¿Cómo explica la necesidad de "atacar desde la órbita" a la administración y los usuarios?

150

Cuando una máquina ha sido infectada con malware, la mayoría de nosotros aquí identificamos inmediatamente la acción apropiada como "atacar desde la órbita", es decir, borrar el sistema y comenzar de nuevo. Desafortunadamente, esto suele ser costoso para una empresa, especialmente si las copias de seguridad están configuradas de una manera menos que óptima. Esto puede producir resistencia por parte de la administración y los usuarios que solo quieren seguir usando la máquina para trabajar. Después de todo, en lo que a ellos respecta, pueden "simplemente ejecutar AV sobre él" y todo estará bien.

¿Cómo explica el problema a los administradores y usuarios de naturaleza no técnica? Fácilmente podría producir una razón técnica, pero tengo problemas para encontrar la redacción adecuada para usuarios no técnicos. Apreciaría especialmente cualquier forma de hablar con la que el destinatario se pueda identificar, por ejemplo. Apelando al sentido de gestión de riesgos de un administrador.

    
pregunta Polynomial 19.11.2012 - 14:59
fuente

10 respuestas

140

En mi experiencia, a la administración no le gusta escuchar analogías inteligentes. Dependiendo de la persona a la que les importe la línea de fondo en dólares u horas de productividad. Yo te lo explicaría:

  

El resultado final real es que un compromiso de nuestros datos costará al   Empresa de aproximadamente X dólares + Y horas para recuperar. Esto es Z%   Es probable que suceda dado el malware que se encuentra en esta máquina. Un nuevo   La instalación tendrá un costo de A dólares + B horas para recuperar. Tu escoges el   acción apropiada.

Es corto y claro, y realmente no les deja espacio para discutir. Ellos entenderán claramente el riesgo y deben tomar la decisión correcta.

    
respondido por el KDEx 19.11.2012 - 17:56
fuente
53

Evitaría las analogías biológicas o no comerciales (a menos que sea un hospital). Su trabajo es evaluar el riesgo, el costo y proporcionar opciones. El trabajo de su gerencia es tomar la decisión basándose en su análisis y asesoramiento.

Generalmente, un enfoque en un formato tabular es el mejor. "enfoque", "probabilidad de corregir el problema", "costo" son los mínimos necesarios. Puedes llamar a la segunda "Vegas" si es absolutamente necesario que te pongas lindo.

Por ejemplo, en este caso, puede tener lo siguiente.

Approach                       Prognosis     Cost
Run anti-virus on machine      30%           4 hours IT, 4 hours downtime
Replace machine w/new machine  75%           $3,000, 16 hours IT, 4 hours downtime
AV machine, copy user files, 
    replace machine, restore   60%           $3,000, 24 hours IT, 4 hours user, 8 hours
    files                                        downtime

En esta lista (asumiendo un escritorio de usuario), el problema real es el comportamiento del usuario. Querrá documentar por qué el pronóstico es < 100% para las diversas opciones, y por qué cualquier cosa relacionada con los archivos del usuario es menos efectiva que "hacer ruido desde la órbita".

Dependiendo del problema, es posible que desee agregar "no hacer nada" o "esperar" para informar a su administración de los riesgos para la empresa en general.

    
respondido por el Art Taylor 19.11.2012 - 18:45
fuente
32

Puedes beber todo el anti-virus del vino tinto que quieres probar y prevenir el cáncer, pero una vez que tengas ese primer tumor, beber más no te ayudará. Debe eliminarlo y asegurarse de obtener todo, porque si no lo hace, volverá de nuevo.

Una vez que te infectas con un virus, los síntomas obvios son una molestia, pero es lo que no puedes ver dónde está el verdadero peligro. Las puertas traseras, los rootkits y las redes de bots pueden ocultarse sin ninguna indicación de que haya algo malo. A veces, los peligros ocultos se combinan con peligros obvios, por lo que se siente seguro una vez que desaparecen los síntomas evidentes, pero lo obvio es una distracción de lo oculto.

Una vez que sepa que ha sido infectado, no sabe qué tan lejos va la infección y no saber qué significa que no sabe qué está en riesgo. El curso de acción más básico es bombardearlo desde la órbita. De esa manera, usted sabe dónde se encuentra y sabe cuál es su riesgo, incluso si hay un costo significativo para comenzar de cero.

    
respondido por el schroeder 19.11.2012 - 16:16
fuente
20

Eso es fácil : simplemente complete la cita en su pregunta de Aliens.

  

Es la única forma de estar seguro.

Eso es realmente todo lo que hay que hacer. Nada más y nada menos. Hágales saber que si ejecuta el software AV en él y el software dice que ha encontrado y eliminado el virus, entonces tal vez estén bien. Tal vez. Si el virus fue realmente eliminado. Si ese era realmente el único virus.

Para responder a lo que otra persona publicó sobre "Cómo guardar datos de usuarios de la máquina", la respuesta es que no. "TAKE OFF Y ABRA EL SITIO COMPLETO DE LA ÓRBITA" Eso significa que usted restaura desde la copia de seguridad y pierden todo lo que no fue respaldado. No es lo fácil de hacer, es lo correcto.

Porque es la única forma de estar seguro .

    
respondido por el Mark Allen 19.11.2012 - 20:16
fuente
13

Para ser el defensor del diablo, la gerencia ha escuchado todo esto. La seguridad es la gestión de riesgos y necesitan tomar la decisión. Solo recuérdeles las herramientas.

Risk = Probability of occurance X impact of occurance

100% de probabilidad de tiempo de inactividad de la producción durante la reconstrucción y los costos de la reconstrucción frente a 0,01% de probabilidad de que el software malicioso o las puertas traseras permanezcan en el sistema.

¿Quién controlaría las puertas traseras? Ciberdelincuentes que cometen delitos en serie en China, Rusia o Europa del Este. ¿A qué tendrían acceso? datos del sistema, recursos compartidos de archivos, rastreadores de teclado, micrófonos, cámaras, etc. ¿Por cuánto podrían vender esa información? ¿Cuánto tiempo pueden pasar desapercibidos?

¿Qué significa eso para la máquina en cuestión y la información que contiene?

Luego proporcione su evaluación del objetivo (utilizando su información limitada) y deje que ellos tomen la decisión. Conocen las finanzas y tienen más información sobre el verdadero valor del objetivo.

Hay muchos otros vectores para atacar. Empleados descontentos, contratistas y sus equipos, puertas traseras en software legítimo, sistemas de seguridad mal configurados, unidades no cifradas, etc. Es un mundo imperfecto. El dinero y el tiempo invertido en rebulir podrían gastarse mejor en otros lugares, como corregir la política de contraseñas, reforzar los servidores de correo electrónico, mejorar las copias de seguridad, etc.

    
respondido por el mgjk 19.11.2012 - 19:08
fuente
12

Prueba espías. La última obra de James Bond parece hacer millones de entradas, por lo que la multitud en general, por ahora , es receptiva a las historias de espías. Explique que una vez que las personas no confiables / hostiles están a cargo (esa es la configuración "comprometida"), no hay manera de recuperar la seguridad adecuada al pedirles que lo hagan ; y, sin embargo, de eso se trata la ejecución de un AV en una máquina infectada. Las redes de espías en todo el mundo siempre han sido segregadas en celdas autónomas de manera precisa para que las partes podridas puedan cortarse. Una vez que un agente ha sido subvertido, tal vez puedas subvertirlo, pero nunca volverás a confiar en él.

Para que la demostración sea más completa, hable sobre firmwares de teclado infectado , lo que resalta la necesidad de poner realmente la máquina al fuego. Reutilizar el hardware, incluso después de una limpieza, es arriesgado. Por lo tanto , los administradores / usuarios deben sentirse agradecidos de que aceptemos no realizar la limpieza completa, y nos limitamos a cometer errores lógicos , no físicos. Haga sentir que ya es un compromiso grave de su parte.

    
respondido por el Thomas Pornin 19.11.2012 - 16:48
fuente
6

Desde el punto de vista del técnico, ciertamente tienes razón. Pero el CEO no está mirando esto desde el punto de vista del técnico. Así que, o tienes que presentar el argumento en términos que tengan sentido para él.

Ninguna solución es absolutamente 100% efectiva. Ni siquiera "bombardearlo desde la órbita". Lo que obtienes son probabilidades. Ponga eso en una tabla de costo-beneficio, y está hablando en un lenguaje que el CEO puede entender: (los números aquí son solo ejemplos)

  • Entonces, si elimino el malware obvio solo, entonces el costo es el más bajo (1 hora de trabajo / tiempo de inactividad) y quizás ese 20% sea efectivo (el 80% del tiempo, el atacante volverá rápidamente).

  • Si elimino el malware obvio y dedico más tiempo a examinar los archivos modificados en las últimas 48 horas, obtengo una mayor tasa de éxito y un mayor costo: 6 horas de trabajo / inactividad , 60% de tasa de éxito

  • Tal vez si hago todo lo anterior y reinstalo todos los paquetes del sistema (por ejemplo, en sistemas RH: yum reinstall openssh-server , etc.), las tasas de costo y éxito aumentan: 12 horas de trabajo / tiempo de inactividad, 95% de éxito

  • Si hago todo lo anterior, plus dedico más tiempo a revisar / eliminar cualquier archivo en / bin, / sbin / etc., que no sea propiedad de ningún paquete, entonces tal vez eso agrega otras 4 horas y dame un 3% adicional de puntos en mi tasa de éxito.

  • Por último, si "lo destruyo desde la órbita", obtengo el costo más alto y la tasa de éxito: 48 horas de trabajo / tiempo de inactividad, 99.995% de tasa de éxito

Luego, a partir de ahí, averiguamos cuánto cuesta cada hora de trabajo / tiempo de inactividad, además de agregar el costo por incidente de cada explotación, y comenzamos a tener una idea de qué solución probablemente cueste el menor costo en la a largo plazo. Y ahora es una simple decisión de negocios. los CEOs son buenos en eso.

Por supuesto, las soluciones enumeradas anteriormente asumen un entorno * NIX, pero podría aparecer una lista similar para los sistemas Windows. Asegúrate de incluir AV como opción con un índice de éxito asociado realista .

Aquí está el problema: es difícil encontrar las probabilidades. A menos que haya hecho o visto muchas de estas soluciones intermedias, probablemente no tenga ninguna base para continuar. Además, convencer a un profesional de la seguridad para que acepte la solución 3 anterior cuando sabe que está ignorando específicamente algunas amenazas potencialmente graves será una venta difícil.

Pero la decisión y el riesgo son responsabilidad del CEO, no del profesional de seguridad. Puede decidir ir con una opción menos segura, pero siempre que sepa qué riesgos está tomando , debería tener la libertad de hacerlo.

    
respondido por el tylerl 19.11.2012 - 19:05
fuente
3

Eso es difícil. Tienes que usar conceptos que la persona promedio entenderá y encontrar una manera de cuidarlos. Usaría virus biológicos y cómo funcionan para explicar cómo funcionan los virus informáticos porque es algo con lo que todo el mundo tiene experiencia y tiene el potencial de hacer que el usuario sea "simpático" con la situación de la computadora.

Un virus biológico subvierte una célula, haciendo que haga lo que el virus quiere. El virus se convierte esencialmente en un zombie. No puedes confiar en que la célula haga lo que se supone que debe hacer, y no puedes detener la célula infectada por el virus y volver a la normalidad, la maquinaria ha tomado el control de manera tan completa que solo puedes matarla.

Los virus informáticos más antiguos no imitaban los virus biológicos muy de cerca. Su nivel de sofisticación era tal que podían hacer algunas cosas, pero no infectar los sistemas al nivel que no podían ser eliminados. Su supervivencia dependía más de que no hubiera un AV en el sistema.

Ahora los virus informáticos imitan mucho más a los biológicos, pueden subvertir un sistema tan a fondo que nunca se puede estar seguro de que estén claros. Puede decir que está claro, pero el virus tiene tanto control que puede evitar que un AV lo detecte. La computadora es como una célula zombie, y la única manera de evitar que el virus se propague es matarlo.

    
respondido por el GdD 19.11.2012 - 15:14
fuente
3

Imagina que estamos viviendo en una película de terror. Su prometida (según el caso) ha sido maldecida por una bruja y ahora escupe vómito de proyectil mientras gira su cabeza de forma poco natural.

Usted, como exorcista y cirujano de cerebro aficionado, tiene dos opciones:

  1. Expulsa totalmente a los demonios y restaura el alma de tu amada a la propiedad de su cuerpo.
  2. Intente la cirugía cerebral delicada de días de duración en un cuerpo supernaturalmente fuerte y peligroso que luchará en cada intento.

La opción 1 es simple, barata y funciona (en películas de terror).

La opción 2 requiere equipos de médicos altamente capacitados y caros, y probablemente no funcionará porque no puedes anestesiar demonios .

La restauración del software desde la copia de seguridad es análoga a la opción 1 y, a diferencia del exorcismo, funciona con IRL.

La opción 2 es análoga a emplear administradores de sistemas para verificar los archivos binarios, los archivos de datos y las configuraciones de los programas contra una buena copia conocida que, en primer lugar, podrían haber instalado en la máquina.

    
respondido por el Mike Samuel 19.11.2012 - 16:38
fuente
2

Vale la pena señalar que, en general, está bien transferir datos no ejecutables valiosos ( sin copia de seguridad reciente ) de un infectado máquina, antes de disparar desde la órbita (limpiar el disco duro, reinstalar el sistema operativo desde una fuente segura). Puede valer la pena recuperar cosas como documentos de texto simple (por ejemplo, manuscrito de látex o código fuente) o archivos multimedia importantes (por ejemplo, imágenes de vacaciones familiares) si no hay una copia de seguridad reciente. Sin embargo, debe sospechar que el virus le permite a un atacante tener el control total del sistema infectado, y es posible que el atacante haya modificado sus datos. Esto podría incluir introducir puertas traseras en su código fuente, crear sus propios usuarios administradores en sus bases de datos, alterar los archivos de configuración para que el sistema se encuentre en una configuración débil que pueda ser atacada de nuevo, etc. (Leería todo el código fuente con un diente fino). peine para asegurarse de que no se hicieron cambios sutiles, y eso solo si no es crítico para la seguridad). También tenga cuidado de que algunos archivos multimedia puedan contener virus, por ejemplo, documentos de MS Office con virus de macro (en este caso, lo mejor es exportar el contenido de texto fuera de .doc / .xls a una archivo de texto sin formato del sistema infectado cuando no está conectado a nada). También tenga cuidado al transferir los datos de la máquina infectada (para no volver a afectar a la otra máquina); por ejemplo, probablemente haría algo como arrancar desde un CD en vivo de Linux, montar el disco duro infectado con -noexec, conectarse a Internet y copiar de manera selectiva archivos importantes, y si es posible, intente compararlos con la copia de seguridad más reciente. p>

La razón por la que se usa la función Nuker desde su órbita es la única forma en que puede tener la confianza de volver a usar esa computadora de forma segura. El software antivirus funciona mediante la identificación de malware conocido y, como tal, no puede hacerlo con el 100% de precisión (y el software antivirus que se ejecuta en una computadora infectada puede haber sido manipulado por el virus, lo que reduce significativamente las posibilidades de eliminar el virus por completo). Comenzar de nuevo en un punto seguro significa que no le robarán sus datos valiosos o que tendrá que repetir el proceso nuevamente en una semana (posiblemente en más PC a medida que se propague la infección). La reinstalación puede ser automatizada y toma menos de un día; aproximadamente un tiempo equivalente para ejecutar un análisis de virus completo que no tiene garantía de efectividad. Si el tiempo de inactividad es un problema, debe haber redundancia en la cantidad de recursos informáticos disponibles para la organización.

    
respondido por el dr jimbob 19.11.2012 - 21:10
fuente

Lea otras preguntas en las etiquetas