Re: [請益] Crypt0L0cker(已認了)...另推文末問題請求

作者bojack (Bojack)

看板MIS

標題Re: [請益] Crypt0L0cker(已認了)...另推文末問題請求

時間Wed Jul 15 12:14:12 2015

各位先進大家好，想就「勒索軟體」這議題再和大家討論並確認應如何防護才是有效的 1. 現有網管防護有 NAC、Firewall、Mail Gateway APT 2. 使用者端有 Anti-Virus、DLP 3. User 內對外一律透過 Proxy 僅可以走 80/443 port ，Proxy 會用 AD 帳密認證目前此類「勒索軟體」我想來源不外乎就是這三個 1. Email附件 2. Web下載回來的檔案 3. 外接式儲存裝置內的檔案此外也定期與員工宣導相關基本資安意識，如來歷不明的郵件、網頁勿開啟或點擊等想請問大家這樣的防護是否已足夠？目前想到還可以加強的是在閘道端佈署防毒牆(Anchiva)，但不知效能與效果是否足夠就是先謝謝大家給予指導及建議 ------------------------------------------ 2015.07.16 補充感謝推文的各位先進給予指導及建議，小弟再歸納一下大家的做法 1. 針對目錄權限加以控管，例如公網目錄僅限特定人可寫入，一般人只可讀取 2. 禁用usb 3. 透過GPO去限制特定副檔名執行權限以上作法會再和上層主管溝通討論可行性與對同仁的影響程度其實小弟的觀念同 wr 兄，政策與技術面都是我們可以掌握的唯獨人的部份比較難以解決，只能透過不斷的教育與溝通才能落實資安防護工作再次謝謝大家 ※ 引述《lu760423 (腦袋爛掉了)》之銘言： : 看到標題應該不少人覺得事態嚴重了... : 目前查到的資訊有可能從郵件或是網頁，並非屬於會擴散傳染的。 : 今天也驗證...一個沒有信箱的同事中了，導致網路磁碟資料夾掛一堆! : 趕快先用昨天的還原，結果下午不少同事的pst檔馬上被鎖@Q@! : 小弟下午又請假回診...這可真是大事情了... : 不知道先進們有沒有什麼資訊或方法可以提供... : 這真的是跪求了Q.Q.... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.11.38.201 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1436933656.A.E8F.html

推 sssxyz: 所以這鬼東西你們endpoint的防毒有抓到嗎? 07/15 13:02

→ sssxyz: Mail APT有抓到嗎? 07/15 13:02

→ bojack: 小弟目前所屬單位偏策略規劃面，所以執行都是交給IT人員 07/15 13:04

→ sssxyz: Proxy 的 ACL 是否有需要調整的地方? 開啟信評的幫助有嗎? 07/15 13:05

→ bojack: 至於現階段有沒有抓到可能要再問一下，但就是想防範於未然 07/15 13:05

→ bojack: 目前單位內是還沒有爆發勒索軟體的事件，但仍擔心防護不夠 07/15 13:07

推 sssxyz: 要先能抓到才有機會預防都不知道哪冒出來的只能燒香 07/15 13:07

→ bojack: 周全。至於sssxyz兄您提到的Proxy ACL我也會再和IT確認 07/15 13:07

→ Wishmaster: 收權限,用戶端禁止.exe特定副檔名執行... 07/15 13:28

→ Wishmaster: 你講的東西pattern沒到都沒啥用... 07/15 13:29

→ wr: 安全永遠跟方便處在天枰的兩端&永遠不可能做到完美防護 07/15 13:53

→ wr: 對於資訊安全只有持續性的教育以及管理才會有效果 07/15 13:54

→ wr: 我認為重點在制度和管理策略系統和應用是其次 07/15 13:55

→ wr: 至於技術面的話關鍵區域可以VLAN隔離 USB關掉限制本地儲存 07/15 13:58

→ wr: 一般使用者無安裝權限 Proxy ACL用白名單這些都會加強安全性 07/15 14:01

→ asdfghjklasd: 當然有一些方法了.,不過要能做的起就是了 07/15 16:22

→ coflame: 同Wishmaster，收權限是最佳解。但剛開始要收，會有陣痛 07/15 20:31

→ coflame: 期，但收的徹底會發現真的管理改善很多。 07/15 20:32

推 sssxyz: 收usb權限可以嘗試但網頁還是要開信還是要收 07/15 21:48

※ 編輯: bojack (49.219.142.57), 07/16/2015 14:56:12