Siempre he tenido problemas con las "mejores prácticas", ya que la mayoría de esas "mejores prácticas" se escribieron en redes específicas, empresas y no en las mías. TODOS los negocios difieren e históricamente, vemos que las mejores prácticas no han hecho nada para frenar el compromiso. No estoy en contra de las mejores prácticas, creo que la gente no debería confiar en ellos como cualquier santo grial.
Nombró las mejores prácticas de primer nivel, por lo que señalaré lo que las personas tienden a perderse con respecto a las mejores prácticas.
FIREWALLS: Derecho. Ahora, cuántas personas implementan cosas como reglas bidireccionales o el registro de todos. Una cosa es "bloquear" el hecho de que China entre por la puerta, pero si lanza una regla de "estado", no hay nada que impida que la máquina inicie una conexión SALIDA a China. Las reglas y políticas con respecto a los firewalls deben colocarse en ambos lados de la cerca.
Piense en esto por un minuto, tiene una computadora portátil para un ejecutivo que se va de viaje de negocios. Cuáles son sus objetivos durante ese viaje. ¿Tal vez para hacer una presentación, en la que necesite conectarse con y desde la empresa para hacer una presentación o un discurso? Una regla, hacia y desde, bloquea todas las demás. No es que necesites llegar a ese extremo, pero los firewalls suelen estar mal configurados, son inútiles.
Antivirus: hace poco por los ataques de destino, ya que muchas firmas de amenazas avanzadas ni siquiera se crean. Una herramienta más efectiva sería algún tipo de notificación cuando el ejecutivo está de viaje. Por ejemplo: "Su máquina está iniciando una conexión a (REALIZAR UNA LOOKUP DE WHOIS QUE PUEDE ENTENDER) y está intentando acceder a ESTE DATO"
La actualización de todo el software no se defiende (no me gusta este término): 0 días de ataques.
El cifrado de la computadora portátil (por ejemplo, con Truecrypt) no funcionará si su ejecutivo EXIGE que su contraseña sea simple.
Hay métodos para defenderse contra los ataques de tipo APT, sin embargo, la mayoría son bandasidas. Digo esto porque la mayoría de las personas son la causa de los ataques. Abriendo correos electrónicos de phishing, visitando sitios que no deberían visitar. Reemplace Adobe Acrobat con, por ejemplo, Foxit, elimine flash, bloquee java + javascript, cámbielos a Chrome usando un proxy, y vea qué tan lejos van los ataques. Al mismo tiempo, intente lidiar con las quejas de los ejecutivos de alto nivel que quieren "abrir este momento" contra la seguridad. Resuelve ese problema y te preocuparás menos por las amenazas tipo APT.