Frage:
Wie erklären Sie dem Management und den Benutzern die Notwendigkeit, "aus dem Orbit zu nuklearisieren"?
Polynomial
2012-11-19 19:59:04 UTC
view on stackexchange narkive permalink

Wenn ein Computer mit Malware infiziert wurde, identifizieren die meisten von uns hier sofort die entsprechende Aktion als "Nuklear aus dem Orbit" - d. h. das System löschen und neu starten. Leider ist dies für ein Unternehmen oft kostspielig, insbesondere wenn Backups nicht optimal konfiguriert sind. Dies kann zu Widerständen beim Management und bei Benutzern führen, die die Maschine nur noch für die Arbeit verwenden möchten. Schließlich können sie, soweit es sie betrifft, "nur AV darüber laufen lassen", und alles wird in Ordnung sein.

Wie erklären Sie das Problem dem Management und Benutzern nicht technischer Natur? Ich könnte leicht einen technischen Grund vorbringen, aber ich habe Probleme, den richtigen Wortlaut für nicht technische Benutzer zu finden. Ich würde besonders jede Art des Sprechens schätzen, mit der sich der Empfänger identifizieren kann, z. Ansprechen auf das Risikomanagement eines Managers.

Mehr zum Punkt. Wie können die Daten eines Benutzers sicher auf einen neuen Computer übertragen werden? Dies ist ein Problem, auf das ich stoße.
@ktothez Es ist besser, keine Benutzerdaten zu übertragen. Verlassen Sie sich beispielsweise auf ein sicheres Backup vor der Infektion. Bei Bedarf würde ich jedoch so etwas wie [meine Antwort] (http://security.stackexchange.com/a/24221/2568) MS Office-Dokumente in Klartextdokumente / CSV-Dateien auf dem infizierten Computer konvertieren und unter Linux booten Live-CD auf dem infizierten Computer, mounten Sie die infizierte Festplatte mit `-noexec` und kopieren Sie dann selektiv die begrenzte Anzahl von Nur-Text-Dokumenten vom infizierten Computer auf einen anderen Computer. Seien Sie jedoch misstrauisch, wenn Ihre Dateien böswillig geändert werden - z. B. Konfigurationsdateien, Kennwörter, Daten usw.
Reicht es nicht aus, nur zu sagen, dass die von Ihnen vorgeschlagene Vorgehensweise die einzige ist, die das gewünschte Ergebnis garantiert (vorausgesetzt natürlich, dass es die einzige Vorgehensweise ist, die das gewünschte Ergebnis garantiert)?
@ DR. jimbob Ich mache etwas ähnliches.
@ jah leider läuft die Show an den meisten Orten nicht. IT-Entscheidungen werden häufig von Personen außer Kraft gesetzt, denen IT-Kenntnisse fehlen.
@jah Leider nein. Das gewünschte Ergebnis für sie ist ein absolut minimaler Aufwand, um das Risiko zu mindern. Das gewünschte Ergebnis ist für mich ein absolut minimales Risiko. Der Trick besteht darin, eine Balance zu finden, die für beide Seiten der Medaille gut funktioniert. Leider kann dieses Gleichgewicht nur erreicht werden, wenn beide Seiten sich verstehen.
"Oh, mein Auto hat einen platten Reifen." "NUKE IT FROM ORBIT!"
@Polynomial: Jeder versteht (oder sollte) den Return on Investment. Der langfristig beste ROI ist wahrscheinlich Ihre Empfehlung - minimieren Sie das Risiko. Minimale Ausgaben sind auf lange Sicht wahrscheinlich teurer. Sogar das Management würde das nicht verstehen (wenn sie Ihnen vertrauen).
-1 * Wer sagt *, dass jede kleine Infektion ein Nuking aus dem Orbit erfordert?Wenn meine Hand anfängt zu schmerzen, müssen Sie dann amputiert werden, nur weil Sie denken, dass es sich um etwas handeln könnte, das sich auf den Rest meines Körpers ausbreiten könnte?Und * wer sagt *, dass es ausreichen könnte, auch nur aus dem Orbit zu nuking?Es besteht immer die Möglichkeit (wie weit entfernt auch immer), dass Ihre Malware z.infiziert die Firmware und überlebt ein Wischen.Wirklich, diese Frage macht keinen Sinn.
@Mehrdad Es hängt von Ihrem Risikomodell ab.Wenn Sie zu Hause ein Desktop-System betreiben, ist dies möglicherweise keine große Sache.Wenn Sie einen Webserver betreiben, der Kundendaten verarbeitet, ist das Ersetzen des Systems in vielen Szenarien sinnvoll.Die Upvote- / Downvote-Schaltflächen werden normalerweise verwendet, wenn die * Qualität * einer Frage schlecht ist und nicht, wenn Sie der Meinung sind, dass der Fragesteller falsch liegt.Wenn Sie mit der Prämisse nicht einverstanden sind, schreiben Sie eine entsprechende Antwort.
@Polynomial: Sie haben in Ihrer Frage * nichts * davon gesagt!* "Es kommt auf das Risikomodell an" * ...?Ja, genau das habe ich gesagt, und genau das ignoriert Ihre Frage.* "Ein Webserver, der Kundendaten verarbeitet" * ...?Nirgendwo in Ihrer Frage haben Sie angenommen, dass dies der Fall ist.Sie haben gerade "Maschine" gesagt, und nach allem, was der Leser weiß, könnten Sie über die Workstations Ihrer Ingenieure oder über Server sprechen, die sich nicht mit Kundendaten befassen.* "System austauschen" * ...?Sie sagten, wischen, nicht ersetzen, daher der letzte Teil meines vorherigen Kommentars.Für mich ist die Frage * von geringer Qualität ...
@Mehrdad Faire Punkte.Ich schrieb die Frage, ohne diese Dinge einzubeziehen, da ich die etwas philosophische Diskussion über Risikoappetit und Ansätze zur Reaktion auf Vorfälle vermeiden wollte.Natürlich sind diese Dinge wichtig, um eine Entscheidung darüber zu treffen, ob ein System aus dem Orbit entfernt werden soll, aber die Frage wurde aus einer Perspektive gestellt, in der (zumindest aus der Sicht eines Sicherheitsmanagers) die Auswahl aus dem Orbit * bereits * ausgewählt wurdeals die am besten geeignete Aktion.Es ist schwierig, einer nicht-technischen Person die Gründe dafür zu erläutern, und darum geht es in dieser Frage.
Zehn antworten:
#1
+152
KDEx
2012-11-19 22:56:00 UTC
view on stackexchange narkive permalink

Meiner Erfahrung nach hört das Management nicht gerne kluge Analogien. Abhängig von der Person, die sich um das Endergebnis in Dollar oder Stunden Produktivität kümmert. Ich würde erklären:

Unter dem Strich kostet ein Kompromiss unserer Daten das Unternehmen ungefähr X Dollar + Y Stunden für die Wiederherstellung. Dies ist Z% wahrscheinlich, wenn die Malware auf diesem Computer vorhanden ist. Eine Neuinstallation kostet A Dollar + B Stunden für die Wiederherstellung. Sie wählen die entsprechende Aktion aus.

Es ist kurz und klar und lässt ihnen keinen Raum zum Streiten. Sie werden das Risiko klar verstehen und sollten die richtige Entscheidung treffen.

Das Problem ist die grundlegende Unsicherheit in Bezug auf X% - sobald eine Infektion aufgetreten ist, kann sie irgendwo zwischen 0% und 100% liegen. Es gibt keine Möglichkeit zu sagen, wo und es gibt nur eine Möglichkeit, es auf 0% zu senken. Dies ist ein fummeligeres Konzept als das Risiko. Aus Gründen der Klarheit würde ich auch vorschlagen, verschiedene Variablen für Dollar und Stunden zu verwenden, z. Y und Z.
Gute Antwort, KDEx: Sicherheit ist ein wirtschaftliches Gut mit Kosten und Wert. Mein eigener Gedanke ist, dass die X% der Malware wahrscheinlich stark überschätzt werden, was zur Gewohnheit führt, "aus dem Orbit zu nuken", aber ich habe mich nur wirklich mit Solaris- und Linux-Malware befasst. Windows-Malware klingt sicherlich seltsamer und beständiger.
Das Problem besteht darin, die Auswirkungen von Ausfallzeiten zu berechnen - dies sollte jedoch nicht in Ihrer Verantwortung liegen. Sie müssen dies jedoch wissen, um die potenziellen Lösungen kosten zu können. Aber seien Sie vorsichtig, wenn Sie sich auf AV als Lösung verlassen: Art Taylor schätzt die Wahrscheinlichkeit eines guten Ergebnisses auf 30% - aber meiner Meinung nach ist dies eher optimistisch -, werden Sie wahrscheinlich nur vorübergehend einige der Symptome beseitigen.
@KDEx Sie müssen Ihr Publikum berücksichtigen und Ihre Antwort auf sie zuschneiden. $ X> $ Y kann für bestimmte Zielgruppen die beste Antwort sein, aber nicht alle Manager denken so konkret, selbst wenn die Zahlen festgelegt sind. Wenn sie dies tun würden, würden sie nicht versuchen, den Experten in der Situation mit ihrer eigenen technischen Lösung zu überschreiben (führen Sie AV darüber aus!). Zugegeben, Sie müssen Ihre Zahlen kennen, wenn die Diskussion an diesem Punkt angelangt ist, aber selbst Sie geben an, dass es Raum für Interpretationen gibt (X%), was bedeutet, dass es immer Raum für Streit gibt.
Es ist nicht immer nur ein Vergleich von Dollars, es ist eine Risikobewertung. Indem Sie Geld, Zeit und Risiko für unterschiedliche Lösungen bereitstellen, unterstützen Sie das Management bei der Erstellung einer intelligenten Risikobewertung. Die Kommentare zur Unsicherheit in Bezug auf das Risiko (X%) sind umstritten - es handelt sich um eine Schätzung, die auf Expertenmeinungen und Erfahrungen basiert. Wenn das Management Ihnen nicht genug vertraut, um Ihre Expertenmeinung als solche zu betrachten und Ihre Schätzungen zu argumentieren, haben Sie bereits verloren und es wird Ihnen nicht gelingen, jemanden zu überzeugen, egal wie klug Ihre Analogie ist.
@BruceEdiger Es gibt Proof-of-Concept-Malware, die sich sogar im Laptop-Akku verstecken kann und eine Neuinstallation von Grund auf unwirksam macht. Zum Glück ist dies ein Proof-of-Concept. Alles was es braucht ist ein wenig mit dem MBR herumzuspielen und es ist sehr schwer zu erkennen und wird in der Lage sein, sich bei jedem Boot neu zu installieren. Es gibt zahlreiche andere Stellen im System, an denen sich Malware verstecken kann. Das Problem ist und war, dass sie alle gefunden wurden.
Die Schwierigkeit besteht darin, ihnen eine vernünftige Schätzung von X% und Kosten innerhalb der Grenzen eines Aufzugsabstands zu liefern. Sie wollen kein langes Gespräch - sie wollen nur die Gewissheit, dass die kostengünstigste Option die ist, die wir anstreben. Die Kosteneffizienz hängt auf lange Sicht von der Risikobewertung ab, aber der Versuch, eine vernünftige Schätzung von X% abzugeben, ist eine Messerschneide. Streuen Sie zu niedrig, und sie werden wahrscheinlich stattdessen den AV-Ansatz wählen. Wenn Sie zu hoch gehen, riskieren Sie, als FUD-Händler aufzutreten. Selbst wenn Sie es richtig machen, könnten Sie * immer noch im Besitz sein *, was Sie in heißem Wasser zurücklässt.
@Polynomial, das nach viel Unsicherheit klingt ... was für viele im Management (abhängig von der Branche) die Definition des Risikos ist. Daher ist es per Definition eine harte Schätzung. Als Experte auf diesem Gebiet sind Sie die am besten positionierte Person, um diese Einschätzung vorzunehmen und sie den Entscheidungsträgern zur Verfügung zu stellen, nicht wahr?
In Bezug auf die Kosten für Ausfallzeiten fallen wirklich keine Kosten an, da in jeder geeigneten Umgebung ein Staging-Server einsatzbereit ist.Übertragen Sie das Staging-Image auf den Produktionsserver, und Sie sind mehr oder weniger fertig (hängt davon ab, wie gut Ihre Entwicklungsumgebung gepflegt ist).
#2
+56
Art Taylor
2012-11-19 23:45:36 UTC
view on stackexchange narkive permalink

Ich würde die biologischen oder nicht geschäftlichen Analogien vermeiden (es sei denn, dies ist ein Krankenhaus). Ihre Aufgabe ist es, Risiko, Kosten und Optionen zu bewerten. Die Aufgabe Ihres Managements besteht darin, die Entscheidung auf der Grundlage Ihrer Analyse und Beratung zu treffen.

Im Allgemeinen ist ein Ansatz in Tabellenform am besten. "Ansatz", "Wahrscheinlichkeit der Behebung des Problems", "Kosten" sind das erforderliche Minimum. Sie können das zweite "Vegas" nennen, wenn Sie unbedingt süß werden müssen.

In diesem Fall haben Sie beispielsweise Folgendes:

  Ansatz Prognose CostRun anti -virus auf dem Computer 30% 4 Stunden IT, 4 Stunden AusfallzeitErsetzen Sie den Computer mit dem neuen Computer 75% 3.000 USD, 16 Stunden IT, 4 Stunden AusfallzeitAV-Computer, kopieren Sie Benutzerdateien, ersetzen Sie den Computer, stellen Sie 60% 3.000 USD wieder her, 24 Stunden IT, 4 Stunden Benutzer , 8 Stunden Ausfallzeit von Dateien  

In dieser Liste (unter der Annahme eines Benutzer-Desktops) ist das eigentliche Problem das Benutzerverhalten. Sie möchten dokumentieren, warum die Prognose für die verschiedenen Optionen zu 100% < lautet und warum alles, was Benutzerdateien betrifft, weniger effektiv ist als "Nuking from Orbit".

Je nach Problem möchten Sie dies möglicherweise Fügen Sie "Nichts tun" oder "Warten" hinzu, um Ihr Management über die Risiken für das gesamte Unternehmen zu informieren.

+1 für die Kosten-Nutzen-Tabelle. Dies ist wirklich das, was die meisten Führungskräfte sehen wollen.
Dies ist eine sehr gute Antwort. Die Tabelle natürlich und auch die von Ihnen erwähnten Szenarien, nichts zu tun oder zu warten, auch wenn Sie das Abwärtsrisiko nicht so gut quantifizieren können. Sie sind dennoch praktikable Optionen, und das ist großartig, dass Sie sie aufgenommen haben. Kontextspezifische Analogien sind großartig, aber nur, wenn sie direkt für das Unternehmen relevant sind. Wenn Sie dies nicht mit Sicherheit tun können, versuchen Sie es am besten nicht und auf keinen Fall besser, Dinge so zu formulieren, dass langwierige Stereotypen über die Arbeitskultur von IT- und Sicherheitspersonal verstärkt werden.
Interessante Antwort, der Nachteil meiner Meinung nach bei einer Antwort mit harten Zahlen ist, woher die prozentualen Wahrscheinlichkeiten kommen. In einer Menge Sicherheit, in der Menschen versuchen, Dinge wie Wahrscheinlichkeiten und Kosten zu quantifizieren, haben die Zahlen ein Element der "besten Vermutung", da es wirklich keine gute Möglichkeit gibt, sie vorherzusagen. Wenn sie dann herausgefordert werden, warum sie auf diesem Niveau sind, ist es schwer zu verteidigen Sie..
@RoryMcCune Obwohl ich nicht weiß, ob es das ist, was ArtTaylor vorhat, würde ich es in Anlehnung an die IT denken und sagen: "Dies ist, was Sie tun sollen". Während Sie die endgültige Entscheidung immer noch in ihren Händen lassen
Warum sollten Sie die Maschine ersetzen? Warum würden Sie nicht einfach die Festplatte löschen und das Betriebssystem neu installieren?
Sehr oft werden in einer IT-Abteilung mehrere Maschinen zum Austausch oder zur Auslieferung an neue Mitarbeiter bereitgestellt, entweder neue Maschinen oder Maschinen, die gereinigt wurden, nachdem jemand das Unternehmen verlassen hat. Einstellungsmanager stinken oft danach, ihnen mitzuteilen, dass jemand an einem bestimmten Datum beginnt, und puffern daher Hardware. In diesem Fall ist es oft einfacher und kostengünstiger (ganz zu schweigen von weniger störend), zum Schreibtisch der Person zu gehen, ihren Laptop zu nehmen, ihnen einen "neuen" Laptop zu geben und darauf zu warten, dass sie ihn beschmutzen.
@RoryMcCune Wenn Sie kein Vertrauen aufgebaut haben und das Management Ihre Schätzungen ohne Debatte über ein kleines Problem wie dieses nimmt, müssen Sie zuerst daran arbeiten. Bis dahin müssen Sie historische Zahlen aus den üblichen Quellen (Gartner, Forrester, AMR usw.) verwenden.
@ArtTaylor, aber wenn Sie kein Vertrauen aufgebaut haben, geben Sie Zahlen an, die Sie nicht wirklich sichern können. Interessanter Punkt zu historischen Zahlen, aber für dieses Szenario (dh die Wahrscheinlichkeit, dass ein bestimmtes AV-Produkt eine bestimmte Infektion entfernt) gibt es keine historischen Zahlen, die meines Wissens tatsächlich geprüft werden könnten, wenn es einen guten Link gäbe Update :)
#3
+34
schroeder
2012-11-19 21:16:34 UTC
view on stackexchange narkive permalink

Sie können all das Rotwein-Antivirus trinken, das Sie versuchen möchten, um Krebs zu verhindern, aber sobald Sie diesen ersten Tumor bekommen, hilft mehr Trinken nicht mehr. Sie müssen es ausschneiden und sicherstellen, dass Sie alles bekommen, denn wenn Sie es nicht tun, wird es wieder zurückkehren.

Sobald Sie sich mit einem Virus infiziert haben, sind die offensichtlichen Symptome ärgerlich. aber es ist das, was Sie nicht sehen können, wo die wahre Gefahr liegt. Backdoors, Rootkits und Botnets können sich alle verstecken, ohne dass darauf hingewiesen wird, dass etwas nicht stimmt. Manchmal werden die verborgenen Gefahren mit offensichtlichen Gefahren kombiniert, sodass Sie sich sicher fühlen, sobald die offensichtlichen Symptome verschwunden sind. Das Offensichtliche ist jedoch eine Ablenkung vom Verborgenen.

Sobald Sie wissen, dass Sie infiziert wurden, wissen Sie es nicht Wie weit die Infektion geht und wenn Sie nicht wissen, dass Sie nicht wissen, was gefährdet ist. Die grundlegendste Vorgehensweise besteht darin, sie aus dem Orbit zu entfernen. Auf diese Weise wissen Sie, wo Sie sich befinden und wie hoch Ihr Risiko ist, auch wenn der Neuanfang erhebliche Kosten verursacht.

Ihre Krebsanalogie hält nicht gut. "Nuke it from orbit" entspricht "das Krebsopfer erschießen und mit seinem neuesten Klon beginnen", was im Allgemeinen nicht die bevorzugte Lösung ist.
@CodesInChaos,, das vollständig vom jeweiligen Benutzer abhängt. ;)
Es hält gut. Wir können nicht alle Zellen in einem menschlichen Körper ersetzen, aber wir wünschen, wir könnten. Krebs wird niemals "geheilt", sondern "überlebt", weil wir niemals sicher sein können, dass alle Krebszellen entfernt werden. Mit einem Computer können wir alle Zellen ersetzen, um sicherzustellen, dass nicht alle bösartigen Elemente mehr eine Rolle spielen.
Ich würde eher Jod als Rotwein sagen, aber ich mag diese Krebsanalogie. Das Ausschneiden aus dem Netzwerk funktioniert ganz gut.
#4
+20
Mark Allen
2012-11-20 01:16:26 UTC
view on stackexchange narkive permalink

Das ist einfach - beenden Sie einfach das Zitat in Ihrer Frage von Aliens.

Nur so können Sie sicher sein.

Das ist wirklich alles. Nicht mehr, nicht weniger. Lassen Sie sie wissen, dass sie möglicherweise in Ordnung sind, wenn Sie die AV-Software darauf ausführen und die Software angibt, dass sie den Virus gefunden und entfernt hat. Vielleicht. Wenn der Virus wirklich entfernt wurde. Wenn das wirklich der einzige Virus wäre.

Um auf das zu antworten, was jemand anderes über "Speichern von Benutzerdaten vom Computer" gepostet hat, lautet die Antwort, dass Sie dies nicht tun. "STARTEN UND NUKE DIE GESAMTE WEBSITE VON ORBIT" Das bedeutet, dass Sie aus dem Backup wiederherstellen und sie alles verlieren, was nicht gesichert wurde. Es ist nicht einfach, es ist das Richtige.

Weil es der einzige Weg ist, sicher zu sein .

Warte eine Sekunde. Mit dieser Installation ist ein erheblicher Dollarwert verbunden.
Ich kann sie abrechnen!
#5
+14
Thomas Pornin
2012-11-19 21:48:35 UTC
view on stackexchange narkive permalink

Versuchen Sie es mit Spionen. Das letzte James-Bond-Opus scheint Millionen von Einträgen zu machen, daher ist die Menge im Allgemeinen vorerst empfänglich für Spionagegeschichten. Erklären Sie, dass es keine Möglichkeit gibt, die ordnungsgemäße Sicherheit wiederherzustellen, indem sie aufgefordert werden, dies zu tun . Und genau darum geht es beim Ausführen eines AV auf einem infizierten Computer. Spionagenetzwerke auf der ganzen Welt wurden immer genau in autonome Zellen aufgeteilt, damit die faulen Teile abgetrennt werden können. Sobald ein Agent untergraben wurde, können Sie ihn möglicherweise wieder untergraben, aber Sie werden ihm nie wieder vertrauen.

Um die Demonstration zu vervollständigen, sprechen Sie über infizierte Tastatur-Firmwares, die unterstreicht die Notwendigkeit, die Maschine wirklich in Brand zu setzen. Die Wiederverwendung der Hardware auch nach einem Wipeout ist riskant. Daher sollten Manager / Benutzer dankbar sein, dass wir akzeptieren, die vollständige Bereinigung nicht durchzuführen, und uns auf logisches Nuking beschränken, nicht auf physisches. Machen Sie den Eindruck, dass es sich bereits um einen schwerwiegenden Kompromiss von Ihrer Seite handelt.

Obwohl dies aus literarischer Sicht eine gute Möglichkeit ist, befürchte ich, dass eine solche Erklärung die meisten mittleren Führungskräfte aus einem völlig anderen Blickwinkel verblüfft.
Wissen Sie, ob Apple etwas gegen den Firmware-Hack der Tastatur unternommen hat oder ob er in freier Wildbahn gesehen wurde?
Mir ist nichts bekannt, was dagegen unternommen wurde, oder ich habe etwas in freier Wildbahn gesichtet. Das beweist aber nicht viel ...
@ThomasPornin, Abgesehen davon, dass die Hardware weggeworfen wird (daran ist nichts auszusetzen), ist ein Zurücksetzen auf die Werkseinstellungen immer noch ein mögliches Mittel, wenn die Tastatur-Firmware infiziert ist?
#6
+13
mgjk
2012-11-20 00:08:40 UTC
view on stackexchange narkive permalink

Um der Anwalt des Teufels zu sein, hat das Management all dies gehört. Sicherheit ist Risikomanagement und sie müssen die Entscheidung treffen. Erinnern Sie sie einfach an die Werkzeuge.

  Risiko = Wahrscheinlichkeit des Auftretens X Auswirkung des Auftretens  

100% Wahrscheinlichkeit von Produktionsausfällen während des Wiederaufbaus und Kosten für den Wiederaufbau im Vergleich zu 0,01% Wahrscheinlichkeit eines böswilligen Auftretens Im System verbleibende Software oder Hintertüren.

Wer würde die Hintertüren steuern? Cyberkriminelle, die Serienverbrechen aus China, Russland oder Osteuropa begehen. Zu was hätten sie Zugang? Systemdaten, Dateifreigaben, Tastaturschnüffler, Mikrofone, Kameras usw. Für wie viel könnten sie diese Informationen verkaufen? Wie lange könnten sie unentdeckt bleiben?

Was bedeutet das für die betreffende Maschine und die Informationen darauf?

Geben Sie dann Ihre Einschätzung des Ziels (unter Verwendung Ihrer begrenzten Informationen). und lassen Sie sie die Entscheidung treffen. Sie kennen die Finanzen und haben mehr Einblick in den wahren Wert des Ziels.

Es gibt viele andere Angriffsmethoden. Verärgerte Mitarbeiter, Auftragnehmer und ihre Ausrüstung, Hintertüren in legitimer Software, falsch konfigurierte Sicherheitssysteme, unverschlüsselte Laufwerke usw. Es ist eine unvollkommene Welt. Das Geld und die Zeit, die für das Rebuliding aufgewendet werden, werden möglicherweise besser an anderer Stelle ausgegeben, z. B. zum Korrigieren der Kennwortrichtlinie, zum Härten Ihrer E-Mail-Server, zum Verbessern von Backups usw.

#7
+6
tylerl
2012-11-20 00:05:08 UTC
view on stackexchange narkive permalink

Aus Sicht des Technikers haben Sie sicherlich Recht. Der CEO betrachtet dies jedoch nicht aus Sicht des Technikers. Sie müssen also entweder das Argument in Begriffen vorbringen, die für ihn sinnvoll sind.

Keine Lösung ist absolut 100% effektiv. Nicht einmal "nuke es aus dem Orbit". Was Sie bekommen, sind Wahrscheinlichkeiten. Stellen Sie das auf eine Kosten-Nutzen-Tabelle, und Sie sprechen eine Sprache, die der CEO verstehen kann: (Zahlen hier sind nur Beispiele)

  • Wenn ich also nur die offensichtliche Malware bereinige, Dann sind die Kosten am niedrigsten (1 Stunde Arbeit / Ausfallzeit) und möglicherweise 20% effektiv (in 80% der Fälle kehrt der Angreifer schnell zurück).

  • Wenn ich sauber mache Die offensichtliche Malware und verbringen zusätzliche Zeit damit, alle in den letzten 48 Stunden geänderten Dateien zu untersuchen. Dann erhalte ich eine höhere Erfolgsrate und höhere Kosten: 6 Stunden Arbeit / Ausfallzeit, 60% Erfolgsrate

  • Wenn ich all das oben Genannte mache und alle Systempakete neu installiere (z. B. auf RH-Systemen: yum installiere openssh-server usw. neu), gehen die Kosten- und Erfolgsraten höher: 12 Stunden Arbeit / Ausfallzeit, 95% Erfolgsquote

  • Wenn ich alle oben genannten Schritte ausführe, verbringen plus zusätzliche Zeit damit, Dateien zu überprüfen / zu entfernen / bin, / sbin / etc., die keinem Paket gehören, dann fügt das vielleicht weitere 4 Stunden hinzu und gibt mir zusätzliche 3% Punkte auf meine Erfolgsrate.

  • Wenn ich es schließlich aus dem Orbit "nuklear" mache, erhalte ich die höchste Kosten- und Erfolgsrate: 48 Stunden Arbeit / Ausfallzeit, 99,995% Erfolgsrate

Von dort aus ermitteln wir, wie viel jede Arbeitsstunde / Ausfallzeit kostet, addieren die Kosten pro Vorfall für jeden Exploit und beginnen, uns ein Bild davon zu machen Welche Lösung wird auf lange Sicht wahrscheinlich am wenigsten / am meisten kosten? Und jetzt ist es eine einfache Geschäftsentscheidung. CEOs sind gut darin.

Natürlich setzen die oben aufgeführten Lösungen eine * NIX-Umgebung voraus, aber Sie könnten eine ähnliche Liste für Windows-Systeme erstellen. Stellen Sie sicher, dass Sie AV als Option mit einer realistischen zugehörigen Erfolgsrate verwenden.

Hier ist das Problem: Die Wahrscheinlichkeiten sind schwer zu ermitteln. Wenn Sie nicht viele dieser Lösungen auf halbem Weg gemacht oder gesehen haben, haben Sie wahrscheinlich keine Grundlage, um fortzufahren. Außerdem wird es schwierig sein, einen Sicherheitsexperten davon zu überzeugen, sich der obigen Lösung 3 anzuschließen, wenn er weiß, dass er einige potenziell schwerwiegende Bedrohungen gezielt ignoriert.

Die Entscheidung und das Risiko liegen jedoch in der Verantwortung des CEO und nicht des Sicherheitsexperten. Er mag sich für eine weniger sichere Option entscheiden, aber solange er weiß, welche Risiken er eingeht , sollte er dazu frei sein.

Das eigentliche Problem ist, dass, wenn der CEO sich für etwas entscheidet, das nicht aus dem Orbit stammt, die Infektion überlebt und ernsthaften Schaden anrichtet, sich der Anzug wahrscheinlich umdreht und sagt, dass die Option zu 95% wirksam war und zu 95% fehlgeschlagen ist Die Schuld geht an den Systemadministrator, der die Genesung durchgeführt hat, und da jemand als Sündenbock für das Fiasko entlassen werden muss, sollte es offensichtlich die Person sein, die die Infektion nicht erfolgreich gereinigt hat.
@DanNeely Das ist sicherlich die Art von Dingen, über die Sie sich Sorgen machen würden. Aber solange alles richtig erklärt und dokumentiert ist, sollte es nicht sein. Wenn Sie ein Produkt mit einer in Ihrem Vertrag dokumentierten Fehlerquote von 2% kaufen, können Sie nicht 98% der Fehler auf den Hersteller zurückführen. Es ist zu 100% der Entscheider. Wenn Sie sich an einem Arbeitsplatz befinden, an dem dies ein Problem darstellt, sollten Sie einfach (a) sich rundweg weigern, das zu tun, was der CEO Ihnen vorschreibt, und / oder (b) einen neuen Arbeitsplatz finden.
* `yum installiere openssh-server` etc neu * hängt davon ab, ob du` yum` vertrauen kannst, um das zu tun, was es soll. Machst du?
@MichaelKjörling normalerweise ja. Wieder spielen wir mit Wahrscheinlichkeiten und Durchschnittswerten. ssh / sshd werden * häufig * trojanisiert, ebenso wie coreutils einschließlich md5sum. Aber auf den Tausenden von gehackten Systemen, die ich untersucht habe, haben sie bisher weder Yum noch Python oder RPM trojanisiert. Es ist nicht unmöglich, es ist nur (noch) nicht beliebt.
#8
+3
GdD
2012-11-19 20:14:55 UTC
view on stackexchange narkive permalink

Das ist eine schwierige Frage. Sie müssen Konzepte verwenden, die der Durchschnittsmensch versteht, und einen Weg finden, sie zu pflegen. Ich würde biologische Viren verwenden und wie sie funktionieren, um zu erklären, wie Computerviren funktionieren, da dies etwas ist, mit dem jeder Erfahrung hat und das den Benutzer dazu bringen kann, mit der Situation des Computers "sympathisch" zu sein.

Ein biologisches Virus unterwandert eine Zelle und lässt sie tun, was das Virus will. Das Virus wird im Wesentlichen ein Zombie. Sie können nicht darauf vertrauen, dass die Zelle das tut, was sie tun soll, und Sie können die virusinfizierte Zelle nicht stoppen und wieder normalisieren. Die Maschinerie wurde so gründlich unter Kontrolle gebracht, dass Sie sie nur töten können.

Ältere Computerviren ahmten biologische Viren nicht sehr genau nach. Ihr Grad an Raffinesse war so hoch, dass sie in der Lage waren, einige Dinge zu tun, aber Systeme nicht so zu infizieren, dass sie nicht entfernt werden konnten. Ihr Überleben hing mehr davon ab, dass es keinen AV im System gab.

Jetzt ahmen Computerviren biologische Viren viel genauer nach. Sie können ein System so gründlich untergraben, dass Sie nie sicher sein können, ob sie klar sind. Es mag sagen, dass es klar ist, aber der Virus hat so viel Kontrolle, dass ein AV ihn nicht erkennen kann. Der Computer ist wie eine Zombiezelle, und die einzige Möglichkeit, die Ausbreitung des Virus zu verhindern, besteht darin, ihn abzutöten.

#9
+3
Mike Samuel
2012-11-19 21:38:12 UTC
view on stackexchange narkive permalink

Stellen Sie sich vor, wir leben in einem Horrorfilm. Ihr Verlobter oder Ihre Verlobte (je nach Fall) wurde von einer Hexe verflucht und spuckt jetzt Projektil-Erbrochenes aus, während sie unnatürlich den Kopf dreht.

Als Exorzist und Amateur-Gehirnchirurg haben Sie zwei Möglichkeiten:

  1. Vertreibe die Dämonen vollständig und stelle die Seele deines Geliebten wieder in den Besitz ihres Körpers zurück.
  2. Versuche eine tagelange und heikle Gehirnoperation an einem übernatürlich starken und gefährlichen Körper, der es will Bekämpfe jeden Versuch.
  3. ol>

    Option 1 ist einfach, billig und funktioniert (in Horrorfilmen).

    Option 2 erfordert Teams aus hochqualifizierten und teuren Ärzten funktioniert wahrscheinlich nicht, weil Sie Dämonen nicht betäuben können.


    Das Wiederherstellen von Software aus dem Backup ist analog zu Option 1 und funktioniert im Gegensatz zu Exorzismus mit IRL.

    Option 2 entspricht der Verwendung von Sysadmins zum Überprüfen von Programmbinärdateien, Datendateien und Konfigurationen anhand einer bekannten guten Kopie, die sie möglicherweise erst auf dem Computer installiert haben könnten.

Ich denke, Sie haben falsch verstanden. Ich kann eine technische Erklärung gut liefern, aber ich suche nach einer Möglichkeit, sie einem nicht technischen Benutzer oder Manager zu erklären. Außerdem sind 100 MB heutzutage nichts im Vergleich zu einer typischen Betriebssysteminstallation - Sie sehen zig Gigabyte für Windows 7 oder 8.
@Polynomial, Dies war mein Versuch, eine Erklärung auf einer Detailebene zu liefern, die von nicht-technischen Benutzern verstanden werden kann. Ja, 100 MB sind heutzutage eine schlanke Installation für ein Betriebssystem mit Benutzerkontakt. Auf vielen Spezialservern laufen jedoch immer noch schlankere Betriebssysteme.
@Polynomial siehe meine Änderungen.
Ich persönlich hätte dies mit einer Zombie-Neigung versehen - wenn ein Mitüberlebender gebissen wird, wenden Sie a) Erste Hilfe an und lassen Sie ihn abschütteln, oder b) töten Sie sie genau dort, um zu verhindern, dass sie anderen Schaden zufügen und danach ihre Leiche verbrennen?
@user3490, Ich würde denken, dass die Leute die erste Option wählen werden.
#10
+3
dr jimbob
2012-11-20 02:10:33 UTC
view on stackexchange narkive permalink

Es ist erwähnenswert, dass es normalerweise in Ordnung ist, wertvolle nicht ausführbare Daten ( ohne aktuelle Sicherung ) von einem Infizierten zu übertragen Maschine, bevor Sie aus dem Orbit nuking (Festplatte löschen, Betriebssystem von einer sicheren Quelle neu installieren). Dinge wie Klartextdokumente (z. B. Latexmanuskript oder Quellcode) oder wichtige Mediendateien (z. B. Bilder von Familienurlauben) können eine Wiederherstellung wert sein, wenn keine aktuelle Sicherung vorhanden ist. Sie müssen jedoch den Verdacht haben, dass der Virus einem Angreifer die volle Kontrolle über das infizierte System ermöglicht und der Angreifer möglicherweise Ihre Daten geändert hat. Dies könnte das Einführen von Hintertüren in Ihren Quellcode, das Erstellen eigener Administratorbenutzer in Ihren Datenbanken, das Ändern von Konfigurationsdateien, sodass sich das System in einer schwachen Konfiguration befindet, die erneut angegriffen werden kann usw. umfassen (ich würde den gesamten Quellcode mit einem feinen Zahn durchlesen Kämmen, um sicherzustellen, dass keine subtilen Änderungen vorgenommen wurden - und das nur, wenn es nicht sicherheitskritisch ist). Achten Sie auch darauf, dass einige Mediendateien möglicherweise Viren enthalten, z. B. MS Office-Dokumente mit Makroviren (in diesem Fall exportiere ich am besten die Kopie des Textinhalts aus der .doc / .xls in eine Nur-Text-Datei vom infizierten System, wenn sie mit nichts verbunden ist). Achten Sie auch darauf, die Daten vom infizierten Computer zu übertragen (um den anderen Computer nicht erneut zu infizieren). Zum Beispiel würde ich wahrscheinlich so etwas wie eine Linux-Live-CD booten, die infizierte Festplatte mit -noexec mounten, eine Verbindung zum Internet herstellen und selektiv wichtige Dateien kopieren und wenn möglich versuchen, sie mit der neuesten Sicherung zu vergleichen.

Der Grund für das Nuking aus dem Orbit ist der einzige Weg, auf den Sie sich verlassen können, um diesen Computer wieder sicher zu verwenden. Antivirensoftware identifiziert bekannte Malware und kann dies daher nicht mit 100% iger Genauigkeit tun (und Antivirensoftware, die auf einem infizierten Computer ausgeführt wird, wurde möglicherweise durch den Virus manipuliert, was die Wahrscheinlichkeit einer vollständigen Entfernung des Virus erheblich verringert). Wenn Sie an einem sicheren Punkt beginnen, werden Ihre wertvollen Daten nicht gestohlen oder Sie müssen den Vorgang in einer Woche erneut wiederholen (möglicherweise auf mehr PCs, wenn sich die Infektion ausbreitet). Die Neuinstallation kann automatisiert werden und dauert weniger als einen Tag. ungefähr die gleiche Zeit, um einen vollständigen Virenscan durchzuführen, für den keine Garantie für die Wirksamkeit besteht. Wenn Ausfallzeiten ein Problem darstellen, muss die Menge der der Organisation zur Verfügung stehenden Rechenressourcen redundant sein.

Und dann gibt es die Schriftarten / Bilder / ..., die Pufferüberlaufangriffe in den Viewern verursachen, oder die PDFs, die aus den Viewern ausbrechen - Sie können nie sicher sein, ob das System nicht von einem gezielten 0-Tage-Treffer getroffen wurde durch eine Datendatei.
@MartinSchröder - Ich stimme zu, dass PDFs (wie * .doc) gefährlich sind, da sie kein einfacher Klartext sind, sondern eingebettete Skripte häufig automatisch ausführen. Ich bin nicht einverstanden mit Bildern, die im Allgemeinen sicher sind, wenn sie von reifen Zuschauern betrachtet werden. Im Prinzip können Bildbetrachter anfällig für Pufferüberlaufangriffe sein, jedoch nur, wenn sie schlecht geschrieben sind [(z. B. unsichere Sprache mit unsicheren Bibliotheken, die niemals Grenzüberprüfungen durchführen)] (http://en.wikipedia.org/wiki/Buffer_overflow#Protective_countermeasures) ). Ich werde im Internet surfen und alle Bilder ohne Virengefahr anzeigen (im Gegensatz zu pdf / doc).
Ich frage mich, ob TXT-Dateien auch durch einen Unicode-Pufferüberlauf infiziert werden könnten.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...