企業のファイアウォールで実行可能ファイルをブロックする
中小企業のインフラストラクチャチームは、ファイアウォールですべての実行可能ファイルをブロックするように要求しました。 DLPが可能なファイアウォールがあるので、これはかなり簡単に設定できます。これが良い考えかどうかはわかりません。私の質問は次のとおりです。
- これは企業では一般的な方法ですか?
- これを行うことの長所と短所は何ですか?
- 好まれる可能性のある他のオプションは何ですか?
彼らがこれを望んでいる理由は、ネットワーク、特にユーザーのPCを保護するためです。明らかな欠点の1つは、有効なビジネスexeをブロックしてしまう可能性があることです。別のオプションは、ある種のアプリケーションホワイトリストを使用することですが、これは問題の一部にしか対処しません。他に足りないものはありますか?
ご協力いただきありがとうございます。
実行可能ファイルをブロックする(そしてホワイトリストに登録する)のが一般的ですが、これにはユーザーを混乱させ、ホワイトリストを維持する必要のあるサポートスタッフを酷使するという負担があります。
最近私たちが目にしているのは、EXEを内省的に調べて、マルウェアのように「見える」かどうかを確認する、もう少し洗練されたツールです。私のクライアントの1つは、 wildfire を使用します。これは、サンドボックス環境で実行可能ファイルを調べて、マルウェアの標準的な動作をトリガーするかどうかを確認します。これらの多くのソリューションと同様に、ベンダーは標準のヒューリスティックを使用し、システムをNOCに接続して、新しいマルウェアを調査し、新しいパターンを各ファイアウォールにすぐに送信します。
これらのタイプのツールには、視覚化されたコンソールも付属しており、商品をSIEMと統合できます。
検疫、ブロックしないでください。実行可能ファイルを引き出して、保護された領域に保存します。承認された実行可能ファイルのハッシュと一致する場合は、受信者に承認された実行可能ファイルを提供します。
ホワイトリストと一致しない場合は、実行可能ファイルのリリースとホワイトリストの優先順位を設定するワークフローへのリンクを受信者に提供します。
テクノロジーを注意深く調べて、バイパスの可能性を評価します。正当な労働者が仕事をするのが面倒であるほど、ポチョムキンの実装がある可能性が高くなります-かなりですが効果がありません。私はあなたのファイアウォールを知りませんが、人々が定期的に実行可能ファイルの名前をfoo.exeからfoo.xexに変更し、セキュリティ実装全体を回避する環境で働いてきました。または、単に電子メールをPKIで暗号化します。
これを行う場合は、検疫解除ワークフローに関する統計(速度、有効性、キャプチャされたマルウェアの割合)を公開し、検疫解除プロセスの効率をN%/年向上させるという目標をコミットします。 、毎月測定。