Determinar cómo se propagó el gusano en la red

Question 1

Su solicitud es muy ligera en cuanto a detalles, específicamente con qué gusano se encontró, cuál era su política de seguridad antes del brote y cuáles son las "medidas apropiadas".

Primero, revisaría mi propia política de seguridad en busca de agujeros o problemas. Si no tuviera una política de seguridad, renunciaría a descubrir cómo me golpearon y asumiría que fue culpa mía por no tener una política de seguridad sólida (incluso tengo una política de seguridad para la máquina de mi casa, no es escrito, pero lo sigo cuidadosamente y en más de 5 años no he sido atacado involuntariamente por un virus).

En segundo lugar, buscaría lugares donde no se cumpliera la política de seguridad. Usaría registros/visores de eventos en servidores, PC y enrutadores hasta que tuviera una buena idea de lo que sucedió; en un entorno multiusuario, intentaría hacer algunas preguntas a los usuarios que notaron el brote por primera vez y comunicar claramente que no lo son. en problemas (suponiendo que se me permita hacer esa llamada) y que su ayuda es importante. Probablemente tomaría varias medidas según la información recopilada aquí.

En tercer lugar, actualizaría la política de seguridad o mi aplicación para que esto nunca vuelva a suceder. Esto puede significar instalar actualizaciones de manera más oportuna, agregar antivirus a servidores o PC, endurecer las reglas de firewall o tal vez incluso educar a los usuarios sobre por qué descargar paquetes de emoticones es una muy mala idea. En este punto también determinaría si llamar a las autoridades es un paso apropiado. Muchas veces no me comuniqué con nadie, dos veces se elevó a las autoridades.

Finalmente, realizaría una revisión continua de la política de seguridad y comprobaría que su aplicación funciona. Haría esto usando una variedad de métodos no intrusivos, y cada vez que algo fuera intrusivo lo aclararía con los involucrados, y siempre estaré consciente del costo versus el beneficio (no sirve exagerar la seguridad y obstaculizar el camino de aquellos). tratando de hacer el trabajo).

Sé que es vago, pero así es como lo he hecho. He identificado con éxito algunas amenazas de esta manera y he protegido a los equipos con los que he trabajado de muchas más. Me perdí muchos más, pero los aproveché todos como una oportunidad para mejorar el sistema y el flujo de trabajo. También sé que con una buena política de seguridad se puede lograrteóricamenteimposible de piratear/infectar, incluso cuando se utilizan numerosas PC con Windows u otras plataformas percibidas como inseguras. ElrealidadEs bastante diferente porque las cosas nunca funcionan exactamente como se planea. La idea es que el área gris, donde la teoría y la realidad se encuentran, sea lo suficientemente segura para evitar todos los grandes problemas y lo suficientemente utilizable para permitir que las personas y el sistema trabajen (o jueguen o logren cualquier objetivo).

Answer

Su solicitud es muy ligera en cuanto a detalles, específicamente con qué gusano se encontró, cuál era su política de seguridad antes del brote y cuáles son las "medidas apropiadas".

Primero, revisaría mi propia política de seguridad en busca de agujeros o problemas. Si no tuviera una política de seguridad, renunciaría a descubrir cómo me golpearon y asumiría que fue culpa mía por no tener una política de seguridad sólida (incluso tengo una política de seguridad para la máquina de mi casa, no es escrito, pero lo sigo cuidadosamente y en más de 5 años no he sido atacado involuntariamente por un virus).

En segundo lugar, buscaría lugares donde no se cumpliera la política de seguridad. Usaría registros/visores de eventos en servidores, PC y enrutadores hasta que tuviera una buena idea de lo que sucedió; en un entorno multiusuario, intentaría hacer algunas preguntas a los usuarios que notaron el brote por primera vez y comunicar claramente que no lo son. en problemas (suponiendo que se me permita hacer esa llamada) y que su ayuda es importante. Probablemente tomaría varias medidas según la información recopilada aquí.

En tercer lugar, actualizaría la política de seguridad o mi aplicación para que esto nunca vuelva a suceder. Esto puede significar instalar actualizaciones de manera más oportuna, agregar antivirus a servidores o PC, endurecer las reglas de firewall o tal vez incluso educar a los usuarios sobre por qué descargar paquetes de emoticones es una muy mala idea. En este punto también determinaría si llamar a las autoridades es un paso apropiado. Muchas veces no me comuniqué con nadie, dos veces se elevó a las autoridades.

Finalmente, realizaría una revisión continua de la política de seguridad y comprobaría que su aplicación funciona. Haría esto usando una variedad de métodos no intrusivos, y cada vez que algo fuera intrusivo lo aclararía con los involucrados, y siempre estaré consciente del costo versus el beneficio (no sirve exagerar la seguridad y obstaculizar el camino de aquellos). tratando de hacer el trabajo).

Sé que es vago, pero así es como lo he hecho. He identificado con éxito algunas amenazas de esta manera y he protegido a los equipos con los que he trabajado de muchas más. Me perdí muchos más, pero los aproveché todos como una oportunidad para mejorar el sistema y el flujo de trabajo. También sé que con una buena política de seguridad se puede lograrteóricamenteimposible de piratear/infectar, incluso cuando se utilizan numerosas PC con Windows u otras plataformas percibidas como inseguras. ElrealidadEs bastante diferente porque las cosas nunca funcionan exactamente como se planea. La idea es que el área gris, donde la teoría y la realidad se encuentran, sea lo suficientemente segura para evitar todos los grandes problemas y lo suficientemente utilizable para permitir que las personas y el sistema trabajen (o jueguen o logren cualquier objetivo).

Question 2

Si sabe el tipo de gusano que era (a través de su herramienta de desinfección preferida), podrá encontrar información/documentación en Google sobre cómo se propaga ese tipo de gusano/virus. A partir de ahí, debes tener en cuenta unamétodo estandarizado de protecciónpara sus clientes y servidores, si aún no tiene uno.

Espero que no esté pensando en intentar rastrear cómo se propagó realmente el gusano a través de los clientes de su red. Esta tarea llevaría mucho tiempo y sería abrumadoramente difícil, si no imposible.

Answer

Si sabe el tipo de gusano que era (a través de su herramienta de desinfección preferida), podrá encontrar información/documentación en Google sobre cómo se propaga ese tipo de gusano/virus. A partir de ahí, debes tener en cuenta unamétodo estandarizado de protecciónpara sus clientes y servidores, si aún no tiene uno.

Espero que no esté pensando en intentar rastrear cómo se propagó realmente el gusano a través de los clientes de su red. Esta tarea llevaría mucho tiempo y sería abrumadoramente difícil, si no imposible.

Question 3

Me temo que esto no va a ser tan fácil como quisieras. Al menos, su red ahora es diferente a como era cuando se infectó, por lo que es poco probable que cualquier investigación que realice arroje resultados válidos. En segundo lugar, una gran cantidad de software malicioso puede ser notablemente bueno para cubrir sus huellas (muchos también pueden ser notablemente malos...), por lo que dependes de que la información relevante se registre en primer lugar.

Entonces, su enfoque es identificar qué era el gusano, leer sobre cómo se propaga y hacer una suposición razonable de que así es como se propagó en su red. Supongo, sin embargo, que estás más interesado en cómo entró, para que puedas estar seguro de que la puerta estará cerrada en el futuro. Este será probablemente uno de los viejos favoritos: usuarios que ejecutan con derechos de administrador, acceso no controlado a dispositivos USB, acceso web no seguro, uso de software antiguo, antivirus desactualizado, falta de actualización de parches de seguridad, firewall o puerta de enlace defectuosos. configuración, etcétera. Uno de estos probablemente le suene, y la información del sitio web de un proveedor de AV lo confirmará.

Answer

Me temo que esto no va a ser tan fácil como quisieras. Al menos, su red ahora es diferente a como era cuando se infectó, por lo que es poco probable que cualquier investigación que realice arroje resultados válidos. En segundo lugar, una gran cantidad de software malicioso puede ser notablemente bueno para cubrir sus huellas (muchos también pueden ser notablemente malos...), por lo que dependes de que la información relevante se registre en primer lugar.

Entonces, su enfoque es identificar qué era el gusano, leer sobre cómo se propaga y hacer una suposición razonable de que así es como se propagó en su red. Supongo, sin embargo, que estás más interesado en cómo entró, para que puedas estar seguro de que la puerta estará cerrada en el futuro. Este será probablemente uno de los viejos favoritos: usuarios que ejecutan con derechos de administrador, acceso no controlado a dispositivos USB, acceso web no seguro, uso de software antiguo, antivirus desactualizado, falta de actualización de parches de seguridad, firewall o puerta de enlace defectuosos. configuración, etcétera. Uno de estos probablemente le suene, y la información del sitio web de un proveedor de AV lo confirmará.

Determinar cómo se propagó el gusano en la red

Respuesta1

Respuesta2

Respuesta3

información relacionada