Ho una domanda piuttosto ampia relativa a una minaccia specifica e continua che sto cercando di definire e difendere.
In questo momento, ho bisogno di ricostruire un punto di accesso sicuro per i miei dispositivi mobili e computer per la connessione a Internet. Userò una VPN, tuttavia, mi sto interrogando su altre strategie che ci sono per difendermi. Attualmente sto seguendo NIST: Guida alla gestione degli incidenti di sicurezza del computer per ottenere un punto di partenza per la gestione degli incidenti attuali e futuri.
Problema:
Possiedo un gateway Internet fornito da un ISP ed è stato rilevato da un utente malintenzionato. Credo che sia il vettore di attacco iniziale originato da una chiavetta USB infetta. Qualunque cosa fosse ora influenza completamente il gateway, rilevando il contesto hardware, i registri e il firewall. Gli indirizzi MAC per gli ingressi Ethernet sono cambiati in uno strano (generico?) E sembra essere collegato ai pacchetti in entrata e in uscita. Le impostazioni MAC e log non cambieranno con i miei tentativi anche con una connessione cablata al socket Ethernet amministrativo.
Il WiFi emette un nuovo segnale in tandem con i dispositivi originali e connessi che iniziano a emettere pacchetti dispari con l'indirizzo MAC sopra indicato, anche se il dispositivo non deve utilizzare Ethernet.
Tentativi:
Dispositivi: ho provato a reinstallare il sistema operativo su macchine che emettevano strani segnali. Gli aggiornamenti potrebbero anche introdurre nuovi malware e backdoor.
Gateway: i ripristini e gli aggiornamenti di fabbrica non sembrano aiutare.
Situazione attuale Mi sento preso di mira dall'attaccante come se ogni attacco sembrasse personale alla mia professione. Ho presentato un rapporto della polizia e un reclamo IC3, anche se desidero sapere se posso ricostruire in modo sicuro o sicuro con uno o più attaccanti guidati e abili.
Quello che sto chiedendo
Come si creerebbe una build sicura sull'unità Gateway dell'ISP? L'unità dovrebbe essere sostituita o potrebbe esserci un modo per riportare il firmware ai valori di fabbrica?
E ci sarebbe un modo per proteggere i miei dispositivi da un access point dannoso?