Cómo administrar una red infectada conocida

2

Si tiene una gran red distribuida que se conoce como estar infectada con virus y etc. y no puede formatear las computadoras debido a su gran escala. ¿Cuáles son las mejores maneras de manejar esta situación desde el punto de vista de cso?

    
pregunta user1387682 04.07.2013 - 23:39
fuente

3 respuestas

3

El curso SANS que incluye manejo de incidentes, introducido en enlace recomienda los siguientes pasos :

  1. preparación
  2. Identificación
  3. Contención
  4. erradicación
  5. recuperación
  6. Lecciones aprendidas

Obviamente, es demasiado tarde para el paso 1 ...

Una IDS de red (por ejemplo, snort) que mira todo el tráfico de Internet le ayudará a identificar los hosts infectados (# 2). También te ayudará a identificar desde dónde te están atacando para que puedas filtrar esas IP y redes en tu firewall (# 3). No olvide que la mayoría de los canales de control se originarán desde sus máquinas hasta los servidores de los atacantes, lo que hará que los conjuntos de reglas básicas del cortafuegos sean ineficaces. La capacidad de observar el tráfico interno del host y el tráfico externo en el NIDS ayudará a detectar transferencias laterales donde un host infectado comprometa directamente a otro.

A medida que se identifican los hosts infectados, reconstrúyalos (# 4 & 5). Use una contraseña de administrador local única para cada uno, y guárdelos fuera de línea (por ejemplo, un cuaderno en una habitación segura o cerrada) para usar la próxima vez que el host se vea comprometido. De esa manera, no está exponiendo las credenciales de administrador de dominio al iniciar sesión en un host comprometido, y el administrador local en un host no es igual al administrador local en todos ellos.

La captura completa de paquetes le permitirá revisar actividades maliciosas, extraer malware, descargadores, exfiltraciones y demás. Con un ancho de banda de red limitado, los requisitos de hardware para capturar todo el tráfico se reducen a niveles en los que el hardware básico puede manejarlo.

Si su infraestructura es Windows, limite radicalmente sus cuentas de administrador de dominio y rote sus contraseñas a menudo, especialmente cuando se usa para acceder a un host comprometido. Registre todos los accesos a la red, recopile sus registros de forma centralizada y revíselos periódicamente. Para el acceso SSH, use PKI, genere nuevas claves privadas y elimine las claves antiguas de authorized_hosts. Cambie las contraseñas de las cuentas locales en todos los hosts y no reutilice las contraseñas en varios hosts.

Suena como si estuvieras loco por esto. Puede ser conveniente contratar a una empresa externa para que lo ayude a identificar qué hosts se deben limpiar, las IP al agujero negro, etc. Busque servicios de manejo de incidentes y compare.

    
respondido por el petiepooo 05.07.2013 - 04:42
fuente
1

Los conceptos básicos son los básicos:

  • contienen máquinas infectadas
  • reinstalar / reimagen las máquinas infectadas
  • cambiar todas las contraseñas
  • configure una mejor detección para una respuesta más rápida en el futuro

Esta es la mejor manera. Si tiene restricciones de costos para contener y reinstalar / volver a crear imágenes, entonces esa podría ser la pregunta "real" y, por lo tanto, necesitaríamos más datos para ayudar.

Desde un punto de vista de CSO: si no tiene control físico sobre las computadoras, entonces ya no son sus computadoras, y debería reconsiderar su responsabilidad sobre ellas. Si realmente tiene la responsabilidad de estas máquinas, pero no tiene la capacidad de "atacarlas desde la órbita" de forma remota, entonces debe comenzar a trabajar en eso lo antes posible.

Si ese nivel de control no es posible, entonces debe comenzar a pensar en cambiar sus expectativas para permitir que sus máquinas se infecten permanentemente. En realidad, esta podría ser una opción más económica, pero probablemente requiera un replanteamiento total de su infraestructura y relaciones de confianza entre las máquinas. Por ejemplo, piense en cada uno de sus empleados como si fueran simplemente miembros del público en general.

    
respondido por el schroeder 05.07.2013 - 01:02
fuente
0

Así que el escenario es: alrededor de cien máquinas, todas en ubicaciones separadas, quizás interconectadas a través de una VPN. No hay capacidad para desplegar una imagen por PXE.

Dadas las restricciones, parece que la única opción es contener y rehabilitar lentamente. Crear una nueva VLAN / VPN. Ejecute el software antivirus configurado para una exploración completa. Las máquinas que están "limpias" entran en la nueva VPN. Continuar hasta que todas las máquinas estén limpias.

Esto será muy difícil y consumirá mucho tiempo, y supone un alto riesgo de reinfección porque no puede detectar el 100% del malware el 100% del tiempo.

Una vez que la crisis haya terminado, la organización necesita desarrollar e implementar un plan de gestión (¡con el presupuesto adecuado!). Es 2013: los días en que una red entera se infectó deberían estar muy por detrás.

    
respondido por el scuzzy-delta 05.07.2013 - 00:15
fuente

Lea otras preguntas en las etiquetas