ランサムウェア感染が成功するリスクを軽減する
私が働いている会社は、最近、恐ろしく洗練されたランサムウェアスパム、コンサルタント、顧客、非常に具体的な会社の要求などをマスキングしている人たちに襲われています。毎日のオフラインバックアップを行っていても、エンタープライズエンドポイント保護があってもカスペルスキーによって、私はそれらの日のうちの1つが亀裂をすり抜けてそして我々に深刻な損害を与えるであろうことを心配しました。緩和するためにすでに実行したいくつかの手順を次に示します。
- 疑わしい電子メールの添付ファイルは絶対に開かないでください。注意を怠ってはいけません。
- すべてのネットワーク共有へのアクセスを必要に応じて制限する
- Exchangeサーバーの.exe、.rarおよび.Zipファイルを自動的に削除します
それでも、これらすべてにもかかわらず、スパムメールは改善されており、カスペルスキーはほぼ毎日感染を阻止しなければなりません。私たちのスタッフは主にオフィスの人々なので、彼らのほとんどは何が起こっているのか理解できません。リスクを軽減するために他に何ができますか?
これに対処するには、次のようなさまざまな方法があります。
- 感染の緩和
- メールのフィルタリングを改善する
- ユーザーの教育
あなたの質問は感染の緩和に関するものなので、他の部分は短くしておきます。
メールのフィルタリング
問題は添付ファイルだけでなく、電子メールクライアントを直接攻撃する、または不正なリンクを含むhtml電子メールにもあります。
ビジネスによって、この方法は適用できる場合と適用できない場合があります。
greylisting を添付ファイルのチェックおよび [〜#〜] spf [〜#〜] または [〜#〜] dkim [〜#と組み合わせて展開します〜] 。例えば。
その送信者は私にとって新しいものです-添付ファイルがあります。 DKIM署名を検証できない場合、私はこれを許可しません。
リスクを軽減する
繰り返しますが、これはあなたのビジネスに依存します。使用されている(および書き込まれている)データのロードがない場合、これは可能性があります。
ログインセッションごとに「ステージングエリア」を用意します。 「ドキュメント」ディレクトリは、ユーザーの書き込みアクセス権を持つ唯一のディレクトリです。
次に、そこで新しいファイルを書き込む(または読み取り専用の古いファイルを開いて編集する)ことができます。サンドボックスは、ログアウトスクリプトを使用して永続的なストレージに移行され、アクセス許可が読み取り専用に変更されます。
この問題は、マルウェアが特権エスカレーションを使用する場合、権限を変更して暗号化する可能性があります。
また、書き込みアクセスに対する要求が高い別の question(by me) もここにあります。
重要なポイントは、書き込みアクセスをできる限り制限することです。おそらく、システム管理者に権限を手動で要求することで、組織的なオーバーヘッドが発生する可能性がありますが、実行できる損害は最小限に抑えられます。
FerryBigがコメントで指摘したように:もちろん、すべてのソフトウェアは常に(検証済みの更新により)常に最新の状態に保つ必要があり、廃止された、または修正されていない脆弱性があることがわかっているソフトウェアは使用しないでください(あなたを見て、フラッシュ! )。
ユーザー教育
基本的に、疑わしくないファイルの添付ファイルでさえ悪い考えです。
一般的な経験則は、予期しない添付ファイルを開かないことです。相互参照 マルウェア感染に関するこの回答 、また-残念ながら私も。
Windows(確かにPITA)での暗号化ランサムウェアの標準的な解決策は、グループポリシー(ソフトウェア制限ポリシーまたはApplocker)によってユーザー%APPDATA%ディレクトリツリーおよびシステム%TEMP%の場所からの実行をブロックすることです。デフォルトの拒否ルールを設定したら、これらのディレクトリを使用する環境内の正当なアプリをホワイトリストに登録する必要があります。
少なくとも今のところ、4つの主要なcrytpoランサムウェアファミリーはすべて%APPDATA%または%TEMP%から実行されるため、そこからの実行をブロックすることが最も簡単で効果的なソリューションになります。暗号化マルウェアの一部がこれらのポリシーを通過するのを見たことがありません。
最近のこれらのキャンペーンの主な攻撃方法はマルバタイジングであるため、電子メールのフィルタリングはランサムウェアを処理するためのヒットまたはミス戦略です。価値があるのは、ランサムウェアが5年ほど前に最初に大物になったとき、私は今行っているのと同じことを行う大企業で働いていた-電子メールフィルタリング、適切なバックアップ、エンドポイントAV、さらにはWebフィルター/プロキシ、しかし私たちはまだ数週間ごとにこれらのいずれかに打たれていました。機能したのは、デフォルトで%APPDATA%からの実行をブロックすることだけでした。
あなたの質問から、現在Windowsが御社で使用されている主要なオペレーティングシステムであることがわかります。
会社のすべてのコンピューターで実行中のオペレーティングシステムとして、GNU/Linuxに変更できます。 GNU/Linuxで成功したランサムウェアはほとんどなく、将来的にその多くが存在する可能性も低いです。同じことがウイルスやマルウェア全般に当てはまります。マルウェアの開発者は、プラットフォームにあまり関心がないようです。さらに、プラットフォームは一般にWindowsよりも安全です。同僚がWindowsソフトウェア(Microsoft Officeなど)を使用していて実行できる(または好む場合さえある)場合、WineまたはVirtualBox。私自身、Ubuntu 14.04にMicrosoft Officeをインストールしました。 WineフロントエンドPlayOnLinuxは、多くのプログラムのインストールを夢のようなものにします。この方法でインストールした他のソフトウェアには、Adobe PhotoshopとAdobe Lightroomがあります。さらに、VirtualBoxは、Windowsソフトウェアとの完全な互換性を持つWindowsの完全な仮想化を実行できます。 VirtualBoxは無料で、あなたの会社はすでにWindowsライセンスを所有しており、その中でWindowsを合法的に使用する必要があります。
これはまたあなたに多くのお金を節約します。最大限のセキュリティを確保するために、以前に行った一般的な予防措置の多くを取ることができます。
現在、非常にユーザーフレンドリーで、一般的なオフィス環境の通常の従業員など、知識のないユーザーに完全に適した、いくつかの非常にユーザーフレンドリーなGNU/Linuxディストリビューションがあります。多くの可能性の1つは、そのGUIが従業員が慣れているWindowsにいくらか似ているため、Linux Mintです。
間違いなく少しだけユーザーフレンドリーな代替手段はOS Xに切り替えることです。ただし、Apple会社全体のハードウェアをすべて購入することには莫大な費用がかかります。現在のハードウェアでのOS Xの実行は法の灰色の領域にあるので、最初に法律の専門家に相談することなしにそれを考慮しないでください。さらに、設置自体は技術的な専門知識を必要とし、困難に満ちている可能性があります。また、これでもいくらか高価になるでしょう。 d各コンピュータ用にOS Xのコピーを合法的に購入する必要があります。さらに、最近OS Xには ランサムウェアの確認済みのケース があります。とにかくOS Xの方がユーザーフレンドリーで、ソフトウェアエコシステムが大きくなっています(ほとんどが有料アプリで、費用も増えます)。
まとめると、オフィス全体をGNU/Linuxに移行することをお勧めします。または、私が説明した欠点、OS Xを気にしない場合。