Determine como o worm se espalhou na rede

Question 1

Sua solicitação contém muitos detalhes, especificamente qual worm você atacou, qual era sua política de segurança antes do surto e o que são "medidas apropriadas"?

Primeiro, eu revisaria minha própria política de segurança em busca de falhas ou problemas. Se eu não tivesse uma política de segurança, desistiria de descobrir como fui atingido e assumiria que a culpa foi minha por não ter uma política de segurança sólida (tenho até uma política de segurança para minha máquina doméstica, não é escrito, mas eu o sigo cuidadosamente e há mais de 5 anos não sou acidentalmente atingido por um vírus).

Em segundo lugar, procuraria locais onde a política de segurança não fosse seguida. Eu usaria visualizadores de logs/eventos em servidores, PCs e roteadores até ter uma boa ideia do que aconteceu, em um ambiente multiusuário eu tentaria fazer algumas perguntas aos usuários que notaram o surto pela primeira vez e comunicar claramente que eles não estão com problemas (presumindo que eu possa fazer essa ligação) e que a ajuda deles é importante. Eu provavelmente tomaria várias medidas com base nas informações coletadas aqui.

Terceiro, eu atualizaria a política de segurança ou a aplicação dela para que isso nunca acontecesse novamente. Isso pode significar instalar atualizações mais oportunamente, adicionar antivírus a servidores ou PCs, reforçar as regras de firewall ou talvez até mesmo educar os usuários sobre por que baixar pacotes de smileys é uma péssima ideia. Neste ponto, eu também determinaria se chamar as autoridades é uma medida apropriada. Muitas vezes não entrei em contato com ninguém, duas vezes o assunto foi encaminhado às autoridades.

Finalmente, eu realizaria uma revisão contínua da política de segurança e verificaria se a sua aplicação está funcionando. Eu faria isso usando uma variedade de métodos não intrusivos, e sempre que algo fosse instrutivo eu esclareceria isso com os envolvidos, e sempre estarei ciente do custo versus o benefício (não adianta exagerar na segurança e atrapalhar aqueles tentando fazer o trabalho).

Eu sei que é vago, mas foi assim que fiz. Identifiquei com sucesso algumas ameaças dessa forma e protegi as equipes com as quais trabalhei de muitas outras. Perdi muitos mais, mas usei todos eles como uma oportunidade para melhorar o sistema e o fluxo de trabalho. Sei também que com uma boa política de segurança seria possívelteoricamenteimpossível de hackear/infectar, mesmo ao usar vários PCs com Windows ou outras plataformas percebidas como inseguras. Orealidadeé bem diferente porque as coisas nunca funcionam exatamente como planejado. A ideia é fazer com que a área cinzenta, onde a teoria e a realidade se encontram, seja segura o suficiente para evitar todos os grandes problemas e seja utilizável o suficiente para permitir que as pessoas e o sistema funcionem (ou joguem ou alcancem qualquer objetivo).

Answer

Sua solicitação contém muitos detalhes, especificamente qual worm você atacou, qual era sua política de segurança antes do surto e o que são "medidas apropriadas"?

Primeiro, eu revisaria minha própria política de segurança em busca de falhas ou problemas. Se eu não tivesse uma política de segurança, desistiria de descobrir como fui atingido e assumiria que a culpa foi minha por não ter uma política de segurança sólida (tenho até uma política de segurança para minha máquina doméstica, não é escrito, mas eu o sigo cuidadosamente e há mais de 5 anos não sou acidentalmente atingido por um vírus).

Em segundo lugar, procuraria locais onde a política de segurança não fosse seguida. Eu usaria visualizadores de logs/eventos em servidores, PCs e roteadores até ter uma boa ideia do que aconteceu, em um ambiente multiusuário eu tentaria fazer algumas perguntas aos usuários que notaram o surto pela primeira vez e comunicar claramente que eles não estão com problemas (presumindo que eu possa fazer essa ligação) e que a ajuda deles é importante. Eu provavelmente tomaria várias medidas com base nas informações coletadas aqui.

Terceiro, eu atualizaria a política de segurança ou a aplicação dela para que isso nunca acontecesse novamente. Isso pode significar instalar atualizações mais oportunamente, adicionar antivírus a servidores ou PCs, reforçar as regras de firewall ou talvez até mesmo educar os usuários sobre por que baixar pacotes de smileys é uma péssima ideia. Neste ponto, eu também determinaria se chamar as autoridades é uma medida apropriada. Muitas vezes não entrei em contato com ninguém, duas vezes o assunto foi encaminhado às autoridades.

Finalmente, eu realizaria uma revisão contínua da política de segurança e verificaria se a sua aplicação está funcionando. Eu faria isso usando uma variedade de métodos não intrusivos, e sempre que algo fosse instrutivo eu esclareceria isso com os envolvidos, e sempre estarei ciente do custo versus o benefício (não adianta exagerar na segurança e atrapalhar aqueles tentando fazer o trabalho).

Eu sei que é vago, mas foi assim que fiz. Identifiquei com sucesso algumas ameaças dessa forma e protegi as equipes com as quais trabalhei de muitas outras. Perdi muitos mais, mas usei todos eles como uma oportunidade para melhorar o sistema e o fluxo de trabalho. Sei também que com uma boa política de segurança seria possívelteoricamenteimpossível de hackear/infectar, mesmo ao usar vários PCs com Windows ou outras plataformas percebidas como inseguras. Orealidadeé bem diferente porque as coisas nunca funcionam exatamente como planejado. A ideia é fazer com que a área cinzenta, onde a teoria e a realidade se encontram, seja segura o suficiente para evitar todos os grandes problemas e seja utilizável o suficiente para permitir que as pessoas e o sistema funcionem (ou joguem ou alcancem qualquer objetivo).

Question 2

Se você souber que tipo de worm era (por meio de sua ferramenta de desinfecção preferida), poderá encontrar no Google informações/documentação sobre como esse tipo de worm/vírus se espalha. A partir daí, você deve levar em consideração ummétodo padronizado de proteçãopara seus clientes e servidores, caso ainda não tenha um.

Espero que você não esteja pensando em tentar rastrear como o worm realmente se espalhou pelos clientes da sua rede. Esta tarefa seria demorada, extremamente difícil, se não impossível.

Answer

Se você souber que tipo de worm era (por meio de sua ferramenta de desinfecção preferida), poderá encontrar no Google informações/documentação sobre como esse tipo de worm/vírus se espalha. A partir daí, você deve levar em consideração ummétodo padronizado de proteçãopara seus clientes e servidores, caso ainda não tenha um.

Espero que você não esteja pensando em tentar rastrear como o worm realmente se espalhou pelos clientes da sua rede. Esta tarefa seria demorada, extremamente difícil, se não impossível.

Question 3

Temo que isso não seja tão fácil quanto você gostaria. No mínimo, sua rede agora está diferente do que era quando você foi infectado, portanto, qualquer investigação que você fizer provavelmente não produzirá resultados válidos. Em segundo lugar, muitos softwares maliciosos podem ser notavelmente bons em encobrir seus rastros (muitos também podem ser notavelmente ruins...), então você depende que as informações relevantes tenham sido registradas em primeiro lugar.

Portanto, sua abordagem é identificar o que era o worm, ler sobre como ele se espalha e fazer a suposição razoável de que foi assim que ele se espalhou na sua rede. Eu acho, entretanto, que você está mais interessado em como isso entrou, para ter certeza de que a porta será fechada no futuro. Este provavelmente será um dos antigos favoritos: usuários executando com direitos de administrador, acesso não controlado a dispositivos USB, acesso inseguro à Web, uso de software mais antigo, antivírus desatualizado, falha em manter-se atualizado com patches de segurança, firewall ou gateway defeituoso configuração e assim por diante. Um deles provavelmente tocará uma campainha para você, e as informações do site de um fornecedor de antivírus irão confirmá-lo.

Answer

Temo que isso não seja tão fácil quanto você gostaria. No mínimo, sua rede agora está diferente do que era quando você foi infectado, portanto, qualquer investigação que você fizer provavelmente não produzirá resultados válidos. Em segundo lugar, muitos softwares maliciosos podem ser notavelmente bons em encobrir seus rastros (muitos também podem ser notavelmente ruins...), então você depende que as informações relevantes tenham sido registradas em primeiro lugar.

Portanto, sua abordagem é identificar o que era o worm, ler sobre como ele se espalha e fazer a suposição razoável de que foi assim que ele se espalhou na sua rede. Eu acho, entretanto, que você está mais interessado em como isso entrou, para ter certeza de que a porta será fechada no futuro. Este provavelmente será um dos antigos favoritos: usuários executando com direitos de administrador, acesso não controlado a dispositivos USB, acesso inseguro à Web, uso de software mais antigo, antivírus desatualizado, falha em manter-se atualizado com patches de segurança, firewall ou gateway defeituoso configuração e assim por diante. Um deles provavelmente tocará uma campainha para você, e as informações do site de um fornecedor de antivírus irão confirmá-lo.

Determine como o worm se espalhou na rede

Responder1

Responder2

Responder3

informação relacionada