Ny vurdering skal bli gitt til byrået som sin nye rapport - Defensive Best Practices for Destructive Malware - inneholder nyttige tips som bør inkluderes i en virksomhet sikkerhetsstrategi. I dette tipset, vil jeg dekke de viktigste punktene i NSA malware forsvar rapporten og vil forklare hvilke forsvar kan være fordelaktig for bedriften bruk.
Inne i NSAs Defensive Best Practices rapport

Mens NSA . har fått en plagsom rykte på grunn av de siste nyhetene fra overvåking og personvern, byrået har jobbet på andre områder for å beskytte landet

NSAs Information Assurance direktorat (IAD), nemlig er " ansvarlig for NSA forsvaret til misjon og er allment anerkjent for ledende innovative sikkerhetsløsninger. Partnerskap mye med myndigheter, næringsliv og akademia gjør IAD for å sikre nødvendige sikkerhetsløsninger er på plass for å beskytte og forsvare informasjonssystemer, samt vår nasjons kritisk infrastruktur. &Quot; Som en del av oppdraget sitt, utgitt IAD egen Best Practices for destruktiv Malware rapporten å gi veiledning om beskyttelse mot ødeleggende malware.
Før en bedrift kan oppdage en angriper, jo raskere det kan begrense skadene og kaste den fra nettverk.

Rapporten skisserer 11 defensive trinn bedrifter kan ta for å hindre malware fra å kompromittere sikkerheten til endepunkter og nettverk. Selv om fremgangsmåten er primært utviklet for Microsoft Windows-systemer, kan de grunnleggende punktene brukes på alle operativsystem

De 11 beste praksis inkluderer:. Implementere sterk nettverkssegmentering, beskytte administrative kontoer, distribuere sikkerhets skjermer, holde programvaren oppdatert og overvåking logger fra sikkerhetskontroller. Den siste delen av rapporten fokuserer på hendelsesrespons planlegging for ødeleggende malware. Den grunnleggende prinsipp er jo raskere en bedrift kan oppdage en angriper, jo raskere det kan begrense skadene og kaste den fra sitt nettverk.
Forsvar for å inkludere i en virksomhet sikkerhetsstrategi

Mange av trinn som inngår i NSA IAD rapport har vært viden kjent i noen tid. Willis Ware ledet en studie i 1968 som produserte Ware Report, som hadde noen av de samme grunnleggende ideer som 2015 IAD rapporten. I løpet av de siste nesten 50 år har vi lært mange ting, men mange av de grunnleggende fra 1968 er fortsatt den mest effektive - og mest vanskelig å gjennomføre - for en bedrift. SANS Institute har også en liste over kritiske sikkerhetskontroller som skisserer mange av de samme begrepene, sammen med flere detaljer.

Trinnene er beskrevet i IAD rapporten kan teknisk implementeres av enhver bedrift, men de ville kreve betydelig menneskelig innsats for å sette opp og vedlikeholde, noe som har resultert i lavere adopsjon. Selskapene bør utføre risikovurderinger for å identifisere sine egne høyeste risikoområder og lage en plan for gjennomføring av disse grunnleggende sikkerhetskontroller ved hjelp av strenge gjennomføring.

Den sterke nettverkssegmentering sikkerhetskontroll anbefaling kan enten stoppe eller gjøre det mye vanskeligere for en angriper å hoppe fra en kompromittert maskin til en annen målet. Segmentering kan gjennomføres på mer enn bare et datasenter eller ved eksterne tilkoblinger, men snarere hele nettverket og selv innenfor visse nettverk og individuelle verter ved for eksempel ikke slik at et endepunkt på ett nettverk for å koble til et endepunkt på et annet nettverk. Ved å ikke tillate disse tilkoblingene, gjør det å finne en administrativ eller sensitiv endepunkt for angrep vanskeligere. Dette følger den grunnleggende regelen for " nekte alle tilkoblinger med mindre det er en bestemt virksomhet behov for å gi tilgang til ".
Disse Incident Response trinnene er bare et minimum bedrifter bør iverksette.

Rapporten anbefaler også beskytter nøklene til riket ved å begrense administrative kontoer og tilgang. Dette vil sikre administrative kontoer kan ikke være kompromittert for ytterligere å infiltrere nettverket. Strategier for å fullføre dette inkluderer å hindre pass-the-hash konto kompromisser basert på å fange legitimasjon fra et endepunkt og gjenbruk legitimasjon i et angrep. Administrative kontoer kan også konfigureres til å bruke multifaktor autentisering eller begrenset til bruk på bare godkjente endepunkter.

Rapporten fortsetter å anbefale en egen sikkerhet monitor for søknad hvitlisting, overvåking aktiviteter på endepunkter, bruker Microsoft EMET verktøy for å stoppe programvare utnytter og distribusjon av antimalware verktøy som overvåker og kontrollerer omdømmet til filer å bli henrettet. Verktøy som Bit9 eller FireEye MIR Endpoint Forensics kan også bidra til å overvåke endepunkt aktivitet i dybden, inkludert filer henrettet og potensiell skadelig atferd.

Den mest grunnleggende, men vanskelig, anbefaling for et distribuert-heterogent nettverk er å holde all programvare oppdatert. Mens en vanskelig oppgave å fullføre, er det avgjørende å plugge sårbarheter for å stoppe potensielle angripere. Bedrifter bør utvikle en formell patch management program med dedikerte ressurser til å sørge for at programvareoppdateringer blir anvendt på en riktig måte.

Rapporten anbefaler å bruke en sentral konsoll for å vurdere, overvåke og analysere logger fra sikkerhetskontroller. Dessuten inneholder det en detaljert oversikt over hva du skal se etter i loggene for å identifisere angrep, for eksempel et program krasjer som kan skyldes et program utnytte, deaktivere Windows-brannmuren eller endre konfigurasjonen for å tillate en ondsinnet tilkobling, eller fjerne hendelseslogg for å skjule angriper aktivitet.

Disse Incident Response trinnene er bare et minimum bedrifter bør iverksette. Bruke sikre sikkerhetskopier for å beskytte data, å ha en plan for å svare på ødeleggende malware, og sikre en " erfaringene " er hentet fra en hendelse er også avgjørende for å forebygge hendelser og sikre forsvarlig hendelsen respons i fremtiden.
Konklusjon

Mens noen kanskje rabatt denne rapporten fra IAD på grunn av kontroversen rundt NSA, det bør bli dømt til realitetsbehandling.

det er en kort rapport med nyttige pekere til mer informasjon om de enkelte anbefalinger som hver bedrift bør gjennomgå og vurdere å bruke, hvis de ikke gjør det allerede. Trinnene i rapporten kan bidra til å beskytte bedrifter mot ødeleggende malware - og hvis de ikke vet hvor du skal begynne, er det absolutt fungerer som et nyttig utgangspunkt

Om forfatteren:.
Nick Lewis, CISSP, er et program manager for den tillit og identitet i Utdannings- og forskningsdepartementet initiativ til Internet2, og tidligere var en informasjonssikkerhet offiser ved Saint Louis University. Nick fikk Master of Science grader i informasjon forsikring fra Norwich University i 2005 og i telekommunikasjon fra Michigan State University i 2002.