Configurazione della rete per il laboratorio di analisi del malware in una vista aziendale

Naviga le tue risposte
1

Sto pianificando di installare un laboratorio di analisi del malware nel team di risposta agli incidenti della società per cui lavoro.

Essendo fondamentalmente un analista di malware, sono riuscito in qualche modo a gestire la configurazione del laboratorio di analisi del malware.

Ora voglio il tuo aiuto nella configurazione della rete per il laboratorio.

Ecco gli scenari:

  1. Non ho la mia configurazione di laboratorio in una macchina fisica accanto a me, è stata configurata su una macchina remota e sta avendo una connessione di rete aperta.

Ti prego, dimmi come collegarmi al mio laboratorio come sono nella mia rete di produzione aziendale, in quanto non è consigliabile connettersi a un sistema di malware dall'ambiente di produzione.

  1. Ho anche il laboratorio in corso di installazione nella posizione del mio cliente, quindi per favore dimmi come connettermi al laboratorio di malware, poiché devo attraversare due ambienti di produzione, cioè il mio ambiente di produzione aziendale per l'ambiente di produzione dei nostri clienti e da lì a l'ambiente di analisi del malware.
posta saravanan 28.08.2015 - 10:49
fonte

1 risposta

1

Ambiente virtualizzato.

Configurare una serie di macchine virtuali su reti virtuali in un host che si trova nella propria rete segmentata (VLAN, firewall, senza connessioni esterne consentite, ecc.). Esegui tutte le tue analisi in questo ambiente. Ci si connette connettendosi all'host, quindi da lì alle macchine virtuali. Anche se il malware è dilagante, rischi solo le altre macchine virtuali.

Nella remota possibilità che il malware proveniente dalla VM scappi sulla macchina host (ancora insolito a questo punto), è segmentato fuori dal resto della rete.

Essendo in una rete virtuale chiusa, si è più liberi di impostare l'analisi del traffico di rete per analizzare le connessioni di rete generate dal malware, senza influire sulle reti aziendali.

L'altro vantaggio delle VM per l'analisi del malware è che puoi spazzare via le VM e ripristinarle in un'immagine originale. Questo dovrebbe essere programmato su base giornaliera (o più spesso) nel caso in cui vi sia un'infezione che non capisci o che capisci. Ciò impedisce un'infezione persistente nel tuo ambiente.

Questa configurazione risolve anche il tuo problema di connessione su più reti. Una semplice VPN ti consentirà la connessione alla macchina host senza temere il malware che attraversa la VPN.

    
risposta data 28.08.2015 - 16:52
fonte

Leggi altre domande sui tag

Tipi multipli di tracciamento WebDAV tenta automaticamente di connettersi in remoto a causa dello spazio dei nomi DFS?