Mi compañía está en el proceso de capacitar y probar a todos los empleados sobre nuestras políticas y prácticas de seguridad. Como miembro del equipo que realizaba esta capacitación y pruebas, pensé que podría ser beneficioso inventar un conjunto de ejercicios. Estos simulacros probarán diferentes controles de seguridad críticos, así como la ejecución de los planes de respuesta. Sé que varias compañías hacen pruebas como éstas para phishing, lo que también haremos.
Una cosa que me gustaría probar es una posible infección de malware. Mi proceso de pensamiento para esto es que alguien con acceso de administrador remoto a una máquina de empleados determinada pueda desencadenar un evento que emule una infección de malware. Más importante aún, sería una infección que evitó nuestro antivirus.
Obviamente, hay una serie de comportamientos que puede mostrar un malware, siendo el "ideal" (para el malware) no exhibir ningún comportamiento. Dicho esto, ¿existe un conjunto de comportamientos característicos de malware que un administrador o herramienta que hayamos instalado en su sistema pueda replicar de manera segura y reversible? Una lista de mis pensamientos actuales:
- Secuestro del navegador: redirige el navegador del usuario a una página de intranet maliciosa
- Edite el archivo de hosts: redirija las entradas de IP / DNS comunes a una página de intranet maliciosa
- Alto uso de la CPU: emule un malware de botnet o minería de bitcoins creando un proceso espurio que realiza cálculos inofensivos pero excesivos
- Uso elevado del disco: emule un ataque de ransomware actual mediante la creación de un proceso falso que realiza lecturas / escrituras inofensivas pero excesivas del disco
- Ventana emergente de ransomware: cree una imagen emergente tomada de uno de los ransomwares populares y simplemente muestre la página de rescate
- Acceso no autorizado: haga que un administrador tenga acceso remoto y deje abierta una página que haya iniciado sesión en algo como una cuenta de AdSense, que haya iniciado sesión en la cuenta del "atacante" (ya he visto que esto ha sucedido antes)
¿Hay alguna que me esté perdiendo? ¿Alguna que deba ser eliminada?
La batería de pruebas que creamos puede no ser exhaustiva, pero el objetivo es simplemente probar que los empleados estén atentos a este tipo de infracciones e informarlas cuando se detecten. Esperamos que esto también tenga el beneficio adicional de que sean más sensibles a este tipo de ataques en casa.