Le migliori pratiche per la gestione dei virus informatici

21

Mi rendo conto che questa domanda potrebbe essere abbastanza ampia (e si spera non sia una violazione delle FAQ), ma sono interessato a sentire quanti di voi gestiscono un computer infettato da Malware.

In un'azienda di piccole-medie dimensioni (diamine, anche le grandi aziende come New York Times ), l'acquisizione di malware sembra inevitabile. Nonostante i controlli e i saldi siano stati messi a posto (workstation aggiornate con patch di sicurezza / java / flash, software antivirus aggiornato, filtri antispam, ecc.), I virus penetrano ancora attraverso le fessure e alcuni sono in grado di eseguire.

La mia domanda non riguarda tanto la prevenzione dei virus, quanto piuttosto ciò che si fa con quella workstation dopo che è stato scoperto che è stato compromesso. Ovviamente ci sentiremmo tutti più a nostro agio con la vecchia posizione NIFO, tuttavia molti di noi sono a corto di risorse e non hanno il tempo di essere sempre re-imaging delle macchine - specialmente se i bug mostrano solo con "scansioni su richiesta" e non sembra aver eseguito.

Sono curioso di sapere cosa fanno gli altri nella mia situazione una volta che una macchina viene trovata compromessa. Un "ripristino del vecchio punto di ripristino e scansione su richiesta in modalità provvisoria" è sufficiente, o reimmagini sempre una macchina?

    
posta DKNUCKLES 01.02.2013 - 17:30
fonte

8 risposte

30

Nuke dall'orbita. L'unico modo per essere sicuri che se ne vada, una volta compromessa, è di soffiarlo completamente. I punti di controllo di ripristino aiutano solo per problemi di configurazione, un virus può modificare le configurazioni precedenti o installarsi in modo tale da sopravvivere a un ripristino. Se è solo adware, la rimozione può essere sufficiente, ma i virus possono essere molto subdoli.

Potrebbe essere possibile eliminarlo completamente, ma nella maggior parte dei casi ci vorrà più tempo (giorni) rispetto al nuking e alla ricostruzione, soprattutto se vengono mantenuti backup regolari.

Modifica: come Oleg è stato così gentile da sottolineare. Se riesegui l'imaging da una partizione nascosta sul computer, è possibile che l'immagine sia stata infettata. È anche possibile che il BIOS (o altri firmware nell'hardware) siano stati infettati in casi molto rari, nel qual caso si sta osservando una pita importante per sbarazzarsene. Fortunatamente il 99,99% (la mia approssimazione) del tempo, non è ancora residente all'hardware.

    
risposta data 01.02.2013 - 17:36
fonte
18

Nuking è obbligatorio. Detto questo, non cancellerò la vecchia immagine; Tengo i file data da qualche parte, per essere resuscitati dopo un'ispezione dovuta. Ad esempio, non distruggo le cassette postali; Li scannerizzo per i file allegati che sembrano file eseguibili e, una volta trovato pulito, li rimetto in linea.

Per il sistema operativo di base e tutti i suoi file binari, la fiamma di pulizia è la regola. È molto più veloce reinstallare la macchina comunque ...

    
risposta data 01.02.2013 - 17:39
fonte
8

Il monitoraggio per assicurarsi che il malware sia stato completamente rimosso richiede più tempo, sforzi e abilità rispetto alla re-imaging o alla reinstallazione della macchina.

L'antivirus è principalmente reattivo in base alla progettazione e rileverà le infezioni iniziali. I malware scaricheranno nuove varianti per stare al passo con il rilevamento, quindi non si può essere sicuri che l'AV abbia rimosso tutto il codice errato e riparato le modifiche alla configurazione.

In teoria, i rootkit possono controllare tutto ciò che vedi (lo stile Matrix) in modo da non essere sicuro di nulla durante l'esecuzione della macchina infetta. Ho visto rootkit che "nascondono" il traffico di malware in modo che non sia visibile dallo stesso host.

Una soluzione è eseguire una diff offline e controllare i binari e le impostazioni modificati. Devi ancora gestire istantanee regolari simili a un backup. Ma allora, perché non rieseguire l'immagine e ripristinare i dati di backup?

    
risposta data 01.02.2013 - 17:42
fonte
3

Dipende dal tipo di infezione che stai trattando. Se il tuo BIOS o firmware vengono modificati da un programma dannoso, la reinstallazione potrebbe non funzionare. Sebbene raro, è possibile.

Nella mia esperienza, perseguo la corretta gestione delle autorizzazioni limitando la maggior parte degli utenti allo spazio utente, rifiutando il montaggio dell'unità USB o, per lo meno, disabilitando l'esecuzione automatica o l'esecuzione del codice (solo lettura di montaggio). Avere binari sicuri o fonti di applicazioni richieste come quelle che si trovano in un repository centrale protetto, o convertire macchine e processi critici se possibile in un sistema operativo più sicuro, come OpenBSD, che ha un sacco di sicurezza (schemi di autorizzazione migliori, gruppi, altro schemi di registrazione flessibili, ecc.).

È importante notare che qualsiasi macchina connessa a una rete sarà a rischio. Esegui backup regolari dei dati, evita i plug-in del browser non sicuri come flash, java e silverlight / moonlight ove possibile.

Addestrare il personale nei processi appropriati. Non fidarti degli utenti, ma lascia che facciano il loro lavoro.

Se le macchine vengono infettate e devi reinstallare, almeno avere un'installazione di avvio PXE o di rete per ridurre i tempi di fermo.

    
risposta data 01.02.2013 - 21:32
fonte
2

Come tutti gli altri hanno detto, nuke quella cosa alla morte. In questo modo non c'è possibilità di fallimento. Voglio dire, in teoria, un bootkit potrebbe sopravvivere a una bomba atomica, ma non vedo che sia molto probabile che un bootkit ti abbia infettato.

L'unica cosa che desidero affermare è stare attenti a conservare tutti i dati importanti prima della fine. Carica online, e non tramite USB. Qualsiasi ceppo di malware per metà discreto avrà uno spargitore usb, che infetterà qualsiasi unità portatile inserita nel computer. Quindi non va bene se si nuke il computer, quindi si finisce per reinstallare il virus per errore. Quindi per sicurezza:

-Scarica tutti i file importanti online -Commence nuke -Durante il nucleare, passare attraverso importanti servizi online e cambiare le password. Giusto per essere al sicuro, se qualche dato è stato compromesso. -Good to go

Potresti passare attraverso il tuo sistema e scavare attraverso le trincee per una settimana o due per trovare il malware e tentare di rimuoverlo completamente .. o passare un giorno a frustare e reinstallare.

    
risposta data 07.02.2013 - 15:34
fonte
0

Lavoro nel settore sanitario e gestiamo i dati sanitari delle persone.

In passato, mi è sempre stato detto di ri-immaginare quando lavoravo per il governo, e mentre ci sono molte ragioni, la cosa migliore che ho pensato è che sei sicuro al 100% che la minaccia non ci sia più una volta che hai ri-immagine .

Penso che la vera domanda sia (sul tempo per provare a pulire vs re-image): stai proteggendo le informazioni di altre persone? Se i tuoi dati finanziari o sanitari fossero a rischio, vorresti che la mia azienda avesse una possibilità e provare a rimuoverla? O preferiresti la mia compagnia, che protegge le tue informazioni, ri-immagini la macchina? Un modo è una garanzia al 100% che andrà via, mentre l'altro modo in cui stai prendendo una possibilità ...

Ancora una volta, se è il tuo PC di casa e stai decidendo quale metodo usare, stai solo compromettendo te stesso. Ma, se si tratta di un'azienda, fidata delle informazioni di altre persone, allora qual è la chiamata?

Sto combattendo questa lotta in questo momento, e ci credo o no che sto perdendo. Ho bisogno di più dati per supportare la mia idea di ri-immagine. Prima di questo lavoro, lavoro per un'agenzia di intelligence di 3 lettere per un decennio. Non oso pensare che abbiamo reimmaginato migliaia di macchine, quando tutto ciò che dovevamo fare era eliminare il malware? Immagino che il modo in cui i federali sono convinti di questo, se le vite sono in gioco, non corri il rischio.

Quindi la prossima domanda è: se sono in gioco i tuoi dati personali, quanto rischio sei disposto a prendere? La pulizia del malware è un rischio accettabile rispetto alla re-imaging quando i dati personali (ma non la tua vita) sono a rischio?

Grazie per l'ascolto (o la lettura).

David

    
risposta data 11.03.2015 - 14:45
fonte
0

Vorrei rispondere a Oleg V. Volkov risposta:

Quando si tratta di aziende, più sono grandi e più si è sensibili, la pulizia ha questi problemi:

  1. Molto probabilmente, il compito di pulizia viene retrocesso a persone di primo livello, che possono o meno eseguire la pulizia correttamente. Qualsiasi livello 1 che ri-immagini rimuoverà la minaccia. Alcune persone di primo livello si ripuliscono correttamente, altre no.
  2. Google è la minaccia e trovi un modo per pulirlo. Il problema è che molte persone che scrivono malware non ti danno un numero di versione, vero? Quello che abbiamo visto, un malware comune aveva un modo per ripulirlo e persino uno strumento di rimozione. Tuttavia, dal momento che il post, l'autore del malware ha cambiato il loro codice, e lo strumento di rimozione non funziona più in quanto parte del malware ora rimane indietro dopo averlo pulito, e ri-scarica ciò che è stato ripulito.
  3. All'interno di un'azienda, se si guarda a ciò che accade, a volte gli utenti si arrabbiano a più tentativi di pulire la propria workstation. Ecco un esempio: a) L'utente è infetto, inviamo qualcuno a pulire le sue macchine, questo richiede 30 minuti per volta, dove l'utente va solo per un lungo caffè. b) Il giorno dopo, il malware è tornato, e ancora una volta mandiamo qualcuno nel team del floor per pulirlo ancora una volta. Lo stesso trapano gli utenti vanno a pranzo e quando torna, diciamo che l'utente va tutto bene. c) Il giorno dopo, dopo aver provato 2x a pulire la macchina degli utenti, ora diciamo all'utente che dobbiamo prendere la macchina e riprovare (dopo aver preso un'immagine forense).

SOMMARIO

Quale messaggio invia agli utenti? Per me, penso che ci fa sembrare che non sappiamo quello che stiamo facendo, e l'utente viene interrotto più volte, a cui si lamenta della perdita di produttività del suo capo, ecc. Se prendessimo solo la macchina, dal primo giorno, e re-imaging, che potrebbe essere stata una soluzione migliore (l'utente ottiene subito una macchina sostitutiva, i tempi di inattività sono inferiori ai 30 minuti).

Quindi, mentre alcuni malware sono semplici, il SOP che sviluppi non sempre si adatta a tutte le minacce e può causare più lavoro e frustrazione per tutti quando provi a pulire vs re-image.

Solo i miei pensieri, questo è quello che ho visto.

Dave

    
risposta data 11.03.2015 - 15:01
fonte
-1

Verifica con cosa hai esattamente a che fare. La maggior parte degli antivirus assegna il tuo nome a una minaccia e puoi controllare la descrizione della minaccia online. Se hai un semplice ladro di cookie basato su JS / Flash che sfrutta il buco nella versione del browser che era obsoleto un anno fa, forzare l'utente a riconfigurare tutto solo per il rituale della "sicurezza del culto del carico" è pura idiota. Il nuking è necessario solo per una bassa quantità di minacce che sfruttano livelli più profondi del sistema.

    
risposta data 02.02.2013 - 02:09
fonte

Leggi altre domande sui tag