Ermitteln Sie, wie sich der Wurm im Netzwerk verbreitet

Ihre Anfrage ist sehr spärlich ins Detail gegangen. Konkret: Mit welchem ​​Wurm haben Sie zugeschlagen, welche Sicherheitsrichtlinie hatten Sie vor dem Ausbruch und welche „geeigneten Schritte wurden unternommen“?

Zuerst würde ich meine eigene Sicherheitsrichtlinie auf Lücken oder Probleme überprüfen. Wenn ich keine Sicherheitsrichtlinie hätte, würde ich es aufgeben, herauszufinden, wie ich infiziert wurde, und davon ausgehen, dass es meine eigene Schuld war, weil ich keine solide Sicherheitsrichtlinie hatte (ich habe sogar eine Sicherheitsrichtlinie für meinen Computer zu Hause, sie steht zwar nicht in schriftlicher Form, aber ich halte sie sorgfältig ein und bin seit über 5 Jahren nicht mehr unbeabsichtigt von einem Virus infiziert worden).

Zweitens würde ich nach Orten suchen, an denen die Sicherheitsrichtlinien nicht eingehalten wurden. Ich würde Protokolle/Ereignisanzeigen auf Servern, PCs und Routern verwenden, bis ich eine gute Vorstellung davon habe, was passiert ist. In einer Umgebung mit mehreren Benutzern würde ich versuchen, den Benutzern, die den Ausbruch zuerst bemerkt haben, ein paar Fragen zu stellen und ihnen klar zu sagen, dass sie nicht in Schwierigkeiten sind (vorausgesetzt, ich darf diesen Anruf tätigen) und dass ihre Hilfe wichtig ist. Basierend auf den hier gesammelten Informationen würde ich wahrscheinlich mehrere Schritte unternehmen.

Drittens würde ich die Sicherheitsrichtlinien aktualisieren oder dafür sorgen, dass dies nie wieder passiert. Das kann bedeuten, dass ich Updates zeitnaher installiere, Antivirus auf Servern oder PCs hinzufüge, die Firewall-Regeln verschärfe oder vielleicht sogar die Benutzer darüber aufkläre, warum das Herunterladen von Smiley-Paketen eine sehr schlechte Idee ist. An diesem Punkt würde ich auch entscheiden, ob es angebracht ist, die Behörden anzurufen. Oft habe ich niemanden kontaktiert, zweimal wurde die Angelegenheit an die Behörden weitergeleitet.

Schließlich würde ich die Sicherheitsrichtlinien laufend überprüfen und sicherstellen, dass sie auch tatsächlich umgesetzt werden. Dazu würde ich eine Reihe nicht-invasiver Methoden verwenden und jedes Mal, wenn etwas aufdringlich ist, würde ich es mit den Beteiligten klären und mir immer die Kosten gegenüber dem Nutzen bewusst sein (es hat keinen Sinn, es mit der Sicherheit zu übertreiben und denen, die versuchen, die Arbeit zu erledigen, im Weg zu stehen).

Ich weiß, es ist vage, aber so habe ich es gemacht. Ich habe auf diese Weise einige Bedrohungen erfolgreich identifiziert und die Teams, mit denen ich zusammengearbeitet habe, vor vielen weiteren geschützt. Ich habe noch viele weitere übersehen, aber ich habe sie alle als Gelegenheit genutzt, das System und den Arbeitsablauf zu verbessern. Ich weiß auch, dass man es mit einer guten Sicherheitsrichtlinie schaffen könntetheoretischunmöglich zu hacken/infizieren, selbst wenn mehrere Windows-PCs oder andere als unsicher geltende Plattformen verwendet werden.Wirklichkeitist ganz anders, weil die Dinge nie genau so funktionieren wie geplant. Die Idee ist, dass die Grauzone, in der Theorie und Realität aufeinandertreffen, sicher genug ist, um alle großen Probleme zu vermeiden, und benutzerfreundlich genug, damit Menschen und das System funktionieren (oder spielen oder welches Ziel auch immer erreichen).

Wenn Sie wissen, um welchen Wurmtyp es sich handelt (über Ihr bevorzugtes Desinfektionstool), können Sie Informationen/Dokumentationen darüber finden/googeln, wie sich dieser Wurm-/Virustyp verbreitet. Von dort aus sollten Sie Folgendes in Betracht ziehen:Standardisierte Schutzmethodefür Ihre Clients und Server, falls Sie noch keines haben.

Ich hoffe, Sie versuchen nicht herauszufinden, wie sich der Wurm tatsächlich über Ihre Netzwerkclients verbreitet hat. Diese Aufgabe wäre zeitaufwändig, äußerst schwierig, wenn nicht gar unmöglich.

Ich fürchte, das wird nicht so einfach sein, wie Sie es sich wünschen. Zumindest ist Ihr Netzwerk jetzt anders als zum Zeitpunkt der Infektion, sodass Ihre Untersuchungen wahrscheinlich keine gültigen Ergebnisse liefern werden. Zweitens kann eine Menge Schadsoftware ihre Spuren bemerkenswert gut verwischen (und viele können auch bemerkenswert schlecht sein ...), sodass Sie darauf angewiesen sind, dass die relevanten Informationen überhaupt protokolliert wurden.

Ihr Ansatz besteht also darin, herauszufinden, was der Wurm war, sich über seine Verbreitung zu informieren und davon auszugehen, dass er sich auf diese Weise in Ihrem Netzwerk verbreitet hat. Ich vermute jedoch, dass Sie mehr daran interessiert sind, wie er eingedrungen ist, damit Sie sicher sein können, dass die Tür in Zukunft geschlossen ist. Dies wird höchstwahrscheinlich einer der alten Favoriten sein: Benutzer mit Administratorrechten, unkontrollierter Zugriff auf USB-Geräte, ungesicherter Webzugriff, Verwendung älterer Software, veralteter Virenschutz, fehlende Aktualisierung von Sicherheitspatches, fehlerhafte Firewall- oder Gateway-Konfiguration usw. Eines davon wird Ihnen wahrscheinlich bekannt vorkommen, und Informationen von der Website eines Virenschutzanbieters werden dies bestätigen.