在过去的几周里,我的公司被一组病毒淹没,其中包括一个 .html 附件。其中一些病毒针对的是 UPS 货件,一些是 Western Union。所有这些病毒都要求用户点击 .html 附件。请注意,我网络上的任何安全软件都没有发现这些病毒。主要是 Trend Micro 产品、OfficeScan 和 Scanmail。
我试图向我的员工灌输一些互联网常识。旧的,如果它好得难以置信,如果你不期待等等,但还是有一些我忘了。重新安装三台机器后,我意识到这个问题比我想象的要严重。我的第一个反应是在我们的 Trend Scanmail 服务器上阻止所有 .html 附件。这似乎很有效。不再有病毒攻击。
这是我的问题。我们的会计/办公室经理今天来找我,说我需要允许 .html 文件。似乎她所有的在线会计服务都是通过 .html 附件进行通信的。她说她一直在失去通信,因为 Scanmail 正在删除她所有的附件。
我认为,真正的在线服务不应该通过电子邮件中的 .html 附件与其客户进行通信。其他人同意吗?这些附件被认为是安全的吗,还是它们应该与 .exe 和 .bat 混在一起?其他人如何处理这个问题?我们是否应该联系这些服务,要求他们更改他们的政策?我目前设置的唯一其他选择是再次允许 .html 文件发送给我的所有电子邮件用户。
趋势科技失去影响力了吗?我是否应该寻找新的安全软件?我转而使用趋势科技,因为当时他们的评价相当不错,而且我不想使用赛门铁克或迈克菲(对我来说很不合适,说来话长)。我该怎么办?
答案1
我们公司也在边界阻止 .html 附件。我们还认为,这类附件的需求并不大。然后戴尔给我们发了一份报价,你猜对了,是 html 附件。我想它比 PDF 文件稍微标准化一点吧?不管怎样,我们最终将 HTML 附件列入了白名单仅来自该域名。我想这对你来说不是一个选择吧?
我不能对趋势科技的表现说太多。你可以尝试的一件事是将这些类型的文件提交给像这样的地方,这将查看其他 AV 供应商是否将其视为威胁。这可能会告诉您是否有更好的公司适合您。
我们公司做的一件似乎相当成功的事情就是在防火墙上阻止可执行文件的下载。实际上,任何携带 Windows 可执行文件的 HTTP 流量都会被阻止。我们有一个白名单,其中的用户在确实需要时可以下载这些文件,但除此之外,它可以阻止大量恶意软件通过。
答案2
有几件事:
html 本身并不是恶意软件,因此您的 AV 软件不会检测到任何东西。单击链接的行为会启动包含恶意软件的某种下载,或者链接会将浏览器定向到恶意网站,然后该网站被用作恶意软件负载的注入点。
实际上,这些电子邮件并不是由 UPS、Fedex、西联汇款、美国国税局或任何其他实体发送的,因此,联系其中一个实体并要求他们停止发送这些电子邮件很可能只会引来人们的窃笑和哄堂大笑。
如果每个客户端工作站上都有足够的实时 AV 扫描组件,那么当用户点击其中一个链接时,实时 AV 组件应该会阻止恶意软件。如果没有,我会调查原因。
当用户收到来自 UPS 等的电子邮件,建议用户单击链接来收集他们的跟踪、运输等信息时,用户应该问自己“我是否通过 UPS 运送了物品?”或“我是否在等待 Fedex 的包裹?”等。如果答案是否定的,则删除电子邮件。技术无法解决缺乏常识的问题。这里需要对最终用户进行一些严肃的教育。
答案3
此外,不确定这个建议对您的网络架构有多可行,但 OpenDNS 擅长阻止网络钓鱼/恶意软件网站 - 我在家里使用它,它似乎擅长它的功能。