Combatir el malware sin gastar dinero

La triste verdad es que al restringir su red se volverá impopular en su lugar de trabajo. Dicho esto, muchos administradores de sistemas preferirían ser impopulares porque saben que tienen una red segura (r) que popular y dedican todo su tiempo a limpiar el malware.

Algunas formas baratas y efectivas de erradicar el malware

• quitar el administrador local, como planeas hacer (no puedo enfatizarlo lo suficiente)
• Actualice los navegadores web / Flash / Java / PDF Software a través de GPO y WSUS. Los navegadores web y los PDF son dos grandes objetivos para el malware.
• Podrías ejecutar No Script para evitar descargas en coche si quisieras
• Actualice sus máquinas con WSUS (como lo está haciendo actualmente)
• Bloquee las extensiones de archivo adjunto .exe / .bat / .vbs / .sh para que no ingresen por correo electrónico
• Refuerce su antispam en su servidor de correo (si corresponde, vamsoft ORF es un excelente antispam de MS Exchange que cuesta alrededor de $ 160 USD)
• EDUCA A SUS USUARIOS - Organice un almuerzo y aprenda, y comunique a sus usuarios cómo es un correo electrónico sospechoso, que no deben hacer clic en los enlaces de los correos electrónicos de destinatarios que no conocen, prácticas seguras de navegación web , etc.
• Bloquee el tráfico saliente en el puerto 25 desde todas las máquinas de su red, excepto su servidor de correo. Esto evitará que te pongan en la lista negra.
• Manténgase actualizado sobre el malware y lea las fuentes RSS para leer sobre el malware. Manténgase activo y bloquee el tráfico saliente en cualquier puerto conocido utilizado por malware en un intento de bloquear las computadoras infectadas que se comunican con las máquinas C & C.

Espero que estos consejos te ayuden. Es importante tener en cuenta que inevitablemente obtendrá algún malware que se filtre por las grietas (cero días son un problema), pero encontrará que las buenas prácticas pueden hacer mucho para mantener una red limpia.

Tiene buenos pensamientos y se han publicado muchos buenos consejos en este hilo, pero permítame tocar dos cosas que no veo que se aborden:

1. ¿Ha podido determinar los vectores de infección para las máquinas que están siendo comprometidas y re-imaginadas? Si puede determinar cómo las personas siguen recibiendo visitas (por ejemplo, el correo electrónico frente a la navegación web), puede ayudarlo a concentrarse en las medidas que abordarán más directamente la fuente de su dolor actual.
2. Parece que sigues desanimando a tu jefe de gastar dinero. No hay nada de malo en eso per se , especialmente si es poco probable que sus compras cumplan lo que prometen. Pero si tienes un jefe con dinero, entonces debes tener una lista de en qué tú quieres gastar dinero. No existe una solución definitiva, pero las compras correctas pueden ayudar a mejorar sus defensas de manera gradual, así que prepárese cuando el dinero se agite en su cara.

También estoy en tu misma situación. Sin embargo, al trabajar en educación superior, nuestras manos están un poco atadas a la espalda. La eliminación de los derechos de administrador para los profesores nunca volará, por lo que vamos a limitar los derechos de los usuarios solo a los empleados administrativos. Hasta ahora hemos hecho lo siguiente;

• Configurar Wsus (gran movimiento)

• Actualización actualizada de la política de grupo de Push (no sé el término correcto) para máquinas xp usando Wsus
• Configure reglas de política de grupo de dominio estrictas para actualizaciones automáticas de Windows
• ¡Configure SCCM con Microsoft Forefront que funciona muy bien!
• Firewall de Windows habilitado
• Bloquee la mayoría de los puertos desde el exterior y configure openvpn para los usuarios

Actualmente trabajando en

• asegurándose de que Flash, Java, etc. estén actualizados en todo momento SCCM
• Salir del negocio de limpiar infecciones y simplemente reformatear
• Lograr que todos se actualicen a Win 7 64 bit
• Actualizar nuestros controladores de dominio
• Configuración de paquetes que creo que será un gran paso en la dirección correcta. Planeo limitar a los usuarios que no están actualizados para conectarse a la red y simplemente darles acceso a Wsus y SCCM hasta que sean parcheados.

Bueno ... está bien. Así que puedo ser un poco parcial aquí. Mi estado de trabajo actual es contratista para AV Bypass en el extremo afilado de la vara (espero que todos los que me dijeron que estaban haciendo pruebas de detección y que mostraran un sitio web que no era ingeniería social ...).

1) AV no ayuda (mucho). Si no me crees, dime qué solución AV estás utilizando y te sorprenderé.
2) UAC definitivamente lo hace. El firewall definitivamente lo hace (un tercero es mucho mejor que Windows FW en mi opinión).
3) Ejecutando como admin == mala idea.
4) Persuadir a mgmt es a menudo más difícil de lo que debería ser. Si quiere mostrarles el motivo por el que tiene razón, hágamelo saber y le enviaré un video que muestre activamente los puntos débiles.

Creo que estás en el camino correcto en cuanto a actualizaciones y limitaciones de privilegios del usuario. Una cosa que recomiendo encarecidamente es algún tipo de filtrado de contenido web. Si bien definitivamente lo hará muy impopular en el trabajo, en mi opinión, es una de las cosas más fáciles que puede hacer para lograr un impacto bastante grande (1 dispositivo que afecta a todos los usuarios).

Conozco a muchas personas que utilizan dispositivos Fortigate para UTM (Firewall, IDS / IPS, WCF, AV, etc.). Sin embargo, para mi ejemplo, quiero centrarme en sus capacidades WCF. Le permite bloquear categorías y luego hacer varias anulaciones para sitios web específicos. También puede integrarlo en su infraestructura AD / LDAP si lo desea. Pero también puede utilizar una solución más de código abierto / linux, ya que su entorno es bastante pequeño. Otra solución que es incluso más sencilla y económica, pero con menos control general, es utilizar una solución DNS que le permita bloquear categorías (por ejemplo, OpenDNS). Puede hacer esto como una prueba para ver cómo le gusta y luego ir a una solución más localizada si es necesario.

Definitivamente no estoy diciendo que este es el fin, todo será una solución. Pero es otra capa que puede tener un impacto bastante grande. Mi principal consejo sobre esto es que si hay categorías sin calificar, definitivamente, bloquéelos a medida que surjan nuevos sitios maliciosos, se clasificarán de esa manera. Con esta solución, también puede comenzar a bloquear dominios más grandes como .ru si cree que sus usuarios nunca deberían ir a sitios web rusos.

En un presupuesto, esto es lo que he encontrado efectivo:

1. Todo comienza con una política. Sin una política no se puede hacer cumplir nada. Cree una política de seguridad de TI y asegúrese de que haya un compromiso ejecutivo. Eche un vistazo aquí para comenzar: enlace

2. Asegúrate de que Trend esté configurado correctamente. Tendencia fuera de la caja es inútil. Trend debe tener lo siguiente activado para ser efectivo: Reputación Web, Monitoreo del comportamiento & Monitorización de eventos, Control del dispositivo > Solo lectura y escritura (cuando sea posible).

3. Pase todo el tráfico de su cliente a través de una caja de Linux con Snort & Calamar. Defina la necesidad empresarial de tráfico de egreso y solo permita lo que está definido. Forzar todo el tráfico de navegación web a través del proxy, ya sea mediante el secuestro o la configuración de los clientes para usar un proxy. Configure el proxy para bloquear todos los siguientes TLD: .cc, .ms, .cm, .vg, .be, .tv, .cc. Configure snort para el bloqueo en línea usando reglas de amenazas emergentes (esto requerirá la mayor cantidad de ajustes).

4. WSUS es un buen paso en la dirección correcta. Utilice spiceworks para inventariar todos sus sistemas. Mantenga un registro de software obsoleto en su red (preste atención a todos los productos de adobe y java). Use AD para eliminar actualizaciones de software de terceros.

Ok, permítame hacer una señal aquí porque he experimentado estos problemas que este hilo original estaba tratando de resolver.

1. Dar a los usuarios derechos de administrador completos sobre sus máquinas es una parte importante del problema. Desafortunadamente, donde estoy ahora en esto no se puede evitar.

2. Al principio usé TrendMicro en mi empresa anterior. No estaba contento con el producto, pero a medida que aparecieron las actualizaciones, se convirtió en un producto robusto para nosotros. Las personas se estaban infectando como la plaga bubónica. Anteriormente utilizábamos Symantec y cada 3 meses colapsaba mi servidor Exchange 2003. No hace falta decir que me deshice de Symantec.

3. La compañía actual en la que trabajo ahora está utilizando Microsoft Forefront y, por lo que puedo ver, no estoy impresionado con eso. Ahora esa afirmación podría ser subjetiva. La razón es que todos nuestros usuarios tienen derechos de administrador completos. Sin embargo, tenemos muchas personas que trabajan fuera del sitio y sus máquinas no se conectan a la nave nodriza. No estoy seguro de si puedo conseguir que Forefront presione a usuarios externos. La tasa de infección es de aproximadamente 5 personas por semana. Estoy muy molesto porque tenemos que hacer que los usuarios nos envíen la computadora portátil para luego volver a crearla y luego reenviarla.

Estoy en un entorno de estilo universitario. Esto es lo que hace mi organización:

• Pedimos que todos los usuarios tengan activado el antivirus. Ofrecemos antivirus gratuito para todos.

• Pedimos que todos usen actualizaciones automáticas y mantengan sus máquinas actualizadas.

• Existe un cortafuegos débil para bloquear el tráfico entrante a unos pocos puertos clave. Sin embargo, cualquier usuario puede solicitar que se abra uno o más de estos puertos para el tráfico entrante en su máquina interna.

• Los dispositivos móviles (por ejemplo, computadoras portátiles) se colocan de manera transparente en una red separada. Esta red está cortada por firewall más estrictamente desde algunos de nuestros recursos internos críticos. La idea es que si alguien lleva su computadora portátil a un viaje, se infecta con un gusano y regresa a nuestra red local, no queremos que ese gusano se propague a todos nuestros sistemas internos, o al menos, gusta limitar el daño.

• Si la máquina de una persona se infecta, se desconecta automáticamente de la red. Deben limpiar, volver a formatear y volver a instalar una vez más antes de poder volver a conectarse a la red. No intentar limpiar una máquina infectada; tienes que limpiarlo.

• Ejecutamos un sistema de detección de intrusos en la red (Bro) para detectar compromisos.

• Permitimos que los usuarios tengan acceso de nivel de administrador en sus máquinas locales.

• Tenemos políticas más restrictivas que rigen los sistemas que se utilizan para actividades de mayor riesgo, como el almacenamiento de números de tarjetas de crédito, números de seguridad social, información de nómina, bases de datos de calificación, etc.

Creo que esto tiene un equilibrio razonable. Parece funcionar razonablemente bien para nosotros, al menos.

Creo que las otras cosas que podría considerar serían: Mire su solución de respaldo, para asegurarse de que los datos se realicen regularmente y de manera confiable. Trabaje para asegurarse de que las personas estén en la versión más reciente de su navegador web. Considera mover a la gente a Chrome. Asegúrate de que todos tengan la actualización automática habilitada.