Hindre malware utbrudd
Husk at det er umulig å hindre en type malware angrep som aldri har skjedd. Men hvis du fokuserer på å sette følgende sikkerhetstiltak på plass nå, vil du være organisasjonens reddende neste gang din Windows-basert nettverk blir angrepet på denne måten.
1. Dokumenter handlingen skritt
Bruk en hendelse respons plan. En slik plan trenger ikke å være så fancy, spesielt når du er kommet i gang. Minst dokument skritt for deteksjon, etterforskning, oppdemming, utrydding og utvinning. Et flott sted å starte med en slik plan er NIST sin Computer Security Incident håndtering Guide
.
2. Hindre tilgang til NetBIOS og MSRPC porter
å holde automatiserte angrep i sjakk og nysgjerrige øyne utenfor systemene, hindre tilgang til TCP-portene 135, 139 og 445 og UDP-porter 135, 137 og 445. Det høres trivielt, men jeg ser fortsatt en rekke systemer - selv offentlig tilgjengelige seg - med dette sikkerhetsproblemet.
3. Deaktiver eller begrense Windows Script Host (WSH) og ActiveX
Disse kontrollene bør deaktiveres på servere og arbeidsstasjoner. Bare sørg for å teste innstillingene nøye med produksjon programmer for å sikre at ingen programmer slutter å virke som et resultat.
4. Implementere Group Policy sikkerhet
Group Policy eller lokale sikkerhetspolicyinnstillinger bør iverksettes for å herde Windows mot angrep i tilfelle at noe ikke komme gjennom. Et godt utgangspunkt kan bli funnet på min forrige tips.
5. Host-basert beskyttelse er en må
Perimeter-basert beskyttelse er bra, men du må bruke vertsbasert beskyttelse for å ikke bare hindre men også inneholde ondsinnet kode som er lastet ned via websider, e-postvedlegg, etc. Dette er spesielt kritisk gitt at malware angrep kan komme fra alle vinkler. Host beskyttelse kan bidra til å blokkere unødvendige tilgang til NetBIOS og MSRPC tjenester, og hindre lokal programvare fra å snakke med omverdenen uten brukerens eller (helst) administratorens tillatelse. Windows-brannmuren vil ikke hjelpe mye her, men Microsofts nye AntiSpyware produktet ikke tilbyr noen beskyttelse i dette området. Det beste alternativet vil trolig være en all-out vertsbasert IDS /IPS som Zonealarm, Symantec Client Security, og min favoritt BlackICE (eller ISS bedriftens produkter som utnytter sin teknologi).
6. Aktiver heuristikk beskyttelse
Heuristics beskyttelse bør være aktivert i din antivirus programvare for å bidra til å oppdage grunnleggende malware atferdsavvik.
7. Ikke rabatt antispionvare
Du må opprette en lagdelt forsvar. Når du utfører sikkerhetsvurderinger, I fremdeles
se de fleste systemer ubeskyttet mot spionprogrammer og dens varianter. Du kan også vurdere andre anomali-basert deteksjon og forebyggende søknader fra selskaper som Finjan og Sana Security.
8. Ha nettverk analysator på plass
Velg en analysator som du føler deg komfortabel med for å overvåke nettverkstrafikk og se hva malware gjør. Den gratis Ethereal er flott hvis du er komfortabel med å bruke det. Jeg har også funnet flere kommersielle nettverk analyser for å være svært effektive i denne situasjonen, spesielt på grunn av hvor lett de fleste av dem er å bruke. Se inn verktøy som CommView, EtherPeek og Sniffer Portable for kablet nettverk og AiroPeek, AirMagnet Laptop Analyzer og Sniffer Trådløst for trådløse nettverk. Du kan finne mer på akkurat hvor verdifullt et nettverk analysator kan være i mine webcasts Network Analyzer triks for overvåking og feilsøking e-posttrafikk (krever registrering) og nettverket analysator: Et sikkerhetsverktøy du ikke kan klare seg uten.
Jeg kan ikke understreke nok hvor en unse for forebygging er verdt et tonn med kur - spesielt
når det gjelder malware utbrudd. Å ha noen solide lagdelt forsvar ved hjelp av innebygde Windows-kontroller og tredjeparts produkter kombinert med noen grunnleggende dokumentasjon på hva du skal gjøre er alt du trenger å gjøre. Det er alt du kan
gjøre.
Dette tipset opprinnelig dukket opp på SearchWindowsSecurity.com