Scribd Logo
Upload

Welcome to Scribd!

  • WG - Ransomware Prevention

    Uploaded by

    Dũng Tiêu Lê Anh
    7 views11 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    7 views11 pages

    WG - Ransomware Prevention

    Uploaded by

    Dũng Tiêu Lê Anh

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 11

    HƯỚNG DẪN NGĂN NGỪA RASOMWARE VÀ MALWARE

    TRÊN THIẾT BỊ TƯỜNG LỬA WATCHGUARD

    RASOMWARE là loại mã độc lây lan thông qua email lừa đảo có chứa tập tin
    đính kèm và các đường dẫn download. Nếu như, những máy tính bị nhiễm
    RASOMWARE thì nó có thể bị mã hóa các tệp tin, làm cho chúng ta không thể mở được
    chúng và trên màn hình máy tính xuất hiện thông điệp cần trả tiền chuộc để giải mã
    những tệp tin bị mã hóa này.

    Để ngăn ngừa hệ thống mạng và những máy tính bị nhiễm RASOMWARE và


    MALWARE, chúng ta cần thực hiện những bước sau trên thiết bị WatchGuard.

    1. Cập nhật các Signatures.


    2. Bật Intrusion Prevention Service ( IPS).
    3. Dùng Application Control giám sát và kiểm soát dùng các ứng dụng.
    4. Dùng WebBlocker chặn truy cập các Website độc hại.
    5. Dùng Gateway AntiVirus ngăn ngừa những Vi-rút từ Email, WEB và FTP.
    6. Dùng IntelligentAV chặn những Malware.
    7. Dùng Reputation Enabled Defense ( RED) chặn các Website độ uy tín kém.
    8. Dùng APT Blocker phát hiện Zero-Day Malware.
    9. Dùng SpamBlocker chặn tin nhắn spam thông qua SMTP, POP3 và ÍMAP.
    10. Bật Botnet Detection.
    11. Cài đặt Threat Detection and Response (TDR) cho máy người dùng.
    12. Dùng DNSWatch ngăn ngừa kết nối các Domain độc hại.

    Ngoài những tính năng trên của thiết bị WatchGuard, chúng ta nên thực hiện
    những bước bảo mật cơ bản sau :

    13. Kế hoạch, chiến lược Backup và Recovery để khôi phục dữ liệu khi cần.
    14. Chia vùng network và chỉ dùng những cổng, giao thức cần thiết cho công việc.
    15. Chạy phần mềm chống Vi-rút trên tất cả máy tình người dùng.
    1. Cập Nhật Signature
     Thực hiện nâng cấp Signature cho các tính năng Gateway AntiVirus, IPS, and
    Application Control.
     Bật tự động cấp nhật cho tất cả dịch vụ bảo mật
     Vào Policy Manager, select Subscription Services > Gateway AntiVirus > Configure >
    Chọn Update Server.
    2. Intrusion Prevention (IPS)
     Vào Policy Manager, select Subscription Services > Intrusion Prevention Service > Chọn
    Enable Intrusion Prevention > Chọn Full Scan > Chọn các Action như hình.

    Lưu ý:

     Cần phải kích hoạt IPS trên tất cả các policies.


     Phải đảm bảo rằng signature của IPS luôn là bản cập nhật mới nhất .
     Chúng ta có thể tìm hiểu về bộ dữ liệu của IPS tại
    http://www.watchguard.com/SecurityPortal/ThreatDB.aspx.
    3. Application Control
     Vào Policy Manager, select Subscription Services > Application Control Action > Tạo
    Application Control Action

     Định nghĩa “Drop” Application Control Action với Category là Network: “Crypto
    Admin” (CryptoWall, CryptoLocker). Và các Application khác như:

     BitComet
     BitLord
     BitTorrent Series
     aMule
     easyMule
     eMule
     eMule Plus
    4. WebBlocker
     Chọn Policy Manager > Subscription Services > WebBlocker > Configure.
     Tiến hành lọc và chặn các thể loại như : Security và Extended Protection

    Lưu ý:

    - Cần kích hoạt WebBlocker trên tất cả các policy HTTP và HTTPS
    5. Gateway AntiVirus
     Định nghĩa HTTP-Client.Standard:
     HTTP Response > Content Types > Thêm các Action: AV Scan cho các ứng dụng
    “pdf”, “javascript” và “shockwave-flash”.
     HTTP Response > Body Content Types > Định nghĩa các Action Deny hoặc AV
    Scan cho các dạng tập tin .exe.

    Lưu ý:

     Cần kích hoạt Gateway AntiVirus cho HTTP, FTP, SMTP, POP3, TCP-UDP policy
     Đảm bảo Signature của tính năng này luôn được cập nhật bản mới nhất.

    6. IntelligentAV
     Chọn Policy Manager > Subscription Services > IntelligentAV > Tích vào Enable
    IntelligentAV.
    7. Reputation Enabled Defense
    Use Reputation Enabled Defense on your HTTP-proxy policies to block access to URLs with
    poor reputations.

    In the Reputation Enabled Defense configuration, enable this option:

     Immediately block URLs that have a bad reputation


     Enable the Alarm and Log options for notifications and for logging and reports.

    For more information, see Configure Reputation Enabled Defense.


    8. APT Blocker
     Vào Policy Manager > Subscription Services > APT Blocker > Enable APT Blocker
     Enable the Alarm and Log options to immediately notify you by email when APT
    malware is detected and log the event for reports.

    Lưu ý:

    - APT Blocker là tính nâng bảo mật nâng cao được đính kèm theo gói Total
    Security, nếu chúng ta đang sử dụng gói Basic Security thì không thể sử dụng
    được (nếu có nhu cầu sử dụng APT Blocker chúng ta có thể mua license riêng cho
    tính năng này).
    - Phải bật tính năng APT Blocker trên tất cả các policy HTTP, FTP, SMTP, POP3
    9. SpamBlocker
    Bật spamBlocker cho SMTP, IMAP and POP3 proxies. Để biết thêm vui long tham khảo đường
    dẫn này : Configure spamBlocker.
    10. Botnet Detection
    Với Botnet Detection, Watchguard sẽ tự động chặn các kết nối đến những địa chỉ IP được sử
    dụng bởi Botnet để kiểm soát các máy bị nhiễm

     Vào Policy Manager > Subscription Services > Botnet Detection> Block traffic from
    suspected botnet site.
    11. Threat Detection and Response (TDR)
     Bật TDR trên thiết bị WatchGuard
     Cài Đặt TDR host sensor trên máy người dùng
     Chọn Prevent cho Host Ransomware Protection Mode on Host Servers.

     Để biết thêm vui long tham khảo đường dẫn này : About Host Ransomware Protection.

    12. DNSWatch

     Trước khi bật DNSWatch bạn cần hiểu nó làm việc với các DNS khác thế nào và bạn cần
    có kế hoạch để tích hợp vào hệ thông mang của bạn. Để biết thêm vui long tham khảo
    đường dẫn này : About DNSWatch.
     Vào Policy Manager > Subscription Services > DNSWatch> tích vào Enable DNSWatch.

    You might also like