La creazione di un collegamento / preferito per la mia unità di rete invece di utilizzare un'unità mappata aiuta a prevenire la crittografia da parte del ransomware?

3

Per motivi di sicurezza e prevenzione della diffusione di malware sulla rete, la creazione di un collegamento sul desktop o di un sito preferito di Internet Explorer è considerato più sicuro di un'unità mappata?

    
posta Luke 17.08.2016 - 15:14
fonte

2 risposte

5

No e Sì

No :

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore

10 leggi di sicurezza immutabili

In definitiva, se è in esecuzione sul tuo sistema, il malware ha (almeno) lo stesso livello di accesso al tuo file system e quello delle risorse in rete, come fai tu. Quindi, in senso stretto, non importa se una condivisione file è "mappata" o collegata tramite una scorciatoia - se hai accesso ad essa, il malware può arrivare a anche questo.

La parola chiave nel paragrafo precedente: può .

Solo perché il malware può fare qualcosa, non significa che sarà . A meno che tu non abbia a che fare con un utente malintenzionato che si rivolge specificamente a te o alla tua organizzazione, la maggior parte dei malware che incontrerai saranno generati da toolkit generici progettati per ottimizzare l'efficacia attraverso il maggior numero possibile di obiettivi. In breve, la maggior parte dei malware è generica .

È relativamente facile, e generalmente più prezioso per la maggior parte degli obiettivi, perché il malware cerca solo le unità montate da infettare. Se una risorsa è già installata nel sistema operativo, è una buona scommessa che sia a portata di mano (ad esempio bassa latenza) e che tu abbia almeno un certo livello di accesso ad essa. La ricerca di tutti i dispositivi sulla rete locale per le unità che consentiranno al malware di avere accesso in lettura / scrittura è una questione molto più complessa e dispendiosa in termini di tempo, e in genere molto meno probabile che porti frutti. È anche molto più "rumoroso" e quindi più probabile che venga catturato dai sistemi di monitoraggio aziendale.

Questo è molto comunemente visto con ransomware. La maggior parte dei ransomware eseguirà (su un sistema Windows) semplicemente tutte le unità letterali (ad esempio dischi rigidi locali, supporti rimovibili locali, unità di rete mappate) e crittograferà qualsiasi cosa trovi in quelle aree che corrispondono ai tipi di file che è stato scelto come target. Le risorse che non sono collegate a una lettera di unità di solito non vengono toccate. Quindi, per il ransomware e altri malware che si comportano in modo simile, c'è sicuramente un vantaggio nell'evitare le unità di rete mappate.

È ancora possibile che il malware scopra le condivisioni di rete a cui sei connesso anche quando non sono mappate a una lettera di unità. Per vederlo in azione (per i sistemi Windows), passare manualmente a una condivisione di rete non mappata in Esplora file e quindi eseguire net use al prompt dei comandi. Vedrai la risorsa a cui sei connesso in quell'elenco, senza nessuna lettera associata.

Detto questo, evitando i mapping di unità in rete offre ancora una certa quantità di difesa contro questo tipo di scoperta. Per essere più utili, le unità mappate devono essere persistenti - cioè, la connessione viene ristabilita all'avvio del sistema e viene mantenuta finché non la si distrugge esplicitamente. La connessione che viene fatta quando si segue una scorciatoia sul desktop è più transitoria, sebbene - al massimo, di solito dura solo fino al prossimo riavvio. Quindi, anche se non è impossibile per il malware scoprire questa connessione, in genere si riduce la probabilità che si verifichi.

TL; DR:

In senso stretto, una volta che il malware è in esecuzione sul tuo sistema, può fare tutto ciò che vuole fare con le risorse a cui hai accesso, indipendentemente dal fatto che siano "mappate" o meno.

Tuttavia, in pratica, la maggior parte dei malware che vedrete sta semplicemente cercando "frutta a basso impatto". Quindi, di solito non verrà fatto andare molto oltre le risorse che il tuo sistema ha installato al momento dell'infezione. Se si evita di utilizzare i mapping di unità di rete, si riduce sostanzialmente la possibilità che una connessione venga rilevata dal malware quando viene eseguita. Se vieni colpito da qualcosa che solo cerca "lettere di unità", l'impatto è completamente isolato sul sistema locale.

Quindi, anche se può essere lontano da infallibili, c'è ancora un certo valore di sicurezza nel rimanere lontano dalla mappatura delle unità di rete. In molti modi, è come utilizzando un valore non predefinito porta per i servizi di rete comuni . È un livello aggiuntivo a basso sforzo, che puoi aggiungere alla tua posizione di sicurezza per ottenere potenzialmente un valore elevato. (Enfasi su ulteriore perché, ancora una volta, questo non è infallibile. Dovresti anche adottare altre misure di sicurezza più affidabili per prevenire le infezioni da malware e isolarne l'impatto.)

    
risposta data 17.08.2016 - 18:19
fonte
2

No.

Questo in realtà protegge da tutti gli attacchi? Assolutamente no. Potrebbe impedirne un po '? Probabilmente no. Vale la pena l'inconveniente per l'utente? No. Ha senso farlo comunque nella remota possibilità che tu abbia un inetto attaccante? No.

Non ha molta importanza. Se il malware ha accesso al tuo sistema e il tuo sistema ha accesso a un'unità di rete, il malware ha accesso all'unità di rete. Un collegamento sul desktop è solo un percorso file per l'unità di rete, che è essenzialmente la stessa di un'unità mappata.

Ora, se nella mappatura di un'unità si imposta la macchina in modo da ricordare le credenziali di rete, il malware potrebbe essere in grado di ottenere quelle credenziali e riconnettersi in un secondo momento o connettersi automaticamente all'unità di rete, mentre una scorciatoia potrebbe richiedere ogni volta credenziali di rete. Ma in entrambi i casi questo comportamento potrebbe essere cambiato e non puoi mai fidarti del client.

Perché non ha importanza:

Che si tratti di un collegamento sul desktop o di un'unità mappata, il problema non ha nulla a che fare con quando / come il sistema operativo si connette a un'unità. Entrambi i collegamenti e le unità mappate puntano ai percorsi di rete, che sono accessibili al sistema operativo. Se l'utente infetto ha accesso in scrittura a un'unità di rete, il malware può caricare payload dannosi sull'unità di rete e attendere che ignari utenti facciano clic su di essi e infettano le proprie macchine.

Se si è preoccupati per l'unità di rete che funge da area di staging di sorta per i file dannosi, esistono altri passaggi che è possibile adottare per proteggerli. Tipi di file nella lista bianca, imposta permessi di lettura / scrittura per diversi account utente con diversi livelli di accesso in base al principio di minima autorizzazione o combina i precedenti con un firewall interno (come hai detto tu) e una soluzione antivirus.

Perché farlo per casi limite è ridicolo (rivolgendosi specificamente al ransomware):

Dire che questa è una misura di sicurezza valida è completamente falsa. Né è giustificato il possibile inconveniente per l'utente, anche prendendo l'approccio conservativo di bloccare assolutamente tutto. E considerando quanto sono avanzati i moderni attacchi di ransomware, dubito strongmente che un programma dannoso che cerca di crittografare i file si fermerà alle unità connesse. Più probabilmente, controllerà ogni file e percorso sulla macchina locale e ogni unità di rete e percorso disponibili, indipendentemente da come sono montati sul sistema operativo. Se il tuo computer può accedere alle unità di rete e il ransomware ha accesso al tuo computer, il ransomware può accedere alle tue unità di rete e, se dispone di permessi di scrittura, può crittografare i file su di essi.

Tutto ciò che può andare storto andrà male. Quando si parla di sicurezza, supponi sempre il peggio.

    
risposta data 17.08.2016 - 15:21
fonte

Leggi altre domande sui tag