web-dev-qa-db-ja.com

「軌道からの核攻撃」の必要性を管理者とユーザーにどのように説明しますか?

マシンがマルウェアに感染すると、ここにいる私たちのほとんどはすぐに適切なアクションを「軌道からそれを核」として識別します。つまり、システムをワイプしてやり直します。残念ながら、これは企業にとってコストがかかる場合が多く、特にバックアップが最適ではない方法で構成されている場合はそうです。これは、管理のために、そして仕事のためにマシンを使用し続けたいユーザーから抵抗を生み出す可能性があります。結局のところ、彼らに関する限り、彼らは「AVを実行するだけ」ことができ、すべてがうまくいくでしょう。

技術的でない性質の管理者とユーザーに問題をどのように説明しますか?技術的な理由は簡単に出せますが、非技術的なユーザーに適切な表現を思い付くのに苦労しています。私は特に、受信者が特定できるような発言の仕方、例えばマネージャーのリスク管理の感覚に訴える。

malwareantivirusrisk-managementuser-educationsystem-compromise
161
Polynomial

私の経験では、経営陣は賢い類推に耳を傾けることを好みません。人に応じて、彼らはドルまたは時間の生産性の最終ラインを気にします。私は説明します:

実際の結果として、データが侵害されると、復旧に約Xドル+ Y時間かかることになります。これは、このマシンに存在するマルウェアを考えると、Z%の確率で発生します。新規インストールでは、回復にAドル+ B時間かかります。適切なアクションを選択します。

それは短くて明確であり、議論の余地を残していません。彼らはリスクを明確に理解し、正しい決定をする必要があります。

151
KDEx

(これが病院でない限り)私は生物学的または非ビジネス的な類似を避けます。あなたの仕事は、リスク、コストを評価し、オプションを提供することです。あなたの経営陣の仕事は、あなたの分析とアドバイスに基づいて決定を下すことです。

一般的には、表形式のアプローチが最適です。 「アプローチ」、「問題を修正する可能性」、「コスト」が最低限必要です。絶対にキュートになりたいなら、2つ目の「ベガス」と呼べます。

たとえば、この場合、次のようになります。

Approach                       Prognosis     Cost
Run anti-virus on machine      30%           4 hours IT, 4 hours downtime
Replace machine w/new machine  75%           $3,000, 16 hours IT, 4 hours downtime
AV machine, copy user files, 
    replace machine, restore   60%           $3,000, 24 hours IT, 4 hours user, 8 hours
    files                                        downtime

このリスト(ユーザーデスクトップを想定)では、実際の問題はユーザーの動作です。さまざまなオプションで予後が100%未満である理由、およびユーザーファイルに関連するすべての処理が「軌道からの移行」よりも効果が低い理由を文書化する必要があります。

問題によっては、「何もしない」または「待機」を追加して、ビジネス全体のリスクを管理者に知らせることができます。

56
Art Taylor

試したい赤ワインのアンチウイルスをすべて飲んで癌を予防することはできますが、最初の腫瘍になったら、それ以上飲んでも効果はありません。あなたがそれを切り取って、あなたがそれをすべて手に入れることを確実にする必要があります。もしそうしないなら、それは再び戻ってくるからです。

ウイルスに感染すると、明らかな症状は煩わしいものですが、本当の危険がどこにあるのかはわかりません。バックドア、ルートキット、およびボットネットはすべて、何か問題があることを示すことなく隠れることができます。時々、隠れた危険が明らかな危険と組み合わされて、明らかな症状がなくなったら安心できるが、明らかなことは隠れたものからの注意散漫である。

いったん感染したことを知ったら、感染がどこまで進んでいるかわからない。それがわからないということは、何が危険にさらされているのかわからないということです。最も基本的な行動方針は、軌道からそれを核攻撃することです。そうすれば、自分がどこにいるか、リスクが何であるかを知ることができます。

33
schroeder

簡単-あなたの質問の見積もりをエイリアンから終えてください。

それが確実にする唯一の方法です。

これですべてです。それ以上でもそれ以下でもありません。その上でAVソフトウェアを実行し、ソフトウェアによってウイルスが検出され、削除されたことが示されれば、大丈夫であることを彼らに知らせてください。多分。ウイルスが本当に除去された場合。それが本当に唯一のウイルスだったら。

「マシンからユーザーデータを保存する方法」について他の誰かが投稿したものに応答するための答えは、あなたがそうしないことです。 「軌道からサイト全体を離陸して核を破壊する」つまり、バックアップから復元すると、バックアップされなかったものはすべて失われます。それは簡単なことではなく、正しいことです。

なぜなら確実にする唯一の方法です

20
Mark Allen

スパイを試してください。最後のジェームズボンドの作品は何百万ものエントリを作成しているように見えるので、全体の群衆は、今のところ、スパイの物語を受け入れています。信頼できない/敵意のある人々が担当すると(「妥協した」セットアップです)、適切なセキュリティを回復する方法はありませんそれを実行するように依頼する );それでも、感染したマシンでAVを実行するということです。世界中のスパイネットワークは常に腐敗した部分を切断できるように正確に自律セルに分離されています。エージェントが破壊されたら、おそらく彼を破壊することができますが、二度と彼を信頼することはありません。

デモをより完全にするために、 感染したキーボードファームウェア について話します。これは、マシンを実際に起動する必要性を強調しています。ワイプアウト後でも、ハードウェアを再利用することは危険です。 そのため、マネージャー/ユーザーは、完全なクレンジングを行わないことを受け入れ、自分自身をlogicalに制限することに感謝する必要があります物理的なものではなく、核となるもの。それはすでにあなたの側で重大な妥協であると感じさせてください。

14
Thomas Pornin

悪魔の擁護者になるために、経営陣はこのすべてを聞いています。セキュリティはリスク管理であり、彼らは決定を下す必要があります。ツールについて思い出させるだけです。

Risk = Probability of occurance X impact of occurance

再構築中の生産停止時間と再構築のコストの可能性は100%ですが、システムに悪意のあるソフトウェアやバックドアが残っている可能性は0.01%です。

バックドアを制御するのは誰ですか?中国、ロシア、東ヨーロッパからの連続犯罪を行うサイバー犯罪者。彼らは何にアクセスできますか?システムデータ、ファイル共有、キーボードスニッファ、マイク、カメラなど。その情報をどれだけ販売できるでしょうか。彼らはどのくらいの期間、発見されないままになることができますか?

それは問題のマシンとそれに関する情報にとって何を意味しますか?

次に、(限られた情報を使用して)ターゲットの評価を提供し、彼らに決定を任せます。彼らは財政を知っており、ターゲットの真の価値についてより多くの洞察を持っています。

他にも多くの攻撃経路があります。不満を持つ従業員、請負業者とその機器、合法ソフトウェアのバックドア、セキュリティシステムの設定ミス、暗号化されていないドライブなど。これは不完全な世界です。再構築に費やしたお金と時間は、パスワードポリシーの修正、メールサーバーの強化、バックアップの改善など、他の場所に費やした方がよい場合があります。

13
mgjk

技術者の観点からは、あなたは確かに正しいです。しかし、CEOは技術者の観点からこれを検討していません。したがって、あなたは彼にとって意味のある言葉で議論をする必要があります。

絶対に100%効果的なソリューションはありません。 「軌道からそれを核にする」ことすらありません。得られるのは確率です。それを費用便益の表に入れてください。そうすれば、CEOが理解できる言語になります(ここの数値は例にすぎません)。

  • したがって、明らかなマルウェアのみをクリーンアップした場合、コストは最も低く(1時間の労働/ダウンタイム)、おそらく20%の効果があります(80%の時間、攻撃者はすぐに戻ります)。

  • 明らかなマルウェアを一掃し、過去48時間に変更されたファイルの調査に余分な時間を費やした場合、成功率とコストが高くなります。 6時間の労働/ダウンタイム、60%の成功率

  • おそらく、上記のすべてに加えて、すべてのシステムパッケージを再インストールした場合(RHシステムの場合:yum reinstall openssh-serverなど)の場合、コストと成功率が高くなります。12時間の労働/ダウンタイム、95%の成功率

  • 上記のすべてを行うと、plusが所有していない/ bin、/ sbin /などのファイルのチェック/削除に追加の時間を費やしますパッケージを使用すると、さらに4時間追加され、成功率が3%向上します。

  • 最後に、「軌道からそれを核に入れる」場合、最高のコストと成功率が得られます:48時間の労働/ダウンタイム、99.995%の成功率

次に、そこから、1時間あたりの作業/ダウンタイムコストを計算し、各エクスプロイトのインシデントあたりのコストを加算します。長期的に見て、どのソリューションが最小/最大のコストになるかを把握し始めます。 そして今、それは単純なビジネス上の決定です。 CEOはそれが得意です。

もちろん、上記のソリューションは* NIX環境を前提としていますが、Windowsシステムの場合も同様のリストが考えられます。 realisticに関連付けられた成功率のオプションとしてAVをそこに投入するようにしてください。

ここに問題があります:確率を出すのは難しいです。これらの中途半端な解決策の多くを実行したり見たりしていない限り、続行する根拠はおそらくないでしょう。さらに、セキュリティの専門家に、潜在的に深刻な脅威を特に無視していることを知っている場合に、上記のソリューション3に進むように説得することは困難です。

しかし、決定とリスクはCEOの責任であり、セキュリティの専門家ではありません。安全性の低いオプションを選択するかもしれませんが、自分が取っているリスクを知っている限りなら、自由に使えるはずです。

6
tylerl

それは難しいことです。平均的な人が理解できる概念を使用し、それらを気遣う方法を見つける必要があります。私は生物学的ウイルスを使用して、コンピュータウイルスのしくみを説明します。これは、誰もが経験したことのあるものであり、ユーザーをコンピュータの状況に「同情」させる可能性があるためです。

生物学的ウイルスは細胞を破壊し、ウイルスが望むことを実行させます。ウイルスは本質的にゾンビになります。細胞を信頼して、本来あるべきことを行うことはできません。ウイルスに感染した細胞を停止して正常に戻すこともできません。機械が完全に制御されているため、殺すことしかできません。

古いコンピュータウイルスは、生物学的ウイルスを非常によく模倣していませんでした。彼らの高度なレベルは、いくつかのことはできるが、システムを削除できないレベルまで感染させることはできなかった。彼らの生存は、システムにAVが存在しないことにより大きく依存していました。

現在、コンピュータウイルスは生物学的ウイルスをより忠実に模倣しているため、システムを完全に破壊することができるため、ウイルスが明確であると確信することはできません。はっきりしているように見えるかもしれませんが、ウイルスは完全に制御されているため、AVがウイルスを検出できない可能性があります。コンピュータはゾンビ細胞のようなものであり、ウイルスが広がるのを防ぐ唯一の方法はそれを殺すことです。

3
GdD

私たちはホラー映画に住んでいると想像してください。あなたの婚約者または婚約者(場合によっては)は魔女に呪われており、頭を不自然に回転させながら発射物吐物を吐き出しています。

あなたは、エクソシストとアマチュア脳外科医として、2つの選択肢があります:

  1. 悪魔を完全に追い出して、愛する人の魂を彼らの体の所有権に戻します。
  2. あなたのあらゆる試みと戦う超自然的に強くて危険な体に何日も続く繊細な脳手術を試みてください。

オプション1はシンプルで安価で機能します(ホラー映画で)。

オプション2は、高度に訓練された高価な医師のチームを必要とし、おそらく 悪魔を麻酔することはできない のため機能しません。

バックアップからソフトウェアを復元することはオプション1に類似しており、悪魔払いとは異なり、IRLは機能します。

オプション2は、システム管理者を使用して、プログラムバイナリ、データファイル、および構成を、最初からマシンにインストールしただけの既知の適切なコピーと照合することと類似しています。

3
Mike Samuel

通常転送しても問題ないことを指摘する価値がある貴重な実行不可データ(最近のバックアップなし)感染したマシンから、軌道から外れる前に(ハードドライブをワイプし、安全なソースからOSを再インストールします)。最近のバックアップがない場合は、プレーンテキストのドキュメント(例:ラテックス原稿またはソースコード)または重要なメディアファイル(例:家族での休暇の画像)のようなものを復元する価値があります。ただし、ウイルスによって攻撃者が感染したシステムを完全に制御できるようになり、攻撃者がデータを変更した可能性があることに注意する必要があります。これには、ソースコードへのバックドアの導入、データベースでの独自の管理ユーザーの作成、システムが再び攻撃される可能性のある脆弱な構成になるように構成ファイルを変更することなどが含まれます(私はすべてのソースコードを細かく調べます)微妙な変更が行われていないことを確認するために櫛します-そしてそれはそれがセキュリティ上重要ではない場合のみです)また、一部のメディアファイルにはウイルスが含まれている可能性があることに注意してください。たとえば、マクロウイルスを含むMS Officeドキュメント(この場合は、。doc /.xlsが何にも接続されていない場合、感染したシステムからプレーンテキストファイルに変換されます)。感染したマシンからデータを転送する際にも注意してください(他のマシンに再感染しないように)。たとえば、おそらくLinuxライブCDから起動し、感染したハードドライブを-noexecでマウントし、インターネットに接続して、重要なファイルを選択的にコピーし、可能であれば最新のバックアップと比較してみます。

軌道から離脱する理由は、そのコンピュータを安全に再び使用するための自信を持つことができる唯一の方法です。ウイルス対策ソフトウェアは既知のマルウェアを特定することによって機能するため、100%の正確さでこれを行うことはできません(そして、感染したコンピューターで実行されているウイルス対策ソフトウェアがウイルスによって改ざんされ、ウイルスを完全に削除する可能性が大幅に低下した可能性があります)。安全なポイントから始めると、貴重なデータが盗まれたり、1週間以内にプロセスを繰り返す必要がなくなります(感染が拡大するにつれて、より多くのPCで実行される可能性があります)。再インストールは自動化でき、1日以内に完了します。効果が保証されていないウイルススキャン全体を実行するのとほぼ同じ時間。ダウンタイムが問題になる場合は、組織で使用できるコンピューティングリソースの量に冗長性を持たせる必要があります。

3
dr jimbob