Определите, как червь распространился в сети

Question 1

В вашем запросе очень мало подробностей, в частности, какой червь вас атаковал, какова была ваша политика безопасности до вспышки и что значит «принятые соответствующие меры»?

Во-первых, я бы проверил свою собственную политику безопасности на наличие дыр или проблем. Если бы у меня не было политики безопасности, я бы отказался от выяснения того, как меня поразили, и предположил бы, что это моя вина, что у меня нет надежной политики безопасности (у меня даже есть политика безопасности для моей домашней машины, она не прописана, но я тщательно ей следую, и за 5+ лет меня не поразил непреднамеренный вирус).

Во-вторых, я бы поискал места, где не соблюдается политика безопасности. Я бы использовал журналы/просмотрщики событий на серверах, ПК и маршрутизаторах, пока не понял бы, что произошло, в многопользовательской среде я бы попытался задать несколько вопросов пользователям, которые первыми заметили вспышку, и четко дал бы понять, что у них нет проблем (при условии, что мне разрешено сделать этот звонок) и что их помощь важна. Я бы, вероятно, предпринял несколько шагов на основе информации, собранной здесь.

В-третьих, я бы обновил политику безопасности или ее применение, чтобы это больше никогда не повторилось. Это может означать более своевременную установку обновлений, установку антивируса на серверы или ПК, ужесточение правил брандмауэра или, может быть, даже информирование пользователей о том, почему загрузка пакетов смайликов — очень плохая идея. На этом этапе я бы также определил, является ли обращение в органы власти подходящим шагом. Много раз я ни с кем не связывался, дважды дело передавалось властям.

Наконец, я бы провел постоянный обзор политики безопасности и проверил, что ее применение является рабочим. Я бы сделал это, используя различные ненавязчивые методы, и всякий раз, когда что-то было навязчивым, я бы согласовал это с теми, кто вовлечен, и я всегда буду знать стоимость по сравнению с выгодой (нет смысла переусердствовать с безопасностью и мешать тем, кто пытается сделать работу).

Я знаю, что это расплывчато, но вот как я это сделал. Я успешно определил несколько угроз таким образом и защитил команды, с которыми работал, от многих других. Я упустил еще много, но я использовал их все как возможность улучшить систему и рабочий процесс. Я также знаю, что с хорошей политикой безопасности можно сделать этотеоретическиневозможно взломать/заразить, даже при использовании многочисленных ПК с Windows или других предположительно небезопасных платформ.реальностьсовсем другое, потому что вещи никогда не работают точно так, как запланировано. Идея в том, чтобы серая зона, где встречаются теория и реальность, была достаточно безопасной, чтобы предотвратить все большие проблемы, и была достаточно удобной, чтобы позволить людям и системе работать (или играть, или достигать какой-либо цели).

Answer

В вашем запросе очень мало подробностей, в частности, какой червь вас атаковал, какова была ваша политика безопасности до вспышки и что значит «принятые соответствующие меры»?

Во-первых, я бы проверил свою собственную политику безопасности на наличие дыр или проблем. Если бы у меня не было политики безопасности, я бы отказался от выяснения того, как меня поразили, и предположил бы, что это моя вина, что у меня нет надежной политики безопасности (у меня даже есть политика безопасности для моей домашней машины, она не прописана, но я тщательно ей следую, и за 5+ лет меня не поразил непреднамеренный вирус).

Во-вторых, я бы поискал места, где не соблюдается политика безопасности. Я бы использовал журналы/просмотрщики событий на серверах, ПК и маршрутизаторах, пока не понял бы, что произошло, в многопользовательской среде я бы попытался задать несколько вопросов пользователям, которые первыми заметили вспышку, и четко дал бы понять, что у них нет проблем (при условии, что мне разрешено сделать этот звонок) и что их помощь важна. Я бы, вероятно, предпринял несколько шагов на основе информации, собранной здесь.

В-третьих, я бы обновил политику безопасности или ее применение, чтобы это больше никогда не повторилось. Это может означать более своевременную установку обновлений, установку антивируса на серверы или ПК, ужесточение правил брандмауэра или, может быть, даже информирование пользователей о том, почему загрузка пакетов смайликов — очень плохая идея. На этом этапе я бы также определил, является ли обращение в органы власти подходящим шагом. Много раз я ни с кем не связывался, дважды дело передавалось властям.

Наконец, я бы провел постоянный обзор политики безопасности и проверил, что ее применение является рабочим. Я бы сделал это, используя различные ненавязчивые методы, и всякий раз, когда что-то было навязчивым, я бы согласовал это с теми, кто вовлечен, и я всегда буду знать стоимость по сравнению с выгодой (нет смысла переусердствовать с безопасностью и мешать тем, кто пытается сделать работу).

Я знаю, что это расплывчато, но вот как я это сделал. Я успешно определил несколько угроз таким образом и защитил команды, с которыми работал, от многих других. Я упустил еще много, но я использовал их все как возможность улучшить систему и рабочий процесс. Я также знаю, что с хорошей политикой безопасности можно сделать этотеоретическиневозможно взломать/заразить, даже при использовании многочисленных ПК с Windows или других предположительно небезопасных платформ.реальностьсовсем другое, потому что вещи никогда не работают точно так, как запланировано. Идея в том, чтобы серая зона, где встречаются теория и реальность, была достаточно безопасной, чтобы предотвратить все большие проблемы, и была достаточно удобной, чтобы позволить людям и системе работать (или играть, или достигать какой-либо цели).

Question 2

Если вы знаете тип червя (через ваш любимый инструмент дезинфекции), вы сможете найти/погуглить информацию/документацию о том, как распространяется этот тип червя/вируса. Оттуда вы должны принять во вниманиестандартизированный метод защитыдля ваших клиентов и серверов, если у вас его еще нет.

Надеюсь, вы не думаете о том, чтобы попытаться отследить, как червь на самом деле распространился через ваших сетевых клиентов. Эта задача будет трудоемкой, чрезвычайно сложной, если не невозможной.

Answer

Если вы знаете тип червя (через ваш любимый инструмент дезинфекции), вы сможете найти/погуглить информацию/документацию о том, как распространяется этот тип червя/вируса. Оттуда вы должны принять во вниманиестандартизированный метод защитыдля ваших клиентов и серверов, если у вас его еще нет.

Надеюсь, вы не думаете о том, чтобы попытаться отследить, как червь на самом деле распространился через ваших сетевых клиентов. Эта задача будет трудоемкой, чрезвычайно сложной, если не невозможной.

Question 3

Боюсь, что это не будет так просто, как вам хотелось бы. Если не считать всего остального, ваша сеть теперь отличается от той, какой она была до заражения, поэтому любое ваше расследование вряд ли даст достоверные результаты. Во-вторых, многие вредоносные программы могут быть удивительно хороши в заметании следов (многие также могут быть удивительно плохими...), поэтому вы зависите от того, что соответствующая информация была изначально зарегистрирована.

Итак, ваш подход заключается в том, чтобы определить, что это был за червь, прочитать о том, как он распространяется, и сделать обоснованное предположение, что именно так он распространился в вашей сети. Однако я предполагаю, что вас больше интересует, как он проник, чтобы вы могли быть уверены, что дверь закрыта в будущем. Это, скорее всего, будет один из старых фаворитов: пользователи, работающие с правами администратора, неконтролируемый доступ к USB-устройствам, незащищенный веб-доступ, использование старого программного обеспечения, устаревший AV, неспособность поддерживать актуальность исправлений безопасности, плохая конфигурация брандмауэра или шлюза и так далее. Один из них, вероятно, вызовет у вас звоночек, и информация с веб-сайта поставщика AV подтвердит это.

Answer

Боюсь, что это не будет так просто, как вам хотелось бы. Если не считать всего остального, ваша сеть теперь отличается от той, какой она была до заражения, поэтому любое ваше расследование вряд ли даст достоверные результаты. Во-вторых, многие вредоносные программы могут быть удивительно хороши в заметании следов (многие также могут быть удивительно плохими...), поэтому вы зависите от того, что соответствующая информация была изначально зарегистрирована.

Итак, ваш подход заключается в том, чтобы определить, что это был за червь, прочитать о том, как он распространяется, и сделать обоснованное предположение, что именно так он распространился в вашей сети. Однако я предполагаю, что вас больше интересует, как он проник, чтобы вы могли быть уверены, что дверь закрыта в будущем. Это, скорее всего, будет один из старых фаворитов: пользователи, работающие с правами администратора, неконтролируемый доступ к USB-устройствам, незащищенный веб-доступ, использование старого программного обеспечения, устаревший AV, неспособность поддерживать актуальность исправлений безопасности, плохая конфигурация брандмауэра или шлюза и так далее. Один из них, вероятно, вызовет у вас звоночек, и информация с веб-сайта поставщика AV подтвердит это.

Определите, как червь распространился в сети

решение1

решение2

решение3

Связанный контент