맬웨어를 정리한 후 컴퓨터에 핵 공격을 가하는 것은 어떨까요?

맬웨어를 정리한 후 컴퓨터에 핵 공격을 가하는 것은 어떨까요?

그래서 이것은 멍청한 질문입니다.

맬웨어에 감염된 시스템을 직접 핵 공격하지 않고 정리 작업을 수행하는 이유는 무엇입니까? 어떤 상황에서는 이것이 불가능할 수도 있다는 것을 이해합니다(예: 대규모 DB 서버 또는 백업이 없는 경우). 그러나 많은 지침 비디오와 도구는 대규모 서버가 아닌 워크스테이션용으로 설계되었습니다.

내 작업 흐름은 아마도 다음과 같을 것이라고 생각합니다. 머신 정리/백업되지 않은 파일 복구 -> Nuke/머신 재설치 -> 백업 패치/업데이트/복원 -> 네트워크에 머신 다시 추가.

하지만 제가 알기로는 악성코드 처리를 위한 조치로 가능하다면 첫 번째 단계인 "머신 정리"만 하고 있는 것으로 알고 있습니다. 하지만 "정리" 단계에서 모든 맬웨어가 제거되었다고 완전히 믿을 수 있습니까? 나는 편집증에 빠져 필요한 일을 위해 10배의 일을 하고 있습니까, 아니면 뭔가를 놓치고 있습니까?

답변해 주셔서 감사합니다.

답변1

"많은 지침 비디오와 도구가 워크스테이션용으로 설계되었습니다."

(아마도 읽어야 할 것입니다:사용자)

많은 가정 사용자에 대한 공정한 가정은 그들이 (정기적인) 백업을 만들지 않으며 그들의 노트북/PC가 그들의 (유일한) 애완동물이라는 것입니다. 그들의 시간과 노력은 "무료"이며 그들의 데이터와 파일은정말맬웨어 감염 후 그들에게 가치가 있습니다.

이를 전제로 노트북이나 PC를 제대로 부팅할 수 있을 만큼 기능적으로 만들고 데이터와 파일에 액세스하고 복구할 수 있을 만큼 충분히 다시 사용할 수 있게 만드는 데 상당한 노력을 기울이는 것이 합리적입니다.

이러한 상황에 처한 많은 가정용 사용자는 이미 상당한 성과를 거두었으며 현재 만족하고 있습니다.
영상 끝.

그들은 물론 시스템이 "완전히 복구"되지 않았으며 데이터가 여전히 깨끗하다고 ​​신뢰할 수 없다는 사실을 모르거나 단순히 무시합니다.


전문가로서 당신은 가정 사용자의 세계관을 가진 사람들로부터 지시를 받을 수도 있습니다(즉, 손상된 시스템을 "수리"하고 백업하고 실행하는 것은 거의 극복할 수 없는 작업이며 파일과 데이터를 복구하는 데 항상 필요하다는 것). 당신은 전문가로서 그들이 할 수 없는 많은 일을 성취할 수 있다고 믿고(물론 정정), 그 사람은 또한 당신이 수리를 할 때 손상된 시스템과 데이터가 손상되었다고 (부정확하게) 믿습니다.~할 수 있다다시 설치하지 않고도 다시 깨끗해질 수 있습니다.

적절한 푸시백을 제공하는 것은 IT 부서/귀하에게 달려 있습니다.

예를 들어 이론적으로(실제로는 그렇죠?) RPO 및 RTO를 충족하기 위한 적절한 백업 및/또는 데이터 복제가 있고 비즈니스 연속성을 위해 손상된 서버에서 데이터를 복구할 필요가 없습니다.

손상된 시스템을 핵으로 처리하고, 자동화된 설치 및 구성 스크립트를 실행하고, 재배포하고 만족하세요.


내 작업 흐름은 아마도 다음과 같을 것이라고 생각합니다.
머신 정리/백업되지 않은 파일 복구
-> Nuke/머신 재설치
-> 백업 패치/업데이트/복원
-> 네트워크에 머신 다시 추가.

"기업 전문 용어"로 사고 대응 계획이라고 불리는 내용을 작성하기 시작한 것 같습니다.

그것은 합리적인 첫 시작이다.PhilL W.의 답변이미 연결되어 있음여기 ServerFault에 대한 좋은 리소스가 있습니다.그러나 사고 대응 계획은 시스템 관리자에 의해 작성되고 시스템 관리자를 위해 작성될 뿐만 아니라 귀하의 비즈니스에서도 지원되어야 한다는 점을 명심하십시오. 여기서 결정은 데이터 백업 및 복구(RPO 및 RTO)가 결정되는 재해 복구 계획과 밀접한 관련이 있습니다.

답변2

백업되지 않은 머신 정리/파일 복구...

... 그 중 일부 또는 전부가타협하다. 당신은해야오직네트워크 외부에서 진단 목적으로 이러한 파일을 사용하여 맬웨어를 허용하는 취약성을 추적하십시오. 이를 기반으로 실행 중인 시스템을 다시 구축하려고 해서는 안 됩니다.

Nuke/머신 재설치 ... 패치/업데이트/백업 복원 ... 머신을 네트워크에 다시 추가합니다.

이는 일반적으로 허용되는 방법입니다.손상된 서버 처리하지만 잠재적으로장기그리고 잘못 표현된 기업 복구 전략은 이를 허용하지 않을 수 있습니다. 그렇기 때문에 본질적인 위험에도 불구하고 "빠르게" 다시 "패치"하도록 요청받는 것입니다.

관련 정보