Come educare al meglio gli utenti sui segni rivelatori di infezioni da malware?

Naviga le tue risposte
2

La mia azienda è in procinto di addestrare e testare tutti i dipendenti sulle nostre politiche e pratiche di sicurezza. Come membro del team che fa questo addestramento e test, ho pensato che potrebbe essere utile inventare una serie di esercitazioni. Queste esercitazioni testavano i diversi controlli di sicurezza critici e l'esecuzione dei piani di risposta. So che un certo numero di aziende fa test come questi per il phishing, cosa che faremo anche noi.

Una cosa che vorrei testare è una sospetta infezione da malware. Il mio processo di pensiero per questo è quello di avere qualcuno con l'accesso di amministratore remoto a un dato computer dipendenti potrebbe innescare un evento che ha emulato un'infezione da malware. Ancora più importante, sarebbe un'infezione che ha aggirato il nostro anti-virus.

Ovviamente, ci sono un certo numero di comportamenti che un malware può mostrare, con l'"ideale" (per il malware) che non mostra alcun comportamento. Detto questo, esiste un insieme di comportamenti caratteristici del malware che potrebbero essere replicati in modo sicuro e reversibile da un amministratore o uno strumento che abbiamo installato sul loro sistema? Una lista dei miei pensieri attuali:

  • Hijack del browser - Reindirizza il browser dell'utente a una pagina intranet dannosa
  • Modifica il file hosts - Reindirizza le voci IP / DNS comuni su una pagina intranet dannosa
  • Utilizzo elevato della CPU - Emula un malware di botnet o bitcoin mining creando un processo spurio che esegue calcoli innocui ma eccessivi
  • High Disk Use - Emula un attacco ransomware corrente creando un processo spurio che esegue letture / scritture su disco innocue ma eccessive
  • popup Ransomware - Crea un'immagine popup presa da uno dei famosi ransomware e mostra semplicemente la pagina di riscatto
  • Accesso non autorizzato - Avere un amministratore remoto in e lasciare aperta una pagina firmata in qualcosa come un account AdSense, connesso all'account "dell'attaccante" (ho visto che questo accada prima)

C'è qualcosa che mi manca? Qualunque cosa dovrebbe essere rimosso?

Qualunque batteria di test che creiamo potrebbe non essere esaustiva, ma l'obiettivo è semplicemente verificare che i dipendenti siano attenti a questi tipi di violazione e segnalarli quando rilevati. Speriamo che questo abbia il vantaggio di farli essere più sensibili a questo tipo di attacchi anche a casa.

    
posta Nate Diamond 23.01.2018 - 22:44
fonte

2 risposte

3

Vorrei mettere in discussione il valore del software anti-malware che non è in grado di rilevare un comportamento insolito e perché altri livelli di difesa non rilevano attacchi. Per la lista che hai proposto, ci sono ragioni legittime per la maggior parte di queste cose, quindi non mi aspetto che un utente finale pensi che dovrebbe segnalarlo come malware. Puoi trovare o scrivere uno strumento che rileva e riporta su questi scenari (ad esempio, HIPS , IDS / IPS , firewall stateful, ecc.).

Forse lo scenario più ragionevole è che l'utente contatti l'IT per comportamenti strani e che l'IT esegua indagini, scansione di malware, ecc.

Gli utenti finali dovrebbero essere la tua ultima linea di difesa (l'esercito non fa affidamento sugli insegnanti della scuola invece che sulle agenzie di intelligence). Il ricorso agli utenti finali di solito indica controlli tecnici insufficienti. La maggior parte delle organizzazioni non implementa nulla oltre i filtri antispam per la posta elettronica e le e-mail sono progettate per essere quotidianamente oggetto di interazione con gli utenti finali. Sarei sorpreso se l'evento degli utenti finali sapesse come monitorare l'utilizzo o cosa fa un file host o dove si trova.

Una cosa importante da considerare con l'aumento della simulazione del phishing e testarlo sul mercato / effetto venditore. La simulazione del phishing equivale pressoché all'invio di e-mail di marketing con link di tracciamento, non è un software super complicato da scrivere e il passo delle vendite è relativamente semplice.

Ad un livello superiore, un trapano è una buona cosa da testare, ma dovresti concentrarti sulla risposta del team IT, non sugli utenti come KPI. Ad esempio, con quanta rapidità l'IT può identificare e mettere in quarantena una macchina, sta facendo le domande giuste per stabilire se sono necessari malware e indagini o sta solo cercando di chiudere il ticket il più rapidamente possibile?

Se desideri testare la risposta del malware dai rapporti degli utenti finali e dal follow-up IT, puoi utilizzare un file di test EICAR .

    
risposta data 24.01.2018 - 03:24
fonte
3

Inizia con le cose facili

Come sottolineato nei commenti e nella risposta di Eric, ciò che chiedi ai tuoi utenti finali è di adempiere a compiti che non fanno parte della loro descrizione del lavoro e (a seconda di come sono tecnologicamente avanzati) sono troppo complicati per loro. A meno che tutti i tuoi dipendenti non vogliano andare in medicina legale, dovresti seguire un'altra strada. In questa risposta voglio descrivere molto brevemente come può essere quella via, perché c'è molta letteratura su questo e davvero non dovresti concettualizzare un allenamento con una risposta StackExchange.

Conduco regolarmente interviste con CIO e amp; CSO in istituzioni di medie dimensioni per analizzare i loro processi relativi alla sicurezza. Gli argomenti sono infrastrutture, controlli di sicurezza ecc. In quasi tutte queste istituzioni la stragrande maggioranza dei dipendenti fallirà nei seguenti compiti (di base):

  • riconosce una mail di phishing
  • segnala una ricerca o un'infezione da malware 1
  • segnala un incidente di sicurezza 2
  • e altro ..

Queste sono le cose per cui vado, quando avvio un nuovo processo per educare i miei utenti. Gli esempi pratici sono grandi, quindi terrei quella mentalità. La maggior parte delle persone non riesce ancora a immaginare cosa può fare un malware. Mostra ai tuoi dipendenti quanto può essere pericolosa un'infezione da malware, quanto è facile essere infettati e che può succedere a chiunque.

Come ha sottolineato Eric, per tutti gli attacchi sofisticati dovrebbero esserci soluzioni tecniche. Il punto principale di questa risposta è che quando l'utente finale deve impegnarsi in qualsiasi processo relativo alla sicurezza - nella mia esperienza - tipicamente flat out non fallirà nel farlo giusto modo. Più il compito è complesso, più sarà difficile per il tuo utente agire di conseguenza. Quindi inizia preparandoli per questi casi relativamente tipici.
Un buon modo per farlo, è in gruppi di formazione in piccole squadre su base regolare. Ciò rafforzerà anche la consapevolezza della sicurezza IT e l'importanza di tutti i processi correlati.

1 Caso tipico: un software antivirus segnala la scoperta o l'infezione e i dipendenti sono obbligati a segnalarlo a chiunque sia responsabile della sicurezza IT o del reparto IT. Essendo abituato a fare clic su "OK" o "Annulla" nelle finestre pop-up, la maggior parte delle persone chiude queste finestre più o meno immediatamente e non sa nemmeno cosa è successo. Altri si vergognano troppo di denunciarlo e temono ripercussioni per se stessi o per il loro collega che inviano loro quel divertente PowerPoint. Pensa all'introduzione di un processo per segnalare infezioni / incidenti in modo anonimo .

2 Cose come l'effetto spettatore o la paura delle ripercussioni sono direttamente influenzate dalla cultura aziendale e se e come la gestione abbraccia la tua strategia di sicurezza IT. Se la gestione lo vive, anche i dipendenti lo faranno.

    
risposta data 24.01.2018 - 09:28
fonte

Leggi altre domande sui tag

Che tipo di metadati contiene effettivamente un file? [chiuso] Sarebbe possibile verificare la proprietà della valuta digitale senza una connessione di rete a un server di autorizzazione?