Ciao Giuseppe, una soluzione che sto propendo ai miei clienti e' un anti-APT basato su emulazione della navigazione web e dei file scaricati:
https://www.checkpoint.com/products/endpoint-sandblast-agent/ Ha 5 componenti: 1. antivirus "classico" basato su signatures 2. forensics: tracciamento di tutte le operazioni effettuate da eseguibili, script eccetera sugli endpoint + remediation 3. anti-bot: blocco delle comunicazioni con endpoint c&c "noti" 4. threat emulation: emulazione di qualsiasi file scritto sul disco (compresi file temporanei e file temporanei della navigazione internet) su VMs 5. threat extraction: rimozione di macro e contenuto "attivo" da files quali office, pdf ... Ad oggi ho trovato la soluzione efficace per gli scenari in cui la ho consigliata e installata. DS 2017-04-20 22:17 GMT+02:00 Giuseppe Paternò <[email protected]>: > Ciao! > Mi arrendo e chiedo l’aiuto del pubblico :) > Ho provato a mettere in sicurezza un’azienda, ma questa e’ target di > crafted attacks. > L’azienda e’ basata su client windows perche’ hanno applicativi e macro > per il loro settore che sono disponibili in ambienti windows. > Gli ultimi due malware hanno fatto bypass di antivirus e anti-malware di > tre aziende diverse. > Ovviamente patch windows all’ultimo livello. > Purtroppo il web surfing quasi illimitato e’ parte del lavoro di una > speciale gruppo di questo cliente, che fa ricerche. > Quindi la domanda che mi faccio e’: come posso assicurare web surfing > senza compromettere i PC che usano tutti i giorni di lavoro? > > Sto quasi pensando di mettere una macchina windows server come “bastion > host” e far navigare da li’ tramite citrix/2x. > Aspetto suggerimenti :) > Grazie. > Ciao, > Gippa________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- DS PANDIGITAL SRL T. +39 059 8677188 -- ------------------------------ Questo messaggio è da intendersi esclusivamente ad uso del destinatario e può contenere informazioni che sono di natura privilegiata, confidenziale o non divulgabile secondo le leggi vigenti. Se il lettore del presente messaggio non è il destinatario designato, o il dipendente/agente responsabile per la consegna del messaggio al destinatario designato, si informa che ogni disseminazione, distribuzione o copiatura di questa comunicazione è strettamente proibita anche ai sensi del decreto legislativo 196/03 . Se avete ricevuto questo messaggio per errore, vi preghiamo di notificarcelo immediatamente a mezzo e-mail di risposta e successivamente di procedere alla cancellazione di questa e-mail e relativi allegati dal vostro sistema. ------------------------------ This message is intended only for the use of the addressee and may contain information that is privileged, confidential and exempt from disclosure under applicable law. If the reader of this message is not the intended recipient, or the employee or agent responsible for delivering the message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this e-mail in error, please notify us immediately by return e-mail and delete this e-mail and all attachments from your system. ------------------------------
