ワームがネットワーク内でどのように拡散したかを判断する

tag-icon tag-icon malware
ワームがネットワーク内でどのように拡散したかを判断する

私たちのネットワークではワームの侵入の問題が発生しました。すべてのワームを駆除し、適切な手順を踏みました。

ワームがネットワーク内でどのように拡散したかをどのように判断するのかを知りたいです。

ありがとう、

ゲイリー..

興味深い記事をありがとうございました。私の基本的な質問は、ワームのサンプルを入手できない場合、ワームがどのように広がるかをどのように判断するかということです。私は自分のシステムからワームを駆除しましたが、ワームのサンプルはありません。

セキュリティ ポリシーとログを確認することで、ワームがネットワーク内でどのように拡散したかを知ることができます。??

再度、感謝します、

ゲイリー

答え1

あなたのリクエストには詳細がほとんどありません。具体的には、どのワームに感染したのか、発生前のセキュリティ ポリシーはどのようなものだったのか、そして「適切な措置を講じた」とは何なのか。

まず、自分のセキュリティ ポリシーに穴や問題がないか確認します。セキュリティ ポリシーがなければ、自分がどのように攻撃を受けたのかを突き止めることをあきらめ、しっかりしたセキュリティ ポリシーがなかったことが自分の責任だと決めつけてしまいます (自宅のマシンにもセキュリティ ポリシーがあります。文書化はされていませんが、注意深く従っており、5 年以上、意図せずウイルスに攻撃されたことはありません)。

次に、セキュリティ ポリシーが守られていない場所を探します。何が起こったのかよくわかるまで、サーバー、PC、ルーターのログ/イベント ビューアーを使用します。マルチ ユーザー環境では、最初に感染に気づいたユーザーにいくつか質問し、(私が電話をかける権限がある場合) 問題がないこと、そしてユーザーの協力が重要であることを明確に伝えます。ここで収集した情報に基づいて、おそらくいくつかの手順を踏むことになります。

3 番目に、セキュリティ ポリシーを更新したり、その適用方法を変更したりして、二度とこのようなことが起こらないようにします。これは、よりタイムリーにアップデートをインストールしたり、サーバーや PC にウイルス対策を追加したり、ファイアウォール ルールを強化したり、スマイリー パックをダウンロードするのは非常に悪い考えであることをユーザーに説明したりすることを意味します。この時点で、当局に電話することが適切な手順であるかどうかも判断します。何度も誰にも連絡しませんでしたが、2 回は当局にエスカレートされました。

最後に、セキュリティ ポリシーを継続的にレビューし、その施行が機能しているかどうかを確認します。これは、さまざまな非侵入的な方法を使用して実行し、侵入的なことがあれば関係者と話し合い、コストとメリットを常に意識します (セキュリティを過剰に強化して、作業しようとしている人の邪魔をしても意味がありません)。

漠然としていることは承知していますが、これが私が実践してきた方法です。この方法でいくつかの脅威を特定し、一緒に働いてきたチームをさらに多くの脅威から守ってきました。見逃したものはもっとたくさんありますが、それらすべてをシステムとワークフローを改善する機会として利用しました。また、適切なセキュリティポリシーがあれば、理論的には多数のWindows PCや、他の安全でないとされるプラットフォームを使用していても、ハッキングや感染は不可能です。現実物事が計画通りに動くことは決してないので、これはまったく異なります。理論と現実が出会うグレーゾーンを、大きな問題をすべて防ぐのに十分な安全性と、人々とシステムが機能する(または遊んだり、何らかの目標を達成したりできる)のに十分な使いやすさで実現するという考え方です。

答え2

ワームの種類がわかれば(お好みの駆除ツールを使って)、その種類のワームやウイルスがどのように広がるかに関する情報や文書を検索したり、グーグルで検索したりすることができます。そこから、標準化された保護方法まだ持っていない場合は、クライアントとサーバーにインストールしてください。

ワームが実際にネットワーク クライアントを通じてどのように拡散したかを追跡しようとは考えていないことを願います。この作業は時間がかかり、不可能ではないにしても非常に困難です。

答え3

これは、あなたが望むほど簡単ではないのではないかと心配しています。少なくとも、ネットワークは感染したときとは異なっているので、調査しても有効な結果が得られる可能性は低くなります。次に、悪意のあるソフトウェアの多くは、痕跡を隠すのが非常に上手です (非常に悪質なソフトウェアも多数あります...)。そのため、まず最初に、関連情報がログに記録されている必要があります。

したがって、ワームが何であったかを特定し、その拡散方法を調べ、それがネットワーク内での拡散方法であると合理的に想定するというアプローチになります。ただし、今後は確実に侵入経路を遮断できるように、侵入方法に関心があるのではないでしょうか。これは、おそらく、管理者権限で実行しているユーザー、制御されていない USB デバイスへのアクセス、セキュリティ保護されていない Web アクセス、古いソフトウェアの使用、古い AV、セキュリティ パッチの最新化の失敗、ファイアウォールまたはゲートウェイの設定の誤りなど、古くからあるよくある原因の 1 つでしょう。これらのうちの 1 つは、おそらくあなたにも思い当たるものでしょう。AV ベンダーの Web サイトの情報でそれが確認できます。

関連情報