如何保护企业不受假日攻击

社会网络|2019年12月18日

攻击者通常采取在假期发动袭击的优势。使用这些微软设置来阻止他们。

版权©2019足球竞彩网下载

这是苏珊·布拉德利CSO在线。嗯,这是在这里IDG节日期间,我们意识到攻击者确实是出去找我们。我们常常在办公室的用户,我们更容易为攻击者这样做。让我们先与所有那些我们开始每年的这个时候周围发送消息。当然,我们点击他们,我们分享,我们不要去想什么可能可能与这些消息是未来一起。并在相当长的时间,它似乎是外出邮件也可能是一个威胁载体,我们的办公室。那些不在办公室的措施,消息,我们送出去,经常有关于这个人有多长,他们可能会去办公室了关键信息。他们的办公室,位置,助理,同事,他们可能和可以被攻击者所使用的任何其他重要信息。所以,你可能要在组织阻止办公室的消息出来,也可以使用电源外壳配置这些自动回复。但是,许多在安全行业都在说,等等,在我们开始之前太在意外出邮件。 Look how much information we put in linked in on a regular basis. Facebook, social media. The attackers aren't looking at her out of my office messages anymore. They're just looking at our social media posts. These days organizations are wanting to add user and identity behavior analytics or UEBA. It's the technology that allows us to look for multiple concurrent logins. Impossible logins based on geography and unusual file access as well as password spray techniques. If you're already a user of Office 365 you’ll want to look at Microsoft cloud up security in that portfolio, you can identify these UEBA activities that don't make sense in your organizations. But if you're still on premises, don't fear there's some options for you too. There's a project on GitHub called LogonTracer. So like cloud app security, it actually looks at Logins, analyzes Windows Active Directory event logs and associates a hostname or an IP address to log on. It relates events and displays it in a graph. It can help you visualize how people are coming into your organization.

云应用程序安全性可以被添加到一个Office 365的订阅,可以建立与特定警报来识别不可能登录并允许您设置特定的规则,例如,例如,地理阻止活动频繁的国家,不寻常的文件删除活动从匿名IP地址等等。如果您现在至少拥有Azure P1许可证,那么您就可以查看到active directory的登录情况,并且可以查看来自不同位置的日志记录失败的频率。现在,举个例子,这只是我在不同国家登录失败的一个例子。这就是为什么我给我的用户设置地理障碍的原因之一,这样他们就只能来自那些我知道有人在活动的国家。我没有在台北或指挥棒的人,所以我确保我阻止那些从边缘。云应用安全是E5许可的一部分,但它可以花3.5美元购买。这是每个用户的美元加上那些你认为有更多风险活动的用户。例如,您可能希望将其添加到所有全局管理员。然后是那些你认为他们可能有更多风险活动的关键人物。

但是假期也被我们的攻击者用来作为额外攻击的掩护。

例如,微软安全情报博客和Twitter账户EMOTET指出的那样,这是一个银行ransomware攻击工具,用于有针对性的假日攻击利用节日聚会等诱人的标题或其他节日主题,通常用于业务设置,EMOTET使用多种攻击方法来访问您的系统。感染可以通过恶意脚本、启用了宏的文档文件或恶意链接来实现。今年4月,在CSO Online上,我们有一篇关于Emotet和如何防范这种木马恶意软件的文章。

你会想也想为我们关闭一年回顾您如何在自己的办公室做生意花时间在2019年使用宏。月不通过该办公室去没有某种形式的远程访问在未来的漏洞修补和。

所以看看你的办公文件是如何使用的。看看是否可以停止使用宏或阻止它们。具体来说,除了国家网络安全中心指出的那些需要禁用office宏的特定应用程序之外,您还需要查看禁用office宏的情况。

要禁用办公宏。就像我说的,除了那些需要它们的特定应用。您希望仅为每天依赖于宏的人员启用宏。你想使用一个反恶意软件的产品,集成了反恶意软件扫描接口或AMSI在Windows 10。或者考虑使用默认的windows防御器。最后,使用最新版本的office。如果你使用的是Office 365,最好是月度频道或最新版本的Office 2016或2019。请记住,在当前版本的office中,用户必须启用宏,默认情况下宏不能工作。当你打开文件时,当你从互联网上打开文件时,文件顶部也会有黄色的警告条。它确保用户在打开之前必须启用编辑功能。 Educate your users of these warnings and messages and make sure they understand when to enable and when not to enable office files, especially if you've recently upgraded from office to 2010 to 2016 or 2019. You want to take the time to educate your users on what those warning signs look like.

最后但并非最不重要的,如果你还是依靠宏,请确保您的数字你的办公室里签上您的宏。您可以使用自签名,也可以创建用于签名的数字证书。理想情况下,你会希望有一个绑到认证机构的外部数字证书。当我们接近了2019年一年的办公室,花时间看的方式,你可以使它更安全。看看你的公司使用的办公文件,审核宏,如何查看您的设置,看看这些行动和审查的风险,你可以在你的办公室做,以使新的一年里更安全。
受欢迎的
从IDG.tv精选视频