Mitigando el riesgo de una infección exitosa de ransomware

Navega tus respuestas
5

La empresa para la que trabajo se ha visto afectada últimamente con un montón de spam de ransomware espantosamente sofisticado, personas enmascaradas como consultores, clientes, solicitudes muy específicas de la empresa, etc. La protección del punto final empresarial por Kaspersky, me preocupa que uno de esos días uno se resbale por las grietas y nos dañe gravemente. Aquí hay algunos pasos que ya hemos tomado para mitigar:

  • Dígales a las personas que nunca deben abrir archivos adjuntos sospechosos de correo electrónico, y errar por el lado de la precaución.
  • Restrinja el acceso a todos los recursos compartidos de la red a una base de necesidad de saber
  • Deshaga automáticamente los archivos .exe y .zip en nuestro servidor de intercambio

Aún así, a pesar de todo esto, los correos electrónicos no deseados están mejorando, y nuestro Kaspersky tiene que detener las infecciones casi a diario. Nuestro personal es en su mayoría personas de oficina, por lo que la mayoría de ellos tiene una idea comprensible de lo que está sucediendo. ¿Qué más podemos hacer para mitigar nuestros riesgos?

    
pregunta Magisch 19.04.2016 - 11:09
fuente

3 respuestas

2

Hay diferentes maneras de abordar esto, incluyendo:

  • Mitigación de la infección
  • Filtrado de correos electrónicos mejor
  • Educar a los usuarios

Como su pregunta se refiere a la mitigación de una infección, mantendré las otras partes cortas.

Filtrado de correos electrónicos

El problema no son solo los archivos adjuntos, sino también los correos electrónicos html que podrían atacar directamente al cliente de correo electrónico, o contener enlaces fraudulentos.

Según el negocio, este método puede o no ser aplicable:

Implementar greylisting junto con una verificación de archivos adjuntos y SPF y / o DKIM . Por ejemplo,

  

Ese remitente es nuevo para mí, tiene un archivo adjunto. Si no se puede verificar la firma DKIM, no estoy permitiendo que esto pase.

Mitigar los riesgos

De nuevo, esto depende de tu negocio. Si no se usa (y se escribe) una gran cantidad de datos, esto podría ser una posibilidad:

Tenga un "área de preparación" para cada sesión de inicio de sesión, por ejemplo, el directorio "Documentos" es el único directorio con acceso de escritura para los usuarios.

Luego, pueden escribir nuevos archivos (o abrir los archivos antiguos de solo lectura y editarlos allí): el sandbox get migró al almacenamiento permanente con un script de cierre de sesión, cambiando los permisos a solo lectura.

El problema con esto es: si el malware usa una escalada de privilegios, existe la posibilidad de que cambie los permisos y los cifre de cualquier manera.

También hay otra pregunta (por mí) aquí que tiene mayores demandas en el acceso de escritura, tal vez eso te ayuda.

El punto clave es volver a crear el acceso de escritura tanto como sea posible, tal vez introducir cierta sobrecarga organizativa con la solicitud manual de derechos del administrador del sistema, pero minimizando el daño que se puede hacer.

Como señaló FerryBig en los comentarios: por supuesto, todo el software debe mantenerse actualizado en todo momento (con actualizaciones verificadas) y no se debe usar ningún software que se suspenda o que se sepa que tiene vulnerabilidades no fijadas , flash!).

Educación del usuario

Básicamente, incluso los archivos adjuntos que no parecen sospechosos son una mala idea.

La regla general sería no abrir archivos adjuntos que no se esperan. Referencia cruzada esta respuesta sobre infección de malware , también, desafortunadamente, también para mí.

    
respondido por el Tobi Nary 19.04.2016 - 11:28
fuente
1

La solución estándar para crypto ransomware en Windows (que es ciertamente una PITA) es bloquear la ejecución desde el árbol de directorios %APPDATA% del usuario y la ubicación del sistema %TEMP% por política de grupo (Políticas de restricción de software o Applocker). Después de configurar una regla de denegación predeterminada, deberá agregar a la lista blanca aplicaciones legítimas en su entorno que utilicen estos directorios.

Al menos hasta la fecha, las cuatro principales familias de crytpo ransomware se ejecutan desde %APPDATA% o %TEMP% , lo que hace que el bloqueo de la ejecución desde allí sea la solución más fácil y efectiva. Todavía no he visto una pieza de malware criptográfico a través de estas políticas, y han pasado varios años.

El filtrado del correo electrónico es una estrategia de éxito o pérdida para tratar con el ransomware, ya que el principal vector de ataque para estas campañas en estos días es la publicidad maliciosa. Para lo que vale la pena, cuando el ransomware se convirtió en algo importante hace unos 5 años, estaba trabajando para una gran corporación que hizo las mismas cosas que está haciendo ahora: filtrado de correo electrónico, copias de seguridad adecuadas, punto final AV e incluso un filtro de web / proxy , pero todavía estábamos siendo golpeados por uno de estos cada dos semanas más o menos. Lo único que funcionó fue bloquear la ejecución por defecto desde %APPDATA% .

    
respondido por el HopelessN00b 19.04.2016 - 15:40
fuente
0

Por su pregunta, puedo ver que Windows es actualmente el sistema operativo dominante utilizado en su empresa.

Puede cambiar a GNU / Linux como el sistema operativo en ejecución en todas las computadoras de sus compañías. Hay muy poco ransomware exitoso para GNU / Linux, y tampoco es probable que haya mucho de eso en el futuro. Lo mismo ocurre con los virus y malware en general. Los desarrolladores de malware probablemente no estén muy interesados en la plataforma. Además, la plataforma es generalmente más segura que Windows. Si sus colegas tienen software de Windows (Microsoft Office, etc.) que tienen para ejecutar (o incluso prefieren), puede instalarlo para ellos a través de Wine o VirtualBox . Yo mismo instalé Microsoft Office en Ubuntu 14.04 para un amigo no experto recientemente, funciona perfectamente. Wine frontend PlayOnLinux hace que la instalación de muchos programas sea un sueño. Otro software que he instalado de esta manera incluye Adobe Photoshop y Adobe Lightroom. Además, VirtualBox puede ejecutar una virtualización perfecta de Windows con compatibilidad perfecta con el software de Windows. VirtualBox es gratis, y su empresa ya posee las licencias de Windows que necesitará para usar Windows legalmente.

Esto también te ahorrará mucho dinero. Para mayor seguridad, aún puede tomar muchas de las precauciones generales que ha tomado anteriormente.

Ahora hay varias distribuciones de GNU / Linux muy fáciles de usar que son muy fáciles de usar y perfectamente adecuadas para usuarios no expertos, como los empleados normales en un entorno de oficina típico. Una de las muchas posibilidades sería Linux Mint, ya que su GUI es algo similar a Windows, a la que los empleados pueden estar acostumbrados.

Una alternativa posiblemente más sencilla para el usuario es cambiar a OS X. Sin embargo, habría un gasto masivo en la compra de todo el hardware de Apple para toda la empresa. La ejecución de OS X en su hardware actual está en un área gris de la ley, así que no lo considere sin consultar primero a un experto legal. Además, las instalaciones en sí requieren experiencia técnica y es probable que estén llenas de desafíos. Además, incluso esto sería algo costoso, ya que legalmente aún tendría que comprar una copia de OS X para cada computadora. Además, OS X ha tenido un caso confirmado de ransomware últimamente. Los autores de malware son más propensos a apuntar a una plataforma a mayor tasa de adopción de la plataforma. De todos modos. OS X es un poco más fácil de usar y tiene un ecosistema de software más grande (de aplicaciones en su mayoría pagadas, lo que también aumenta sus gastos).

Para resumir, le sugiero que mueva toda su oficina a GNU / Linux. O, si no te importan los inconvenientes que describí, OS X.

    
respondido por el Revetahw 20.04.2016 - 12:39
fuente

Lea otras preguntas en las etiquetas

Mejor práctica: ¿Debo revocar una identidad con firma automática utilizando SHA1? ¿Por qué usar claves SSH dedicadas para diferentes hosts (como GitHub)?