在小型企業環境中保護 Internet 和電子郵件
我們公司在垃圾郵件、網路釣魚和復雜病毒(在首次下載時是全新的,並且在下載後至少幾個小時,有時是幾天)內沒有被任何病毒掃描程序辨識的真正問題。結果,我們需要擦除幾台機器,使用者被網路釣魚詐騙抓住了,我們甚至有一種病毒從文件共享中擷取了我們的一些資訊。
我想知道其他公司如何防範這些類型的威脅。我們已經嘗試教育使用者點擊或不點擊什麼,但似乎沒有任何教育可以消除這個問題(尤其是對於非技術使用者)。公司是否設置安全瀏覽/電子郵件環境(例如作為單獨的虛擬機)?
FWIW,我們正在執行 Astaro 防火牆並有兩個防病毒程序(ESET 和 TrendMicro)
哎呀。
好的,其中一些是多餘的,但這是我能推薦的最好的。
將使用者對其係統的訪問限制為使用者帳戶。使用盡可能低的權限。這有助於限制應用程序的安裝。
僅使用您在 IT 部門批准的軟體。沒有可愛的小貓屏保,沒有家裡的東西,沒有酷炫的遊戲,沒有你不知道的東西。安裝可以檢查客戶端系統已安裝軟體的審計軟體。
阻止超過特定大小的傳入附件。節省磁碟空間、節省頻寬、防止郵箱損壞。
阻止可執行的傳入附件。這是一個很大的。.exe、.com、.bat 等
看看您是否可以通過適當的反垃圾郵件檢查來過濾郵件。SPF檢查。如有必要,您可以配置黑洞列表。保持最新的郵件伺服器上的防病毒軟體。我不知道您使用的是什麼郵件伺服器,所以我無法提供幫助,但在 Linux/UNIX 系統上,ClamAV 在伺服器上非常出色,因為它是一個適用於一系列 MTA 的外掛,它不僅可以擷取病毒/惡意軟體,但網路釣魚嘗試和更新,就好像他們的團隊有強迫症一樣。
在客戶端上安裝防病毒軟體,保持最新,聽起來你已經這樣做了。不過,請確保它們保持最新狀態。我們的軟體有時只是“停止”更新。
你在集中儲存嗎?讓 AV 保持最新狀態,讓它通知您感染。讓您遠離文件伺服器的潛在問題。資訊越集中,管理(和備份)就越容易;您的使用者就是您的使用者,因為他們希望您處理技術細節。他們不想關心病毒等,因此期望他們做很多涉及“技術性東西”的事情會導致更多的感染和問題。
我們在設置中擁有一件事,因為我們有很大比例的系統保持其配置相當靜態(並且我們在網路伺服器上使用使用者配置文件)是一個名為 Deep Freeze 的產品。您將系統配置為您想要的狀態,然後“凍結”它,對系統所做的任何更改都會在重新啟動時擦除。刪除Windows目錄,重新啟動,像什麼都沒發生一樣恢復。有時這樣做非常宣洩。但這意味著必須安排更新(由於需要解凍),並且由於更新問題,我們不會在其上執行防病毒軟體(而且您不希望它每次重新啟動時都更新並說“我不在了日期!”是的,系統可能會被感染,但重新啟動會清除它。我們曾經通過基本上重新啟動我們的建築物來清除感染。對於星際迷航情節線來說效果非常好。
您是否保持伺服器的最新備份以從惡意軟體中恢復?
您是否在防火牆上阻止了使用者不需要的傳出埠?尤其是您的郵件伺服器埠;只有你的郵件伺服器應該被允許傳出埠 25。一些惡意軟體會從工作站的埠 25 上發送消息,並且會讓你進入黑洞列表。
為您的郵件伺服器設置其他垃圾郵件停止方法,如緩送,並通過外部檢查器驗證它不會中繼郵件。
安裝惡意軟體檢查器。不要加倍防病毒。AV往往不能很好地相互配合。我所說的惡意軟體檢查器是指 MalwareBytes 和 Spybot Search and Destroy 之類的東西。定期執行它們。經常更新它們。
使您的所有軟體保持最新。Adobe 軟體、Java、Windows 更新…如果客戶端數量允許,請考慮在本地安裝 WSUS 伺服器。
如果它們是標準的,則創建您的系統的圖像。如果您可以推出系統的干淨映像,則恢復會更容易一些。盡可能標準化您的硬體。
監控您的網路流量。在邊界路由器上使用 SNMP,檢查異常活動,熟悉“正常”網路使用模式。如果出現異常情況,您可以主動調查。如果你在玩虛擬機,那麼設置一個honeypot系統並不難,它可以檢查異常活動並在出現問題時給你發郵件;查找入侵檢測系統以獲取資訊。
根據環境,您可以使用策略強制將執行檔列入白名單,這樣只有特定的 exe 文件才能在客戶端電腦上執行,但這很快就會引起使用者的強烈反對。小心使用那個。
有很多關於反垃圾郵件伺服器的文件,其中一些是特定於實現的,因此您必須在Google上搜尋您的特定 MTA。還有用於遠端測試您的配置的測試器。使用它們。有一些用於垃圾郵件過濾的設備,如 Abaca 等,以幫助減少您的學習曲線……再次,取決於您的情況,您想如何做到這一點。有一次我們有一個代理郵件系統,所以第一個系統收到電子郵件,處理它以進行垃圾郵件評分/阻止可執行附件/等。然後將其轉發到我們的郵件伺服器,這樣您就可以將收到的郵件連結到多種掃描方法。記錄您所做的一切,或者當您嘗試解決問題時,您可以在圖表上擁有意大利麵條般的依賴關係。
雖然他們經常忽略它,但繼續進行最終使用者教育。製作或獲取海報。電子郵件提醒(不是樣板文件,否則他們會忽略它們。就像停車標誌一樣。你總是看到它們,它們最終會混在一起,誠實的官員我不知道你在說什麼…… IT 也是一樣通知。您需要對其進行定制和更改,以便誘騙使用者從您的筆記中學習有關新病毒和惡意軟體的資訊。
哦,在公司裡制定你的政策。如有必要,禁止個人儲存和個人設備,或在部門批准。概述什麼是可接受的用途。惡意軟體可以並且確實在 USB 驅動器和磁碟上傳播。
(編輯)您也可以考慮為網路瀏覽器流量安裝代理伺服器。根據您想要獲得的詳細程度,您可以像 Squid + 外掛一樣簡單,或者購買一個設備來為您處理流量。設備當然更全包,並具有漂亮的管理器界面、報告等,而 Squid 是免費的,並且可以通過適配曲線猛烈抨擊您。但是有一些代理具有簡潔的功能,例如阻止特定文件類型,當然還有阻止訪問站點,或者至少您可以使用它來審核對站點的訪問。有時,阻止並不是一種審查手段,而是一種保護使用者免受自身侵害的方法。如果您找到正確配置它的方法或具有正確功能的設備,您可以阻止各種不良流量,並且您可以跟踪公司資源的使用情況。
確保所有這些都在您的政策中。您有權監控公司資產的使用情況,但您的使用者有權知道您如何監控它們。而且你要小心整個“在我變得過於嚴厲之前要走多遠”。貴公司的道德界限取決於貴公司。
另請注意,在搜尋 Web 代理內容時,https 流量可能存在問題。我們在 Squid 過濾中遇到了問題;沒有簡單的方法來阻止被加密的網站,因為這就是它的重點。不過,有辦法做到這一點。電器可能更適合這項任務。
我相信您還可以通過使用 OpenDNS 伺服器作為您的 DNS 上游提供商來獲得一些保護措施。我還沒有這樣做,所以你可能需要調查一下,但我認為他們提供了一些服務,比如阻止對惡意軟體域的查找等。如果他們確實提供了該服務,那麼通過良好的保護措施將其添加到您的設置中可能是微不足道的。