Защита Интернета и электронной почты в небольшой корпоративной среде
У нашей компании есть реальная проблема со спамом, фишингом и изощренными вирусами (которые являются совершенно новыми на момент первой загрузки и не распознаются никакими вирусными сканерами в течение как минимум нескольких часов после загрузки, а иногда и дней). В результате нам пришлось стереть несколько машин, пользователи были пойманы фишинг-мошенниками, и у нас даже был один вирус, который захватил часть нашей информации из общего файлового ресурса.
Мне интересно, как другие компании защищаются от подобных угроз. Мы пытались информировать пользователей о том, на что нажимать или не нажимать, но никакое образование, кажется, не устраняет проблему (особенно для пользователей, не являющихся техническими специалистами). Устанавливают ли компании безопасные среды просмотра / электронной почты (например, как отдельную виртуальную машину)?
FWIW, у нас запущен межсетевой экран Astaro и две антивирусные программы (ESET и TrendMicro)
5 ответов
Хлоп.
Хорошо, кое-что излишне, но вот лучшее, что я мог бы порекомендовать.
Ограничьте доступ пользователей в своих системах к учетным записям пользователей. Используйте минимально возможные привилегии. Это помогает ограничить установку приложений.
Используйте только программное обеспечение, которое вы одобрили в ИТ-отделе. Никаких скринсейверов с милыми котятами, никаких вещей из дома, никаких классных игр, ничего, что вам неизвестно. Установите программное обеспечение для аудита, которое может проверять установленное программное обеспечение ваших клиентских систем.
Блокируйте входящие вложения, размер которых превышает определенный. Экономит дисковое пространство, сохраняет пропускную способность, сохраняет ваши почтовые ящики от повреждения.
Блокировать входящие вложения, которые являются исполняемыми. Это большой..exe,.com,.bat и т. д.
Посмотрите, сможете ли вы отфильтровать почту с помощью правильных проверок на спам. Проверка SPF. При необходимости вы можете настроить списки черных дыр. Антивирус на почтовом сервере, который постоянно обновляется. Я не знаю, каким почтовым сервером вы пользуетесь, поэтому не могу помочь, но в системах Linux/UNIX ClamAV отлично работает на сервере, потому что это плагин, который работает с целым рядом MTA, и он ловит не только вирусы / вредоносные программы, но попытки фишинга и обновления, как будто их команда имеет OCD.
Установите антивирусное программное обеспечение на клиентах, обновляйте его, похоже, вы уже это делаете. Убедитесь, что они остаются в курсе, хотя. У нас есть программное обеспечение, которое иногда просто "останавливает" обновление.
Вы централизуете хранилище? Держите AV в курсе, чтобы он уведомил вас о инфекциях. Позволяет избежать проблем с файловым сервером. Чем больше вы централизуете свою информацию, тем легче вам управлять ею (и выполнять ее резервное копирование); ваши пользователи ваши пользователи, потому что они ожидают, что вы будете обрабатывать детали технологии. Они не хотят заботиться о вирусах и т. П., Ожидая, что они будут активно заниматься "техническими вопросами", приведут к большему количеству инфекций и проблем.
Одна вещь, которую мы имеем в нашей установке, потому что у нас большой процент систем, которые сохраняют свою конфигурацию довольно статичной (и мы используем профили пользователей на сетевом сервере), это продукт под названием Deep Freeze; вы настраиваете систему на то состояние, в котором хотите, и затем "зависаете", а любые изменения, сделанные в системе, стираются при перезагрузке. Удалите каталог Windows, перезагрузите компьютер, восстановите, как будто ничего не произошло. Иногда это очень важно. НО это означает необходимость планировать обновления (из-за необходимости оттаивания), и мы не запускаем на нем антивирус из-за проблем с обновлениями (плюс вы не хотите, чтобы он обновлялся каждый раз, когда он перезагружается и говорит: "Я вышел из дата!"Да, системы могут заразиться, но перезагрузка прояснит ситуацию. Однажды мы вылечили инфекцию, по сути перезагрузив наше здание. На удивление хорошо сработало для сюжетной линии Star Trek.
Вы держите в актуальном состоянии резервные копии ваших серверов для восстановления от вредоносных программ?
Вы блокируете исходящие порты на брандмауэре, которые не нужны вашим пользователям? Особенно порт вашего почтового сервера; только ваш почтовый сервер должен иметь исходящий порт 25. Некоторые вредоносные программы будут отправлять сообщения на порт 25 с рабочих станций и попадать в черные списки дыр.
Настройте свой почтовый сервер для дополнительных методов остановки спама, таких как tarpitting, и проверьте с помощью внешних контролеров, что он не передает почту.
Установите средства проверки на вредоносное ПО. Не удваивайте антивирус. AV имеют тенденцию не играть хорошо друг с другом. Под проверкой вредоносных программ я имею в виду что-то вроде MalwareBytes и Spybot Search and Destroy. Запускайте их периодически. Обновляйте их часто.
Держите все свое программное обеспечение в актуальном состоянии. Обновления программного обеспечения Adobe, Java, Windows... рассмотрите возможность установки сервера WSUS локально, если этого требует количество клиентов.
Создавайте образы своих систем, если они стандартные. Делает восстановление немного проще, если вы можете просто развернуть чистый образ системы. Стандартизируйте ваше оборудование в максимально возможной степени.
Контролируйте свой сетевой трафик. Используйте SNMP на своих пограничных маршрутизаторах, проверяйте необычную активность, знакомьтесь с "нормальными" схемами использования сети. Если обнаружится что-то странное, вы можете провести активное расследование. Если вы играете с виртуальными машинами, не так уж сложно настроить систему honeypot, которая может проверять необычную активность и отправлять вам электронные письма в случае возникновения проблем; посмотрите Системы обнаружения вторжений для информации.
В зависимости от среды вы можете использовать политики для принудительного внесения в белый список исполняемых файлов, чтобы на клиентских машинах могли работать только определенные исполняемые файлы, но это может быстро вызвать негативную реакцию пользователей. Используйте это с осторожностью.
Существует множество документов по защите от спама на ваших почтовых серверах, некоторые из которых зависят от конкретной реализации, поэтому вам придется поискать в Google конкретный MTA. Есть также тестеры для удаленного тестирования вашей конфигурации. Используй их. Существуют устройства для фильтрации спама, такие как Abaca, а также такие, которые помогают сократить вашу кривую обучения... опять же, зависит от вашей ситуации, от того, как вы хотите это сделать. Когда-то у нас была система прокси-почты, поэтому первая система получила письмо, обработала его для оценки спама / заблокировала исполняемые вложения / и т.д. затем перенаправили его на наш почтовый сервер, чтобы вы могли связать входящую почту с несколькими методами сканирования. Хотя документируйте все, что вы делаете, или у вас может быть спагетти-капля зависимостей на графиках, когда вы пытаетесь решить проблему.
И хотя они часто игнорируют это, продолжайте обучение конечных пользователей. Сделать или получить плакаты. Напоминания по электронной почте (не шаблонные, или они их проигнорируют. Это как знаки остановки. Вы видите их все время, они заканчивают тем, что смешиваются, честный офицер, я не знаю, о чем вы говорите... то же самое с ИТ Уведомления. Вам нужно адаптировать их и изменить, чтобы вы обманули пользователя, узнав что-нибудь из ваших заметок) о новых вирусах и вредоносных программах.
Да, и работай над своей политикой в компании. Запретить при необходимости личное хранилище и персональные устройства или утвердить их в отделе. Опишите, что является приемлемым для использования. Вредоносные программы могут и действительно путешествовать на USB-накопителях и дисках.
(РЕДАКТИРОВАТЬ) Вы могли бы также посмотреть на использование прокси-сервера для трафика веб-браузера. В зависимости от того, насколько сложной вы хотите получить, вы можете пойти так же просто, как плагины Squid + или купить устройство для обработки трафика для вас. Устройства, конечно, более "под ключ" и имеют симпатичные интерфейсы менеджера, отчеты и т. Д., В то время как Squid свободен и бросает вас в гору обучения. Но есть прокси с такими удобными функциями, как блокировка определенных типов файлов и, конечно, блокировка доступа к сайтам, или, по крайней мере, вы можете использовать его для аудита доступа к сайтам. Иногда блокировка - это не столько средство цензуры, сколько способ защитить своих пользователей от самих себя. Если вы найдете способ правильно настроить его или устройство с нужными функциями, вы сможете заблокировать все виды плохого трафика и отслеживать, как используются ресурсы вашей компании.
Убедитесь, что все это также в вашей политике. У вас есть право отслеживать, как используются активы компании, но ваши пользователи имеют право знать, как вы их отслеживаете. И ты хочешь быть осторожным со всем "как далеко идти, пока я не слишком драконовский". Этические границы вашей компании зависят от вашей компании.
Также имейте в виду, что при поиске веб-прокси могут возникнуть проблемы с трафиком https. У нас были проблемы с этим в нашей фильтрации Squid; не было простого способа заблокировать сайты, которые были зашифрованы, потому что в этом суть. Однако есть способы сделать это. Бытовая техника может лучше подходить для этой задачи.
Я полагаю, что вы также можете получить некоторую меру защиты, используя серверы OpenDNS в качестве вышестоящего поставщика DNS. Я этого не делал, так что вам, возможно, придется разобраться с этим, но я думаю, что они предоставляют некоторые услуги для таких вещей, как блокировка поисков вредоносных доменов и тому подобное. Если они действительно предлагают эту услугу, это может быть тривиально добавить к вашей установке с хорошей мерой защиты в качестве выгоды.
В дополнение к тому, что сказали другие, вот несколько вещей, которые мы делаем.
У вашего брандмауэра есть блокировка.exe, .msi, .vbs, .bat и т. Д. Вы можете легко найти в Google полный список исполняемых типов файлов. На повседневной основе это не законное экономическое обоснование для загрузки и установки программ конечными пользователями.
Кроме того, не разрешайте пользователям доступ на уровне администратора. Вместо этого предоставьте им доступ только на уровне пользователя.
Есть ли у брандмауэра Astaro IPS на основе подписки и веб-фильтрация? Если это так, вы должны подписаться.
Создайте план, чтобы обеспечить постоянную актуальность Windows, а также Java, Flash и Acrobat Reader.
Удалите все P2P, программы обмена файлами и т. Д. С компьютеров конечного пользователя. Фактически, удалите любое не связанное с бизнесом программное обеспечение.
Я предполагаю, что у вас есть что-то вроде ClamAV, установленное на вашем почтовом сервере (это будет для почтового сервера linux). Это был бы первый порт захода, чтобы перехватить зараженную почту, прежде чем она попадет к пользователям.
То, что я нашел, это все о том, чтобы поймать его до того, как он попадет к пользователю, решить это, и вы решили проблему.
Судя по всему, вы уже делаете большинство вещей, и главная проблема заключается в том, что пользователи получают по электронной почте ссылки на хитрые сайты.
Лучший способ справиться с этим - использовать черный список DNS в реальном времени на вашем почтовом сервере. Проверьте http://www.spamhaus.org/ - использование этого остановит подавляющее большинство из них.
По моему опыту (и я знаю, что вы сказали, что уже пробовали это) лучшая защита - это обучение ваших конечных пользователей, особенно когда дело доходит до нуля. Нулевые дни по своей природе трудно защитить, и вы можете иметь все сканеры в мире, но если они не распознают вредоносный код в эксплойте, они не принесут вам много пользы. Изменить код этих эксплойтов относительно легко, если вы знаете, что делаете. Обучение ваших пользователей - это то, что вам действительно нужно, чтобы ехать домой. Я думаю, можно с уверенностью сказать, что независимо от того, какие действия вы пытаетесь предпринять, чтобы смягчить эти угрозы, у вас всегда будет несколько электронных писем, которые проскальзывают через трещины.
Вы можете попробовать запустить почтовые клиенты в изолированной среде виртуальных машин, но это может быть дорогостоящим, требующим много времени на настройку, и существует множество документированных эксплойтов, которые позволяют вредоносному контенту вырваться из изолированной среды и получить доступ к хост-компьютеру.,
Я бы посоветовал взглянуть на то, как спаммеры получают адреса электронной почты ваших сотрудников. У вас есть адреса электронной почты на вашем веб-сайте (ах)? Если это так, снимите их и попытайтесь уменьшить объем получаемых вами электронных писем. Подумайте о том, чтобы настроить тест на медовый горшок и для электронных писем, когда они приходят (у нас был большой успех - тест Honeypot от Vamsoft ORF). Взгляните также на свои правила фильтрации в своем фильтре, чтобы убедиться, что вы получаете максимальную отдачу от своего программного обеспечения.
Мы добились больших успехов в борьбе со злонамеренными компрометациями электронной почты, обучая пользователей, постоянно проверяя наши политики фильтрации и следуя правилу наименьших привилегий.
Если вы не знакомы с 8 правилами безопасности, я бы посоветовал проверить их. Это хорошая пища для размышлений, и они действительно помогут вам обеспечить безопасность вашей сети.