Prácticas de seguridad de los empleados en un entorno corporativo

Navega tus respuestas
2

Considere la siguiente situación:
1. De alguna manera, el sistema de mi jefe se infectó con un malware (visitó uno de los sitios web de vulnerabilidades de Java).
2. Envía un documento PDF que contiene el documento de requisitos de un nuevo proyecto (el malware infectó este PDF).

Mi sistema operativo y mi antivirus están parcheados. Por lo tanto, el PDF se verá bien para que lo abra, y seguiré adelante y abriré ese PDF.

¿Cómo se protege uno de este tipo de ataques? (AFAIK, la operación aurora contra google usó esta técnica solamente).

Y, dado que el PDF que se me envió es un documento comercial confidencial, ni siquiera puedo cargarlo en sitios como virustotal.com, por lo que, aunque tenga una infección de 0 días, las compañías de antivirus no podrán crear su firma.

¡Gracias!

    
pregunta Novice User 12.04.2013 - 08:44
fuente

2 respuestas

5

Pregunta interesante. Hay un par de áreas que son posibles controles para esto.

El primer lugar obvio es parchear cosas como Java. Se suele pasar por alto en los procesos de parcheo, pero con el nivel de ataques es necesario parchear lo antes posible.

El siguiente es el endurecimiento. La funcionalidad del applet de Java (que probablemente fue explotada aquí) debería estar deshabilitada para toda la navegación general. Si es necesario para las aplicaciones de línea de negocio, recomendaría usar un navegador separado con el habilitado, que solo tiene permiso para acceder a esos sitios.

En términos de detectar la infección en archivos PDF, eso es más complicado. Como usted dice, probablemente no marcará a la firma basada en A-V. Potencialmente, algunos programas de detección de estilo heurístico lo atraparían (ya que hace cosas que un PDF estándar no) ..

Otro control posible es la ejecución de programas basados en listas blancas (por ejemplo, Bit9). Si puede llegar al punto donde solo pueden ejecutarse los programas de confianza, entonces puede bloquear el malware cuando se ejecuta (o al menos hacerlo mucho más difícil que lo haga).

Por último, los controles de detectives son una buena opción aquí. Es probable que el malware realice conexiones fuera de los servidores C & C, por lo que podría ser posible detectar esas conexiones ...

Ninguna de estas opciones es 100%, pero quizás valga la pena considerar las cosas.

    
respondido por el Rоry McCune 12.04.2013 - 09:21
fuente
3

Algunas reflexiones más, basadas en el visor de PDF:

  • Asegúrese de que su visor de PDF esté configurado para no ejecutar código.
  • Asegúrese de que su visor de PDF esté parcheado y actualizado.
  • Use un visor de PDF menos popular, ya que los creadores de malware tenderán a atacar vulnerabilidades en los espectadores más populares.
  • Use un sistema operativo diferente al de su jefe, por lo que si el malware tiene un código compilado específicamente para su sistema operativo, no podrá ejecutarse en su máquina.
  • Ejecute su visor de PDF con los mínimos privilegios de seguridad posibles.
  • Entra en la caja de arena a tu visor de PDF (por ejemplo, ejecútalo en una máquina virtual desechable), por lo que incluso si ejecuta código no puede obtener nada.
respondido por el Graham Hill 12.04.2013 - 10:56
fuente

Lea otras preguntas en las etiquetas

¿Cómo saben los navegadores qué cookie obtener? Recuperar la contraseña de Skype guardada automáticamente desde Ubuntu 12.04 LTS