Come spieghi la necessità di "nuotare dall'orbita" alla direzione e agli utenti?

Nella mia esperienza di gestione non mi piace ascoltare le analogie intelligenti. A seconda della persona a cui si interessano i profitti in dollari o le ore di produttività. Spiegherei:

The actual bottom line is that a compromise of our data will cost the company approximately X dollars + Y hours to recover. This is Z% likely to happen given the malware that is on this machine. A new install will cost A dollars + B hours to recover. You pick the appropriate action.

È breve e chiaro e in realtà non lascia loro spazio per discutere. Comprenderanno chiaramente il rischio e dovrebbero prendere la decisione giusta.

Eviterei le analogie biologiche o non commerciali (a meno che non si tratti di un ospedale). Il tuo compito è valutare rischi, costi e fornire opzioni. Il compito del tuo management è quello di prendere la decisione in base alle tue analisi e ai tuoi consigli.

In generale, un approccio in formato tabellare è il migliore. "approccio", "probabilità di correggere il problema", "costo" sono il minimo necessario. Puoi chiamare il secondo "Vegas" se devi assolutamente diventare carino.

Ad esempio, in questo caso, potresti avere il seguente.

Approach                       Prognosis     Cost
Run anti-virus on machine      30%           4 hours IT, 4 hours downtime
Replace machine w/new machine  75%           $3,000, 16 hours IT, 4 hours downtime
AV machine, copy user files, 
    replace machine, restore   60%           $3,000, 24 hours IT, 4 hours user, 8 hours
    files                                        downtime

In questo elenco (assumendo un desktop utente), il vero problema è il comportamento dell'utente. Dovresti documentare perché la prognosi è < 100% per le varie opzioni e perché tutto ciò che riguarda i file utente è meno efficace di "nuking from orbit".

A seconda del problema, potresti voler aggiungere "non fare nulla" o "aspettare" per informare la tua gestione dei rischi per l'azienda in generale.

Puoi bere tutto l'anti-virus del vino rosso che vuoi provare e prevenire il cancro, ma una volta che hai preso quel primo tumore, più bere non aiuterà. Devi tagliarlo e assicurarti di averlo tutto, perché se non lo fai tornerà di nuovo.

Una volta infettati da un virus, i sintomi evidenti sono fastidiosi, ma è quello che non puoi vedere dove si trova il vero pericolo. Backdoor, rootkit e botnet possono nascondersi senza alcuna indicazione che ci sia qualcosa di sbagliato. A volte i pericoli nascosti si combinano con evidenti pericoli così ti senti sicuro una volta che i sintomi ovvi sono spariti, ma l'ovvio è una distrazione dal nascosto.

Una volta che sai di essere stato infettato, non sai fino a che punto arriva l'infezione, e non sapere che significa che non sai cosa è a rischio. La linea di condotta più semplice è quella di distruggerlo dall'orbita. In questo modo sai dove sei e sai qual è il tuo rischio, anche se c'è un costo significativo per ricominciare da capo.

Questo è facile - finisci la citazione nella tua domanda, da Aliens.

It's the only way to be sure.

Questo è davvero tutto quello che c'è da fare. Niente di più, niente di meno. Fai sapere loro che se esegui il software AV su di esso e il software dice che ha trovato e rimosso il virus, allora forse stanno bene. Può essere. Se il virus è stato davvero rimosso. Se fosse davvero l'unico virus.

Per rispondere a ciò che qualcun altro ha pubblicato su "Come salvare i dati utente dalla macchina", la risposta è che non è così. "TAKE OFF E NUKE L'INTERO SITO DA ORBIT" Ciò significa che si ripristina dal backup e si perde tutto ciò che non è stato eseguito il backup. Non è la cosa facile da fare, è la cosa giusta da fare.

Perché è l'unico modo per essere sicuri .

Per essere l'avvocato del diavolo, la direzione ha sentito tutto questo. La sicurezza è gestione del rischio e devono prendere una decisione. Basta ricordare loro degli strumenti.

Risk = Probability of occurance X impact of occurance

100% di possibilità di interruzione della produzione durante la ricostruzione e costi di ricostruzione rispetto allo 0,01% di possibilità di software dannoso o di backdoor rimanenti nel sistema.

Chi controllerebbe le porte posteriori? I criminali informatici eseguono reati seriali da Cina, Russia o Europa orientale. A cosa avrebbero accesso? dati di sistema, condivisioni di file, sniffer di tastiera, microfoni, telecamere, ecc. Quanto sarebbero in grado di vendere tali informazioni? Per quanto tempo potrebbero passare inosservati?

Che cosa significa per la macchina in questione e le informazioni su di essa?

Quindi fornisci la tua valutazione dell'obiettivo (usando le tue informazioni limitate) e lascia che prendano la decisione. Conoscono le finanze e hanno più informazioni sul vero valore del bersaglio.

Ci sono molti altri vettori per l'attacco. Dipendenti scontenti, appaltatori e le loro attrezzature, backdoor nel software legit, sistemi di sicurezza mal configurati, unità non crittografate, ecc. È un mondo imperfetto. Il denaro e il tempo spesi per il rebuliding potrebbero essere spesi meglio altrove, come fissare la politica della password, rafforzare i server di posta, migliorare i backup, ecc.

Prova le spie. L'ultima opera di James Bond sembra fare milioni di voci, quindi la folla in generale è per ora , sensibile alle storie di spionaggio. Spiega che una volta che le persone inaffidabili / ostili sono in carica (questa è la configurazione "compromessa"), non c'è modo di recuperare la sicurezza appropriata chiedendo loro di farlo ; eppure, questo è ciò che fa girare un AV su una macchina infetta. Le reti di spionaggio di tutto il mondo sono sempre state segregate in cellule autonome proprio così che le parti marce possono essere tagliate. Una volta che un agente è stato sovvertito, puoi forse sovvertirlo, ma non ti fiderai mai più di lui.

Per rendere la dimostrazione più completa, parla di firmware della tastiera infetti , che evidenzia la necessità di mettere davvero a fuoco la macchina. Riutilizzare l'hardware, anche dopo un wipeout, è rischioso. Pertanto , i manager / utenti dovrebbero sentirsi grati di accettare di non effettuare la pulizia completa e limitarsi a nuotare logici , non a fisici. Fai sentire che è già una grave compromissione da parte tua.

Dal punto di vista del tecnico, sei certamente corretto. Ma il CEO non sta guardando questo dal punto di vista del tecnico. Quindi devi fare la discussione in termini che hanno senso per lui.

Nessuna soluzione è assolutamente efficace al 100%. Neanche "bombardate l'orbita". Quello che ottieni sono le probabilità. Mettilo in una tabella costi-benefici e stai parlando una lingua che il CEO può capire: (i numeri qui sono solo degli esempi)

• Quindi, se pulisco solo il malware ovvio, il costo è più basso (1 ora di lavoro / tempo di inattività) e forse quel 20% di efficacia (80% delle volte, l'aggressore ritorna rapidamente).

• Se pulisco l'evidente malware e dedicano più tempo a esaminare i file modificati nelle ultime 48 ore, ottengo un tasso di successo e costi più elevati: 6 ore di lavoro / tempo di inattività , 60% di probabilità di successo

• Forse se faccio tutto quanto sopra e reinstalla tutti i pacchetti di sistema (ad esempio sui sistemi RH: yum reinstall openssh-server ecc.), i costi e le percentuali di successo aumentano: 12 ore di lavoro / inattività, 95% di successo

• Se faccio tutto quanto sopra, più dedichiamo ulteriore tempo a controllare / rimuovere qualsiasi file in / bin, / sbin / etc., che non sono di proprietà di alcun pacchetto, quindi forse quello aggiunge altre 4 ore e mi concede un ulteriore 3% di punti sulla mia percentuale di successo.

• Infine, se eseguo il "nuke dall'orbita", ottengo il costo e il tasso di successo più elevati: 48 ore di manodopera / tempi di inattività, 99,995% di probabilità di successo

Poi da lì, calcoliamo quanto costa ogni ora di lavoro / i tempi di inattività, oltre a aggiungere il costo per incidente di ogni exploit, e iniziamo a farsi un'idea di quale soluzione probabilmente costa meno / più lungo termine. E ora è una decisione aziendale semplice. Gli amministratori delegati sono bravi in questo.

Naturalmente, le soluzioni elencate sopra presuppongono un ambiente * NIX, ma potresti trovare un elenco simile per i sistemi Windows. Assicurati di lanciare AV qui come opzione con una percentuale di successo realistica

Ecco il problema: le probabilità sono difficili da inventare. A meno che tu non abbia fatto o visto molte di queste soluzioni a metà strada, probabilmente non hai alcuna base per andare avanti. Inoltre, convincere un professionista della sicurezza ad andare avanti con la soluzione 3 sopra quando sa che sta specificatamente ignorando alcune minacce potenzialmente serie sarà una vendita dura.

Ma la decisione e il rischio sono responsabilità del CEO, non del professionista della sicurezza. Potrebbe decidere di optare per una opzione meno sicura, ma finché sa quali rischi sta assumendo , quindi dovrebbe essere libero di farlo.

È difficile. Devi usare concetti che la persona media comprenderà e trovare un modo per farli curare. Userei virus biologici e il modo in cui funzionano per spiegare come funzionano i virus informatici perché è qualcosa con cui tutti hanno esperienza, e ha il potenziale per rendere l'utente "simpatico" alla situazione del computer.

Un virus biologico sovverte una cellula, facendola fare ciò che vuole il virus. Il virus diventa essenzialmente uno zombi. Non ti puoi fidare della cellula per fare quello che dovrebbe fare, e non puoi fermare la cellula infetta dal virus e renderla normale, il meccanismo è stato preso sotto controllo in modo così completo che puoi solo ucciderlo.

Il virus informatico più vecchio non imitava molto da vicino i virus biologici. Il loro livello di sofisticazione era tale che erano in grado di fare alcune cose, ma non infettare i sistemi al livello che non potevano essere rimossi. La loro sopravvivenza dipendeva maggiormente dal fatto che non ci fosse un AV sul sistema.

Ora i virus dei computer imitano quelli biologici molto più da vicino, sono in grado di sovvertire un sistema in modo così completo che non si può mai essere sicuri che siano chiari. Si può dire che è chiaro, ma il virus è così totalmente in controllo che può impedire a un AV di rilevarlo. Il computer è come una cellula zombi e l'unico modo per prevenire la diffusione del virus è ucciderlo.

Immagina di vivere in un film dell'orrore. Il tuo fidanzato o fidanzato (a seconda dei casi) è stato maledetto da una strega e sta vomitando proiettili mentre gira la testa in modo innaturale.

Tu, come esorcista e chirurgo del cervello amatoriale, hai due opzioni:

1. Scaccia totalmente i demoni e riporta l'anima del tuo amato alla proprietà del proprio corpo.
2. Tentativo di chirurgia cerebrale lunga un giorno e delicata su un corpo supernaturalmente strong e pericoloso che combatterà ogni tuo tentativo.

L'opzione 1 è semplice, economica e funziona (nei film horror).

L'opzione 2 richiede team di medici altamente qualificati e costosi, e probabilmente non funzionerà perché non puoi anestetizzare i demoni .

Il ripristino del software dal backup è analogo all'opzione 1 e, diversamente dall'esorcismo, funziona con IRL.

L'opzione 2 è analoga all'utilizzo di amministratori di sistema per controllare i binari del programma, i file di dati e le configurazioni rispetto a una copia nota che potrebbero essere stati installati sulla macchina in un primo momento.

Vale la pena sottolineare che è di solito ok a trasferire preziosi dati non eseguibili ( senza backup recente ) da un virus infetto macchina, prima di nuotare dall'orbita (pulire il disco rigido, reinstallare il sistema operativo da una fonte sicura). Cose come documenti in chiaro (ad es. Manoscritto in lattice o codice sorgente) o file multimediali importanti (ad esempio immagini di vacanze in famiglia) potrebbero valere la pena di essere ripristinate se non c'è un backup recente. Tuttavia, è necessario essere sospettosi che il virus consenta a un utente malintenzionato di avere il pieno controllo del sistema infetto e che l'autore dell'attacco possa aver modificato i dati. Ciò potrebbe includere introdurre backdoor nel codice sorgente, creare i propri utenti admin nei database, alterare i file di configurazione in modo che il sistema si trovi in una configurazione debole che può essere attaccata di nuovo, ecc. (Leggevo tutto il codice sorgente con una dentatura fine pettine per assicurarsi che non siano state apportate modifiche minime, e solo se non è critico per la sicurezza). Fai attenzione anche che alcuni file multimediali contengono potenzialmente virus, ad esempio documenti di MS Office con macro virus (in questo caso, preferisco esportare la copia del contenuto del testo da .doc / .xls in un file di testo semplice dal sistema infetto quando non è collegato a nulla). Inoltre, fare attenzione a trasferire i dati dalla macchina infetta (per non reinfettare l'altra macchina); ad esempio, probabilmente farei qualcosa come l'avvio di un cd live di Linux, montare il disco rigido infetto con -noexec, connettersi a Internet, copiare selettivamente file importanti e, se possibile, provare a confrontarli con il backup più recente.

Il motivo del nuking dall'orbita è l'unico modo per avere la certezza di usare di nuovo il computer in modo sicuro. Il software anti-virus funziona identificando il malware noto e in quanto tale non può farlo con una precisione del 100% (e il software anti-virus in esecuzione su un computer infetto potrebbe essere stato manomesso dal virus riducendo significativamente le possibilità di rimuovere completamente il virus). Ricominciare da un punto sicuro significa che non verranno rubati i vostri preziosi dati, o dover ripetere il processo di nuovo in una settimana (probabilmente su più PC quando l'infezione si diffonde). La reinstallazione può essere automatizzata e richiede meno di un giorno; circa un tempo equivalente per eseguire una scansione antivirus completa che non ha alcuna garanzia di efficacia. Se il downtime è un problema, è necessario ridondanza nella quantità di risorse di calcolo disponibili per l'organizzazione.