indicadores de compromiso a través de servidores de correo electrónico

-1

Los archivos maliciosos se suelen infiltrar en la red a través de archivos adjuntos de correo electrónico. Además de informar y educar a mi personal para que se abstenga de hacer clic en archivos adjuntos sospechosos, también me gustaría mejorar la postura de seguridad a través de la tecnología. ¿Hay algún mecanismo preexistente en los servidores / intercambios de correo electrónico que pueda ayudar a verificar los indicadores de compromiso y bloquear aquellos correos electrónicos que contengan un impacto en ese COI? ¿Supongo que esto podría ser un combo de correo electrónico + antivirus? ¿Qué hay de cero días? He oído hablar de los productos FireEye que pueden realizar un análisis de cero días, pero pueden ser soluciones costosas. Gracias.

    
pregunta Pang Ser Lark 10.07.2015 - 02:57
fuente

1 respuesta

2

El correo electrónico es ciertamente el método más común para enviar malware a una red, pero no es el único. Además, aunque los archivos maliciosos pueden enviarse como archivos adjuntos a los correos electrónicos, también pueden presentarse como enlaces en los que los usuarios finales hacen clic, lo que da como resultado un descarga drive-by o quizás un virus más tradicional que el usuario debe descargar y ejecutar manualmente. Otra forma de enviar malware a los usuarios finales es publicidad maliciosa , que se puede minimizar (pero no evitar por completo) mediante el uso de un bloqueador de anuncios. y antivirus del lado del cliente.

En el ámbito del correo electrónico, la mayoría de las soluciones antispam del lado del servidor están diseñadas para funcionar en conjunto con el antivirus. Definitivamente quieres ambos. También es muy común ver los sistemas de zona de prueba de malware (como FireEye y Cisco AMP ) que puede detectar desconocido malware (como zero-days ) por su comportamiento en lugar de por una firma.

También debe proteger el acceso web de sus usuarios, por ejemplo, un proxy de seguridad web o algo así como OpenDNS .

Ahora que tiene una mejor idea del paisaje, podría tener una mejor idea de qué tipo de pregunta está haciendo. No estoy seguro de lo que realmente quieres. ¿Está buscando una solución barata para el sandboxing automatizado?

Quizás algo como el Cuckoo Sandbox , que es un software gratuito / de código abierto, ayudaría, pero realmente no está configurado como un dispositivo de bloqueo ; su uso principal es para analizar los archivos sospechosos en busca de comportamientos maliciosos, no para producir resultados sólidos (bajo error) sobre los que se pueda actuar automáticamente. Dado el esfuerzo que llevaría construir Cuckoo en lo que parece que está buscando, el costo total de propiedad puede ser menor con una solución comercial.

    
respondido por el Adam Katz 10.07.2015 - 03:26
fuente

Lea otras preguntas en las etiquetas