Pergunta de opinião sobre vírus de segurança e anexos HTML

2

Nas últimas duas semanas, minha empresa foi inundada por um grupo de vírus, incluindo um anexo .html. Alguns destes foram submetidos a remessa UPS, alguns Western Union. Todos eles pedindo ao usuário para clicar no anexo .html. Lembre-se de que nenhum deles foi capturado por nenhum software de segurança da minha rede. Principalmente produtos da Trend Micro, OfficeScan e Scanmail.

Eu tento trazer algum senso comum da Internet para o meu pessoal. O antigo, se é bom ser verdade , se você não está esperando por ele , etc., mas ainda tenho alguns que simplesmente esquecem. Depois de reinstalar três máquinas, percebi que isso era mais um problema do que eu pensava. Minha primeira reação foi bloquear todos os anexos .html em nosso servidor Trend Scanmail. Isso pareceu funcionar muito bem. Não há mais ataques de vírus.

Aqui está o meu problema. Nosso contador / gerente de escritório veio até mim hoje e disse que eu precisava permitir arquivos .html. Parece que todos os serviços de contabilidade on-line dela se comunicam por meio do anexo .html. Ela diz que está perdendo comunicações porque o Scanmail está removendo todos os seus anexos.

Na minha opinião, um serviço on-line real não deve se comunicar com seus clientes por meio de um anexo .html em um e-mail. Alguém mais concorda? Esses anexos são considerados seguros ou pertencem à mistura com .exe e .bat? Como as outras pessoas lidam com esse problema? Devemos entrar em contato com esses serviços pedindo a eles que mudem sua política? A única outra opção que dei à minha configuração atual é permitir que os arquivos .html passem novamente para todos os meus usuários de e-mail.

A Trend Micro está perdendo seu toque? Devo procurar novos softwares de segurança? Eu mudei para a Trend Micro porque eles eram muito bons na época e eu não queria usar Symantec ou McAfee (gosto ruim na minha boca, longa história). O que devo fazer?

    
por Albion 28.07.2010 / 12:13

5 respostas

1

Nossa empresa também bloqueia anexos .html na fronteira. Também achamos que não havia uma enorme necessidade desses tipos de acessórios. Em seguida, a Dell nos enviou uma cotação de preço como, você adivinhou, um anexo de html. Eu suponho que é um pouco mais padronizado do que um arquivo PDF? De qualquer maneira, acabamos colocando anexos HTML na lista de permissões apenas desse domínio . Eu entendo que não é uma opção para você?

Eu não posso falar muito sobre o desempenho da Trend Micro. Uma coisa que você pode tentar é enviar esses tipos de arquivos para em algum lugar como este , que verá o que outros fornecedores de AV reconhecem como um ameaça. Isso pode dizer se existe uma empresa melhor para você.

Uma coisa que nossa empresa fez e que parece ser bem-sucedida é bloquear os downloads executáveis no firewall. Essencialmente, qualquer tráfego HTTP carregando um executável do Windows fica bloqueado. Temos uma lista branca de usuários que podem baixá-los se realmente precisarem, mas, caso contrário, isso pode impedir que uma quantidade surpreendente de malwares chegue.

    
por 30.07.2010 / 08:46
2

Algumas coisas:

  1. O html não é em si mesmo malware, portanto seu software antivírus não detectará nada. O ato de clicar no link inicia um download de algum tipo que contém o malware ou o link direciona o navegador para um site desonesto, que é usado como ponto de injeção para a carga útil do malware.

  2. Não é realmente a UPS, a Fedex, a Western Union, a Receita Federal ou qualquer outra entidade que esteja enviando esses e-mails para entrar em contato com uma dessas entidades e pedir que parem de enviar esses e-mails. despesa.

  3. Se você tiver um componente de verificação AV em tempo real suficiente em cada estação de trabalho cliente, se um usuário clicar em um dos links, o componente AV em tempo real deverá bloquear o malware. Se não for, eu procuraria por que não é.

  4. Quando um usuário recebe um email da UPS, etc., sugerindo que o usuário clique em um link para coletar suas informações de rastreamento, envio etc., o usuário deve perguntar a si mesmo "Eu enviei algo via UPS?" ou "Estou esperando um pacote da Fedex?", etc. Se a resposta for não, exclua o email. A tecnología não pode consertar a falta de bom senso. Alguma educação séria do usuário final está em ordem aqui.

por 20.07.2010 / 15:43
0

Além disso, não tenho certeza de como essa sugestão é viável para a sua arquitetura de rede, mas o OpenDNS é bom para bloquear sites de phishing / malware - eu uso em casa e parece ser bom no que faz.

    
por 28.07.2010 / 12:22
0

none of these were caught by any of the security software on my network. Mostly Trend Micro products, OfficeScan and Scanmail

Eu posso recomendar o ClamAV (gratuito, multiplataforma) como um bloqueador de phishing muito eficaz. Eu vi alguns relatórios que sugerem que não é tão bom quanto alguns dos scanners comerciais no Anti-Virus - mas é fácil manter seu banco de dados - e / ou usar SpamAssassin em seu MTA - novamente é fácil atualizar as regras e o banco de dados bayesiano.

E, claro, como o único custo é algum hardware para executá-lo, ele ficará satisfeito com sua disposição atual.

    
por 28.07.2010 / 12:30
0

Considere um serviço externo de filtragem de mensagens no estilo Capture-and-Release.

A Symantec oferece isso na forma de Messagelabs

O Google oferece isso na forma de Postini

Eles serão mais eficazes no controle do spam na borda da rede, permitindo que os usuários gerenciem o spam detectado e liberem mensagens, se necessário.

Aviso: É provável que existam muitas outras empresas que oferecem serviços semelhantes, por isso, pesquise ao redor para encontrar a melhor opção para você. Estou mais familiarizado com os 2 acima.

    
por 30.07.2010 / 13:07