小規模企業環境でのインターネットと電子メールの保護
当社は、スパム、フィッシング、および高度なウイルス(最初のダウンロード時に真新しく、ダウンロード後少なくとも数時間、場合によっては数日はウイルススキャナーによって認識されないウイルス)に深刻な問題を抱えています。その結果、数台のマシンをワイプする必要があり、ユーザーはフィッシング詐欺に巻き込まれ、ファイル共有から情報の一部をキャプチャするウイルスも1つありました。
他の企業がこの種の脅威をどのように防いでいるのか疑問に思います。何をクリックするか、何をクリックしないかについてユーザーを教育しようとしましたが、(特に技術者以外のユーザーの場合)問題を解決できる教育はないようです。企業は安全なブラウジング/電子メール環境を(たとえば、別個の仮想マシンとして)セットアップしていますか?
FWIW、Astaro Firewallを実行しており、2つのアンチウイルスプログラム(ESETとTrendMicro)があります。
うわぁ。
さて、これのいくつかは冗長ですが、これが私がお勧めできる最善のものです。
システムでのユーザーアクセスをユーザーアカウントに制限します。可能な限り低い特権を使用してください。これは、アプリケーションのインストールを制限するのに役立ちます。
IT部門で承認したソフトウェアのみを使用してください。かわいい子猫のスクリーンセーバー、家からのもの、クールなゲーム、あなたに知られていないものはありません。クライアントシステムにインストールされているソフトウェアをチェックできる監査ソフトウェアをインストールします。
特定のサイズを超える受信添付ファイルをブロックします。ディスクスペースを節約し、帯域幅を節約し、メールボックスが破損するのを防ぎます。
実行可能な着信添付ファイルをブロックします。それは大きな問題です。 .exe、.com、.batなど。
適切なスパム対策チェックでメールをフィルタリングできるかどうかを確認してください。 SPFチェック。必要に応じてブラックホールリストを設定できます。最新に保たれているメールサーバー上のアンチウイルス。使用しているメールサーバーがわからないため、サポートできませんが、Linux/UNIXシステムでは、ClamAVはさまざまなMTAで動作するプラグインであり、ウイルスだけでなく/をキャッチするため、サーバー上で優れています。マルウェアですが、フィッシングが試みられ、チームがOCDを持っているかのように更新されます。
クライアントにウイルス対策ソフトウェアをインストールし、最新の状態に保ちます。すでに行っているようです。ただし、最新の状態に保つようにしてください。更新を「停止」することがあるソフトウェアがあります。
ストレージを一元化していますか? AVを最新の状態に保ち、感染を通知してもらいます。ファイルサーバーからの潜在的な問題を常に把握できます。情報を一元化すればするほど、情報の管理(およびバックアップ)が容易になります。ユーザーは、テクノロジーの詳細を処理することを期待しているため、ユーザーです。彼らはウイルスなどを気にする必要がないので、「技術的なこと」を伴う多くのことを期待することは、より多くの感染と問題につながるでしょう。
構成をかなり静的に保つ(そしてネットワークサーバーでユーザープロファイルを使用する)システムの割合が高いため、セットアップに含まれるものの1つは、DeepFreezeと呼ばれる製品です。システムを希望の状態に構成してから「フリーズ」すると、システムに加えられた変更は再起動時に消去されます。 Windowsディレクトリを削除し、再起動して、何も起こらなかったように復元します。時々それをするのは非常にカタルシスです。しかし、それは(解凍する必要があるために)更新をスケジュールする必要があることを意味し、更新の問題のためにアンチウイルスを実行しません(さらに、再起動するたびに更新したくないので、「はい、システムは感染する可能性がありますが、再起動すると問題は解決します。建物を基本的に再起動することで、感染を一掃しました。スタートレックのプロットラインでは驚くほどうまく機能しました。
マルウェアから回復するために、サーバーの最新のバックアップを保持していますか?
ユーザーが必要としないファイアウォールの発信ポートをブロックしますか?特にメールサーバーのポート。メールサーバーのみに送信ポート25を許可する必要があります。一部のマルウェアはワークステーションからポート25にメッセージを送信し、ブラックホールリストに登録します。
ターピッティングなどの追加のスパム停止方法用にメールサーバーを設定し、外部チェッカーを介してメールを中継しないことを確認します。
マルウェアチェッカーをインストールします。ウイルス対策を倍増しないでください。 AVはお互いにうまく再生できない傾向があります。マルウェアチェッカーとは、MalwareBytesやSpybot Search andDestroyのようなものを意味します。それらを定期的に実行します。それらを頻繁に更新します。
すべてのソフトウェアを最新の状態に保ちます。アドビソフトウェア、Java、Windows Update ...クライアントの数に応じて、WSUSサーバーをローカルにインストールすることを検討してください。
システムが標準の場合は、システムのイメージを作成します。システムのクリーンなイメージをロールアウトできれば、リカバリが少し簡単になります。ハードウェアを可能な限り標準化します。
ネットワークトラフィックを監視します。ボーダールーターでSNMPを使用し、異常なアクティビティをチェックし、「通常の」ネットワーク使用パターンを理解します。何か奇妙なことが起こった場合は、積極的に調査することができます。 VMで遊んでいる場合は、異常なアクティビティをチェックして問題が発生した場合にメールで通知できるハニーポットシステムをセットアップするのはそれほど難しくありません。詳細については、侵入検知システムを検索してください。
環境によっては、ポリシーを使用して実行可能ファイルをホワイトリストに登録し、特定のexeファイルのみをクライアントマシンで実行できるようにすることができますが、これにより、ユーザーからの反発がすぐに発生する可能性があります。注意して使用してください。
メールサーバーのスパム対策に関するドキュメントはたくさんありますが、その一部は実装固有であるため、特定のMTAをグーグルで検索する必要があります。構成をリモートでテストするためのテスターもあります。それらを使用してください。アバカなどのスパムフィルタリング用のアプライアンスがあり、学習曲線を短縮するのに役立ちます...繰り返しになりますが、それをどのように実行したいかは状況によって異なります。かつてはプロキシメールシステムが設置されていたため、最初のシステムがメールを受信し、スパムスコアリング/実行可能添付ファイルのブロックなどのために処理しました。次に、それをメールサーバーに転送して、受信メールを複数のスキャン方法にリンクできるようにします。ただし、実行するすべてのことを文書化するか、問題のトラブルシューティングを試みているときに、チャートに依存関係のスパゲッティブロブを作成することができます。
そして、彼らはしばしばそれを無視しますが、エンドユーザー教育を続けてください。ポスターを作成または入手します。電子メールのリマインダー(定型文ではないか、無視されます。一時停止の標識のようなものです。常に表示され、最終的には混ざり合います。正直な役員私はあなたが何について話しているのかわかりません... ITと同じこと通知:新しいウイルスやマルウェアについてユーザーをだましてメモから何かを学ばせるように、それらを調整して変更する必要があります。
ああ、そして会社であなたの方針に取り組んでください。必要に応じて個人用ストレージと個人用デバイスを禁止するか、部門でそれらを承認します。許容される使用法の概要を説明します。マルウェアは、USBドライブやディスク上を移動する可能性があります。
(編集)Webブラウザトラフィック用のプロキシサーバーを配置することも検討できます。取得したい複雑さに応じて、Squid +プラグインのように単純にするか、トラフィックを処理するアプライアンスを購入することができます。もちろん、アプライアンスはよりターンキーであり、きれいなマネージャーインターフェイス、レポートなどを備えていますが、Squidは無料で、学習曲線であなたを驚かせます。しかし、特定のファイルタイプをブロックしたり、もちろんサイトへのアクセスをブロックしたりするなどの優れた機能を備えたプロキシがあります。少なくとも、サイトへのアクセスを監査するために使用できます。ブロッキングは、ユーザーを自分自身から保護する方法であるほど、検閲の手段ではない場合があります。適切な機能を備えたアプライアンスまたはアプライアンスを適切に構成する方法を見つけた場合は、あらゆる種類の不正なトラフィックをブロックでき、会社のリソースがどのように使用されているかを追跡できます。
これらすべてがポリシーにも含まれていることを確認してください。あなたには会社の資産がどのように使用されているかを監視する権利がありますが、ユーザーにはあなたがそれらをどのように監視しているかを知る権利があります。そして、あなたは「私があまりにも過酷なことになる前にどこまで行くのか」全体に注意したいと思うでしょう。あなたの会社の倫理的境界はあなたの会社次第です。
また、Webプロキシを検索する場合、httpsトラフィックに問題がある可能性があることにも注意してください。 Squidフィルタリングで問題が発生しました。暗号化されたWebサイトをブロックする簡単な方法はありませんでした。それがそのポイントだからです。ただし、それを行う方法はいくつかあります。アプライアンスは、このタスクにより適している場合があります。
また、DNSアップストリームプロバイダーとしてOpenDNSサーバーを使用することで、ある程度の保護を得ることができると思います。私はこれを行っていないので、調べる必要があるかもしれませんが、マルウェアドメインへのルックアップをブロックするなどのサービスを提供していると思います。彼らがそのサービスを提供している場合は、利点として適切な保護手段を使用してセットアップに追加するのは簡単かもしれません。
他の人が言ったことに加えて、ここに私たちがするいくつかのことがあります。
ファイアウォールに.exe、.msi、.vbs、.batなどをブロックさせます。実行可能ファイルタイプの完全なリストを簡単にグーグルで検索できます。日常的に、これらはエンドユーザーがプログラムをダウンロードしてインストールするための正当なビジネスケースではありません。
また、ユーザーに管理者レベルのアクセスを許可しないでください。代わりに、ユーザーレベルのアクセスのみを許可してください。
AstaroファイアウォールにはサブスクリプションベースのIPSおよびWebフィルタリングがありますか?ある場合は、サブスクライブする必要があります。
Windowsが常に最新であり、Java、Flash、AcrobatReaderが常に最新であることを確認するための計画を作成します。
エンドユーザーのコンピューターからP2P、ファイル共有プログラムなどを削除します。実際、ビジネスに関係のないソフトウェアはすべて削除してください。
メールサーバーにClamAVのようなものがインストールされていると仮定します(これはLinuxメールサーバー用です)。これは、感染したメールがユーザーに届く前にキャッチする最初の寄港地になります。
Iveが見つけたのは、ユーザーに届く前にそれをキャッチし、これを解決することです。これで問題は解決しました。
私の経験では(そしてあなたがすでにこれを試したとあなたが言ったことを私は知っています)、特にゼロデイに関しては、エンドユーザーの教育が最善の防御です。ゼロデイは本質的に防御が難しく、世界中のすべてのスキャナーを使用できますが、エクスプロイト内の悪意のあるコードを認識しない場合、あまり効果がありません。これらのエクスプロイトのコードを変更することは、自分が何をしているのかを知っていれば比較的簡単です。ユーザーの教育は、家に帰るのに本当に必要なものです。これらの脅威を軽減するためにどのような行動を取ろうとしても、隙間をすり抜ける電子メールが常に数通あると言っても過言ではありません。
サンドボックス化されたVM環境で電子メールクライアントを実行してみることができますが、セットアップに費用と時間がかかる可能性があり、悪意のあるコンテンツを解放できるようにするエクスプロイトが文書化されています。サンドボックス環境にアクセスし、ホストマシンにアクセスします。
スパマーが従業員の電子メールアドレスをどのように取得しているかを確認することをお勧めします。あなたのウェブサイトにメールアドレスがありますか?もしそうなら、それらを削除し、受信する電子メールの量を減らすようにしてください。電子メールが到着したら、ハニーポットテストも設定することを検討してください(Vamsoft ORFのハニーポットテストは大成功を収めています)。フィルタのフィルタリングルールも確認して、ソフトウェアを最大限に活用していることを確認してください。
ユーザーを教育し、フィルタリングポリシーを一貫して監査し、最小特権の原則に従うことで、悪意のある電子メールの侵害を軽減することに多くの成功を収めてきました。
セキュリティの8つのルールに慣れていない場合は、それらをチェックすることをお勧めします。それらは考えるのに良い食べ物であり、ネットワークを安全に保つのに本当に役立ちます。
それの音から、あなたはすでにほとんどのことをしている、そして主な問題はユーザーが危険なサイトへのリンクを電子メールで送られることである。
これに取り組む最善の方法は、メールサーバーでリアルタイムDNSブラックリストを使用することです。チェックアウト http://www.spamhaus.org/ -これを使用すると、これらの大部分が停止します。