В нашей сети была проблема с заражением червями. Я вычистил всех червей и предпринял соответствующие шаги.
Я хотел узнать, как определить, как червь распространился в сети.
Спасибо,
Гэри ..
Большое спасибо, ребята, за все интересные статьи ..... мой основной вопрос: как определить, как распространяется червь, если вы не можете получить образец червя ?? Я удалил червя из своих систем, и у меня нет образца червя ...
Изучив политику безопасности и журналы, мы можем узнать, как червь распространился в сети. ??
Спасибо еще раз,
Гэри
В вашем запросе очень мало деталей, в частности, каким червем вы поразили, какой у вас была политика безопасности до эпидемии и что было «предпринято надлежащим образом»?
Во-первых, я бы пересмотрел свою собственную политику безопасности на предмет дыр или проблем. Если бы у меня не было политики безопасности, я бы отказался от выяснения того, как меня ударили, и предположил, что это моя собственная вина за отсутствие твердой политики безопасности (у меня даже есть политика безопасности для моей домашней машины, это не так. написано, но я внимательно слежу за ним и за 5+ лет я не был случайно поражен вирусом).
Во-вторых, я искал места, где не соблюдалась политика безопасности. Я бы использовал средства просмотра журналов / событий на серверах, компьютерах и маршрутизаторах, пока не получил хорошее представление о том, что произошло, в многопользовательской среде я бы попытался задать несколько вопросов пользователям, которые первыми заметили вспышку, и четко сообщить, что они не в беде (при условии, что мне разрешено позвонить) и что их помощь важна. Я бы, наверное, предпринял несколько шагов, основываясь на собранной здесь информации.
В-третьих, я бы обновил политику безопасности или ее соблюдение, чтобы это никогда не повторилось. Это может означать более своевременную установку обновлений, добавление антивируса на серверы или ПК, ужесточение правил брандмауэра или, возможно, даже информирование пользователей о том, почему загрузка пакетов смайлов - очень плохая идея. На этом этапе я также хотел бы определить, является ли вызов властей подходящим шагом. Много раз я ни с кем не связывался, дважды это передавалось властям.
Наконец, я бы провел постоянный обзор политики безопасности и убедился, что ее соблюдение работает. Я бы сделал это, используя множество ненавязчивых методов, и каждый раз, когда что-то было навязчивым, я прояснял это с участниками, и я всегда буду знать о затратах и выгодах (нет смысла переусердствовать с безопасностью и мешать им пытаюсь сделать работу).
Я знаю, что это расплывчато, но я сделал это так. Таким образом я успешно идентифицировал несколько угроз и защитил команды, с которыми работал, от многих других. Я пропустил еще много, но я использовал их как возможность улучшить систему и рабочий процесс. Я также знаю, что с хорошей политикой безопасности можно теоретически невозможно взломать / заразить даже при использовании большого количества компьютеров с Windows или других небезопасных платформ. В реальность совсем другое, потому что все никогда не работает так, как планировалось. Идея состоит в том, чтобы серая зона, где встречаются теория и реальность, была достаточно безопасной, чтобы предотвратить все большие проблемы, и была достаточно удобной, чтобы люди и система могли работать (или играть, или достигать любой цели).
Если вы знаете тип червя (с помощью предпочитаемого вами средства дезинфекции), вы сможете найти в / google information / documentation о том, как распространяется этот тип червя / вируса. Отсюда вы должны принять во внимание стандартизированный метод защиты для ваших клиентов и серверов, если у вас их еще нет.
Надеюсь, вы не думаете, что пытаетесь отследить, как червь на самом деле распространился по вашим сетевым клиентам. Эта задача отнимет много времени, в подавляющем большинстве случаев сложна, если вообще возможно.
Боюсь, что это будет не так просто, как вам хотелось бы. По крайней мере, ваша сеть теперь отличается от той, какой она была во время заражения, поэтому маловероятно, что любое проведенное вами расследование даст достоверные результаты. Во-вторых, многие вредоносные программы могут замечательно скрывать свои следы (многие могут быть и очень плохими ...), поэтому вы в первую очередь зависите от соответствующей информации.
Итак, ваш подход состоит в том, чтобы определить, чем был червь, узнать, как он распространяется, и сделать разумное предположение, что именно так он распространяется в вашей сети. Я предполагаю, однако, что вас больше интересует, как он попал внутрь, так что вы можете быть уверены, что дверь будет закрыта в будущем. Скорее всего, это будет один из старых фаворитов: пользователи, работающие с правами администратора, неконтролируемый доступ к USB-устройствам, незащищенный доступ в Интернет, использование старого программного обеспечения, устаревшее антивирусное ПО, несвоевременность обновлений безопасности, плохой брандмауэр или шлюз. config и так далее. Один из них, вероятно, позвонит вам в колокол, и информация с веб-сайта поставщика AV подтвердит это.