Pytanie:
Jak wyjaśnisz konieczność „wysadzenia go z orbity” zarządowi i użytkownikom?
Polynomial
2012-11-19 19:59:04 UTC
view on stackexchange narkive permalink

Gdy maszyna została zainfekowana złośliwym oprogramowaniem, większość z nas natychmiast identyfikuje odpowiednie działanie jako „wysadzenie go z orbity” - tj. wyczyść system i zacznij od nowa. Niestety jest to często kosztowne dla firmy, zwłaszcza jeśli kopie zapasowe są skonfigurowane w sposób mniej niż optymalny. Może to wywołać opór ze strony kierownictwa i użytkowników, którzy chcą nadal używać maszyny do pracy. W końcu, jeśli o to chodzi, mogą „po prostu przełożyć na to oprogramowanie antywirusowe” i wszystko będzie dobrze.

Jak wyjaśnisz problem kierownictwu i użytkownikom o nietechnicznym charakterze? Mogę łatwo podać techniczny powód, ale mam problem z wymyśleniem odpowiedniego sformułowania dla użytkowników nietechnicznych. Szczególnie doceniłbym każdy sposób mówienia, z którym odbiorca może się identyfikować, np. odwołanie się do poczucia zarządzania ryzykiem przez menedżera.

Bardziej na temat. Jak bezpiecznie przenieść dane użytkownika na nową maszynę. To jest problem, z którym się spotykam.
@ktothez Lepiej nie przesyłać danych użytkownika; np. polegaj na bezpiecznej kopii zapasowej sprzed infekcji. Jednak w razie potrzeby zrobiłbym coś takiego jak [moja odpowiedź] (http://security.stackexchange.com/a/24221/2568) przekonwertować dokumenty MS Office na dokumenty w postaci zwykłego tekstu / pliki CSV na zainfekowanej maszynie, uruchomić system Linux live cd na zainfekowanym komputerze, podłącz zainfekowany dysk twardy za pomocą `-noexec`, a następnie selektywnie skopiuj ograniczoną liczbę dokumentów tekstowych z zainfekowanej maszyny na inny komputer. Bądź jednak podejrzliwy wobec złośliwie zmienianych plików - np. Plików konfiguracyjnych, haseł, danych itp.
Czy nie wystarczy powiedzieć, że proponowany przez ciebie kierunek działania jest jedynym, który gwarantuje pożądany rezultat (zakładając oczywiście, że jest to jedyny sposób działania, który gwarantuje pożądany rezultat)?
@ dr. jimbob robię coś podobnego.
@ jah niestety nie prowadzi programu w większości miejsc. Decyzje IT są często zastępowane przez osoby bez wiedzy informatycznej.
@jah Niestety nie. Pożądanym rezultatem dla nich są absolutnie minimalne wydatki w celu ograniczenia ryzyka. Pożądany rezultat to dla mnie absolutnie minimalne ryzyko. Sztuczka polega na znalezieniu równowagi, która działa dobrze dla obu stron medalu. Niestety, tej równowagi nie da się łatwo osiągnąć, jeśli obie strony się nie zrozumieją.
„Och, mój samochód złapał gumę”. „NUKEJ GO Z ORBITY!”
@Polynomial: Coś, co wszyscy rozumieją (lub powinni) to zwrot z inwestycji. Najlepszym długoterminowym zwrotem z inwestycji jest prawdopodobnie Twoja rekomendacja - zminimalizuj ryzyko. Minimalne wydatki są prawdopodobnie bardziej kosztowne w dłuższej perspektywie. Nawet kierownictwo by to zrozumiało (gdyby ci zaufało).
-1 * Kto powiedział, że * każda mała infekcja wymaga bomby atomowej z orbity?Jeśli moja ręka zacznie boleć, czy będziesz potrzebować amputacji tylko dlatego, że myślisz, że * może * to być coś, co mogłoby rozprzestrzenić się na resztę mojego ciała?A * kto mówi *, że nawet nukowanie z orbity może być wystarczające?Zawsze istnieje szansa (choć niewielka), że złośliwe oprogramowanie ma np.zainfekował oprogramowanie i przetrwa czyszczenie.Naprawdę, to pytanie nie ma sensu.
@Mehrdad To zależy od twojego modelu ryzyka.Jeśli korzystasz z komputera stacjonarnego w domu, może to nic wielkiego.Jeśli używasz serwera WWW, który obsługuje dane klientów, wymiana systemu ma sens w wielu scenariuszach.Ponadto przyciski „za” / „przeciw” są zwykle używane, gdy * jakość * pytania jest niska, a nie wtedy, gdy myślisz, że pytający się myli.Jeśli nie zgadzasz się z założeniem, napisz odpowiedź w tej sprawie.
@Polynomial: W swoim pytaniu powiedziałeś * nic * o tym!* „To zależy od modelu ryzyka” * ...?Tak, dokładnie to mówiłem i dokładnie to ignoruje twoje pytanie.* „Serwer WWW obsługujący dane klientów” * ...?Nigdzie w swoim pytaniu nie zakładałeś, że tak było;powiedziałeś właśnie „maszyna” i dla wszystkich czytelników możesz mówić o stacjach roboczych inżynierów lub serwerach, które nie obsługują danych klientów.* „Wymiana systemu” * ...?Powiedziałeś, że wytrzyj, nie zastępuj, stąd ostatnia część mojego poprzedniego komentarza.Dla mnie pytanie * jest * niskiej jakości ...
@Mehrdad Uczciwe punkty.Napisałem pytanie bez uwzględniania tych rzeczy, ponieważ chciałem uniknąć nieco filozoficznej dyskusji na temat apetytu na ryzyko i podejść do reagowania na incydenty.Oczywiście te rzeczy mają znaczenie przy podejmowaniu decyzji o * czy * zbombardować system z orbity, ale pytanie zostało postawione z perspektywy, w której (przynajmniej z punktu widzenia menedżera bezpieczeństwa) wybrano * już * dokonanie atomizacji z orbityjako najwłaściwsze działanie.Próba wyjaśnienia tego powodu osobie nietechnicznej jest trudna i właśnie o to chodzi w tym pytaniu.
Dziesięć odpowiedzi:
KDEx
2012-11-19 22:56:00 UTC
view on stackexchange narkive permalink

Z mojego doświadczenia wynika, że ​​kierownictwo nie lubi słuchać sprytnych analogii. W zależności od osoby, której zależy na zyskach w dolarach lub godzinach produktywności. Wyjaśniłbym:

W rzeczywistości ujawnienie naszych danych będzie kosztować firmę około X dolarów + Y godzin, aby je odzyskać. Jest to Z% prawdopodobieństwa wystąpienia, biorąc pod uwagę złośliwe oprogramowanie na tym komputerze. Odzyskanie nowej instalacji będzie kosztować A dolary + B godzin. Wybierasz odpowiednią akcję.

Jest krótkie i jasne i tak naprawdę nie pozostawia miejsca na kłótnie. Zrozumieją ryzyko i powinni podjąć właściwą decyzję.

Problemem jest podstawowa _pewność_ dotycząca X% - po wystąpieniu infekcji może wynosić od 0% do 100%. Nie ma sposobu, aby powiedzieć, gdzie, a jest tylko jeden sposób, aby obniżyć to do 0%. Jest to bardziej skomplikowana koncepcja niż ryzyko, dlatego też dla jasności sugerowałbym użycie różnych zmiennych dla dolarów i godzin, np. Y i Z.
Dobra odpowiedź, KDEx: bezpieczeństwo jest dobrem ekonomicznym, mającym swoją cenę i wartość. Uważam, że X% złośliwego oprogramowania jest prawdopodobnie szalenie zawyżone, co prowadzi do nawyku „nuke it from orbit”, ale tak naprawdę zajmowałem się tylko złośliwym oprogramowaniem dla systemów Solaris i Linux. Szkodliwe oprogramowanie dla systemu Windows z pewnością brzmi dziwniej i bardziej uporczywie.
Problem polega na oszacowaniu kosztów przestoju - ale nie powinno to być Twoim obowiązkiem - jednak musisz to wiedzieć, aby kosztować potencjalne rozwiązania. Ale uważaj, jeśli polegasz na AV jako rozwiązaniu: Art Taylor szacuje 30% prawdopodobieństwo dobrego wyniku - ale IMHO jest to raczej optymistyczne - prawdopodobnie skończysz tylko tymczasowo usuwając niektóre objawy.
@KDEx musisz wziąć pod uwagę swoich odbiorców i dostosować do nich swoją odpowiedź. $ X> $ Y może być najlepszą odpowiedzią dla niektórych odbiorców, ale nie wszyscy menedżerowie myślą tak konkretnie, nawet mając określone liczby. Gdyby to zrobili, nie próbowaliby zastąpić eksperta w danej sytuacji własnym rozwiązaniem technicznym (przeprowadźcie AV!). To prawda, musisz znać swoje liczby, kiedy dyskusja dojdzie do tego punktu, ale nawet Ty stwierdzasz, że jest miejsce na interpretację (X%), co oznacza, że ​​zawsze jest miejsce na spór.
To nie zawsze jest tylko porównanie dolarów, to ocena ryzyka. Zapewniając środki, czas i ryzyko związane z różnymi rozwiązaniami, pomagasz kierownictwu w dokonywaniu inteligentnej oceny ryzyka. Uwagi dotyczące niepewności co do ryzyka (X%) są dyskusyjne - to szacunek oparty na opinii i doświadczeniu ekspertów. Jeśli kierownictwo nie ufa ci wystarczająco, aby przyjąć opinię eksperta jako taką i argumentować twoje szacunki, to już przegrałeś i nie uda ci się nikogo przekonać, bez względu na to, jak sprytna jest twoja analogia.
@BruceEdiger Istnieje szkodliwe oprogramowanie typu proof of concept, które może nawet ukryć się w baterii laptopa, co sprawia, że ​​ponowna instalacja od zera jest nieskuteczna, na szczęście jest to dowód słuszności koncepcji. Wystarczy trochę majstrować przy MBR i jest bardzo trudne do wykrycia i będzie w stanie ponownie zainstalować się przy każdym uruchomieniu. Istnieje wiele innych miejsc w systemie, w których może ukrywać się złośliwe oprogramowanie, problem polega i zawsze znajdował je wszystkie.
Trudność polega na tym, aby zapewnić im rozsądne oszacowanie X% i kosztów, w granicach nachylenia windy. Nie chcą długiej rozmowy - chcą tylko upewnienia się, że najbardziej opłacalna opcja to ta, do której się wybieramy. Opłacalność może zależeć od oceny ryzyka w dłuższej perspektywie, ale próba podania rozsądnego oszacowania X% jest ostrzem noża. Błądzą zbyt nisko i prawdopodobnie zamiast tego przyjmą podejście AV. Jeśli pójdziesz za wysoko, ryzykujesz, że zostaniesz handlarzem FUD. Nawet jeśli zrobisz to dobrze, * nadal możesz zostać właścicielem *, co pozostawi cię w gorącej wodzie.
@Polynomial, który brzmi jak duża niepewność ... która dla wielu osób zarządzających (w zależności od branży) _ jest_ definicją ryzyka. Dlatego z definicji jest to trudne oszacowanie. Będąc ekspertem w tej dziedzinie, jesteś najlepiej przygotowaną osobą do dokonania tej oceny i przekazania jej decydentom, prawda?
Jeśli chodzi o koszt przestojów, naprawdę nie ma żadnych kosztów, ponieważ w każdym odpowiednim środowisku serwer pomostowy będzie gotowy do pracy.Przenieś obraz pomostowy na serwer produkcyjny i gotowe, mniej więcej (w zależności od tego, jak dobrze utrzymywane jest środowisko programistyczne).
Art Taylor
2012-11-19 23:45:36 UTC
view on stackexchange narkive permalink

Unikałbym analogii biologicznych lub pozabiznesowych (chyba że jest to szpital). Twoim zadaniem jest ocena ryzyka, kosztów i przedstawienie opcji. Zadaniem twojego kierownictwa jest podjęcie decyzji na podstawie twojej analizy i rady.

Ogólnie, najlepsze jest podejście w formie tabelarycznej. „podejście”, „prawdopodobieństwo rozwiązania problemu”, „koszt” to minimum. Możesz zadzwonić do drugiego „Vegas”, jeśli absolutnie musisz być uroczy.

Na przykład w tym przypadku możesz mieć następujące rzeczy. 

  Podejście Prognozy CostRun anti -wirus na maszynie 30% 4 godziny IT, 4 godziny przestoju Wymiana maszyny na nową maszynę 75% 3000 USD, 16 godzin IT, 4 godziny przestoju Maszyna AV, kopiowanie plików użytkownika, wymiana maszyny, przywracanie 60% 3000 USD, 24 godziny IT, 4 godziny użytkownika , 8 godzin przestoju plików

Na tej liście (zakładając pulpit użytkownika), prawdziwym problemem jest zachowanie użytkownika. Będziesz chciał udokumentować, dlaczego prognoza < w 100% dla różnych opcji i dlaczego wszystko, co dotyczy plików użytkownika, jest mniej skuteczne niż „nuking z orbity”.

W zależności od problemu możesz chcieć dodaj „nic nie robienie” lub „czekanie”, które poinformują kierownictwo o ryzyku dla całej firmy.

+1 do tabeli kosztów i korzyści. Właśnie to chce zobaczyć większość kierownictwa.
To bardzo dobra odpowiedź. Oczywiście tabela, a także scenariusze nie robienia niczego lub czekania, o których wspomniałeś, nawet jeśli nie możesz tak dobrze oszacować ryzyka ujemnego. Są to jednak realne opcje i to świetnie, że je włączyłeś. Analogie specyficzne dla kontekstu są świetne, ale tylko wtedy, gdy są bezpośrednio związane z biznesem. Jeśli nie możesz tego zrobić z całą pewnością, najlepiej nie próbuj i zdecydowanie lepiej nie ujmuj rzeczy w kategoriach, które wzmocnią żmudne stereotypy dotyczące kultury pracy pracowników IT i bezpieczeństwa.
Ciekawa odpowiedź, moim zdaniem minusem przy twardej odpowiedzi liczbowej jest skąd biorą się procentowe prawdopodobieństwa? W wielu aspektach bezpieczeństwa, gdy ludzie próbują oszacować takie rzeczy, jak prawdopodobieństwa i koszty, liczby mają element „najlepszego przypuszczenia”, ponieważ tak naprawdę nie ma dobrego sposobu, aby je przewidzieć, a jeśli kwestionuje się, dlaczego są na tym poziomie, trudno jest się obronić im..
@RoryMcCune Chociaż nie wiem, czy to ma na myśli ArtTaylor, pomyślałbym o tym w stylu IT mówiącym _ "To jest to, co chcemy, żebyś zrobił" _... Pozostawiając ostateczną decyzję w ich rękach
Dlaczego miałbyś wymienić maszynę? Dlaczego po prostu nie wyczyściłeś dysku twardego i nie przeinstalowałbyś systemu?
Dość często dział IT będzie miał kilka maszyn przygotowanych do wymiany lub dostarczenia do nowych pracowników, albo nowych maszyn, albo maszyn, które zostały wyczyszczone po odejściu kogoś z firmy. Menedżerowie ds. Rekrutacji często śmierdzą informowaniem ich, że ktoś zaczyna w określonym dniu, więc buforują sprzęt. W takim przypadku często prostsze i tańsze (nie wspominając o mniej uciążliwości) jest podejść do biurka danej osoby, zabrać jej laptopa, dać jej „nowego” laptopa i poczekać, aż go skrzywdzi.
@RoryMcCune, jeśli nie ustanowiłeś zaufania, więc kierownictwo przyjmie twoje szacunki bez debaty na temat małej kwestii, takiej jak ta, musisz najpierw nad tym popracować. Do tego czasu musisz korzystać z historycznych liczb ze zwykłych źródeł (Gartner, Forrester, AMR itp.).
@ArtTaylor, ale jeśli nie masz ustanowionego zaufania, podawanie liczb, których nie możesz wykonać kopii zapasowej, jest naprawdę dobrym pomysłem. Interesujący punkt na liczbach historycznych, ale dla tego scenariusza (tj. Prawdopodobieństwa, że ​​dany produkt AV usunie określoną infekcję) nie ma żadnych historycznych liczb, które faktycznie podlegałyby analizie, o ile wiem, gdyby istniał link, byłoby dobrze aktualizacja :)
schroeder
2012-11-19 21:16:34 UTC
view on stackexchange narkive permalink

Możesz wypić wszystkie antywirusy z czerwonego wina, które chcesz wypróbować, i zapobiec zachorowaniu na raka, ale gdy pojawi się pierwszy guz, więcej picia nie pomoże. Musisz to wyciąć i upewnić się, że dostaniesz wszystko, ponieważ jeśli tego nie zrobisz, wróci.

Gdy zostaniesz zarażony wirusem, oczywistymi objawami są irytacja, ale to jest to, czego nie możesz zobaczyć, gdzie leży prawdziwe niebezpieczeństwo. Backdoory, rootkity i botnety mogą się ukrywać bez żadnych oznak, że coś jest nie tak. Czasami ukryte niebezpieczeństwa łączą się z oczywistymi niebezpieczeństwami, więc po ustąpieniu oczywistych objawów czujesz się bezpiecznie, ale oczywistym jest odwrócenie uwagi od tego, co ukryte.

Kiedy już wiesz, że zostałeś zarażony, nie wiesz jak daleko zajdzie infekcja, a nieświadomość tego oznacza, że ​​nie wiesz, co jest zagrożone. Najbardziej podstawowym sposobem działania jest wysadzenie go z orbity. W ten sposób wiesz, gdzie jesteś i wiesz, jakie jest ryzyko, nawet jeśli rozpoczęcie od zera wiąże się z dużymi kosztami.

Twoja analogia do raka nie działa dobrze. „Zestrzel go z orbity” oznacza „zastrzel ofiarę raka i zacznij od jego najnowszego klonu”, co nie jest ogólnie preferowanym rozwiązaniem.
@CodesInChaos,, który całkowicie zależy od danego użytkownika. ;)
Dobrze się trzyma. Nie możemy zastąpić wszystkich komórek w ludzkim ciele, ale chcielibyśmy, aby to możliwe. Rak nigdy nie jest „wyleczony”, „przetrwał”, ponieważ nigdy nie możemy być pewni, że wszystkie komórki rakowe zostały usunięte. Dzięki komputerowi mamy możliwość wymiany wszystkich komórek, aby upewnić się, że wszystkie złośliwe elementy nie są już czynnikiem.
Powiedziałbym raczej jod niż czerwone wino, ale podoba mi się ta analogia do raka. Konieczność usunięcia go z sieci działa całkiem nieźle.
Mark Allen
2012-11-20 01:16:26 UTC
view on stackexchange narkive permalink

To proste - po prostu dokończ cytat w swoim pytaniu, od Obcych.

To jedyny sposób, aby mieć pewność.

To naprawdę wszystko. Nic dodać nic ująć. Poinformuj ich, że jeśli uruchomisz na nim oprogramowanie antywirusowe i oprogramowanie powie, że znalazło i usunęło wirusa, być może wszystko jest w porządku. Może. Jeśli wirus został naprawdę usunięty. Gdyby to był naprawdę jedyny wirus.

Odpowiadając na to, co ktoś inny napisał na temat „Jak zachować dane użytkownika z komputera”, odpowiadam, że nie. „ZDJĘCIE I ZATRZYMAJ CAŁĄ WITRYNĘ Z ORBITY” Oznacza to, że przywracasz dane z kopii zapasowej i tracisz wszystko, co nie zostało skopiowane. Nie jest to łatwe, ale słuszne.

Ponieważ to jedyny sposób, aby mieć pewność .

Poczekaj sekunde. Ta instalacja ma znaczną wartość dolara.
Mogę je wystawić rachunek!
Thomas Pornin
2012-11-19 21:48:35 UTC
view on stackexchange narkive permalink

Spróbuj szpiegów. Wydaje się, że ostatnie dzieło Jamesa Bonda zawiera miliony wpisów, więc ogół ludzi jest na razie otwarty na historie szpiegowskie. Wyjaśnij, że kiedy już niewiarygodni / wrogo nastawieni ludzie przejmują kontrolę (to jest „skompromitowana” konfiguracja), nie ma sposobu na przywrócenie odpowiedniego bezpieczeństwa przez poproszenie ich o zrobienie tego ; a jednak o to chodzi w uruchamianiu antywirusa na zainfekowanej maszynie. Sieci szpiegowskie na całym świecie zawsze były segregowane w autonomiczne komórki, dokładnie tak, aby zgniłe części mogły zostać odcięte. Gdy agent zostanie obalony, być może możesz go z powrotem obalić, ale nigdy więcej mu nie zaufasz.

Aby uczynić demonstrację pełniejszą, opowiedz o zainfekowanym oprogramowaniu sprzętowym klawiatury, które podkreśla konieczność rzeczywistego podpalenia maszyny. Ponowne użycie sprzętu, nawet po wyczyszczeniu, jest ryzykowne. Dlatego menedżerowie / użytkownicy powinni być wdzięczni, że zgadzamy się nie przeprowadzać pełnego oczyszczania i ograniczamy się do logicznego nukingu, a nie fizycznego. Poczuj, że to już poważny kompromis z Twojej strony.

Chociaż jest to dobry sposób ujęcia tego z literackiej perspektywy, obawiam się, że takie wyjaśnienie pozostawiłoby większość kierownictwa średniego szczebla w osłupieniu z zupełnie innego punktu widzenia.
Czy wiesz, czy Apple zrobił coś z włamaniem do oprogramowania układowego klawiatury, czy też było widziane na wolności?
Nie jestem świadomy niczego, co się z nim stało, ani żadnych obserwacji na wolności. Ale to niewiele dowodzi ...
-1
mgjk
2012-11-20 00:08:40 UTC
view on stackexchange narkive permalink

Aby być adwokatem diabła, kierownictwo słyszało o tym wszystkim. Bezpieczeństwo to zarządzanie ryzykiem i to oni muszą podjąć decyzję. Przypomnij im tylko narzędzia. 

  Ryzyko = prawdopodobieństwo wystąpienia X wpływ wystąpienia

100% szans na przestój produkcji podczas odbudowy i koszty odbudowy w porównaniu z 0,01% szansą na złośliwe oprogramowanie oprogramowanie lub backdoory pozostające w systemie.

Kto miałby kontrolować tylne drzwi? Cyberprzestępcy dokonujący seryjnych przestępstw z Chin, Rosji lub Europy Wschodniej. Do czego mieliby dostęp? dane systemowe, udziały plików, sniffery klawiatury, mikrofony, kamery itp. Za ile byliby w stanie sprzedać te informacje? Jak długo mogą pozostać niewykryte?

Co to oznacza dla danej maszyny i zawartych na niej informacji?

Następnie przedstaw swoją ocenę celu (wykorzystując ograniczone informacje), i pozwól im podjąć decyzję. Znają finanse i mają lepszy wgląd w prawdziwą wartość celu.

Istnieje wiele innych wektorów ataku. Niezadowoleni pracownicy, kontrahenci i ich sprzęt, backdoory w legalnym oprogramowaniu, źle skonfigurowane systemy bezpieczeństwa, niezaszyfrowane dyski itp. To niedoskonały świat. Pieniądze i czas spędzony na odbudowie można lepiej wydać gdzie indziej, na przykład naprawianie zasad haseł, wzmacnianie serwerów poczty e-mail, ulepszanie kopii zapasowych itp.

tylerl
2012-11-20 00:05:08 UTC
view on stackexchange narkive permalink

Z punktu widzenia technika z pewnością masz rację. Ale CEO nie patrzy na to z punktu widzenia technika. Więc albo musisz przedstawić argument w kategoriach, które mają dla niego sens.

Żadne rozwiązanie nie jest w 100% skuteczne. Nawet nie „wysadzaj go z orbity”. Otrzymujesz prawdopodobieństwa. Umieść to w tabeli kosztów i korzyści, a mówisz językiem zrozumiałym dla dyrektora generalnego: (liczby tutaj są tylko przykładami)

  • Jeśli więc usunę sam oczywiste złośliwe oprogramowanie, wtedy koszt jest najniższy (1 godzina pracy / przestój) i prawdopodobnie 20% skuteczny (w 80% przypadków osoba atakująca szybko wróci).

  • Jeśli wyczyszczę oczywiste złośliwe oprogramowanie i poświęcić dodatkowy czas na badanie wszelkich plików zmienionych w ciągu ostatnich 48 godzin, a następnie otrzymuję wyższy wskaźnik sukcesu i wyższe koszty: 6 godzin pracy / przestoju, 60% wskaźnik sukcesu

  • Być może jeśli zrobię wszystko powyższe i przeinstaluję wszystkie pakiety systemowe (np. w systemach RH: yum reinstalacja openssh-server itd.), wtedy koszty i wskaźniki sukcesu spadną wyższa: 12 godzin pracy / przestoju, 95% wskaźnik sukcesu

  • Jeśli wykonam wszystkie powyższe czynności, plus poświęć więcej czasu na sprawdzanie / usuwanie plików w / bin, / sbin / itp., które nie są własnością żadnego pakietu, być może to dodaje kolejne 4 godziny i daje mi dodatkowe 3% punktów na mój wskaźnik sukcesu.

  • Wreszcie, jeśli „nuke it from orbit”, uzyskam najwyższy koszt i wskaźnik sukcesu: 48 godzin pracy / przestoju, 99,995% wskaźnik sukcesu

Następnie obliczamy, ile kosztuje każda godzina pracy / przestoju, a także dodajemy koszt każdego incydentu każdego exploita i zaczynamy rozumieć które rozwiązanie będzie prawdopodobnie kosztować najmniej / najwięcej w perspektywie długoterminowej. A teraz to prosta decyzja biznesowa. Prezesi są w tym dobrzy.

Oczywiście powyższe rozwiązania zakładają środowisko * NIX, ale możesz wymyślić podobną listę dla systemów Windows. Upewnij się, że dorzuciłeś AV jako opcję z realistycznym powiązanym współczynnikiem sukcesu.

Oto problem: prawdopodobieństwa są trudne do wymyślenia. Jeśli nie zrobiłeś lub nie widziałeś wielu z tych półmetkowych rozwiązań, prawdopodobnie nie masz żadnych podstaw do kontynuowania. Poza tym przekonanie specjalisty ds. Bezpieczeństwa do zastosowania powyższego rozwiązania 3, gdy wie, że specjalnie ignoruje niektóre potencjalnie poważne zagrożenia, będzie trudną sprzedażą.

Ale za decyzję i ryzyko odpowiada dyrektor generalny, a nie specjalista ds. bezpieczeństwa. Może zdecydować się na mniej bezpieczną opcję, ale o ile wie, jakie ryzyko podejmuje , powinien mieć swobodę.

Prawdziwym problemem jest to, że kiedy dyrektor generalny zdecyduje się na coś mniejszego niż nukowanie z orbity, a infekcja przeżyje i wyrządzi poważne szkody, kombinezon może się odwrócić i powiedzieć, że skoro wybrana opcja była skuteczna w 95% i zawiodła, to 95% wina spada na administratora systemu, który wyzdrowiał, a ponieważ ktoś musi zostać zwolniony jako kozioł ofiarny za fiasko, to oczywiście powinna być osoba, której nie udało się skutecznie usunąć infekcji.
@DanNeely Z pewnością jest to coś, o co można się spodziewać. Ale tak długo, jak wszystko jest odpowiednio wyjaśnione i udokumentowane, nie powinno. Jeśli kupisz produkt z udokumentowanym 2% odsetkiem wad w umowie, nie możesz zrzucić 98% winy za wady na producenta. To w 100% decydent. Jeśli jesteś w miejscu pracy, w którym jest to problem, powinieneś po prostu (a) stanowczo odmówić zrobienia tego, co powie ci dyrektor generalny i / lub (b) znaleźć nową pracę.
* `yum reinstalacja openssh-server` etc * zależy od tego, czy możesz zaufać` yum`, że zrobi to, co powinien. Czy ty?
@MichaelKjörling zazwyczaj tak. Ponownie gramy na prawdopodobieństwach i średnich. ssh / sshd * często * są poddawane trojanom, podobnie jak coreutils, w tym suma md5. Jednak do tej pory w tysiącach zhakowanych systemów, które zbadałem, nie trojanowały programów yum, python ani rpm. To nie jest niemożliwe, po prostu nie jest (jeszcze) popularne.
GdD
2012-11-19 20:14:55 UTC
view on stackexchange narkive permalink

To trudne. Musisz użyć pojęć zrozumiałych dla przeciętnego człowieka i znaleźć sposób, aby sprawić, by się tym przejmował. Użyłbym wirusów biologicznych i sposobu ich działania, aby wyjaśnić, jak działają wirusy komputerowe, ponieważ każdy ma z tym doświadczenie i może sprawić, że użytkownik będzie „sympatyzował” z sytuacją komputera.

Wirus biologiczny podważa komórkę, sprawiając, że robi to, czego chce wirus. Wirus staje się zasadniczo zombie. Nie możesz ufać komórce, że zrobi to, co powinna, i nie możesz zatrzymać komórki zainfekowanej wirusem i przywrócić jej normalność, maszyneria została przejęta tak dokładnie, że możesz ją tylko zabić.

Starszy wirus komputerowy nie naśladował bardzo dokładnie wirusów biologicznych. Ich poziom zaawansowania był taki, że byli w stanie zrobić pewne rzeczy, ale nie infekowali systemów do poziomu, którego nie można było usunąć. Ich przetrwanie zależało bardziej od tego, czy w systemie nie było AV.

Teraz wirusy komputerowe znacznie dokładniej naśladują wirusy biologiczne, są w stanie tak dokładnie obalić system, że nigdy nie można być pewnym, że są one czyste. Można powiedzieć, że jest to jasne, ale wirus ma tak całkowitą kontrolę, że może uniemożliwić wykrycie go przez AV. Komputer jest jak komórka zombie, a jedynym sposobem zapobiegania rozprzestrzenianiu się wirusa jest zabicie go.

Mike Samuel
2012-11-19 21:38:12 UTC
view on stackexchange narkive permalink

Wyobraź sobie, że żyjemy w horrorze. Twój narzeczony lub narzeczona (w zależności od przypadku) został przeklęty przez wiedźmę i teraz w nienaturalny sposób wypluwa pocisk wymiocinami, kręcąc głową.

Jako egzorcysta i chirurg-amator, masz dwie możliwości:

  1. Całkowicie wypędź demony i przywróć duszy ukochanej własność ciała.
  2. Spróbuj całodniowych i delikatnych operacji mózgu na nadnaturalnie silnym i niebezpiecznym ciele. walcz z każdą próbą.

Opcja 1 jest prosta, tania i działa (w horrorach).

Opcja 2 wymaga zespołów wysoko wykwalifikowanych i drogich lekarzy oraz prawdopodobnie nie zadziała, ponieważ nie możesz znieczulić demonów.

Przywracanie oprogramowania z kopii zapasowej jest analogiczne do opcji 1 i w przeciwieństwie do egzorcyzmów działa IRL.

Opcja 2 jest analogiczna do zatrudniania administratorów systemów do sprawdzania plików binarnych programu, plików danych i konfiguracji ze znaną dobrą kopią, którą mogli po prostu zainstalować na komputerze.

Myślę, że źle zrozumiałeś. Mogę podać techniczne wyjaśnienie, ale szukam sposobu, aby wyjaśnić to nietechnicznemu użytkownikowi lub menedżerowi. Ponadto 100 MB to nic w porównaniu z typową instalacją systemu operacyjnego w dzisiejszych czasach - patrzysz na dziesiątki gigabajtów dla systemu Windows 7 lub 8.
@Polynomial,, to była moja próba przedstawienia wyjaśnienia na poziomie szczegółowości, który mógłby być zrozumiały dla użytkownika nietechnicznego. Tak, 100 MB to obecnie niewielka instalacja dla systemu operacyjnego przeznaczonego dla użytkowników. Wiele serwerów specjalnego przeznaczenia, choć nadal działa na szczuplejszych systemach operacyjnych.
@Polynomial, zobacz moje zmiany.
Osobiście postawiłbym na to zombie - jeśli ktoś, kto przeżył, zostanie ugryziony, czy a) udzielisz pierwszej pomocy i pozwól mu wzruszyć ramionami, czy też b) zabij go tam, aby nie skrzywdził nikogo innego, a potem spalić ich zwłoki?
@user3490, Myślę, że ludzie wybiorą pierwszą opcję.
dr jimbob
2012-11-20 02:10:33 UTC
view on stackexchange narkive permalink

Warto zaznaczyć, że zwykle jest w porządku przesłanie cennych, niewykonalnych danych ( bez ostatniej kopii zapasowej ) z zainfekowanego maszynie, przed nukowaniem z orbity (wyczyszczenie dysku twardego, ponowna instalacja systemu operacyjnego z bezpiecznego źródła). Rzeczy takie jak dokumenty w postaci zwykłego tekstu (np. Rękopis lateksowy lub kod źródłowy) lub ważne pliki multimedialne (np. Zdjęcia rodzinnych wakacji) mogą być warte odzyskania, jeśli nie ma aktualnej kopii zapasowej. Musisz jednak podejrzewać, że wirus pozwala atakującemu na pełną kontrolę nad zainfekowanym systemem, a atakujący mógł zmodyfikować Twoje dane. Może to obejmować wprowadzenie backdoorów do kodu źródłowego, tworzenie własnych administratorów w bazach danych, zmianę plików konfiguracyjnych, aby system był w słabej konfiguracji, którą można ponownie zaatakować itp. (Przeczytałbym cały kod źródłowy z drobnymi zębami grzebień, aby upewnić się, że nie wprowadzono żadnych subtelnych zmian - i to tylko wtedy, gdy nie jest to krytyczne dla bezpieczeństwa). Uważaj również na niektóre pliki multimedialne, które mogą zawierać wirusy, np. Dokumenty MS Office z wirusami makr (w tym przypadku najlepiej wyeksportowałbym kopię zawartości tekstu z .doc / .xls do pliku zwykły plik tekstowy z zainfekowanego systemu, gdy nie jest z niczym połączony). Zachowaj również ostrożność podczas przenoszenia danych z zainfekowanej maszyny (aby nie infekować drugiej maszyny); np. prawdopodobnie zrobiłbym coś takiego, jak bootowanie z Live CD systemu Linux, zamontowanie zainfekowanego dysku twardego za pomocą -noexec, połączenie z Internetem i selektywne skopiowanie ważnych plików, a jeśli to możliwe, porównanie ich z najnowszą kopią zapasową. p>

Nukowanie z orbity to jedyny sposób, w jaki możesz mieć pewność, aby ponownie bezpiecznie używać tego komputera. Oprogramowanie antywirusowe działa poprzez identyfikację znanego złośliwego oprogramowania i jako takie nie może tego zrobić ze 100% dokładnością (a oprogramowanie antywirusowe działające na zainfekowanym komputerze mogło zostać zmodyfikowane przez wirusa, znacznie zmniejszając jego szanse na całkowite usunięcie wirusa). Rozpoczęcie z powrotem w bezpiecznym miejscu oznacza, że ​​cenne dane nie zostaną skradzione lub nie będziesz musiał powtarzać tego procesu za tydzień (prawdopodobnie na większej liczbie komputerów w miarę rozprzestrzeniania się infekcji). Ponowna instalacja może być zautomatyzowana i zajmuje mniej niż jeden dzień; mniej więcej tyle samo czasu, ile potrzeba na pełne skanowanie antywirusowe, które nie gwarantuje skuteczności. Jeśli problemem są przestoje, musi istnieć nadmiarowość zasobów obliczeniowych dostępnych dla organizacji.

A potem są czcionki / obrazy / ..., które powodują ataki przepełnienia bufora w przeglądarkach lub pliki PDF, które wyrywają się z przeglądarek - nigdy nie możesz być pewien, czy system nie został trafiony przez ukierunkowany 0-dniowy błąd przez jakiś plik danych.
@MartinSchröder - Zgadzam się, że pliki PDF (takie jak * .doc) są niebezpieczne, ponieważ nie są prostym tekstem zwykłym, ale często automatycznie wykonują osadzone skrypty. Nie zgadzam się z obrazami, które generalnie będą bezpieczne dla dojrzałych widzów. W zasadzie przeglądarki obrazów mogą być podatne na ataki polegające na przepełnieniu bufora, ale tylko wtedy, gdy są źle napisane [(np. Niebezpieczny język z niebezpiecznymi bibliotekami nigdy nie sprawdzającymi granic)] (http://en.wikipedia.org/wiki/Buffer_overflow#Protective_countermeasures ). Będę przeglądać sieć i wyświetlać wszystkie prezentowane obrazy bez niebezpieczeństwa wirusów (w przeciwieństwie do pdf / doc).
Zastanawiam się, czy pliki .txt mogą zostać zainfekowane również przez przepełnienie bufora Unicode.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...