Bloqueo de ejecutables en el firewall de la empresa

3

El equipo de infraestructura en nuestra empresa mediana ha solicitado el bloqueo de todos los ejecutables en el firewall. Tenemos un servidor de seguridad capaz de DLP, por lo tanto, esto puede configurarse con bastante facilidad. No estoy seguro de si esto es una buena idea o no. Mis preguntas son:

  • ¿Es esta práctica común en las empresas?
  • ¿Cuáles son las ventajas y desventajas de hacer esto?
  • ¿Cuáles son algunas otras opciones que pueden ser preferidas?

La razón por la que quieren esto es para proteger la red, y específicamente los usuarios de PC. Una desventaja obvia es que podemos terminar bloqueando un archivo ejecutable válido. Otra opción es usar algún tipo de aplicación en la lista blanca, pero esto solo soluciona parte del problema. ¿Algo más me estoy perdiendo?

Gracias por tu ayuda.

    
pregunta Mark 07.01.2013 - 04:23
fuente

2 respuestas

5

Es común bloquear (y luego los archivos ejecutables de la lista blanca), sin embargo, esto tiene la carga de usuarios molestos y, luego, personal de soporte con exceso de trabajo que necesita mantener las listas blancas.

Lo que estamos viendo hoy en día son herramientas un poco más sofisticadas que miran introspectivamente al EXE para ver si se "ve" como un malware. Uno de mis clientes usa wildfire que atacará con el ejecutable en un entorno de caja de arena para ver si dispara alguna Comportamientos estándar de malware. Al igual que muchas de estas soluciones, el proveedor utilizará heurísticas estándar y tendrá sistemas conectados a un CON que investigará el nuevo malware y enviará nuevos patrones a cada firewall de inmediato.

Este tipo de herramientas también vienen con consolas con visualización y las de bienes pueden integrarse con su SIEM.

    
respondido por el Callum Wilson 07.01.2013 - 13:21
fuente
2

Poner en cuarentena, no bloquear. Saque el ejecutable y guárdelo en un área protegida. Si coincide con el hash de un ejecutable autorizado, proporcione al destinatario el ejecutable autorizado.

Si no coincide con una lista blanca, proporcione al destinatario un enlace a un flujo de trabajo que priorice el ejecutable para la publicación y la inclusión en la lista blanca.

Examine cuidadosamente su tecnología para evaluar la probabilidad de un bypass. Cuanto más engorroso es para el trabajador legítimo realizar el trabajo, es más probable que tenga una implementación de Potemkin, bonita pero ineficaz. No conozco su firewall, pero he trabajado en entornos en los que las personas renombraron regularmente el ejecutable de foo.exe a foo.xex y eludieron toda la implementación de seguridad. O simplemente cifró el correo electrónico con PKI.

Si fuera a hacer esto, publicaría las estadísticas de mi flujo de trabajo de cuarentena (Velocidad, efectividad,% de malware capturado) y comprometería el objetivo de aumentar la eficiencia del proceso de cuarentena en N % / año, medido mensualmente.

    
respondido por el Mark C. Wallace 07.01.2013 - 16:01
fuente

Lea otras preguntas en las etiquetas