Наша компания испытывает настоящую проблему со спамом, фишингом и изощренными вирусами (которые являются совершенно новыми на момент первой загрузки и не распознаются никакими антивирусными сканерами в течение как минимум нескольких часов после загрузки, а иногда и дней). В результате нам пришлось стереть несколько машин, пользователи были пойманы с помощью фишинговых атак, и у нас даже был один вирус, который захватил часть нашей информации из общего файлового ресурса.
Мне интересно, как другие компании защищаются от подобных угроз. Мы пробовали обучать пользователей тому, что нажимать, а что не нажимать, но никакое обучение, похоже, не устраняет проблему (особенно для нетехнических пользователей). Устанавливают ли компании безопасные среды просмотра / электронной почты (например, в виде отдельной виртуальной машины)?
FWIW, у нас есть брандмауэр Astaro и две антивирусные программы (ESET и TrendMicro)
В дополнение к тому, что сказали другие, мы делаем еще несколько вещей.
Ваш брандмауэр должен блокировать .exe, .msi, .vbs, .bat и т. Д. Вы можете легко найти в Google полный список типов исполняемых файлов. На повседневной основе загрузка и установка программ конечными пользователями не является законным экономическим обоснованием.
Кроме того, не разрешайте пользователям доступ на уровне администратора. Вместо этого предоставьте им доступ только на уровне пользователя.
Есть ли в брандмауэре Astaro IPS и веб-фильтрация на основе подписки? Если да, то вам следует подписаться.
Составьте план, чтобы гарантировать, что Windows всегда в актуальном состоянии, а также Java, Flash и Acrobat Reader.
Удалите с компьютеров конечных пользователей все P2P, программы для обмена файлами и т. Д. Фактически, удалите все программное обеспечение, не связанное с бизнесом.
Ой.
Хорошо, кое-что из этого избыточно, но вот лучшее, что я могу порекомендовать.
Ограничьте доступ пользователей к своим системам учетными записями пользователей. Используйте самые низкие возможные привилегии. Это помогает ограничить установку приложений.
Используйте только программное обеспечение, одобренное вами в ИТ-отделе. Никаких милых заставок с котятами, никаких вещей из дома, никаких крутых игр, ничего, что вам неизвестно. Установите программное обеспечение для аудита, которое может проверять установленное программное обеспечение ваших клиентских систем.
Блокируйте входящие вложения, размер которых превышает определенный. Экономит место на диске, экономит трафик, защищает ваши почтовые ящики от повреждения.
Блокируйте входящие вложения, которые являются исполняемыми. Это большой вопрос. .exe, .com, .bat и т. д.
Посмотрите, сможете ли вы фильтровать почту с помощью надлежащих проверок на спам. Проверка SPF. При необходимости вы можете настроить списки черных дыр. Антивирус на почтовом сервере, который постоянно обновляется. Я не знаю, какой почтовый сервер вы используете, поэтому я не могу там помочь, но в системах Linux / UNIX ClamAV отлично работает на сервере, потому что это плагин, который работает с рядом MTA и ловит не только вирусы / вредоносные программы, но попытки фишинга и обновления, как если бы у их команды было ОКР.
Установите антивирусное программное обеспечение на клиентов, поддерживайте его в актуальном состоянии, похоже, вы это уже делаете. Но убедитесь, что они всегда в курсе. У нас есть программное обеспечение, которое иногда просто «перестает» обновляться.
Вы централизовали хранилище? Держите AV в курсе последних событий, пусть он уведомит вас об инфекциях. Позволяет избежать потенциальных проблем с файловым сервером. Чем больше вы централизуете свою информацию, тем легче вам управлять ею (и создавать резервные копии); ваши пользователи являются вашими пользователями, потому что они ожидают, что вы будете обрабатывать детали технологий. Они не хотят заботиться о вирусах и т.п., поэтому ожидание от них большого количества "технических вещей" приведет к большему количеству заражений и проблем.
Одна вещь, которая у нас есть в нашей настройке, потому что у нас есть большой процент систем, которые сохраняют свою конфигурацию довольно статичной (и мы используем профили пользователей на сетевом сервере), - это продукт под названием Deep Freeze; вы настраиваете систему в желаемое состояние, а затем «замораживаете» ее, и все изменения, внесенные в систему, стираются при перезагрузке. Удалил каталог Windows, перезагрузился, восстановил вроде ничего не произошло. Иногда делать это очень приятно. НО это означает, что нужно планировать обновления (из-за необходимости разморозить его), и мы не запускаем на нем антивирус из-за проблем с обновлением (плюс вы не хотите, чтобы он обновлялся каждый раз, когда он перезагружается и говорит: «Я закончил date! »Да, системы могут заразиться, но перезагрузка очистит их. Однажды мы избавились от инфекции, по существу перезагрузив наше здание. На удивление хорошо сработало для сюжета« Звездного пути ».
Вы обновляете резервные копии своих серверов для восстановления после вредоносных программ?
Вы блокируете исходящие порты на брандмауэре, которые не нужны вашим пользователям? Особенно порт вашего почтового сервера; только вашему почтовому серверу должен быть разрешен исходящий порт 25. Некоторые вредоносные программы будут отправлять сообщения на 25-й порт с рабочих станций и попадут в списки черных дыр.
Настройте свой почтовый сервер для дополнительных методов остановки спама, таких как задержка ответа, и проверьте с помощью внешних средств проверки, что он не ретранслирует почту.
Установите программы проверки вредоносных программ. Не злоупотребляйте антивирусом. AV имеют тенденцию плохо взаимодействовать друг с другом. Под средствами проверки вредоносных программ я имею в виду что-то вроде MalwareBytes и Spybot Search and Destroy. Запускайте их периодически. Часто обновляйте их.
Своевременно обновляйте все свое программное обеспечение. Программное обеспечение Adobe, Java, обновления Windows ... рассмотрите возможность установки сервера WSUS локально, если количество клиентов того требует.
Создавайте образы своих систем, если они стандартные. Немного упростит восстановление, если вы можете просто развернуть чистый образ системы. Максимально стандартизируйте свое оборудование.
Контролируйте свой сетевой трафик. Используйте SNMP на своих пограничных маршрутизаторах, проверьте необычную активность, ознакомьтесь с «нормальными» схемами использования сети. Если обнаружится что-то странное, вы можете провести расследование заранее. Если вы играете с виртуальными машинами, нетрудно настроить систему приманки, которая может проверять необычную активность и отправлять вам электронное письмо в случае возникновения проблем; для получения информации обратитесь к разделу «Системы обнаружения вторжений».
В зависимости от среды вы можете использовать политики для принудительного включения исполняемых файлов в белый список, чтобы на клиентских машинах могли работать только определенные exe-файлы, но это может быстро вызвать негативную реакцию со стороны пользователей. Используйте его с осторожностью.
Существует множество документов по борьбе со спамом на ваших почтовых серверах, некоторые из которых относятся к конкретной реализации, поэтому вам придется искать в Google свой конкретный MTA. Также существуют тестеры для удаленного тестирования вашей конфигурации. Используй их. Существуют устройства для фильтрации спама, такие как Abaca и другие, которые помогают сократить время обучения ... опять же, это зависит от вашей ситуации, как вы хотите это делать. Одно время у нас была прокси-почтовая система, поэтому первая система получала электронное письмо, обрабатывала его для оценки спама / блокировала исполняемые вложения и т. Д. затем отправил его на наш почтовый сервер, чтобы вы могли связать входящую почту с несколькими методами сканирования. Задокументируйте все, что вы делаете, иначе у вас может появиться спагетти-капля зависимостей на диаграммах, когда вы пытаетесь устранить проблему.
И хотя они часто игнорируют это, продолжайте обучение конечных пользователей. Сделайте или получите плакаты. Напоминания по электронной почте (не шаблонные, иначе они их проигнорируют. Это как знаки остановки. Вы видите их все время, они в конечном итоге смешиваются, честный офицер, я не понимаю, о чем вы говорите ... То же самое и с ИТ Уведомления. Вам необходимо адаптировать их и изменить так, чтобы вы обманом заставляли пользователя узнавать что-то из ваших заметок) о новых вирусах и вредоносных программах.
Да, и работайте над своей политикой в компании. Запретите личное хранилище, если необходимо, и личные устройства, или утвердите их в отделе. Обозначьте допустимое использование. Вредоносное ПО может перемещаться и распространяется на USB-накопителях и дисках.
(EDIT) Вы также можете установить прокси-сервер для трафика веб-браузера. В зависимости от того, насколько сложной вы хотите получить, вы можете использовать плагины Squid + или приобрести устройство для обработки трафика за вас. Устройства, конечно, более «под ключ» и имеют красивые интерфейсы для менеджеров, отчеты и т. Д., В то время как Squid бесплатен и требует обучения. Но есть прокси с удобными функциями, такими как блокировка определенных типов файлов и, конечно, блокировка доступа к сайтам, или, по крайней мере, вы можете использовать их для аудита доступа к сайтам. Иногда блокировка - это не столько средство цензуры, сколько способ защитить ваших пользователей от самих себя. Если вы найдете способ правильно настроить его или устройство с нужными функциями, вы можете блокировать все виды плохого трафика и отслеживать, как используются ресурсы вашей компании.
Убедитесь, что все это также включено в вашу политику. У вас есть право контролировать, как используются активы компании, но ваши пользователи имеют право знать, как вы их отслеживаете. И вы должны быть осторожны со всем, «как далеко зайти, пока я не стал слишком драконовским». Этические границы вашей компании зависят от вашей компании.
Также имейте в виду, что при поиске материалов веб-прокси могут возникнуть проблемы с трафиком https. У нас были проблемы с этим в нашей фильтрации Squid; не было простого способа заблокировать зашифрованные веб-сайты, потому что в этом вся суть. Однако есть способы сделать это. Бытовая техника может лучше подойти для этой задачи.
Я считаю, что вы также можете получить некоторую защиту, используя серверы OpenDNS в качестве вашего восходящего провайдера DNS. Я этого не делал, поэтому вам, возможно, придется изучить это, но я думаю, что они предоставляют некоторые услуги для таких вещей, как блокировка поиска в доменах вредоносных программ и тому подобное. Если они действительно предлагают эту услугу, может быть тривиальным дополнением к вашей настройке с хорошей мерой защиты в качестве преимущества.
По моему опыту (и я знаю, что вы сказали, что уже пробовали это сделать) лучшая защита - это обучение ваших конечных пользователей, особенно когда речь идет о нулевых днях. От нулевых дней по своей природе сложно защитить себя, и у вас могут быть все сканеры в мире, но если они не распознают вредоносный код в эксплойте, они не принесут вам много пользы. Изменить код этих эксплойтов относительно легко, если вы знаете, что делаете. Обучение ваших пользователей - это то, что вам действительно нужно для достижения цели. Я думаю, можно с уверенностью сказать, что независимо от того, какие действия вы пытаетесь предпринять для смягчения этих угроз, у вас всегда будет несколько электронных писем, которые проскользнут сквозь щели.
Вы можете попробовать запустить почтовые клиенты в изолированной среде виртуальной машины, но это может быть дорогостоящим и трудоемким для настройки, и существует множество задокументированных эксплойтов, которые позволяют вредоносному содержимому вырваться из изолированной среды и получить доступ к хост-машине. .
Я бы также рекомендовал посмотреть, как спамеры получают адреса электронной почты ваших сотрудников. У вас есть адреса электронной почты на вашем веб-сайте (ах)? Если да, удалите их и постарайтесь уменьшить объем получаемых электронных писем. Подумайте о настройке теста honeypot для писем, когда они приходят (мы добились больших успехов в тесте honeypot Vamsoft ORF). Также обратите внимание на свои правила фильтрации в своем фильтре, чтобы убедиться, что вы получаете максимальную отдачу от своего программного обеспечения.
Мы добились больших успехов в предотвращении злонамеренного взлома электронной почты путем обучения пользователей, последовательного аудита наших политик фильтрации и соблюдения правила наименьших привилегий.
Если вы не знакомы с 8 правилами безопасности, я бы посоветовал их проверить. Это хорошая пища для размышлений, и они действительно помогут защитить вашу сеть.
Я предполагаю, что у вас есть что-то вроде ClamAV, установленного на вашем почтовом сервере (это будет для почтового сервера Linux). Это будет первый порт захода для перехвата зараженных писем еще до того, как они попадут к пользователям.
Что я нашел, так это то, что нужно поймать его до того, как он попадет к пользователю, решить эту проблему, и вы решили проблему.
Судя по звукам, вы уже делаете большинство вещей, и основная проблема заключается в том, что пользователям присылают по электронной почте ссылки на хитрые сайты.
Лучший способ решить эту проблему - использовать черный список DNS в реальном времени на вашем почтовом сервере. Проверять, выписываться http://www.spamhaus.org/ - использование этого предотвратит подавляющее большинство из них.