Riduzione del rischio di infezione ransomware

Naviga le tue risposte
5

La società per cui lavoro è stata colpita da carichi e carichi di spam ransomware spaventosamente sofisticati ultimamente, persone mascherate da consulenti, clienti, richieste aziendali molto specifiche, ecc. Anche se facciamo backup giornalieri offline, e anche se abbiamo Protezione per gli endpoint aziendali di Kaspersky, sono preoccupato che uno di quei giorni uno scivoli tra le fessure e ci danneggi gravemente. Ecco alcuni passaggi che abbiamo già adottato per mitigare:

  • Spiega alle persone che non dovrebbero mai aprire allegati e-mail sospetti, e commetti un errore di prudenza.
  • Limita l'accesso a tutte le condivisioni di rete in base al bisogno di sapere
  • Sposta automaticamente i file .exe .rar e .zip nel nostro server di scambio

Tuttavia, nonostante tutto ciò, le e-mail di spam stanno migliorando e Kaspersky deve interrompere le infezioni quasi ogni giorno. Il nostro staff è composto per lo più da impiegati d'ufficio, quindi molti di loro hanno comprensibilmente poca idea di cosa sta succedendo. Cos'altro possiamo fare per mitigare i nostri rischi?

    
posta Magisch 19.04.2016 - 11:09
fonte

3 risposte

2

Ci sono diversi modi per affrontarlo, tra cui:

  • Mitigazione dell'infezione
  • Filtro delle email meglio
  • Educare gli utenti

Poiché la tua domanda riguarda la mitigazione di un'infezione, manterrò le altre parti in breve.

Filtro delle email

Il problema non sono solo gli allegati ma anche le email html che potrebbero attaccare direttamente il client di posta elettronica o contenere collegamenti fraudolenti.

A seconda dell'attività, questo metodo potrebbe essere applicabile o meno:

Distribuisci greylisting insieme a un controllo allegati e SPF e / o DKIM . Per es.

That sender is new to me - it has an attachment. If the DKIM signature cannot be verified, I'm not letting this through.

Mitigazione dei rischi

Di nuovo, questo dipende dalla tua attività. Se non ci sono molti dati in uso (e scritti su), questa potrebbe essere una possibilità:

Avere una "area di staging" per ogni sessione di accesso, ad es. la directory "Documents" è l'unica directory con accesso in scrittura per gli utenti.

Quindi, possono scrivere nuovi file (o aprire vecchi file di sola lettura e modificarli) - la funzione sandbox viene quindi migrata su una memoria permanente con uno script di disconnessione, modificando le autorizzazioni in sola lettura.

Il problema è questo: se il malware utilizza escalation di privilegi, c'è la possibilità che cambi comunque permessi e crittografati.

C'è anche un'altra domanda (da me) qui che ha esigenze più elevate sull'accesso in scrittura, forse che ti aiuta.

Il punto chiave è di riscrivere il più possibile l'accesso in scrittura - magari introducendo qualche overhead organizzativo con la richiesta manuale dei diritti da parte dell'amministratore di sistema, ma riducendo al minimo il danno che può essere fatto.

Come indicato da FerryBig nei commenti: ovviamente tutto il software dovrebbe essere aggiornato in ogni momento (con aggiornamenti verificati) e non dovrebbe essere utilizzato alcun software interrotto o noto per avere vulnerabilità non risolte (guardandoti , flash!).

Formazione degli utenti

Fondamentalmente, anche gli allegati di file dall'aspetto non sospetto sono una cattiva idea.

La regola generale è quella di non aprire allegati che non sono previsti. Riferimento incrociato questa risposta sull'infezione da malware , anche - purtroppo, anche da parte mia.

    
risposta data 19.04.2016 - 11:28
fonte
1

La soluzione standard di crypto ransomware su Windows (che è dichiaratamente un PITA) consiste nel bloccare l'esecuzione dall'albero della directory %APPDATA% dell'utente e dal sistema% localizzazione di% da criteri di restrizione del software o Applocker. Dopo aver impostato una regola di rifiuto predefinita, devi autorizzare le app legittime nel tuo ambiente che utilizzano queste directory.

Almeno fino ad oggi, tutte e quattro le principali famiglie di crytpo ransomware vengono eseguite da %TEMP% o %APPDATA% , il che rende l'esecuzione del blocco da lì la soluzione più semplice ed efficace. Devo ancora vedere un pezzo di malware crittografico attraversare queste politiche, ed è passato diversi anni.

Il filtraggio delle e-mail è una strategia di successo per affrontare il ransomware, poiché il vettore di attacco principale per queste campagne in questi giorni è malvertising. Per quello che vale, quando il ransomware è diventato una cosa importante circa 5 anni fa, stavo lavorando per una grande azienda che ha fatto le stesse cose che stai facendo ora: filtro e-mail, backup appropriati, endpoint AV e persino un webfilter / proxy , ma eravamo ancora colpiti da uno di questi ogni due settimane circa. L'unica cosa che funzionava era il blocco dell'esecuzione di default da %TEMP% .

    
risposta data 19.04.2016 - 15:40
fonte
0

Riesco a vedere dalla tua domanda che Windows è attualmente il sistema operativo dominante utilizzato nella tua azienda.

È possibile passare a GNU / Linux come sistema operativo in esecuzione su tutti i computer delle aziende. C'è molto poco ransomware di successo per GNU / Linux, e non è nemmeno probabile che ce ne sarà molto in futuro. Lo stesso vale per virus e malware in generale. Gli sviluppatori di malware probabilmente non sono molto interessati alla piattaforma. Inoltre, la piattaforma è generalmente più sicura di Windows. Se i tuoi colleghi hanno software Windows (Microsoft Office, ecc.) Che hanno per eseguire (o addirittura preferiscono), puoi installarli per loro tramite Wine o VirtualBox . Io stesso ho installato Microsoft Office su Ubuntu 14.04 per un amico non esperto di recente, funziona perfettamente. Il frontend PlayOnLinux di Wine rende l'installazione di molti programmi un sogno. Altri software che ho installato in questo modo includono Adobe Photoshop e Adobe Lightroom. Inoltre, VirtualBox può eseguire una perfetta virtualizzazione di Windows con perfetta compatibilità con il software Windows. VirtualBox è gratuito e la tua azienda possiede già le licenze di Windows che ti serviranno per utilizzare legalmente Windows.

Questo ti farà risparmiare anche molti soldi. Per la massima sicurezza, puoi comunque prendere molte delle precauzioni generali che hai preso in precedenza.

Ora ci sono diverse distribuzioni GNU / Linux molto intuitive, molto user friendly e perfettamente adatte per utenti non esperti, come i normali impiegati in un tipico ambiente d'ufficio. Una delle molte possibilità sarebbe Linux Mint, in quanto la sua GUI è in qualche modo simile a Windows, a cui i dipendenti possono essere abituati.

Un'alternativa leggermente più user friendly è quella di passare a OS X. Tuttavia, ci sarebbe una spesa enorme per l'acquisto di tutto l'hardware Apple per l'intera azienda. L'esecuzione di OS X sull'hardware corrente si trova in un'area grigia della legge, quindi non considerare questo senza prima consultare un esperto legale. Inoltre, le installazioni stesse richiedono competenze tecniche ed è probabile che siano piene di sfide. Inoltre, anche questo sarebbe un po 'costoso, dato che dovresti ancora legalmente acquistare una copia di OS X per ogni computer. Inoltre, OS X ha avuto un caso confermato di ransomware ultimamente. Gli autori di malware hanno maggiori probabilità di rivolgersi a una piattaforma, maggiore è il tasso di adozione della piattaforma. Comunque. OS X è leggermente più user friendly e ha un ecosistema software più ampio (di app per lo più a pagamento, che aumenta di nuovo le tue spese).

Per riassumere, ti suggerisco di spostare l'intero ufficio su GNU / Linux. Oppure, se non ti importa degli aspetti negativi che ho descritto, OS X.

    
risposta data 20.04.2016 - 12:39
fonte

Leggi altre domande sui tag

È possibile estrarre la chiave di crittografia di un computer con crittografia completa del disco tramite malware? Quali informazioni si possono ottenere dallo screenshot di un dispositivo Apple o dai suoi dati EXIF?