Blocco degli eseguibili sul firewall in azienda

È normale bloccare gli eseguibili (e quindi la whitelist), tuttavia questo ha il peso degli utenti sconvolti e quindi del personale di supporto sovraccarico che ha bisogno di mantenere le whitelist.

Ciò che vediamo oggi è strumenti leggermente più sofisticati che esaminano in modo introspettivo l'EXE per vedere se "sembra" come malware. Uno dei miei clienti usa wildfire che si muoverà con l'eseguibile in un ambiente in una scatola di sabbia per vedere se fa scattare qualsiasi comportamenti standard di malware. Come molte di queste soluzioni, il fornitore utilizzerà l'euristica standard e avrà sistemi collegati a un NOC che indagherà su nuovi malware e invierà immediatamente nuovi modelli a ciascun firewall.

Anche questi tipi di strumenti sono dotati di console con la visualizzazione e le merci possono essere integrate con il tuo SIEM.

Quarantena, non bloccare. Estrai il file eseguibile e salvalo in un'area protetta. Se corrisponde all'hash di un eseguibile autorizzato, fornire al destinatario l'eseguibile autorizzato.

Se non corrisponde a una lista bianca, fornisci al destinatario un collegamento a un flusso di lavoro che assegna la priorità all'eseguibile per la pubblicazione e la whitelist.

Esamina attentamente la tua tecnologia per valutare la probabilità di bypass. Più è complicato per il lavoratore legittimo portare a termine il lavoro, più è probabile che avrai un'implementazione Potemkin - carina ma inefficace. Non conosco il tuo firewall, ma ho lavorato in ambienti in cui le persone regolarmente ribattezzato l'eseguibile da foo.exe a foo.xex eludendo l'intera implementazione di sicurezza. O semplicemente crittografato l'e-mail con PKI.

Se dovessi farlo, pubblicherei le statistiche sul mio flusso di lavoro di quarantena (velocità, efficacia,% di malware catturato) e impegno a migliorare l'efficienza del processo di de-quarantena di N % / anno, misurato mensilmente.