¿Cómo determinar el tráfico de salida de malware?

Navega tus respuestas
0

Mi objetivo es reforzar el firewall en mi PC de dominio de AD que ejecuta Windows 10. Aunque el firewall de Windows ya está activado, no estoy seguro de que esté bloqueando el tráfico de salida de malware

¿Cuál es una manera efectiva de determinar qué tráfico saliente es malware y cuáles son iniciados por aplicaciones legítimas (como el correo electrónico y otras aplicaciones relacionadas con la empresa)?

Mis pensamientos iniciales son:

  1. Dado que una aplicación legítima puede realizar llamadas salientes a múltiples IP (por ejemplo, servicios de telemetría de MS): tendré que hacer un seguimiento de toda la IP legítima (llamémosla lista blanca de mi IP)

  2. Cualquier tráfico saliente a IP que no esté en mi lista blanca, será bloqueado por la regla de mi firewall

Pero esta será una tarea costosa, ya que tendré que monitorear y confirmar todas y cada una de las conexiones IP salientes :(

Sé que debe haber una manera más efectiva de lograr mi objetivo, pero no estoy seguro de por dónde empezar

    
pregunta Tickle Me 08.08.2017 - 06:02
fuente

1 respuesta

1

El malware utiliza muchas formas de comunicación, incluido el uso indebido de las publicaciones de Twitter, los comentarios en foros o sitios pirateados con mayor reputación. Malware también puede hacer su comunicación mediante el secuestro de navegadores. Por lo tanto, es imposible bloquear simplemente todas las comunicaciones de malware simplemente restringiendo el acceso a direcciones IP específicas o permitiendo solo las conexiones iniciadas por el navegador o el cliente de correo.

Los productos AV o los cortafuegos perimetrales pueden ayudar a bloquear una parte importante del tráfico de malware (pero no todo) mediante el uso de listas negras curadas y / o un análisis más profundo del tráfico. Y, dependiendo de la función que tenga su sistema en la red, podría limitar explícitamente su conexión a los hosts específicos con los que debería comunicarse y negar todo lo demás (es decir, usar una lista blanca de algunos hosts / redes conocidos y confiables, y no una lista negra). lista).

    
respondido por el Steffen Ullrich 08.08.2017 - 07:04
fuente

Lea otras preguntas en las etiquetas

certificados únicos y protocolo TLS Sustitución del certificado por antivirus [duplicado]