Так что это вопрос для новичков.
Почему мы проводим очистку на машине, которая была заражена вредоносным ПО, а не уничтожаем ее напрямую? Я понимаю, что в некоторых ситуациях это невозможно (например, большие серверы БД или когда у нас нет резервной копии). Но многие видеоинструкции и инструменты предназначены для рабочих станций, а не для крупномасштабных серверов.
Я думаю, мой рабочий процесс, вероятно, будет выглядеть примерно так: очистка машины/восстановление файлов, которые не были сохранены -> уничтожение/переустановка машины -> исправление/обновление/восстановление резервной копии -> добавление машины обратно в сеть.
Но насколько я понимаю, если возможно, то только первый шаг "очистка машины" делается как мера по борьбе с вредоносным ПО. Но можем ли мы полностью доверять тому, что все вредоносное ПО было удалено на этапе "очистки"? Я слишком параноик и делаю 10-кратную работу вместо необходимого или я что-то упускаю?
Спасибо за ваши ответы.
решение1
«многие обучающие видео и инструменты предназначены для рабочих станций»
(Вероятно, это должно звучать так: длядомпользователи)
Справедливо предположить, что многие домашние пользователи не делают (регулярных) резервных копий, а их ноутбук/ПК — их (единственное) домашнее животное. Их время и усилия «бесплатны», а их данные и файлы стали простоДействительноценным для них после заражения вредоносным ПО.
Исходя из этого, вполне логично, что они прикладывают значительные усилия для того, чтобы сделать ноутбук или ПК достаточно функциональным для корректной загрузки и снова пригодным для использования с целью доступа к данным и файлам и их восстановления.
Для многих домашних пользователей в такой ситуации это уже достижение, и они теперь счастливы.
Конец видео.
Они либо не знают, либо просто игнорируют тот факт, что их система, конечно же, не «полностью восстановлена» и что данные по-прежнему нельзя считать чистыми.
Как профессионал, вы можете получать указания от людей, которые имеют мировоззрение такого домашнего пользователя (то есть, что «ремонт» и восстановление работоспособности взломанной системы — это почти невыполнимая задача, которая всегда необходима для восстановления файлов и данных), которые считают, что вы как профессионал можете добиться многого, чего они не могут (и это, конечно, правильно), и которые затем (ошибочно) также полагают, что когда ВЫ выполняете ремонт взломанной системы и данныхможетможно быть уверенным, что он снова станет чистым без переустановки.
Задача ИТ-отдела/вас – дать надлежащий отпор.
Например, теоретически (и в реальности, не так ли?) у вас есть надлежащие резервные копии и/или репликация данных для соблюдения RPO и RTO, и вам не нужно восстанавливать данные со скомпрометированного сервера для обеспечения непрерывности бизнеса.
Уничтожьте скомпрометированную систему, запустите автоматизированные скрипты установки и настройки, выполните повторное развертывание и будьте счастливы.
Я думаю, мой рабочий процесс, вероятно, будет выглядеть примерно так:
очистка машины/восстановление файлов, которые не были сохранены
-> уничтожение/переустановка машины
-> исправление/обновление/восстановление резервной копии
-> добавление машины обратно в сеть.
Похоже, вы начинаете писать то, что на «корпоративном жаргоне» называется Планом реагирования на инциденты.
Это разумный первый старт.Ответ Филла У.уже связано схороший ресурс здесь на ServerFaultно, пожалуйста, имейте в виду, что план реагирования на инциденты не только написан системным администратором и для него, но также должен поддерживаться вашим бизнесом. Решения там тесно связаны с вашим планом восстановления после сбоев, где часто решаются вопросы резервного копирования и восстановления данных (RPO и RTO).
решение2
Очистка машины/Восстановление файлов, резервная копия которых не была создана...
... любой или все из которых могут бытьскомпрометирован. Вам следуеттолькоиспользуйте эти файлы для диагностики вне сети, чтобы отслеживать уязвимость, которая позволила вредоносному ПО. Не пытайтесь перестроить работающую систему на их основе.
Уничтожить/переустановить машину... исправить/обновить/восстановить резервную копию... добавить машину обратно в сеть.
Это общепринятый способсправиться со скомпрометированным сервером, но потенциально занимаетмного времении плохо сформулированная корпоративная стратегия восстановления может не допустить этого. Вот почему нас просят «быстро» «залатать» все обратно, несмотря на присущий этому риск.