Come determinare il traffico in uscita dal malware?

Question

Come determinare il traffico in uscita dal malware?

#1 da (1 voti)

0

Il mio obiettivo è stringere il firewall sul mio PC di dominio AD con Windows 10. Anche se il firewall di Windows è già attivo, non sono sicuro che stia bloccando il traffico in uscita dal malware

Che cos'è un modo efficace per determinare quale traffico in uscita sono malware e quali sono stati avviati da app legittime (come e-mail e altre app aziendali)?

I miei pensieri iniziali sono:

Poiché un'applicazione legittima può effettuare chiamate in uscita su più IP (ad esempio i servizi di telemetria MS), dovrò tenere traccia di tutti gli IP legittimi (chiamiamola la mia whitelist IP)
Qualsiasi traffico in uscita verso IP che non è nella mia lista bianca - verrà bloccato dalla regola del mio firewall

Ma questo sarà un compito costoso, poiché dovrò monitorare e confermare ogni singola connessione IP in uscita: (

So che ci deve essere un modo più efficace per raggiungere il mio obiettivo - ma non sono sicuro da dove cominciare

firewalls

posta Tickle Me 08.08.2017 - 06:02

fonte

1 risposta

Leggi altre domande sui tag firewalls

Come impedisco agli utenti di utilizzare le mie app iOS a meno che non siano state autenticate su un server? Insidie nell'utilizzo di SELinux per i server LAMP

score 1 · Answer 1

Il malware utilizza molti modi per comunicare, compreso l'uso improprio di feed di Twitter, commenti nei forum o siti compromessi con una reputazione più elevata. I malware possono anche fare le loro comunicazioni rubando i browser. Pertanto, è impossibile bloccare semplicemente tutte le comunicazioni di malware semplicemente limitando l'accesso a specifici indirizzi IP o consentendo solo connessioni avviate dal browser o dal client di posta.

I prodotti AV oi firewall perimetrali potrebbero aiutare a bloccare una parte importante del traffico di malware (ma non tutti) utilizzando blacklist curate e / o analisi più approfondite del traffico. E, a seconda del ruolo che il tuo sistema ha nella rete, potresti limitare esplicitamente la sua connessione agli host specifici con cui comunicare e negare tutto il resto (ad esempio utilizzare una lista bianca di alcuni noti host e reti affidabili e non una black lista).