web-dev-qa-db-ja.com

お金を使わずにマルウェアと戦う

私たちの環境は、Windows 7を実行する約80人のユーザーで構成されています。私が常勤のIT従業員として現れる前は、同社はアウトソーシングITソリューションを契約していました。セットアップの一環として、すべてのユーザーにローカルマシンへの完全な管理アクセス権を与え、UACを無効にし(その理由:「ポップアップウィンドウが煩わしいため」)、すべてのマシンでWindowsファイアウォールを無効にしました(その理由:)ゲートウェイファイアウォールがあるからです」)。ご想像のとおり、最終的に解雇されました。

すべてのユーザーのコンピューターはウイルスとマルウェアの保護のためのトレンドマイクロウイルスバスターCorp.を備えています。これは、すべての定義が最新であっても、ひどい仕事をしています。ユーザーは常にマルウェアに感染しており、最終的にはマシンのイメージを再作成することに時間を費やすことになります。

この問題に対する私の上司の解決策は次のとおりです: http://www.barracudanetworks.com/ns/products/web-filter-features.php 。彼が欲しがっているシステムは、ライセンスで、およそ7000ドルかかるでしょう。ただし、SonicWallはすでに機能していますNSAデバイスには、まだ機能していない多くの同じ機能が備わっています。

だからここに私の質問です:マシンのセキュリティを強化することは、上司にお金を使うことを話したときに私をバックアップするのに十分でしょうか?私の考えでは、すべてのユーザーを非管理者アカウントに移動します(ジョブを実行するために管理者特権は必要ないため、問題にはなりません)。各コンピューターでWindowsファイアウォールをオンにします(自己複製を取得する場合)ウイルスやマルウェアの発生が発生しているので、私たちはうんざりします)、そしてUACをオンにします(管理者以外のアカウントの場合、これは問題になりますか?)。私は最近WSUSサーバーを実装し、セキュリティパッチを適用して全員を最新の状態に保っています(更新がオフになっているコンピューターの数を数えることさえできません...)。私の計画は、人々が管理者権限を持たず、彼らのコンピュータが最新である場合、マルウェアの量を大幅に削減することです。

ネットワーク全体を保護することに関しては、まだ学ぶべきことがたくさんあります。ですから、私が何かを見落としている場合や、正しい方向に進んでいない場合、またはいくつか変更できることがあれば、私はあなたの入力を気に入っていただければ幸いです。私は彼らに問題にお金を投げるというひどい習慣から抜け出させて、それがそれを直してくれることを望んでいます。

更新:回答に完了のマークを付けましたが、人々が洞察やアイデアを共有し続ければ、それは大きな利益になると思います。私は今、少し忙しいだろうしっかりした行動計画を持っています。

networkoperating-systemsantivirusantimalware
10
Safado

悲しい真実は、ネットワークを厳しくすると、職場で人気がなくなることです。とはいえ、多くのシステム管理者は、人気のあるネットワークよりも安全なネットワークを持っていることを知り、マルウェアのクリーニングにすべての時間を費やしているのではなく、不人気にしたいと考えています。

マルウェアを根絶するための安価で効果的な方法

  • あなたがやろうとしているように、ローカル管理者を奪います(私はこれを十分に強調することはできません)
  • Webブラウザーの更新/ Flash/Java/PDFソフトウェアによるGPOおよびWSUS。WebブラウザーとPDFは2つの大きなターゲットですマルウェア用。
  • スクリプトを実行せずにドライブバイダウンロードを回避することもできます。
  • マシンをWSUSで更新する(現在行っているように)
  • .exe/.bat/.vbs/.sh添付ファイル拡張子が電子メールで入力されるのをブロックする
  • メールサーバーでスパム対策を強化します(該当する場合-vamsoft ORFは約160米ドルの費用がかかる優れたMS Exchangeアンチスパムです)
  • ユーザーを教育する-昼食を少し取って、ユーザーに知らない受信者からの電子メールのリンクをクリックしてはいけないこと、安全なWebブラウジングの実践などを学び、疑わしい電子メールがどのようなものかを知らせます。
  • メールサーバーを除く、ネットワーク内のすべてのマシンからのポート25での送信トラフィックをブロックします。これにより、ブラックリストに登録されなくなります。
  • マルウェアについての最新情報を入手し、RSSフィードを読んでマルウェアについて調べます。 C&Cマシンとの通信で感染したコンピューターをブロックする試みで、マルウェアが使用するすべての既知のポートでプロアクティブな状態で発信トラフィックをブロックします。

これらのヒントがお役に立てば幸いです。クラックをすり抜けるマルウェアが必然的に発生することに注意することが重要です(ゼロ日は盗聴者です)が、クリーンなネットワークを維持するために良い方法が長い道のりを行くことができることがわかります。

8
DKNUCKLES

私も現在同じような状況にあります。しかし、高等教育機関での作業では、私たちの手は少し後ろで縛られています。教授の管理者権限を削除しても飛ぶことはないので、管理者のユーザー権限のみを制限します。これまでに、次のことを行いました。

  • Wsusのセットアップ(大移動)
  • Wsusを使用してxpマシンにグループポリシーの更新をプッシュする(正しい用語を知らない)
  • Windowsの自動更新のための厳密なドメイングループポリシールールを設定する
  • セットアップSCCM Microsoft Forefrontを使用すると、非常に効果的です!
  • 有効なWindowsファイアウォール
  • 外部からポートの大部分をブロックし、ユーザー向けにopenvpnをセットアップする

現在取り組んでいます

  • flash、JavaなどがSCCMで常に更新されていることを確認します。
  • 感染のクリーニングと単純な再フォーマットのビジネスから抜け出す
  • 誰もがWin 7 64ビットにアップグレードする
  • ドメインコントローラーのアップグレード
  • 私が信じているpacketfenceを設定することは正しい方向への大きな一歩となるでしょう。更新されないユーザーをネットワークに接続しないように制限し、パッチが適用されるまでWsusとSCCM=へのアクセス権を与えるだけです。
6
Tony

あなたは良い考えを持っており、多くの良いアドバイスがこのスレッドに投稿されていますが、対処されていないように見える2つのことについて触れさせてください。

  1. 侵害されて再イメージ化されているマシンの感染ベクトルを特定できましたか?たとえば、電子メールとWebブラウジングのように、人々がどのようにヒットし続けるかを判断できれば、今日の痛みの原因をより直接的に解決する対策に集中するのに役立ちます。
  2. あなたは上司がお金を使うのを思いとどまらせているようです。特にそれ自体に問題はありません。特に、彼の購入が約束どおりに配信されない場合は特にそうです。しかし、お金のある上司がいる場合は、お金を使いたいあなたのリストを用意する必要があります。万能薬はありませんが、適切に購入することで防御力を段階的に向上させることができます。そのため、お金が振り回されたときに備えてください。
6
gowenfawr

まあいいよ。だから私はここで少し偏っているかもしれません。私の現在の仕事のステータスは、スティックの先の端にあるAVバイパスの請負業者です(うまくいけば、彼らがペンテストをしていると言って、同じものを含むWebサイトがソーシャルエンジニアリングではないことを示した...)。

1)AVは役に立たない(大いに)。私を信じないなら、あなたが使っているAVソリューションを教えてください。
2)UACは間違いなくそうです。ファイアウォールは間違いなく機能します(私の意見では、サードパーティはWindows FWよりも優れています)。
3)管理者として実行==悪い考え。
4)管理を説得することは、本来あるべきことよりも難しいことがよくあります。あなたが正しい理由を彼らに示したい場合は、私に知らせてください。そして、問題点を積極的に示すビデオをお送りします。

2
RobotHumans

この元のスレッドが対処しようとしていたこれらの問題を経験したので、ここでチャイムを鳴らしてみましょう。

  1. ユーザーにマシンへの完全な管理者権限を与えることは、問題の主要な部分です。残念ながら、今ここにいるところは仕方ありません。

  2. 以前は前の会社でTrendMicroを使用していましたが、この製品には満足していませんでしたが、更新が行われるにつれ、堅牢な製品になりました。人々は腺ペストのように感染していた。以前はSymantecを使用しており、3か月ごとにExchange 2003サーバーがクラッシュしました。言うまでもなく、私はシマンテックを排除しました。

  3. 私が現在取り組んでいる現在の会社はMicrosoft Forefrontを使用しており、これまでのところ、私はこれに感銘を受けていません。今、その声明は主観的かもしれません。理由は、すべてのユーザーが完全な管理者権限を持っているためです。しかし、私たちはオフサイトで働く多くの人々がいて、彼らの機械は母船に接続していません。 Forefrontを外部ユーザーにプッシュできるかどうかはわかりません。感染率は週に約5人です。ユーザーにラップトップを出荷してもらい、再イメージしてから再発送する必要があるため、私は非常に動揺しています。

1
NetNinja

私はあなたがアップデートとユーザーの特権を制限することに関して正しい方向に進んでいると思います。私が強くお勧めするのは、ある種のWebコンテンツフィルタリングです。それは間違いなく仕事で非常に不人気になるでしょうが、私の意見では、それはかなり大きな影響を与えるためにあなたができる簡単なことの1つです(すべてのユーザーに影響を与える1つのデバイス)。

UTMにFortigateデバイス(ファイアウォール、IDS/IPS、WCF、AVなど)を使用する多くの人を知っています。ただし、私の例では、WCF機能に焦点を当てたいと思います。カテゴリをブロックして、特定のWebサイトに対してさまざまなオーバーライドを行うことができます。必要に応じて、AD/LDAPインフラストラクチャに統合することもできます。ただし、ご使用の環境はかなり小さいため、よりオープンソース/ Linuxのソリューションを利用することもできます。さらに簡単で安価ですが、全体的な制御が少ない別のソリューションは、カテゴリでブロックできるDNSソリューションを使用することです(例:OpenDNS)。試用としてこれを実行して、好みを確認し、必要に応じて、よりローカライズされたソリューションに後で移動できます。

これがすべての解決策であると言っているわけではありません。しかし、これはかなり大きな影響を与える可能性のある別のレイヤーです。これに関する私の主なアドバイスは、未評価のカテゴリがある場合は、新しい悪意のあるサイトが表示されたときにそれらを分類するようにして、それらを確実にブロックすることです。このソリューションを使用すると、ユーザーがロシアのWebサイトにアクセスしてはならない場合に、.ruなどのより大きなドメインのブロックを開始することもできます。

1
Eric

予算上、これは私が効果的だと思ったものです:

  1. すべてはポリシーから始まります。ポリシーがないと、何も強制できません。 ITセキュリティポリシーを作成し、経営陣の賛同が得られるようにします。開始するには、こちらをご覧ください: http://www.sans.org/security-resources/policies/

  2. トレンドが正しく設定されていることを確認してください。すぐに使える傾向は価値がありません。 Trendを有効にするには、Webレピュテーション、行動監視->イベント監視、デバイス制御->読み取りと書き込みのみ(可能な場合)を有効にする必要があります。

  3. Snort&Squidを使用して、すべてのクライアントトラフィックをLinuxボックスに渡します。下りトラフィックのビジネスニーズを定義し、定義されたもののみを許可します。プロキシをハイジャックするか、プロキシを使用するようにクライアントを構成することにより、すべてのWebブラウジングトラフィックをプロキシに強制します。次のすべてのTLDをブロックするようにプロキシを構成します:.cc、.ms、.cm、.vg、.be、.tv、.cc。出現する脅威ルールを使用してインラインブロック用にsnortをセットアップします(これには最も調整が必要です)。

  4. WSUSは正しい方向への良い一歩です。 spiceworksを使用して、すべてのシステムのインベントリを作成します。ネットワーク上の古いソフトウェアを監視します(すべてのアドビ製品とJavaに注意してください)。 ADを使用して、サードパーティのソフトウェアアップデートをプッシュアウトします。

1
securityishard

私は大学のような環境にいます。これが私の組織の活動です。

  • 誰もがウイルス対策を有効にする必要があります。私たちはすべての人に無料のアンチウイルスを提供しています。

  • 誰もが自動更新を使用し、マシンを最新の状態に保つことを義務付けています。

  • いくつかの主要なポートへの着信トラフィックをブロックするために、弱いファイアウォールが設置されています。ただし、どのユーザーも、内部マシンへの着信トラフィック用にこれらのポートの1つ以上を開くように要求できます。

  • モバイルデバイス(ラップトップなど)は、別のネットワークに透過的に配置されます。このネットワークは、いくつかの重要な内部リソースからより厳密にファイアウォールで保護されています。アイデアは、誰かが旅行にラップトップを持って行き、ワームに感染し、ローカルネットワークに戻ってきた場合、そのワームがすべての内部システムに広がることを望まない、または少なくとも、ダメージを制限したい。

  • 人のマシンが感染すると、自動的にネットワークから切断されます。再度ネットワークに接続する前に、ワイプ、再フォーマット、および再インストールする必要があります。感染したマシンをクリーンアップする必要はありません。あなたはそれを拭く必要があります。

  • 侵入を検出するために、ネットワーク侵入検知システム(Bro)を実行しています。

  • ユーザーはローカルマシンで管理者レベルのアクセス権を持つことができます。

  • クレジットカード番号、社会保障番号、給与情報、等級データベースなどの保存など、リスクの高い活動に使用されるシステムを管理するより制限的なポリシーがあります。

これは相応のバランスだと思います。少なくとも私たちにとってはそれはかなりうまくいくようです。

データを定期的に確実にバックアップするために、バックアップソリューションを確認してください。ユーザーが最新バージョンのWebブラウザーを使用していることを確認してください。 Chromeへの移行を検討してください。すべてのユーザーが自動更新を有効にしていることを確認してください。

0
D.W.