Блокировка подозрительного
«Опасный незнакомец» - это простая концепция, которую многие дети усваивают в раннем возрасте. Потенциальные угрозы для ребенка часто предотвращаются за счет того, что он не допускает приближения посторонних. «Опасный незнакомец» — это не идеальная стратегия, но она может быть эффективной, если предположить, что любые известные сущности (незнакомцы) проверены и признаны заслуживающими доверия. Преимущество этой стратегии заключается в том, что в ней реакция на угрозу, ранее признанную подозрительной, не зависит от дополнительных уровней безопасности.
Поскольку дети и многие организации оказываются беззащитными, если злонамеренной угрозе разрешается взаимодействовать с ними, применение политики безопасности «блокировать все подозрительное» может оказаться первой и единственной защитой, которая у них вообще будет. Далее приведено руководство по применению этих концепций в вашей среде.
1. Практикуйте идентификацию, бдительность и понимание. Все заинтересованные стороны должны понять, что подозрительные сайты необходимо блокировать. Для начала вы можете проверить соединение или запрос на внешний DNS-сервер в Иране, Северной Корее (175.45.178.129) или сервер другой известной, но маловероятной для вашей организации угрозы. Если получаете положительный ответ, значит, ваша сеть позволила вам общаться с подозрительной системой без уважительной на то причины. Эта методика обычно работает. Организации чаще блокируют «злонамеренные», а не подозрительные ресурсы, и если в этих странах нет известных IP-адресов, на которых размещалось вредоносное ПО или с которых проводились атаки, в черных списках этих адресов нет.
Теперь, когда вы знаете, что какой-то ресурс должен быть заблокирован, ваша организация может заблокировать его IP-адрес или, возможно, сетевой блок, которому он принадлежит, если отдел безопасности внесет нужные изменения. Но обратите внимание: в этом случае придется оценить и заблокировать более 14,3 млн подсетей IPv4/24, и у вашей организации может не хватить времени, желания или возможностей для создания списка всех подозрительных ресурсов. Лучше составить белый список, который, даже если приведет к ложным срабатываниям, одновременно станет блокировать вредоносные и подозрительные программы.
2. Создайте центр обмена информацией и анализа (ISAC). Облегчите задачу создания белого списка для организации, создав ISAC для обмена с другими компаниями, работающими в той же отрасли, информацией о доверенных сайтах, IP-адресах и доменах, которые используют их сотрудники в своей работе. У компании, которая разрабатывает систему профилирования, есть возможность формировать белые списки в интернете. Другие компании могут применять эти списки для ограничения количества обнаруживаемых подозрительных сайтов, что упрощает создание и обслуживание безопасных сетей.
3. Ищите взаимную защиту. Проводите взаимное сканирование уязвимостей и объединение доверенных организаций, с которыми ваша организация ведет бизнес. Этот подход согласуется с рекомендациями «Бансэнсюкай», который советует защищать лавки надежных торговцев от огня для взаимной защиты. Реализуйте эту меру для организаций, которые входят в надежную экстрасеть, создают прямые соединения или используют другие технологии прямого туннелирования, которые обходят обычные меры безопасности.
