Come gestire la rete infetta conosciuta

2

Se hai una grande rete distribuita che è nota per essere infettata da virus e così via. e non puoi formattare i computer perché sono di grandi dimensioni. Quali sono i modi migliori per gestire questa situazione dal cso viewoint?

    
posta user1387682 04.07.2013 - 23:39
fonte

3 risposte

3

Il corso SANS che include la gestione degli incidenti, introdotto nel link raccomanda i seguenti passaggi :

  1. Preparazione
  2. Identificazione
  3. Il contenimento
  4. Eradicazione
  5. Recupero
  6. Lezioni apprese

Ovviamente, è troppo tardi per il passaggio 1 ...

Un ID di rete (ad es. snort) che guarda tutto il traffico internet ti aiuterà a identificare gli host infetti (# 2). Ti aiuterà anche a identificare da dove sei stato attaccato, in modo da poter filtrare quegli IP e le reti sul tuo firewall (n. 3). Non dimenticare che la maggior parte dei canali di controllo provengono dalle tue macchine verso i server degli attaccanti, rendendo inefficienti le regole base del firewall. La capacità di osservare il traffico all'interno dell'host e il traffico esterno presso il NIDS aiuterà a individuare trasferimenti laterali in cui un host infetto ne compromette direttamente un altro.

Quando vengono identificati gli host infetti, ricostruiscili (# 4 e 5). Utilizzare una password di amministratore locale univoca per ciascuno, salvandoli offline (ad esempio un notebook in una stanza protetta o chiusa) per l'utilizzo la prossima volta che l'host viene compromesso. In questo modo, non stai esponendo le credenziali di amministratore del dominio quando accedi a un host compromesso e l'amministratore locale su un host non è uguale all'amministratore locale su tutti loro.

L'acquisizione completa dei pacchetti ti consentirà di rivedere attività dannose, estrarre malware, contagocce, estrazioni e così via. Con una larghezza di banda limitata della rete, i requisiti hardware per catturare tutto il traffico scendono a livelli in cui l'hardware di base può gestirlo.

Se la tua infrastruttura è Windows, limita spesso i tuoi account di amministratore di dominio e fai ruotare spesso le loro password, specialmente se usate per accedere a un host compromesso. Registra tutti gli accessi alla rete, raccogli i tuoi registri centralmente e controllali regolarmente. Per l'accesso SSH, utilizzare PKI, generare nuove chiavi private e rimuovere le vecchie chiavi da authorized_hosts. Modifica le password di tutti gli account locali su tutti gli host e non riutilizzare le password su più host.

Sembra che tu possa essere sopra la tua testa. Potrebbe essere saggio assumere una società esterna per aiutarti a identificare gli host da pulire, gli IP a blackhole, ecc. Cerca i servizi di gestione degli incidenti e guardati intorno.

    
risposta data 05.07.2013 - 04:42
fonte
1

Le basi sono le basi:

  • contengono macchine infette
  • reinstalla / reimmagini le macchine infette
  • cambia tutte le password
  • imposta un rilevamento migliore per una risposta più rapida in futuro

Questo è il modo migliore. Se hai dei vincoli di costo per il contenimento e la reinstallazione / re-imaging, allora quella potrebbe essere la 'vera' domanda e quindi avremmo bisogno di più dati per aiutarti.

Dal punto di vista del CSO: se non hai il controllo fisico sui computer, non sono più i tuoi computer, e dovresti ripensare alle tue responsabilità su di loro. Se hai veramente la responsabilità di queste macchine, ma non hai la possibilità di "nuotare da orbita" da remoto, allora devi iniziare a lavorare sul prima possibile.

Se quel livello di controllo non è possibile, allora devi iniziare a pensare a cambiare le tue aspettative per permettere alle tue macchine di essere permanentemente infette. Potrebbe essere in realtà un'opzione più economica, ma potrebbe probabilmente richiedere un ripensamento totale dell'infrastruttura e relazioni di fiducia tra le macchine. Ad esempio, pensa a ciascuno dei tuoi dipendenti come se fossero semplicemente membri del pubblico in generale.

    
risposta data 05.07.2013 - 01:02
fonte
0

Quindi lo scenario è: circa un centinaio di macchine, tutte in posizioni separate, forse interconnesse tramite una VPN. Nessuna possibilità di distribuire un'immagine con PXE.

Dati i vincoli, sembra che l'unica opzione sia quella di contenere e riabilitare lentamente. Crea una nuova VLAN / VPN. Esegui il software antivirus configurato per la scansione completa. Le macchine "pulite" entrano nella nuova VPN. Continua fino a quando tutte le macchine sono pulite.

Sarà molto difficile e dispendioso in termini di tempo e rappresenta un alto rischio di re-infezione perché non è possibile rilevare il 100% dei malware il 100% delle volte.

Una volta che la crisi è finita, l'organizzazione deve sviluppare e attuare un piano di gestione (con un budget adeguato!). È il 2013 - i giorni in cui un'intera rete è stata infettata dovrebbero essere alle spalle.

    
risposta data 05.07.2013 - 00:15
fonte

Leggi altre domande sui tag