Se hai una grande rete distribuita che è nota per essere infettata da virus e così via. e non puoi formattare i computer perché sono di grandi dimensioni. Quali sono i modi migliori per gestire questa situazione dal cso viewoint?
Se hai una grande rete distribuita che è nota per essere infettata da virus e così via. e non puoi formattare i computer perché sono di grandi dimensioni. Quali sono i modi migliori per gestire questa situazione dal cso viewoint?
Il corso SANS che include la gestione degli incidenti, introdotto nel link raccomanda i seguenti passaggi :
Ovviamente, è troppo tardi per il passaggio 1 ...
Un ID di rete (ad es. snort) che guarda tutto il traffico internet ti aiuterà a identificare gli host infetti (# 2). Ti aiuterà anche a identificare da dove sei stato attaccato, in modo da poter filtrare quegli IP e le reti sul tuo firewall (n. 3). Non dimenticare che la maggior parte dei canali di controllo provengono dalle tue macchine verso i server degli attaccanti, rendendo inefficienti le regole base del firewall. La capacità di osservare il traffico all'interno dell'host e il traffico esterno presso il NIDS aiuterà a individuare trasferimenti laterali in cui un host infetto ne compromette direttamente un altro.
Quando vengono identificati gli host infetti, ricostruiscili (# 4 e 5). Utilizzare una password di amministratore locale univoca per ciascuno, salvandoli offline (ad esempio un notebook in una stanza protetta o chiusa) per l'utilizzo la prossima volta che l'host viene compromesso. In questo modo, non stai esponendo le credenziali di amministratore del dominio quando accedi a un host compromesso e l'amministratore locale su un host non è uguale all'amministratore locale su tutti loro.
L'acquisizione completa dei pacchetti ti consentirà di rivedere attività dannose, estrarre malware, contagocce, estrazioni e così via. Con una larghezza di banda limitata della rete, i requisiti hardware per catturare tutto il traffico scendono a livelli in cui l'hardware di base può gestirlo.
Se la tua infrastruttura è Windows, limita spesso i tuoi account di amministratore di dominio e fai ruotare spesso le loro password, specialmente se usate per accedere a un host compromesso. Registra tutti gli accessi alla rete, raccogli i tuoi registri centralmente e controllali regolarmente. Per l'accesso SSH, utilizzare PKI, generare nuove chiavi private e rimuovere le vecchie chiavi da authorized_hosts. Modifica le password di tutti gli account locali su tutti gli host e non riutilizzare le password su più host.
Sembra che tu possa essere sopra la tua testa. Potrebbe essere saggio assumere una società esterna per aiutarti a identificare gli host da pulire, gli IP a blackhole, ecc. Cerca i servizi di gestione degli incidenti e guardati intorno.
Le basi sono le basi:
Questo è il modo migliore. Se hai dei vincoli di costo per il contenimento e la reinstallazione / re-imaging, allora quella potrebbe essere la 'vera' domanda e quindi avremmo bisogno di più dati per aiutarti.
Dal punto di vista del CSO: se non hai il controllo fisico sui computer, non sono più i tuoi computer, e dovresti ripensare alle tue responsabilità su di loro. Se hai veramente la responsabilità di queste macchine, ma non hai la possibilità di "nuotare da orbita" da remoto, allora devi iniziare a lavorare sul prima possibile.
Se quel livello di controllo non è possibile, allora devi iniziare a pensare a cambiare le tue aspettative per permettere alle tue macchine di essere permanentemente infette. Potrebbe essere in realtà un'opzione più economica, ma potrebbe probabilmente richiedere un ripensamento totale dell'infrastruttura e relazioni di fiducia tra le macchine. Ad esempio, pensa a ciascuno dei tuoi dipendenti come se fossero semplicemente membri del pubblico in generale.
Quindi lo scenario è: circa un centinaio di macchine, tutte in posizioni separate, forse interconnesse tramite una VPN. Nessuna possibilità di distribuire un'immagine con PXE.
Dati i vincoli, sembra che l'unica opzione sia quella di contenere e riabilitare lentamente. Crea una nuova VLAN / VPN. Esegui il software antivirus configurato per la scansione completa. Le macchine "pulite" entrano nella nuova VPN. Continua fino a quando tutte le macchine sono pulite.
Sarà molto difficile e dispendioso in termini di tempo e rappresenta un alto rischio di re-infezione perché non è possibile rilevare il 100% dei malware il 100% delle volte.
Una volta che la crisi è finita, l'organizzazione deve sviluppare e attuare un piano di gestione (con un budget adeguato!). È il 2013 - i giorni in cui un'intera rete è stata infettata dovrebbero essere alle spalle.
Leggi altre domande sui tag network