Вопрос мнений о вирусах безопасности и HTML-вложениях

В последние пару недель моя компания была наводнена группой вирусов, включая вложение в формате.html. Некоторые из них были отправлены UPS, некоторые Western Union. Все они просят пользователя нажать на вложение.html. Имейте в виду, ни одно из них не было обнаружено любым программным обеспечением безопасности в моей сети. В основном продукты Trend Micro, OfficeScan и Scanmail.

Я пытаюсь пробудить в моих людях здравый смысл Интернета. Старый, если это хорошо, чтобы быть правдой, если вы не ожидаете этого и т. Д., Но все же у меня есть несколько, которые просто забывают. После переустановки трех машин я понял, что это была большая проблема, чем я думал. Моей первой реакцией было заблокировать все вложения.html на нашем сервере Trend Scanmail. Казалось, это отлично работает. Больше никаких вирусных атак.

Вот моя проблема. Наш бухгалтер / офис-менеджер пришел ко мне сегодня и сказал, что мне нужно разрешить файлы.html. Кажется, что все ее бухгалтерские онлайн-сервисы общаются с помощью вложения.html. Она говорит, что теряет связь, потому что Scanmail удаляет все ее вложения.

По моему мнению, настоящий онлайн-сервис не должен общаться со своими клиентами через.html вложение в электронном письме. Кто-нибудь еще согласен? Считается ли эти вложения безопасными или они принадлежат в сочетании с.exe и.bat? Как другие люди решают эту проблему? Должны ли мы обращаться в эти службы с просьбой изменить их политику? Единственный другой вариант, который я дал моей текущей настройке, - это снова разрешить доступ к файлам.html всем моим пользователям электронной почты.

Trend Micro теряет связь? Должен ли я искать новое программное обеспечение безопасности? Я переключился на Trend Micro, потому что в то время они были оценены довольно хорошо, и я не хотел использовать Symantec или McAfee (плохой вкус во рту, длинная история). Что я должен делать?

5 ответов

Решение

Наша компания также блокирует вложения.html на границе. Мы также решили, что не было огромной необходимости в такого рода приложениях. Затем Dell прислала нам ценовое предложение в виде html-вложения, как вы уже догадались. Я полагаю, это немного более стандартизировано, чем PDF-файл? В любом случае, мы создали HTML-вложения из белого списка только из этого домена. Я так понимаю, это не вариант для вас?

Я не могу сказать слишком много о производительности Trend Micro. Одна вещь, которую вы можете попробовать, - это отправлять файлы такого рода в такое место, где будет видно, что другие производители аудио-видео распознают как угрозу. Это может сказать вам, если есть лучшая компания для вас.

Одна вещь, которую наша компания сделала, которая, кажется, весьма успешна, блокирует загрузку исполняемых файлов через брандмауэр. По сути, любой HTTP-трафик, несущий исполняемый файл Windows, блокируется. У нас есть белый список пользователей, которым разрешено загружать их, если им это действительно нужно, но в противном случае он может заблокировать доступ к удивительному количеству вредоносных программ.

Пара вещей:

  1. Html сам по себе не является вредоносным ПО, поэтому ваше AV-программное обеспечение ничего не обнаружит. Нажатие на ссылку инициирует какую-то загрузку, которая содержит вредоносное ПО, или ссылка направляет браузер на мошеннический веб-сайт, который затем используется в качестве точки внедрения полезной нагрузки вредоносного ПО.

  2. На самом деле это не UPS, FedEx, Western Union, IRS или любая другая организация, которая отправляет эти электронные письма, поэтому, связавшись с одной из этих организаций и попросив их прекратить отправлять эти электронные письма, скорее всего, вы получите только смешки и недовольство за ваш счет.

  3. Если на каждой клиентской рабочей станции имеется достаточный компонент AV-сканирования в реальном времени, то, если пользователь щелкает одну из ссылок, AV-компонент в реальном времени должен блокировать вредоносное ПО. Если это не так, я бы выяснил, почему это не так.

  4. Когда пользователь получает электронное письмо от UPS и т. Д. С предложением щелкнуть ссылку для сбора информации об отслеживании, доставке и т. Д., Пользователь должен спросить себя: "Я что-то отправил через UPS?" или "Ожидаю ли я посылку от FedEx?" и т. д. Если ответ "нет", удалите электронное письмо. Технологии не могут исправить недостаток здравого смысла. Некоторое серьезное обучение конечного пользователя в порядке здесь.

ни одно из них не было обнаружено каким-либо программным обеспечением безопасности в моей сети. В основном продукты Trend Micro, OfficeScan и Scanmail

Я могу рекомендовать ClamAV (бесплатный, кроссплатформенный) как очень эффективный блокировщик фишинга. Я видел некоторые отчеты, в которых говорится, что он не так хорош, как некоторые из коммерческих сканеров в Антивирусе, но его легко поддерживать в базе данных и / или использовать SpamAssassin на вашем MTA. Опять же, легко обновлять правила и байесовский алгоритм. база данных.

И, разумеется, поскольку единственная стоимость - это какое-то оборудование, на котором оно будет работать, оно будет счастливо соответствовать вашим текущим требованиям.

Рассмотрим внешний сервис фильтрации сообщений в стиле Capture-And-Release.

Symantec предлагает это в виде Messagelabs

Google предлагает это в виде Постини

Они будут более эффективными для борьбы со спамом на краю вашей сети, но при этом позволят пользователям управлять своим спамом и публиковать сообщения при необходимости.

Отказ от ответственности: Вероятно, есть гораздо больше компаний, предлагающих аналогичные услуги, поэтому выбирайте подходящие варианты. Я просто наиболее знаком с 2 выше.

Кроме того, не уверен, насколько реально это предложение для вашей сетевой архитектуры, но OpenDNS хорошо блокирует фишинговые / вредоносные сайты - я использую его дома, и, похоже, он хорош в том, что делает.

Другие вопросы по тегам