Bloqueo de ejecutables en el firewall de la empresa

Es común bloquear (y luego los archivos ejecutables de la lista blanca), sin embargo, esto tiene la carga de usuarios molestos y, luego, personal de soporte con exceso de trabajo que necesita mantener las listas blancas.

Lo que estamos viendo hoy en día son herramientas un poco más sofisticadas que miran introspectivamente al EXE para ver si se "ve" como un malware. Uno de mis clientes usa wildfire que atacará con el ejecutable en un entorno de caja de arena para ver si dispara alguna Comportamientos estándar de malware. Al igual que muchas de estas soluciones, el proveedor utilizará heurísticas estándar y tendrá sistemas conectados a un CON que investigará el nuevo malware y enviará nuevos patrones a cada firewall de inmediato.

Este tipo de herramientas también vienen con consolas con visualización y las de bienes pueden integrarse con su SIEM.

Poner en cuarentena, no bloquear. Saque el ejecutable y guárdelo en un área protegida. Si coincide con el hash de un ejecutable autorizado, proporcione al destinatario el ejecutable autorizado.

Si no coincide con una lista blanca, proporcione al destinatario un enlace a un flujo de trabajo que priorice el ejecutable para la publicación y la inclusión en la lista blanca.

Examine cuidadosamente su tecnología para evaluar la probabilidad de un bypass. Cuanto más engorroso es para el trabajador legítimo realizar el trabajo, es más probable que tenga una implementación de Potemkin, bonita pero ineficaz. No conozco su firewall, pero he trabajado en entornos en los que las personas renombraron regularmente el ejecutable de foo.exe a foo.xex y eludieron toda la implementación de seguridad. O simplemente cifró el correo electrónico con PKI.

Si fuera a hacer esto, publicaría las estadísticas de mi flujo de trabajo de cuarentena (Velocidad, efectividad,% de malware capturado) y comprometería el objetivo de aumentar la eficiencia del proceso de cuarentena en N % / año, medido mensualmente.