¿Cómo educar mejor a los usuarios sobre signos reveladores de infecciones de malware?

2

Mi compañía está en el proceso de capacitar y probar a todos los empleados sobre nuestras políticas y prácticas de seguridad. Como miembro del equipo que realizaba esta capacitación y pruebas, pensé que podría ser beneficioso inventar un conjunto de ejercicios. Estos simulacros probarán diferentes controles de seguridad críticos, así como la ejecución de los planes de respuesta. Sé que varias compañías hacen pruebas como éstas para phishing, lo que también haremos.

Una cosa que me gustaría probar es una posible infección de malware. Mi proceso de pensamiento para esto es que alguien con acceso de administrador remoto a una máquina de empleados determinada pueda desencadenar un evento que emule una infección de malware. Más importante aún, sería una infección que evitó nuestro antivirus.

Obviamente, hay una serie de comportamientos que puede mostrar un malware, siendo el "ideal" (para el malware) no exhibir ningún comportamiento. Dicho esto, ¿existe un conjunto de comportamientos característicos de malware que un administrador o herramienta que hayamos instalado en su sistema pueda replicar de manera segura y reversible? Una lista de mis pensamientos actuales:

  • Secuestro del navegador: redirige el navegador del usuario a una página de intranet maliciosa
  • Edite el archivo de hosts: redirija las entradas de IP / DNS comunes a una página de intranet maliciosa
  • Alto uso de la CPU: emule un malware de botnet o minería de bitcoins creando un proceso espurio que realiza cálculos inofensivos pero excesivos
  • Uso elevado del disco: emule un ataque de ransomware actual mediante la creación de un proceso falso que realiza lecturas / escrituras inofensivas pero excesivas del disco
  • Ventana emergente de ransomware: cree una imagen emergente tomada de uno de los ransomwares populares y simplemente muestre la página de rescate
  • Acceso no autorizado: haga que un administrador tenga acceso remoto y deje abierta una página que haya iniciado sesión en algo como una cuenta de AdSense, que haya iniciado sesión en la cuenta del "atacante" (ya he visto que esto ha sucedido antes)

¿Hay alguna que me esté perdiendo? ¿Alguna que deba ser eliminada?

La batería de pruebas que creamos puede no ser exhaustiva, pero el objetivo es simplemente probar que los empleados estén atentos a este tipo de infracciones e informarlas cuando se detecten. Esperamos que esto también tenga el beneficio adicional de que sean más sensibles a este tipo de ataques en casa.

    
pregunta Nate Diamond 23.01.2018 - 22:44
fuente

2 respuestas

3

Cuestionaría el valor del software antimalware que no puede detectar un comportamiento inusual y por qué otras capas de defensa no detectan ataques. Para la lista que propusiste, existen razones legítimas para que ocurran la mayoría de esas cosas, por lo que no espero que un usuario final piense que deberían informar de esto como malware. Puede encontrar o escribir una herramienta que detecte e informe sobre estos escenarios (por ejemplo, HIPS , IDS / IPS , firewall con estado, etc.).

Quizás el escenario más razonable es que el usuario se comunica con TI por un comportamiento extraño y hace una investigación, un análisis de malware, etc.

Los usuarios finales deben ser su última línea de defensa (los militares no dependen de los maestros de las escuelas en lugar de las agencias de inteligencia). La confianza en los usuarios finales suele indicar controles técnicos insuficientes. La mayoría de las organizaciones no implementan nada más allá de los filtros de spam, ya que los correos electrónicos están diseñados para ser algo con lo que los usuarios finales interactúan a diario. Me sorprendería si los usuarios finales supieran cómo monitorear la utilización o qué hace un archivo de hosts o dónde se encuentra.

Una cosa importante a considerar con el aumento de la simulación de phishing y la prueba del efecto mercado / proveedor. La simulación de phishing es más o menos lo mismo que enviar correos electrónicos de marketing con enlaces de seguimiento, no es un software super complicado de escribir y el argumento de venta es relativamente fácil.

A un nivel más alto, un ejercicio es bueno para probar, pero debe centrarse en su respuesta del equipo de TI, no en los usuarios finales como KPI. Por ejemplo, ¿qué tan rápido puede la TI identificar y poner en cuarentena a una máquina haciendo las preguntas correctas para determinar si hay malware y es necesario realizar una investigación o simplemente están intentando cerrar el ticket lo más rápido posible?

Si desea probar su respuesta de malware a partir de los informes de usuarios finales y el seguimiento de TI, puede usar un archivo de prueba EICAR .

    
respondido por el Eric G 24.01.2018 - 03:24
fuente
3

Comienza con lo fácil

Como se señala en los comentarios y en la respuesta de Eric, lo que le preguntan a sus usuarios finales es que cumplan con tareas que no forman parte de la descripción de su trabajo y (dependiendo de su nivel de conocimientos técnicos) son demasiado complicados para ellos. A menos que todos sus empleados quieran recurrir a la medicina forense, debe seguir otra ruta. En esta respuesta, quiero describir muy pronto cómo se puede ver esa ruta, porque hay mucha literatura sobre esto y realmente no debería conceptualizar una capacitación a partir de una respuesta de StackExchange.

Regularmente realizo entrevistas con CIOs & Las OSC en instituciones medianas para analizar sus procesos relacionados con la seguridad. Los temas son infraestructura, controles de seguridad, etc. En casi todas estas instituciones, una gran mayoría de empleados fallará en las siguientes tareas (básicas):

  • reconocer un correo de phishing
  • informar sobre una detección o infección de malware 1
  • informar sobre un incidente de seguridad 2
  • y más ..

Estas son las cosas por las que me gustaría ir, al iniciar un nuevo proceso para educar a mis usuarios. Los ejemplos prácticos son geniales, así que mantendría esa mentalidad. La mayoría de las personas todavía no pueden imaginar lo que puede hacer un malware. Muestre a sus empleados lo impactante que puede ser una infección de malware, lo fácil que es infectarse y que le puede pasar a cualquiera.

Como señaló Eric, para todos los ataques sofisticados debe haber soluciones técnicas. El punto principal de esta respuesta es que, cuando el usuario final tiene que participar en cualquier proceso relacionado con la seguridad, en mi experiencia, por lo general se desvanecen o fallan en hacerlo de la forma correcta derecha camino Cuanto más compleja sea la tarea en cuestión, más difícil será para su usuario actuar en consecuencia. Así que empieza preparándolos para estos casos fáciles relativamente típicos.
Una buena manera de hacerlo, es en entrenamientos grupales en equipos pequeños de manera regular. Esto también reforzará el conocimiento de la seguridad de TI y la importancia de todos los procesos relacionados.

1 Caso típico: un software antivirus informará el hallazgo o la infección y los empleados están obligados a informar a quien esté a cargo de la seguridad de TI o al departamento de TI. Al estar tan acostumbrados a simplemente hacer clic en "Aceptar" o "Cancelar" en las ventanas emergentes, la mayoría de las personas cierran estas ventanas de forma más o menos inmediata y ni siquiera saben qué sucedió. Otros se avergüenzan de informar y temen las repercusiones para ellos o para sus colegas que les envían ese divertido PowerPoint. Piense en introducir un proceso para informar infecciones / incidentes de forma anónima .

2 Cosas como el efecto espectador o el miedo a las repercusiones están directamente influenciadas por la cultura de la empresa y si la administración abarca su estrategia de seguridad de TI y cómo lo hace. Si la gerencia lo vive, sus empleados también lo harán.

    
respondido por el Tom K. 24.01.2018 - 09:28
fuente

Lea otras preguntas en las etiquetas