Por razones de seguridad y la prevención de la propagación de Malware a través de la red, ¿la creación de un acceso directo de escritorio o un favorito de Internet Explorer se considera más segura que una unidad asignada?
No :
Ley # 1: si un malvado puede persuadirte de que ejecutes su programa en tu computadora, ya no es tu computadora
10 Leyes de seguridad inmutables
En última instancia, si se está ejecutando en su sistema, el malware tiene (al menos) el mismo nivel de acceso a su sistema de archivos y los de los recursos en red, al igual que usted. Entonces, estrictamente hablando, no importará si un recurso compartido de archivos está "asignado" o vinculado a través de un acceso directo. Si tiene acceso a él, el malware can llega a también.
Sí :
La palabra clave en el párrafo anterior: can.
Solo porque el malware puede hacer algo, no significa que lo hará . A menos que esté lidiando con un atacante que se dirija específicamente a usted o a su organización, la mayoría del malware que encontrará será de kits de herramientas genéricas diseñadas para optimizar la efectividad en la mayor cantidad posible de objetivos. En resumen, la mayoría del malware es genérico .
Es relativamente fácil, y generalmente más valioso para la mayoría de los objetivos, que el malware solo busque unidades montadas para infectar. Si un recurso ya está montado en el sistema operativo, es una apuesta justa que esté cerca (es decir, de baja latencia) y que tenga al menos algún nivel de acceso a él. Buscar en todos los dispositivos en la red local en busca de unidades que permitan que el malware tenga acceso de lectura / escritura es un asunto mucho más complejo y lento, y en general es mucho menos probable que fructifique. También es mucho más "ruidoso" y, por lo tanto, es más probable que sea capturado por los sistemas de monitoreo corporativo.
Esto es muy comúnmente visto con ransomware. La mayoría del ransomware (en un sistema Windows) simplemente ejecutará todas las unidades con letras (por ejemplo, discos duros locales, medios extraíbles locales, unidades de red asignadas) y cifrará todo lo que encuentre en aquellas áreas que coincidan con los tipos de archivos que está diseñado para apuntar. Los recursos que no están vinculados a una letra de unidad generalmente no serán tocados. Por lo tanto, para el ransomware y otros programas maliciosos que se comportan de manera similar, ciertamente hay un beneficio al evitar las unidades de red asignadas.
Ciertamente, aún es posible que el malware descubra recursos compartidos de red a los que está conectado, incluso cuando no están asignados a una letra de unidad. Para ver esto en acción (para sistemas Windows), navegue manualmente a un recurso compartido de red no mapeado en el Explorador de archivos y luego ejecute net use en el símbolo del sistema. Verá el recurso al que está conectado en esa lista, sin ninguna letra asociada.
Dicho esto, evitar las asignaciones de unidades en red aún ofrece una cierta cantidad de defensa contra este tipo de descubrimiento. Para ser más útiles, las unidades asignadas deben ser persistentes , es decir, la conexión se restablece en el inicio del sistema y se mantiene hasta que la destruya explícitamente. Sin embargo, la conexión que se realiza cuando se sigue un acceso directo del escritorio es más transitoria; a lo sumo, por lo general, solo durará hasta el próximo reinicio. Por lo tanto, si bien no es imposible que el malware descubra esta conexión, generalmente reducirá la probabilidad de que suceda.
TL;DR:
Hablando estrictamente, una vez que haya malware ejecutándose en su sistema, puede hacer lo que quiera con los recursos a los que tiene acceso, independientemente de si están o no "asignados".
Sin embargo, en la práctica, la mayoría de los programas maliciosos que verás simplemente van en busca de "frutos bajos". Por lo tanto, generalmente no se hará que vaya mucho más allá de los recursos que su sistema ha montado en el momento de la infección. Si evita utilizar asignaciones de unidades de red, reduce sustancialmente la probabilidad de que haya una conexión para que el malware descubra cuándo se ejecuta. Si te golpean con algo que solo busca "letras de unidad", el impacto es completamente aislado al sistema local.
Por lo tanto, si bien puede estar lejos de ser infalible, todavía hay algo de valor de seguridad para evitar la asignación de unidades de red. En muchos sentidos, es como utilizando un no predeterminado puerto para servicios de red comunes . Es una capa adicional de bajo esfuerzo, que puede agregar a su postura de seguridad para obtener un valor potencialmente alto. (Enfatice en adicional porque, nuevamente, esto no es infalible. También debe tener otras medidas de seguridad más confiables para prevenir infecciones de malware y aislar su impacto).
¿Esto protege realmente contra todos los ataques? Absolutamente no. ¿Podría prevenir algunos? Probablemente no. ¿Vale la pena el inconveniente para el usuario? No. ¿Tiene algún sentido hacer esto de todos modos en caso de que tengas un atacante inepto? No.
En realidad no importa. Si el malware tiene acceso a su sistema, y su sistema tiene acceso a una unidad de red, entonces el malware tiene acceso a la unidad de red. Un acceso directo del escritorio es solo una ruta de archivo a su unidad de red, que es esencialmente la misma que una unidad asignada.
Ahora, si al asignar una unidad, configura la máquina para que recuerde las credenciales de la red, el malware podría obtener esas credenciales y volver a conectarse más tarde o conectarse a la unidad de la red de forma automática, mientras que un acceso directo puede pedirle cada vez que credenciales de red. Pero en ambos casos este comportamiento podría cambiarse, y nunca se puede confiar en el cliente.
Por qué no importa:
Ya sea un acceso directo de escritorio o una unidad asignada, el problema no tiene nada que ver con cuándo / cómo se conecta el sistema operativo a una unidad. Tanto los accesos directos como las unidades asignadas apuntan a rutas de red, a las que puede acceder el sistema operativo. Si el usuario infectado tiene acceso de escritura a una unidad de red, el malware puede cargar cargas maliciosas en la unidad de red y esperar a que los usuarios confiados hagan clic en ellas e infecten sus propias máquinas.
Si le preocupa que la unidad de red actúe como un área de almacenamiento de archivos maliciosos, hay otros pasos que puede tomar para protegerla. Los tipos de archivos de la lista blanca, configurar permisos de lectura / escritura para diferentes cuentas de usuario con diferentes niveles de acceso según el principio de permisos mínimos, o combinar los anteriores con un firewall interno (como ha mencionado) y una solución antivirus.
Por qué hacer esto en casos extremos es ridículo (específicamente para tratar el ransomware):
Decir que esta es una medida de seguridad válida es completamente falso. Tampoco se justifica el posible inconveniente para el usuario, incluso si se toma el enfoque conservador de bloquear absolutamente todo. Y teniendo en cuenta lo avanzados que son los ataques de ransomware modernos, dudaría mucho de que un programa malicioso que busca cifrar archivos se detenga en las unidades conectadas. Lo más probable es que verifique cada archivo y ruta en la máquina local, y cada unidad y ruta de red disponibles, independientemente de cómo estén montadas en el sistema operativo. Si su computadora puede acceder a las unidades de red y el ransomware tiene acceso a su computadora, el ransomware puede y tendrá acceso a sus unidades de red, y si tiene permisos de escritura, podría cifrar los archivos en ellas.
Cualquier cosa que pueda salir mal, saldrá mal. Cuando se trata de seguridad, siempre asuma lo peor.
Lea otras preguntas en las etiquetas malware attack-prevention