企业环境中员工的安全实践

Question

考虑以下情况：

1. 不知怎么的，我老板的系统感染了一种恶意软件(他访问了一个Java漏洞网站)。

1. 他发送一个PDF文档，其中包含一个新项目的需求文档(恶意软件感染了这个PDF)。

我的操作系统和防病毒软件都有补丁。所以PDF看起来可以被我打开，我会继续打开这个PDF。

怎样才能防止这类攻击呢？( AFAIK，针对谷歌的极光行动只使用了这一技术)。

考虑到发送给我的PDF文件是一个机密的商业文件，我甚至不能把这些文件上传到像virustotal.com这样的网站，所以即使它感染了0天，防病毒公司也无法创建它的签名。

谢谢！

Answer 1

有趣的问题。有几个领域可能对此进行控制。

显而易见的第一步是修补像Java这样的东西。在修补过程中，它通常被忽略，但随着攻击级别的提高，需要尽快修补。

下一个是硬化。对于所有一般的浏览，应该禁用Java功能(很可能是这里利用的功能)。如果业务应用程序需要它，我建议使用一个单独的浏览器，并启用它，它只允许访问这些站点。

在检测PDFs中的感染方面，这是比较棘手的。就像你说的，它可能不会标记为基于A-V的签名。一些启发式样式的检测程序可能会捕捉到它(因为它所做的事情是标准PDF无法做到的)。

另一个可能的控制是基于白名单的程序执行(例如Bit9)。如果您可以达到只有受信任的程序才能运行的地步，那么它在执行时可能会阻止恶意软件(或者至少会使它更难运行)。

最后，在这里，侦探控件是一个很好的选择。恶意软件可能会将连接绑定到C&C服务器，因此可能会检测到这些连接。

这些选项中没有一个是100%的，但也许值得考虑。

Answer 2

更多的想法，基于您的PDF查看器：

• 确保PDF查看器配置为不执行代码。
• 确保您的PDF查看器是修补和更新。
• 使用一个不那么受欢迎的PDF查看器，因为恶意软件作者倾向于针对比较受欢迎的查看者中的漏洞。
• 使用与老板不同的操作系统，所以如果恶意软件有专门为他的操作系统编译的代码，它就不能在您的机器上运行。
• 以最低可能的安全权限运行PDF查看器。
• 沙箱，您的PDF查看器(例如，在一次性虚拟机中运行它)，因此，即使它执行代码，它不能得到任何东西。