Una vez realizado el estudio con las herramientas de resolución y respuesta de la fase anterior y localizadas las causas que propiciaron la infección, el administrador deberá de ajustar la política de seguridad de la empresa para que situaciones equivalentes no vuelvan a producirse.
La fase de adaptación puede reunir una gran cantidad de iniciativas en función de los resultados revelados por el análisis forense: desde cursos de educación y sensibilización en el correcto uso de Internet para los empleados de la empresa, hasta la reconfiguración de los routers corporativos o de los permisos de los usuarios en sus máquinas personales.
Desde el punto de vista del endpoint, Adaptive Defense 360 puede reforzar la seguridad de múltiples maneras:
Si los usuarios de la empresa tienden a utilizar siempre el mismo software, o algunos de ellos suelen instalar programas de dudosa procedencia, una opción para minimizar el riesgo de estos equipos es implementar el modo Lock de la protección avanzada. De esta forma se limita la exposición al malware en los equipos más problemáticos impidiendo la ejecución de los programas que no sean legítimos.
Programar un mayor número de análisis o activar la protección de vectores de infección como Web o correo ayudará a proteger los equipos que reciban malware por estas dos vías.
Reconfigurar las categorías accesibles a la navegación limita el acceso a páginas de origen dudoso, cargadas de publicidad y propensas a ofrecer descargas en apariencia inocentes (descarga de libros, programas pirata etc) pero que pueden infectar de malware los equipos.
Un vector muy utilizado para ataques de tipo phishing es el correo. Reforzando la configuración del filtrado de contenidos y del filtro antispam se limita la cantidad de correo no solicitado que llega a los buzones de los usuarios, reduciendo la superficie de ataque.
Otro de los vectores de infección más típicos son las memorias y los módems USB que los usuarios se traen de casa. Limitando o bloqueando completamente su uso evitará la infección por estas vías.
El firewall es una herramienta orientada a reducir la superficie de exposición de los equipos, evitando la comunicación de programas que de por si no son malware pero que pueden suponer una ventana abierta a la entrada del mismo.
Si se ha detectado una entrada de malware por programas de tipo chat o P2P, una correcta configuración de las reglas del firewall evitará la comunicación de estos programas con el exterior.
El firewall y el IDS también puede ser utilizado para minimizar la propagación del malware una vez ha infectado el primero de los equipos de la red.
Se podrán generar nuevas reglas de cortafuegos que limiten la comunicación entre equipos o los protejan de ataques de red.
Temas relacionados
Herramientas de resolución y respuesta
Herramienta de análisis forense
Configuración de la protección firewall