Pratiche di sicurezza da parte dei dipendenti in un ambiente aziendale

Naviga le tue risposte
2

Considerare la seguente situazione:
1. In qualche modo il sistema del mio capo è stato infettato da un malware (ha visitato uno dei siti Web di exploit Java).
2. Invia un documento PDF contenente il documento del requisito di un nuovo progetto in arrivo (il malware ha infettato questo PDF).

Il mio sistema operativo e l'antivirus sono tutti riparati. Quindi il PDF sembrerà OK da aprire, e andrò avanti e aprirò quel PDF.

Come si può proteggere da questo tipo di attacchi? (AFAIK, l'operazione aurora contro google ha utilizzato solo questa tecnica).

E considerato che il PDF che mi è stato inviato è un documento commerciale confidenziale, non posso nemmeno caricarlo su siti come virustotal.com, quindi anche se avesse un'infezione da 0 giorni, le aziende antivirus non saranno in grado di crearne una firma.

Grazie!

    
posta Novice User 12.04.2013 - 08:44
fonte

2 risposte

5

Domanda interessante. Ci sono un paio di aree che sono possibili controlli per questo.

Il primo posto ovvio è il patching di cose come Java. È comunemente trascurato nei processi di applicazione delle patch, ma con il livello degli attacchi è necessario ricevere le patch il prima possibile.

Il prossimo è indurito. La funzionalità dell'applet Java (che probabilmente è ciò che è stato sfruttato qui) dovrebbe essere disabilitata per tutta la navigazione generale. Se è necessario per le applicazioni line-of-business, ti consigliamo di utilizzare un browser separato abilitato che è autorizzato ad accedere a tali siti.

In termini di rilevamento dell'infezione nei PDF più complicato. Come dici tu probabilmente non contrassegnerà l'A-V basato sulla firma. Potenzialmente alcuni programmi di rilevamento dello stile euristico lo catturerebbero (come fanno cose che un PDF standard non lo farà) ...

Un altro controllo possibile è l'esecuzione del programma basato su lista bianca (ad esempio Bit9). Se riesci ad arrivare al punto in cui possono essere eseguiti solo i programmi attendibili, potrebbe bloccare il malware quando viene eseguito (o almeno renderlo molto più difficile farlo).

Infine, i controlli investigativi sono una buona opzione qui. Il malware probabilmente renderà le connessioni out-bound ai server C & C in modo che sia possibile rilevare tali connessioni ..

Nessuna di queste opzioni è al 100% ma le cose forse meritano di essere considerate.

    
risposta data 12.04.2013 - 09:21
fonte
3

Altre riflessioni, basate sul tuo visualizzatore PDF:

  • Assicurati che il tuo visualizzatore PDF sia configurato per non eseguire codice.
  • Assicurati che il tuo visualizzatore PDF sia aggiornato e aggiornato.
  • Utilizza un visualizzatore di PDF meno popolare, poiché gli autori di malware tenderanno a individuare le vulnerabilità nei visualizzatori più popolari.
  • Utilizza un sistema operativo diverso dal tuo capo, quindi se il malware ha codice compilato appositamente per il suo sistema operativo, non può essere eseguito sul tuo computer.
  • Esegui il tuo visualizzatore PDF con i privilegi di sicurezza minimi possibili.
  • Sandbox il tuo visualizzatore di PDF (ad esempio eseguilo in una macchina virtuale usa e getta), quindi anche se esegue codice che non può ottenere nulla.
risposta data 12.04.2013 - 10:56
fonte

Leggi altre domande sui tag

Come posso riavere il mio certificato di crittografia? Qual è il punto di rifiuto di un cookie?