所以這是一個菜鳥問題。
為什麼我們要對感染了惡意軟體的電腦進行清理,而不是直接對其進行核攻擊?我知道在某些情況下這是不可能的(例如大型資料庫伺服器或當我們沒有備份時)。但許多指導影片和工具是為工作站而不是大型伺服器設計的。
我想我的工作流程可能是這樣的:清理機器/恢復尚未備份的檔案 -> Nuke/重新安裝機器 -> 修補/更新/恢復備份 -> 將機器新增回網路。
但據我了解,如果可能的話,只執行第一步「清理機器」作為處理惡意軟體的措施。但我們能否完全相信所有惡意軟體都已在「清理」步驟中被刪除?我是否偏執並為需要的東西做了 10 倍的工作,或者我錯過了什麼?
謝謝您的回答。
答案1
“許多教學影片和工具都是為工作站設計的”
(這可能應該是:對於家用戶)
對於許多家庭用戶來說,一個合理的假設是他們不進行(定期)備份,並且他們的筆記型電腦/個人電腦是他們(唯一的)寵物。他們的時間和精力是「免費」的,他們的數據和文件只會變得真的惡意軟體感染後對他們有價值。
在此前提下,他們花費大量精力來使筆記型電腦或 PC 的功能足以正常啟動並再次變得足夠可用以存取和恢復其資料和檔案是有意義的。
對於許多處於這種情況的家庭用戶來說,這已經是相當大的成就了,他們現在很高興。
影片結束。
他們要么不知道,要么乾脆忽略了他們的系統當然沒有“完全修復”,並且仍然不能相信數據是乾淨的。
作為專業人士,您可能會從具有家庭用戶世界觀的人那裡得到指示(即“修復”並使受感染的系統備份並運行是一項幾乎難以克服的任務,並且始終是恢復文件和資料所必需的),他們相信你作為專業人士可以實現許多他們無法完成的事情(誠然是正確的),然後他們(錯誤地)還相信當你修復受損的系統和數據時能值得信賴,無需重新安裝即可再次乾淨。
IT 部門/您有責任給予適當的支援。
例如,理論上(實際上,對嗎?)您擁有適當的備份和/或資料複製來滿足 RPO 和 RTO,並且不需要從受損的伺服器恢復資料以實現業務連續性。
對受感染的系統進行核攻擊,運行自動化安裝和配置腳本,重新部署並感到高興。
我想我的工作流程可能是這樣的:
清理機器/恢復尚未備份的檔案
-> Nuke/重新安裝機器
-> 修補/更新/恢復備份
-> 將機器添加回網路。
聽起來您正在開始編寫“企業術語”中所謂的事件回應計劃。
這是一個合理的第一步。PhilL W.的回答已經連結到ServerFault 上的一個很好的資源但請注意,事件回應計畫不僅是由系統管理員編寫並為系統管理員編寫的,而且還應該得到您的企業的支援。那裡的決策與災難復原計劃密切相關,通常決定資料備份和復原(RPO 和 RTO)。
答案2
清理機器/恢復未備份的檔案...
....其中任何或全部可能是妥協的。你應該僅有的將這些文件用於離線診斷目的,以追蹤允許惡意軟體進入的漏洞。您不應該嘗試基於它們重建正在運行的系統。
Nuke/重新安裝機器...修補/更新/恢復備份...將機器新增回網路。
這是普遍接受的方式處理受感染的伺服器,但可能需要很久而措辭不當的企業復甦策略可能不允許這樣做。這就是為什麼我們被要求「快速」修補」事物,儘管這樣做有固有的風險。