Почему бы не уничтожить машину после очистки от вредоносного ПО?

Question 1

«многие обучающие видео и инструменты предназначены для рабочих станций»

_{(Вероятно, это должно звучать так: длядомпользователи)}

Справедливо предположить, что многие домашние пользователи не делают (регулярных) резервных копий, а их ноутбук/ПК — их (единственное) домашнее животное. Их время и усилия «бесплатны», а их данные и файлы стали простоДействительноценным для них после заражения вредоносным ПО.

Исходя из этого, вполне логично, что они прикладывают значительные усилия для того, чтобы сделать ноутбук или ПК достаточно функциональным для корректной загрузки и снова пригодным для использования с целью доступа к данным и файлам и их восстановления.

Для многих домашних пользователей в такой ситуации это уже достижение, и они теперь счастливы.
Конец видео.

Они либо не знают, либо просто игнорируют тот факт, что их система, конечно же, не «полностью восстановлена» и что данные по-прежнему нельзя считать чистыми.

Как профессионал, вы можете получать указания от людей, которые имеют мировоззрение такого домашнего пользователя (то есть, что «ремонт» и восстановление работоспособности взломанной системы — это почти невыполнимая задача, которая всегда необходима для восстановления файлов и данных), которые считают, что вы как профессионал можете добиться многого, чего они не могут (и это, конечно, правильно), и которые затем (ошибочно) также полагают, что когда ВЫ выполняете ремонт взломанной системы и данныхможетможно быть уверенным, что он снова станет чистым без переустановки.

Задача ИТ-отдела/вас – дать надлежащий отпор.

Например, теоретически (и в реальности, не так ли?) у вас есть надлежащие резервные копии и/или репликация данных для соблюдения RPO и RTO, и вам не нужно восстанавливать данные со скомпрометированного сервера для обеспечения непрерывности бизнеса.

Уничтожьте скомпрометированную систему, запустите автоматизированные скрипты установки и настройки, выполните повторное развертывание и будьте счастливы.

Я думаю, мой рабочий процесс, вероятно, будет выглядеть примерно так:
очистка машины/восстановление файлов, которые не были сохранены
-> уничтожение/переустановка машины
-> исправление/обновление/восстановление резервной копии
-> добавление машины обратно в сеть.

Похоже, вы начинаете писать то, что на «корпоративном жаргоне» называется Планом реагирования на инциденты.

Это разумный первый старт.Ответ Филла У.уже связано схороший ресурс здесь на ServerFaultно, пожалуйста, имейте в виду, что план реагирования на инциденты не только написан системным администратором и для него, но также должен поддерживаться вашим бизнесом. Решения там тесно связаны с вашим планом восстановления после сбоев, где часто решаются вопросы резервного копирования и восстановления данных (RPO и RTO).

Answer

«многие обучающие видео и инструменты предназначены для рабочих станций»

_{(Вероятно, это должно звучать так: длядомпользователи)}

Справедливо предположить, что многие домашние пользователи не делают (регулярных) резервных копий, а их ноутбук/ПК — их (единственное) домашнее животное. Их время и усилия «бесплатны», а их данные и файлы стали простоДействительноценным для них после заражения вредоносным ПО.

Исходя из этого, вполне логично, что они прикладывают значительные усилия для того, чтобы сделать ноутбук или ПК достаточно функциональным для корректной загрузки и снова пригодным для использования с целью доступа к данным и файлам и их восстановления.

Для многих домашних пользователей в такой ситуации это уже достижение, и они теперь счастливы.
Конец видео.

Они либо не знают, либо просто игнорируют тот факт, что их система, конечно же, не «полностью восстановлена» и что данные по-прежнему нельзя считать чистыми.

Как профессионал, вы можете получать указания от людей, которые имеют мировоззрение такого домашнего пользователя (то есть, что «ремонт» и восстановление работоспособности взломанной системы — это почти невыполнимая задача, которая всегда необходима для восстановления файлов и данных), которые считают, что вы как профессионал можете добиться многого, чего они не могут (и это, конечно, правильно), и которые затем (ошибочно) также полагают, что когда ВЫ выполняете ремонт взломанной системы и данныхможетможно быть уверенным, что он снова станет чистым без переустановки.

Задача ИТ-отдела/вас – дать надлежащий отпор.

Например, теоретически (и в реальности, не так ли?) у вас есть надлежащие резервные копии и/или репликация данных для соблюдения RPO и RTO, и вам не нужно восстанавливать данные со скомпрометированного сервера для обеспечения непрерывности бизнеса.

Уничтожьте скомпрометированную систему, запустите автоматизированные скрипты установки и настройки, выполните повторное развертывание и будьте счастливы.

Я думаю, мой рабочий процесс, вероятно, будет выглядеть примерно так:
очистка машины/восстановление файлов, которые не были сохранены
-> уничтожение/переустановка машины
-> исправление/обновление/восстановление резервной копии
-> добавление машины обратно в сеть.

Похоже, вы начинаете писать то, что на «корпоративном жаргоне» называется Планом реагирования на инциденты.

Это разумный первый старт.Ответ Филла У.уже связано схороший ресурс здесь на ServerFaultно, пожалуйста, имейте в виду, что план реагирования на инциденты не только написан системным администратором и для него, но также должен поддерживаться вашим бизнесом. Решения там тесно связаны с вашим планом восстановления после сбоев, где часто решаются вопросы резервного копирования и восстановления данных (RPO и RTO).

Question 2

Очистка машины/Восстановление файлов, резервная копия которых не была создана...

... любой или все из которых могут бытьскомпрометирован. Вам следуеттолькоиспользуйте эти файлы для диагностики вне сети, чтобы отслеживать уязвимость, которая позволила вредоносному ПО. Не пытайтесь перестроить работающую систему на их основе.

Уничтожить/переустановить машину... исправить/обновить/восстановить резервную копию... добавить машину обратно в сеть.

Это общепринятый способсправиться со скомпрометированным сервером, но потенциально занимаетмного времении плохо сформулированная корпоративная стратегия восстановления может не допустить этого. Вот почему нас просят «быстро» «залатать» все обратно, несмотря на присущий этому риск.

Answer

Очистка машины/Восстановление файлов, резервная копия которых не была создана...

... любой или все из которых могут бытьскомпрометирован. Вам следуеттолькоиспользуйте эти файлы для диагностики вне сети, чтобы отслеживать уязвимость, которая позволила вредоносному ПО. Не пытайтесь перестроить работающую систему на их основе.

Уничтожить/переустановить машину... исправить/обновить/восстановить резервную копию... добавить машину обратно в сеть.

Это общепринятый способсправиться со скомпрометированным сервером, но потенциально занимаетмного времении плохо сформулированная корпоративная стратегия восстановления может не допустить этого. Вот почему нас просят «быстро» «залатать» все обратно, несмотря на присущий этому риск.

Почему бы не уничтожить машину после очистки от вредоносного ПО?

решение1

решение2

Связанный контент