За последние пару недель мою компанию захлестнула группа вирусов, включая вложение .html. Некоторые из них были отправлены UPS, некоторые - Western Union. Все они просят пользователя щелкнуть по вложению .html. Имейте в виду, что ни одно из них не было обнаружено никаким программным обеспечением безопасности в моей сети. В основном продукты Trend Micro, OfficeScan и Scanmail.
Я пытаюсь внедрить в своих сотрудников немного здравого смысла в Интернете. Старый, если это хорошо, чтобы быть правдой, если вы этого не ожидаетеи т. д., но все же я кое-что забыл. После переустановки трех машин я понял, что это большая проблема, чем я думал. Моей первой реакцией было заблокировать все вложения .html на нашем сервере Trend Scanmail. Казалось, это отлично сработало. Больше никаких вирусных атак.
Вот моя проблема. Наш бухгалтер / офис-менеджер пришел ко мне сегодня и сказал, что мне нужно разрешить файлы .html. Кажется, что все ее бухгалтерские онлайн-сервисы общаются с помощью прикрепленного файла .html. Она говорит, что теряет связь, потому что Scanmail удаляет все ее вложения.
На мой взгляд, настоящий онлайн-сервис не должен взаимодействовать со своими клиентами через вложение .html в электронном письме. Кто-нибудь еще согласен? Считаются ли эти вложения безопасными или их можно смешать с .exe и .bat? Как другие люди справляются с этой проблемой? Следует ли нам связываться с этими службами с просьбой изменить свою политику? Единственный другой вариант, который я дал в моей текущей настройке, - это снова разрешить доступ к файлам .html всем моим пользователям электронной почты.
Trend Micro теряет актуальность? Стоит ли мне искать новое программное обеспечение безопасности? Я перешел на Trend Micro, потому что в то время они были очень хорошо оценены, и я не хотел использовать Symantec или McAfee (неприятный привкус во рту, длинная история). Что я должен делать?
Пара вещей:
HTML сам по себе не является вредоносной программой, поэтому ваше антивирусное программное обеспечение ничего не обнаружит. Щелчок по ссылке инициирует загрузку некоторого вида, содержащего вредоносное ПО, или ссылка направляет браузер на мошеннический веб-сайт, который затем используется в качестве точки внедрения для полезной нагрузки вредоносного ПО.
На самом деле это не UPS, FedEx, Western Union, IRS или какая-либо другая организация, которая отправляет эти электронные письма, поэтому обращение к одной из этих организаций с просьбой прекратить отправку этих писем, скорее всего, вызовет только хихиканье и хохот за ваш счет.
Если на каждой клиентской рабочей станции имеется достаточный компонент сканирования AV в реальном времени, то, если пользователь щелкает одну из ссылок, компонент AV в реальном времени должен блокировать вредоносное ПО. Если это не так, я бы посмотрел, почему это не так.
Когда пользователь получает электронное письмо от UPS и т. Д., Предлагающее пользователю щелкнуть ссылку для сбора информации об отслеживании, доставке и т. Д., Пользователь должен спросить себя: «Я отправил что-то через UPS?» или «Я ожидаю посылку от FedEx?» и т. д. Если ответ отрицательный, удалите письмо. Технологии не могут исправить недостаток здравого смысла. Здесь необходимо серьезное обучение конечных пользователей.
Наша компания также блокирует на границе вложения .html. Мы также подумали, что в таких приспособлениях не было большой потребности. Затем Dell прислала нам ценовое предложение в виде, как вы уже догадались, в виде HTML-приложения. Я полагаю, он немного более стандартизирован, чем файл PDF? В любом случае, мы занесли в белый список HTML-вложения. только из этого домена. Я так понимаю, это не вариант для вас?
Я не могу сказать слишком много о производительности Trend Micro. Одна вещь, которую вы можете попробовать, - это отправить такие файлы в где-нибудь вроде этого, который увидит, что другие поставщики антивирусных программ распознают в нем угрозу. Это может подсказать вам, есть ли для вас лучшая компания.
Одна вещь, которую наша компания сделала, которая кажется весьма успешной, - это блокирование загрузки исполняемых файлов на брандмауэре. По сути, любой HTTP-трафик, несущий исполняемый файл Windows, блокируется. У нас есть белый список пользователей, которым разрешено загружать их, если это действительно необходимо, но в противном случае он может заблокировать проникновение огромного количества вредоносных программ.
ни одно из них не было обнаружено никаким программным обеспечением безопасности в моей сети. В основном продукты Trend Micro, OfficeScan и Scanmail
Я могу рекомендовать ClamAV (бесплатный, кроссплатформенный) как очень эффективный блокировщик фишинга. Я видел несколько отчетов, в которых говорится, что он не так хорош, как некоторые коммерческие сканеры Anti-Virus, но его легко поддерживать в базе данных и / или использовать SpamAssassin на ваше MTA - опять же, легко обновить правила и байесовскую базу данных.
И, конечно же, поскольку единственная стоимость - это какое-то оборудование для его запуска, тогда оно с радостью будет соответствовать вашему текущему положению.
Кроме того, не уверен, насколько выполнимо это предложение для вашей сетевой архитектуры, но OpenDNS хорош в блокировании фишинговых / вредоносных сайтов - я использую его дома, и, похоже, он хорош в том, что он делает.
Рассмотрим внешний сервис фильтрации сообщений в стиле Capture-And-Release.
Symantec предлагает это в виде Messagelabs
Google предлагает это в виде Postini
Они будут более эффективны при контроле спама на границе вашей сети, но при этом позволят пользователям управлять обнаруженным спамом и при необходимости публиковать сообщения.
Отказ от ответственности: вероятно, гораздо больше компаний предлагают аналогичные услуги, поэтому ищите наиболее подходящие для вас. Я просто больше всего знаком с двумя вышеупомянутыми.