Entonces esta es una pregunta para novatos.
¿Por qué realizamos una limpieza en una máquina que ha sido infectada con malware y no la atacamos directamente? Entiendo que en algunas situaciones esto no sería posible (como servidores de bases de datos grandes o cuando no tenemos una copia de seguridad). Pero muchos vídeos de instrucciones y herramientas están diseñados para estaciones de trabajo y no para servidores de gran escala.
Creo que mi flujo de trabajo probablemente sería algo así como: Limpiar la máquina/Recuperar archivos de los que no se ha realizado una copia de seguridad -> Nuke/reinstalar la máquina -> parchear/actualizar/restaurar la copia de seguridad -> agregar la máquina nuevamente a la red.
Pero según tengo entendido, si es posible, sólo se realiza el primer paso "limpiar la máquina" como medida para controlar el malware. Pero, ¿podemos confiar plenamente en que todo el malware se haya eliminado en el paso de "limpieza"? ¿Estoy siendo demasiado paranoico y trabajando 10 veces más para lo que se necesita o me pierdo algo?
Gracias por sus respuestas.
Respuesta1
"Muchos videos de instrucciones y herramientas están diseñados para estaciones de trabajo"
(Probablemente debería decir: porhogarusuarios)
Una suposición justa para muchos usuarios domésticos sería que no realizan copias de seguridad (regulares) y que su computadora portátil o PC es su (única) mascota. Su tiempo y esfuerzo son "gratuitos" y sus datos y archivos sólo se han convertidoen realidadvalioso para ellos después de esa infección de malware.
Bajo esa premisa, tiene sentido que dediquen un esfuerzo significativo a hacer que una computadora portátil o PC sea lo suficientemente funcional como para arrancar correctamente y volver a ser lo suficientemente utilizable para acceder y recuperar sus datos y archivos.
Para muchos usuarios domésticos que se encuentran en una situación así, esto ya es todo un logro y ahora están contentos.
Fin del vídeo.
O no lo saben o simplemente ignoran que, por supuesto, su sistema no está "completamente reparado" y que todavía no se puede confiar en que los datos estén limpios.
Como profesional, es posible que reciba instrucciones de personas que tienen la visión del mundo de un usuario doméstico (es decir, que "reparar" y volver a poner en funcionamiento un sistema comprometido es una tarea casi insuperable y siempre necesaria para recuperar archivos y datos), quienes creen que usted, como profesional, puede lograr muchas cosas que ellos no pueden (ciertamente corregir) y que luego (incorrectamente) también creen que cuando USTED hace las reparaciones, el sistema y los datos comprometidospoderSe puede confiar en que estará limpio nuevamente sin tener que volver a instalarlo.
Depende del departamento de TI o de usted dar la respuesta adecuada allí.
Por ejemplo, en teoría (y en realidad, ¿verdad?), tiene copias de seguridad y/o replicación de datos adecuadas para cumplir con el RPO y el RTO y no necesita recuperar datos de un servidor comprometido para la continuidad del negocio.
Destruya el sistema comprometido, ejecute sus scripts de instalación y configuración automatizados, vuelva a implementarlo y sea feliz.
Creo que mi flujo de trabajo probablemente sería algo así como:
Limpiar la máquina/Recuperar archivos de los que no se ha realizado una copia de seguridad
-> Nuke/reinstalar la máquina
-> parchear/actualizar/restaurar la copia de seguridad
-> agregar la máquina nuevamente a la red.
Parece que está empezando a escribir lo que en la "jerga empresarial" se llama un Plan de respuesta a incidentes.
Éste es un primer comienzo razonable.La respuesta de PhilL W.ya vinculado aun buen recurso aquí en ServerFaultpero tenga en cuenta que el plan de respuesta a incidentes no sólo está escrito por y para un administrador del sistema, sino que también debe contar con el respaldo de su empresa. Las decisiones allí están estrechamente relacionadas con su plan de recuperación ante desastres, donde a menudo se decide la copia de seguridad y recuperación de datos (RPO y RTO).
Respuesta2
Limpiar la máquina/Recuperar archivos de los que no se ha realizado una copia de seguridad...
... cualquiera o todos los cuales pueden sercomprometida. DeberíasoloUtilice estos archivos con fines de diagnóstico, fuera de la red, para rastrear la vulnerabilidad que permitió la entrada del malware. No deberías intentar reconstruir un sistema en ejecución basándose en ellos.
Destruir/reinstalar la máquina... parchear/actualizar/restaurar copia de seguridad... agregar la máquina nuevamente a la red.
Esta es una forma generalmente aceptada delidiar con un servidor comprometido, pero potencialmente requiere unlargo tiempoy una estrategia de recuperación corporativa mal redactada podría no permitirlo. Es por eso que nos piden que "recompongamos" las cosas "rápidamente", a pesar del riesgo inherente de hacerlo.