En värld av skadlig programvara är en stor, ständigt föränderlig vidd. Ransomware tenderar att vara en av de mest populära formerna av skadlig programvara som diskuteras, delvis för att det är en typ av skadlig programvara som annonserar sig själv. De flesta andra skadliga program försöker aktivt undvika upptäckt. Om du har fokuserat dina ansträngningar på att försvara dig mot ransomware, har du också satt upp skydd mot skadlig programvara som INTE är avsedd att upptäckas? Eftersom ransomware måste vara känt för att en lösensumma ska kunna betalas, är upptäckten given. För skadlig programvara som måste vara smyg, för att undvika användarinteraktion och kvarstå så länge som möjligt, skulle det vara vettigt för organisationer att fokusera på sin förmåga att upptäcka skadlig programvara. Defensiva åtgärder utformade för att förhindra skadlig programvara från att komma in i ditt system är dock effektiva i båda fallen.
Om författaren Tim Erlin, Vice President, Product Management and Strategy på Tripwire. Med detta i åtanke måste försvaret mot skadlig kod täcka alla tre faserna: förebyggande, upptäckt och korrigering. Här är några av de viktigaste säkerhetskontrollerna i varje område.
1. Förebyggande
Att undvika en incident helt och hållet är naturligtvis det perfekta sättet att bekämpa skadlig programvara, det är därför vi började med förebyggande åtgärder. Dessa är säkerhetskontroller som nätverksövervakning för att förhindra tidiga infektioner med skadlig programvara, men också för att förhindra spridning om skadlig programvara kommer in i systemet. Säker konfigurationshantering - Som en del av en stark säkerhetsgrund hjälper säker konfigurationshantering att skydda dina tillgångar från skadlig programvara. Förebyggande börjar med säkra konfigurationer, annars är dörren öppen för skadlig programvara att komma in i din miljö. Sårbarhetshantering – Hand i hand med säker konfigurationshantering måste sårbarhetsrisk hanteras som ett nyckelförsvar. Det är vanligt att skadlig programvara utnyttjar en typ av sårbarhet för att installera sig på ett system. Integritetshantering – Om du effektivt kan börja med en säker miljö måste du upprätthålla den miljöns integritet. Detta kräver att förändringar upptäcks och deras inverkan på säkerheten utvärderas. Skadlig programvara kan förhindras, eller åtminstone förhindras från att spridas, genom att upprätthålla systemets integritet. Privileged Identity Management – Missbruk eller felkonfiguration av privilegierade konton är en vanlig mekanism för angripare att komma åt eller utöka sitt fotavtryck i en miljö. Hackare ser ofta till stationära eller bärbara datorer som körs som administratör för ett enklare sätt att installera skadlig programvara. E-postsäkerhet – Det är också mycket vanligt att nätfiske och andra e-postattacker är ingångspunkten för alla typer av skadlig programvara. Även om du inte kan förhindra att 100 % av skadlig programvara kommer in, ökar risken för infektion om du försummar e-postsäkerheten.
2. Detektion
Om skadlig programvara kommer in i din miljö vill du fånga den innan den får fäste.
Anti-malware-verktyg – Anti-malware-verktyg kan vara de första att tänka på när du tänker på upptäckt. Kommersiellt tillgängliga anti-malware-verktyg kan hjälpa till att upptäcka skadlig programvara i nätverket eller på en värd, men inget av dem är perfekt. Andra grundläggande säkerhetskontroller bör övervägas för att förbättra upptäcktsmöjligheterna.
Ändringsdetektering – Varje incident börjar med en förändring, inklusive infektioner med skadlig programvara. För det mesta måste skadlig programvara göra någon form av förändring i miljön. Ändringar som lämnas i dess kölvatten kan ofta användas för att identifiera skadlig programvara: nya filer på ett system, konfigurationsändringar, registerändringar, etc. Ett bra system för att upptäcka förändringar kommer också att skilja misstänkta förändringar från vanliga förändringar.
Logghantering – Logginsamling och analys är en annan viktig säkerhetskontroll som också är viktig för att identifiera tidig skadlig programvara och omfattningen av en infektion. Omfattande logghantering ger betydande insyn i skadlig aktivitet.
Misstänkt fildetonation: Misstänkta filer som inte upptäcks av verktyg för upptäckt av skadlig programvara bör skannas. Skadliga sandlådeverktyg kan köra (eller trigga) en fil och analysera dess beteende för att indikera om filen är skadlig, misstänkt eller godartad. Det är en avancerad funktion för upptäckt av skadlig programvara som kan integreras med ändringsdetektering och logghanteringsfunktioner.
Att hantera skadlig programvara kan tyckas så enkelt som att "ta bort skadlig programvara", men målet bör vara att få din miljö tillbaka till ett tillförlitligt tillstånd. Annars förblir dina system mottagliga för en annan incident.
Anti-malware-verktyg: Du kan börja med anti-malware-verktyg för att karantänera eller ta bort skadlig programvara.
Säkerhetskopieringar – Säkerhetskopieringar är inte bara avsedda att återställa förlorad data; Återställning från en känd säkerhetskopia krävs också för att återställa förtroendet. En komprometterad miljö är inte längre betrodd, så du måste återgå till ett känt tillstånd.
Konfigurationshantering – Om du inte kan börja om från säkerhetskopian måste du bygga om till ett godkänt tillstånd. Detta kräver att man definierar hur en godkänd status ser ut, vilket kan göras genom att etablera och underhålla en känd och korrekt grundkonfiguration. Baslinjen kan användas som en guide för att bygga om och konfigurera system efter en incident.
Dessa säkerhetskontroller är bästa praxis i allmänhet, men de behandlar också specifikt hur skadlig programvara tränger in och påverkar din miljö.