bastone (si spera che tutti quelli che mi hanno detto che erano pen-testing e che mostrassero un sito web che conteneva lo stesso non era un'ingegneria sociale ...).

1) AV non aiuta (molto). Se non mi credi, dimmi quale soluzione AV stai usando e ti farò saltare la testa.
2) UAC lo fa sicuramente. Il firewall sicuramente lo fa (la terza parte è molto meglio di Windows FW secondo me).
3) Esecuzione come admin == cattiva idea.
4) Persuadere mgmt è spesso più difficile di quanto dovrebbe essere. Se vuoi mostrare loro il motivo per cui hai ragione, fammelo sapere e ti invierò un video che mostra attivamente i punti deboli.

Penso che tu sia sulla strada giusta per quanto riguarda gli aggiornamenti e la limitazione dei privilegi dell'utente. Una cosa che consiglio vivamente è una sorta di filtro dei contenuti web. Mentre sicuramente ti renderà molto impopolare al lavoro, secondo me è una delle cose più facili che puoi fare per ottenere un impatto abbastanza grande (1 dispositivo che ha un impatto su tutti gli utenti).

Conosco un sacco di persone che usano dispositivi Fortigate per UTM (Firewall, IDS / IPS, WCF, AV, ecc.). Tuttavia, per il mio esempio, voglio concentrarmi sulle loro capacità di WCF. Ti consente di bloccare categorie e quindi eseguire varie sostituzioni per siti Web specifici. Puoi anche integrarlo nella tua infrastruttura AD / LDAP se lo desideri. Ma puoi anche andare più soluzioni open source / linux dato che il tuo ambiente è abbastanza piccolo. Un'altra soluzione che è ancora più semplice ed economica, ma un controllo generale minore è l'utilizzo di una soluzione DNS che consente di bloccare le categorie (ad esempio OpenDNS). Puoi farlo come una prova per vedere come ti piace e poi andare in una soluzione più localizzata in seguito, se necessario.

Di sicuro non sto dicendo che questo è il fine, tutto può essere una soluzione. Ma è un altro livello che può avere un impatto piuttosto grande. Il mio consiglio principale su questo è se ci sono categorie non classificate, sicuramente li blocco come nuovi siti maligni vengono classificati vengono categorizzati come tale. Con questa soluzione puoi anche iniziare a bloccare domini più grandi come .ru se ritieni che i tuoi utenti non dovrebbero mai visitare i siti russi.

Su un budget questo è quello che ho trovato efficace:

1. Tutto inizia con una politica. Senza una politica non puoi far rispettare nulla. Crea una politica di sicurezza IT e assicurati che ci sia un buy-in esecutivo. Dai un'occhiata qui per iniziare: link

2. Assicurati che Trend sia configurato correttamente. La tendenza fuori dagli schemi è inutile. La tendenza ha bisogno dei seguenti accenti efficaci: Reputazione Web, Monitoraggio del comportamento - > Monitoraggio eventi, Controllo dispositivo - > Solo lettura e scrittura (ove possibile).

3. Passa tutto il traffico del tuo client attraverso una finestra Linux con Snort & Calamaro. Definire le esigenze aziendali per il traffico in uscita e consentire solo ciò che è definito. Forza tutto il traffico di navigazione sul web attraverso il proxy o dirottandolo o configurando i client per utilizzare un proxy. Configurare il proxy per bloccare tutti i seguenti TLD: .cc, .ms, .cm, .vg, .be, .tv, .cc. Impostazione snort per il blocco in linea utilizzando le regole delle minacce emergenti (questo richiederà il maggior numero di modifiche).

4. WSUS è un buon passo nella giusta direzione. Usa gli spiceworks per fare l'inventario di tutti i tuoi sistemi. Tieni sotto controllo i software scaduti sulla tua rete (fai attenzione a tutti i prodotti Adobe e java). Utilizzare AD per inviare aggiornamenti software di terze parti.

Ok fammi entrare qui perché ho riscontrato questi problemi che questo thread originale stava cercando di risolvere.

1. Concedere agli utenti diritti di amministratore completi per le loro macchine è una parte importante del problema. Sfortunatamente, dove sono ora, non posso essere aiutato.

2. Ho usato TrendMicro nella mia precedente società all'inizio non ero soddisfatto del prodotto, ma con il passare degli aggiornamenti è diventato un prodotto solido per noi. Le persone si stavano infettando come la valanga bubbonica. In precedenza stavamo utilizzando Symantec e ogni 3 mesi si arrestava il server Exchange 2003. Inutile dire che mi sono liberato di Symantec.

3. L'attuale azienda a cui sto lavorando ora utilizza Microsoft Forefront e da quello che vedo finora non ne sono impressionato. Ora questa affermazione potrebbe essere soggettiva. Il motivo è perché tutti i nostri utenti hanno diritti di amministratore completi. Tuttavia abbiamo un sacco di persone che lavorano fuori sede e le loro macchine non si connettono alla nave madre. Non sono sicuro se riuscirò a far sì che Forefront spinga gli utenti esterni. Il tasso di infezione è di circa 5 persone a settimana. Sono molto turbato perché dobbiamo far spedire il laptop a noi e poi reimageare e poi rispedirci.

Sono in un ambiente universitario. Ecco cosa fa la mia organizzazione:

• Invitiamo che tutti abbiano attivato l'antivirus. Forniamo antivirus gratuito a tutti.

• Invitiamo tutti a utilizzare gli aggiornamenti automatici e a mantenere aggiornate le proprie macchine.

• È presente un firewall debole per bloccare il traffico in entrata su alcune porte chiave. Tuttavia, qualsiasi utente può richiedere che una o più di queste porte siano aperte per il traffico in entrata sul proprio computer interno.

• I dispositivi mobili (ad es. i laptop) vengono posizionati in modo trasparente su una rete separata. Questa rete è protetta più severamente da alcune delle nostre risorse interne critiche. L'idea è che se qualcuno porta il suo laptop in viaggio, viene infettato da un worm e torna alla nostra rete locale, non vogliamo che quel worm si diffonda a tutti i nostri sistemi interni - o almeno, avremmo come limitare il danno.

• Se la macchina di una persona viene infettata, viene automaticamente disconnessa dalla rete. Devono cancellare, riformattare e reinstallare di nuovo prima che possano nuovamente connettersi alla rete. Nessun tentativo di ripulire una macchina infetta; devi pulirlo.

• Gestiamo un sistema di rilevamento delle intrusioni di rete (Bro) per rilevare i compromessi.

• Permettiamo agli utenti di avere accesso a livello di amministratore sui loro computer locali.

• Abbiamo norme più restrittive che governano i sistemi utilizzati per attività a rischio elevato, come la memorizzazione di numeri di carte di credito, numeri di previdenza sociale, informazioni sui salari, database di qualità e così via.

Penso che questo abbia un equilibrio ragionevole. Sembra funzionare abbastanza bene per noi, almeno.

Penso che le altre cose che potresti prendere in considerazione sarebbero: Guarda la tua soluzione di backup, per assicurarti che i dati vengano regolarmente e con sicurezza nel backup. Lavora per assicurarti che le persone si trovino nella versione più recente del loro browser web. Prendi in considerazione la possibilità di spostare le persone su Chrome. Assicurati che tutti abbiano attivato l'aggiornamento automatico.