我们公司确实面临着垃圾邮件、网络钓鱼和复杂病毒(首次下载时是全新的病毒,下载后至少几个小时甚至几天都无法被任何病毒扫描程序识别)的困扰。因此,我们不得不清除几台机器,用户被网络钓鱼诈骗所困扰,甚至有一种病毒从文件共享中窃取了我们的一些信息。
我想知道其他公司如何防范此类威胁。我们尝试教育用户应该点击什么或不应该点击什么,但无论教育多少似乎都无法消除问题(尤其是对于非技术用户)。公司是否设置了安全的浏览/电子邮件环境(例如作为单独的虚拟机)?
值得一提的是,我们正在运行 Astaro 防火墙,并且有两个防病毒程序(ESET 和 TrendMicro)
答案1
哎呀。
好的,其中一些是多余的,但这是我能推荐的最好的。
将用户对系统的访问限制在用户帐户内。尽可能使用最低权限。这有助于限制应用程序的安装。
只使用 IT 部门批准的软件。不要使用可爱的小猫屏保、家里的东西、酷炫的游戏,不要使用你不知道的东西。安装可以检查客户端系统已安装软件的审计软件。
阻止超过特定大小的传入附件。节省磁盘空间,节省带宽,防止邮箱损坏。
阻止可执行的传入附件。这是个大问题。.exe、.com、.bat 等。
看看您是否可以使用适当的反垃圾邮件检查来过滤邮件。SPF 检查。如有必要,您可以配置黑洞列表。邮件服务器上的防病毒软件保持最新。我不知道您使用的是哪种邮件服务器,所以我无法提供帮助,但在 Linux/UNIX 系统上,ClamAV 在服务器上非常出色,因为它是一个可与一系列 MTA 配合使用的插件,它不仅可以捕获病毒/恶意软件,还可以捕获网络钓鱼尝试,并且更新速度就像他们的团队患有强迫症一样。
在客户端上安装防病毒软件,并保持更新,听起来你已经这样做了。不过,请确保它们保持更新。我们的软件有时会“停止”更新。
您是否在集中存储?让 AV 保持最新状态,并让其通知您感染情况。让您随时了解文件服务器的潜在问题。您越集中信息,就越容易管理信息(并备份信息);您的用户之所以是您的用户,是因为他们希望您处理技术细节。他们不想关心病毒之类的事情,因此期望他们做很多涉及“技术性的事情”将导致更多的感染和问题。
由于我们拥有大量保持配置基本静态的系统(并且我们在网络服务器上使用用户配置文件),因此我们在设置中有一个产品叫做 Deep Freeze;您可以将系统配置为所需的状态,然后“冻结”它,对系统所做的任何更改都会在重新启动时被清除。删除 Windows 目录,重新启动,然后恢复,就像什么都没发生过一样。有时这样做非常令人欣慰。但这意味着必须安排更新(因为需要解冻它),并且由于更新问题,我们不会在它上运行防病毒软件(另外,您不希望它每次重新启动时都更新并说“我已过期!”是的,系统可能会被感染,但重新启动会清除它。我们曾经通过重新启动我们的建筑物来清除感染。对于星际迷航情节来说,效果出奇地好。
您是否保留服务器的最新备份以便从恶意软件中恢复?
您是否在防火墙上封锁了用户不需要的传出端口?特别是您的邮件服务器端口;只有您的邮件服务器才允许使用传出端口 25。某些恶意软件会从工作站向端口 25 发送消息,并将您列入黑洞名单。
设置您的邮件服务器以使用其他垃圾邮件阻止方法(如缓送),并通过外部检查器验证它不会中继邮件。
安装恶意软件检查程序。不要同时安装防病毒软件。AV 往往不能很好地相互配合。我所说的恶意软件检查程序是指 MalwareBytes 和 Spybot Search and Destroy 之类的程序。定期运行它们。经常更新它们。
保持所有软件为最新版本。Adobe 软件、Java、Windows 更新...如果客户端数量允许,请考虑在本地安装 WSUS 服务器。
如果系统是标准的,请创建系统映像。如果您可以推出干净的系统映像,则恢复会更容易一些。尽可能标准化您的硬件。
监控您的网络流量。在边界路由器上使用 SNMP,检查异常活动,熟悉“正常”网络使用模式。如果出现异常,您可以主动调查。如果您正在使用 VM,则设置一个蜜罐系统并不难,它可以检查异常活动并在出现问题时向您发送电子邮件;查找入侵检测系统以获取信息。
根据环境,您可以使用策略强制将可执行文件列入白名单,以便只有特定的 exe 文件可以在客户端计算机上运行,但这很快就会引起用户的强烈反对。请谨慎使用。
有很多关于如何防止垃圾邮件的文档,其中一些是特定于实现的,因此您必须在 Google 上搜索特定的 MTA。还有用于远程测试配置的测试器。使用它们。还有像 Abaca 这样的垃圾邮件过滤设备,可以帮助缩短您的学习时间……同样,这取决于您的情况,以及您想如何做。我们曾经有一个代理邮件系统,因此第一个系统会收到电子邮件,对其进行垃圾邮件评分/阻止可执行附件/等处理。然后将其转发到我们的邮件服务器,这样您就可以将收到的邮件链接到多种扫描方法。记录您所做的一切,或者当您尝试解决问题时,您可以在图表上看到一堆意大利面条式的依赖关系。
虽然他们经常忽略它,但还是要继续对最终用户进行教育。制作或获取海报。电子邮件提醒(不是样板,否则他们会忽略它们。这就像停车标志。你总是看到它们,它们最终会融入其中,老实说,我不知道你在说什么……IT 通知也是一样。你需要对它们进行定制和修改,这样你就可以诱使用户从你的笔记中学习一些东西)关于新的病毒和恶意软件。
哦,还要制定公司政策。必要时禁止个人存储和个人设备,或在部门内批准。概述可接受的用途。恶意软件可以而且确实会在 USB 驱动器和磁盘上传播。
(编辑)您也可以考虑为 Web 浏览器流量安装代理服务器。根据您想要的复杂程度,您可以选择简单的 Squid + 插件,也可以购买设备来为您处理流量。设备当然更加一站式,具有漂亮的管理界面、报告等,而 Squid 是免费的,需要您花一些时间学习。但是,有些代理具有一些巧妙的功能,例如阻止特定文件类型,当然还有阻止对网站的访问,或者至少您可以使用它来审核对网站的访问。有时,阻止并不是一种审查手段,而是一种保护用户免受自身侵害的方法。如果您找到正确配置它的方法或具有正确功能的设备,您可以阻止各种不良流量,并且可以跟踪公司资源的使用情况。
确保所有这些都包含在您的政策中。您有权监控公司资产的使用方式,但您的用户有权知道您如何监控他们。而且您要小心处理“在采取严厉措施之前要走多远”的问题。您公司的道德界限由您自己决定。
还要注意,搜索 Web 代理时可能会出现 https 流量问题。我们在 Squid 过滤中遇到了这个问题;没有简单的方法来阻止加密的网站,因为这就是它的重点。不过,还是有办法的。设备可能更适合这项任务。
我相信您也可以通过使用 OpenDNS 服务器作为 DNS 上游提供商来获得一定程度的保护。我还没有这样做,所以您可能需要研究一下,但我认为他们提供了一些服务,例如阻止查找恶意软件域等。如果他们确实提供该服务,那么在您的设置中添加良好的保护措施可能并不困难。
答案2
除了其他人所说的之外,我们还做了一些事情。
让防火墙阻止 .exe、.msi、.vbs、.bat 等。您可以轻松通过 Google 找到完整的可执行文件类型列表。在日常工作中,对于最终用户来说,下载和安装程序并不是合法的商业案例。
另外,不要允许用户以管理员级别访问。而应仅授予他们用户级别的访问权限。
Astaro 防火墙是否提供基于订阅的 IPS 和 Web 过滤功能?如果有,您应该订阅。
制定计划以确保 Windows 以及 Java、Flash 和 Acrobat Reader 始终保持最新状态。
从最终用户计算机中删除所有 P2P、文件共享程序等。事实上,删除所有与业务无关的软件。
答案3
我假设您在邮件服务器上安装了类似 ClamAV 的程序(这适用于 Linux 邮件服务器)。这将是在受感染邮件到达用户之前捕获它们的第一个停靠点。
我发现,关键在于在问题到达用户手中之前将其捕获,解决这个问题,这样就解决了问题。
答案4
听起来你已经做了大多数事情,主要问题是向用户发送指向不可靠网站的链接。
解决此问题的最佳方法是在邮件服务器上使用实时 DNS 黑名单。查看http://www.spamhaus.org/- 使用此功能将阻止绝大多数此类情况。