Вопрос или проблема
Проблема:
Отдел подбора персонала время от времени отправляет мне документы Word с просьбой проверить файл как “безопасный” для открытия и просмотра, например, резюме и т.д.; они могут приходить из любого места и часто являются непрошеными заявками на работу.
Учитывая множество уязвимостей Word и мой относительный недостаток опыта, я каждый раз испытываю легкое “нннгг” чувство, когда сохраняю один из них на своем сетевом компьютере для “проверки”. Я чувствую, что меня могут привлечь к ответственности, если я скажу, что файл безопасен, но понимаю, что профессионалы обычно используют бесплатные и платные сканеры для проверки на вредоносные программы, чтобы убедиться, что их уязвимости проходят сканирование. Прежде чем я занял должность “бессильного чемпиона по кибербезопасности“, они, по сути, открывали все и надеялись, что MSP поймает/остановит плохие вещи.
Моя “проверка”:
- Сохранить файл на рабочий стол из Outlook.
- Загрузить файл обычно на Virustotal и Jotti’s Malware Scan.
- Отсканировать с помощью локального сканера конечной точки.
- Если все сканирования отрицательные: сообщить им о возможности просмотра документа, но никогда не щелкать “Включить редактирование, Включить макросы и т.д.” (Пока я могу только предполагать, что они следуют этому совету, но у меня нет способа это подтвердить).
Да, я понимаю, что эту проверку, вероятно, можно было бы провести получателям на данном этапе, но это относилось бы только к документам несекретного характера, так как я уже раскрываю их VT и Jotti’s
Мои идеи для улучшения:
- Не принимать непрошенные документы Word (сложно осуществимо с высоким бизнес-воздействием, на самом деле меня за это высмеяли).
- Создать виртуальную машину/машину вне сети и сначала отправлять/открывать все там, а затем мониторить/анализировать (высокие временные затраты с сомнительным успехом).
Вопрос:
Существуют ли какие-нибудь очевидные (для кого-то с большим опытом) способы, которыми я мог бы улучшить свой процесс проверки?
Вы можете конвертировать его, используя Linux, или FreeBSD и OpenOffice.
Установите виртуальную машину с Linux или FreeBSD, или любой ОС, которая не является Windows, и установите версию OpenOffice. Поделитесь папкой между виртуальной машиной и хостом и сохраните файл там.
На виртуальной машине откройте файл в OpenOffice и сохраните его в другом формате. RTF – хороший вариант, потому что он открыт, может быть открыт во множестве редакторов, и как MS Word, так и OpenOffice могут с ним работать, удаляя все макросы и активный контент из оригинального документа.
Если файл не нужно отправлять в редактируемом формате, вы можете использовать функцию Печать в PDF, чтобы сгенерировать PDF файл и отправить его обратно пользователю.
Ответ или решение
Для улучшения процесса проверки документов Word перед их открытием и использованием, рекомендую следующие стратегии:
-
Отказ от принятия незапрашиваемых документов: Хотя это может быть трудно реализовать на практике, установление политики о том, что незапрашиваемые документы не принимаются, значительно снизит риск. Помощь в формулировании таких требований может включать авторизацию со стороны руководства.
-
Использование виртуальной машины или оффлайн-окружения: Создание виртуальной машины (ВМ) или выделенного компьютера, который не подключен к сети, может служить безопасным местом для открытия подозрительных документов. Это позволит вам анализировать файлы в изолированном окружении, где их активный контент не сможет повредить основную сеть.
-
Конвертация документов в безопасный формат: Как уже упоминалось, вы можете использовать Linux или FreeBSD с установленным пакетным решением OpenOffice или LibreOffice. Открывайте документы в этих системах и конвертируйте их в формат RTF или PDF. Эти форматы безопаснее, так как большинство активного контента и макросов будут удалены.
-
Расширение процесса проверки: Дополнительно к текущему процессу проверки, вы можете интегрировать более детализированные методы анализа. Например, использование инструментов для статического анализа и проверки макросов. Существуют коммерческие и открытые решения, которые могут предоставить дополнительные уровни безопасности.
-
Обучение и информирование сотрудников: Убедитесь, что все сотрудники, особенно те, кто работает с такими документами, осведомлены о безопасных практиках открытия файлов. Инструктируйте их о необходимости избегать нажимания на "Enable Editing" или "Enable Macros" и необходимости обращаться к вам при сомнениях.
-
Внедрение политики проверки с использованием множественных антивирусов: Рассмотрите возможность использования нескольких антивирусов или сканеров на уровне сети, которые могут помочь в идентификации угроз. Это может включать в себя использование таких сервисов, как VirusTotal, как вы уже делаете, но дополнительно можно рассмотреть локальные решения для резервного сканирования.
-
Запись и мониторинг процесса: Подумайте о создании документации, в которой будет описан весь процесс проверки и действия, предпринятые в каждом случае. Это не только поможет вам отслеживать ваши действия, но и может стать полезным в случае возникновения вопросов о вашей ответственности.
Следуя этим рекомендациям, вы сможете существенно повысить уровень безопасности при работе с незапрашиваемыми документами, уменьшив при этом риски для всей вашей компании.