当一台机器感染了恶意软件后,我们大多数人会立即将相应的操作识别为“从轨道上将其破坏”-即擦除系统并重新开始。不幸的是,这对于一家公司而言通常是昂贵的,特别是如果备份配置不尽人意。这会给管理人员和只想继续使用机器工作的用户带来阻力。毕竟,就他们而言,他们可以“仅在其上运行AV”,一切都会好起来的。

您如何向管理人员和非技术人员解释该问题? ?我可以很容易地提出一个技术原因,但是我很难为非技术用户提供合适的措辞。我特别感谢收件人可以识别的任何说话方式,例如吸引管理者的风险管理意识。

评论

更重要的是。如何将用户的数据安全地传输到新计算机上。这是我遇到的问题。

@ktothez最好不要传输用户数据。例如,依赖感染前的安全备份。但是,如果有必要,我会做类似答案的操作,将受感染计算机上的MS Office文档转换为纯文本docs / CSV文件,在受感染计算机上启动到linux live cd,使用-noexec挂载受感染的硬盘,然后有选择地将有限数量的纯文本文档从受感染的计算机复制到另一台计算机。但是,请怀疑您的文件被恶意更改了,例如配置文件,密码,数据等。

@ jah不幸的是,IT并没有在大多数地方举办演出。缺乏IT知识的人常常会忽略IT决策。

@jah可悲的是,没有。他们的理想结果是绝对最小的支出,以减轻风险。对我来说,理想的结果是绝对最小的风险。诀窍是要找到一个对硬币两面都有效的平衡。不幸的是,除非双方相互了解,否则就很难轻易达到这种平衡。

@Mehrdad公平积分。我写这个问题时没有包含这些内容,因为我想避免对风险偏好和事件响应方法进行某种哲学上的讨论。当然,这些事情在决定是否从轨道上核对系统时很重要,但是这个问题是从(至少从安全管理者的角度)选择从轨道上核对系统的角度提出的行动。试图向非技术人员阐明其原因很困难,这就是这个问题的所在。

#1 楼

以我的经验,管理人员不喜欢听聪明的类比。根据不同的人,他们关心的是美元或小时的生产率。我会解释:


实际的底线是,我们数据的妥协将使
公司花费大约X美元+ Y小时来恢复。鉴于此计算机上存在恶意软件,很可能会发生Z%
。新的
安装将花费A美元+ B小时来恢复。您选择
适当的操作。他们将清楚地了解风险,并应做出正确的决定。

评论


问题是有关X%的基本不确定性-一旦发生感染,感染率可能在0%至100%之间。没有办法知道在哪里,只有一种方法可以将其降低到0%。这是一个比风险更愚蠢的概念。另外,为清楚起见,我建议对美元和小时使用不同的变量,例如Y和Z。

–user3490
2012年11月19日17:03



KDEx是个好答案:安全是一种经济产品,具有成本和价值。我自己的想法是,恶意软件X%可能被高估了,导致了“从轨道上破坏它”的习惯,但是我只真正处理过Solaris和Linux恶意软件。 Windows恶意软件无疑听起来更奇怪,更持久。

–布鲁斯·埃迪格(Bruce Ediger)
2012年11月19日在19:09

问题在于要花费停机时间的代价-但这不应该由您负责-但是您确实需要知道这一点才能花费潜在的解决方案。但是要当心是否依靠AV来解决问题:Art Taylor估计有30%的可能会产生良好的结果-但是恕我直言,这是相当乐观的-您可能最终只能暂时消除某些症状。

–symcbean
2012年11月19日在21:49



@KDEx,您需要考虑您的听众并为他们量身定制答案。对于某些受众来说,$ X> $ Y可能是最好的答案,但并不是所有经理都如此具体地考虑,即使列出了数字。如果他们这样做了,他们将不会尝试使用自己的技术解决方案来超越专家(在其上运行AV!)。当然,当讨论到这一点时,您需要知道您的电话号码,但是即使您声明有解释的空间(X%),这也意味着总是有争论的空间。

– schroeder♦
2012年11月19日在22:28

@BruceEdiger有概念验证的恶意软件,甚至可以隐藏在笔记本电脑的电池中,从而使从头重新安装无效,幸运的是,这是概念验证。所要做的只是稍微摆弄MBR,这很难检测,并且每次引导时都可以自行重新安装。系统中还有许多其他地方可以隐藏恶意软件,问题是而且一直都在找到它们。

– ewanm89
2012年11月20日,1:16

#2 楼

我会避免生物学或非商业类比(除非这是医院)。您的工作是评估风险,成本并提供选择。管理层的工作是根据您的分析和建议做出决定。

通常,以表格形式的方法是最好的。 “方法”,“解决问题的可能性”,“成本”是最低要求。如果您绝对必须变得可爱,则可以调用第二个“维加斯”。例如,在这种情况下,您可能会拥有以下内容。


在此列表(假设用户桌面)中,真正的问题是用户行为。您将要记录为什么各种选择的预后为何<100%,以及为什么涉及用户文件的任何内容都不如“从轨道上裸体”有效。添加“什么都不做”或“等待”,这些信息将通知您的管理人员整个业务的风险。

评论


成本效益表+1。这确实是大多数管理层希望看到的。

–密码
2012年11月19日在19:07

这是一个很好的答案。当然,即使您无法很好地量化下行风险,该表格以及您不进行任何操作或等待的情况。但是,它们是可行的选择,如果您包括了它们,那就太好了。特定于上下文的类比很好,但前提是与业务直接相关。如果您不能确定地做到这一点,最好不要尝试,并且绝对最好不要以会强化有关IT和安全人员工作文化的枯燥刻板印象的方式来组织工作。

– Ellie Kesselman
2012年11月19日在20:07

有趣的答案,我认为很难回答的缺点是百分比可能性来自何处?在很多安全性中,当人们尝试量化概率和成本之类的东西时,数字确实具有“最佳猜测”的元素,因为实际上没有很好的方法来预测它们,然后如果质疑它们为什么处于该水平,就很难捍卫他们..

–罗里·麦库恩(Rory McCune)
2012年11月19日在22:07

@RoryMcCune虽然我不知道这是否是ArtTaylor的想法,但我会沿着IT的角度来思考它,说“这是我们希望您要做的事”。。。

–伊兹卡塔
2012年11月20日19:15

@RoryMcCune如果您尚未建立信任关系,那么管理层将在没有诸如此类小问题的辩论的情况下进行估算,您必须首先解决该问题。在此之前,您需要使用常规来源(Gartner,Forrester,AMR等)的历史数字。

– Art Taylor
2012年11月21日在20:25

#3 楼

您可以喝所有想要尝试预防癌症的红酒抗病毒药,但是一旦患上第一个肿瘤,多喝酒将无济于事。您需要将其切出并确保全部获得,因为如果不这样做,它将再次出现。

一旦感染了病毒,明显的症状就很烦,但您看不到真正的危险所在。后门程序,rootkit和僵尸网络都可以隐藏,而没有任何迹象表明存在任何问题。有时,隐藏的危险与明显的危险结合在一起,因此一旦消失了明显的症状,您就会感到安全,但是显而易见的是分散了隐藏的注意力。知道感染的程度,不知道那意味着您不知道有什么危险。最基本的行动是从轨道上弹射它。这样,即使从头开始要付出巨大的代价,您也可以知道自己的位置和风险。

评论


您对癌症的类比不能很好地支持。 “从轨道上核杀”对应于“杀死癌症受害者并从他的最新克隆开始”,通常不是首选解决方案。

– CodesInChaos
2012年11月19日15:24

@CodesInChaos,这完全取决于相关用户。 ;)

– GdD
2012年11月19日15:24

它很好。我们无法取代人体中的所有细胞,但我们希望可以。癌症永远不会“治愈”,它是“存活”的,因为我们永远无法确保所有癌细胞都能被清除。使用计算机,我们可以更换所有细胞,以确保所有恶性因素不再成为一个因素。

– schroeder♦
2012年11月19日15:30



我想说的是碘而不是红酒,但我确实喜欢那类癌症。需要将其从网络中删除非常好。

–多项式
2012年11月19日15:48

#4 楼

这很容易-只需在问题中引出“外星人”的字样即可。是它。仅此而已。让他们知道,如果您在其上运行了AV软件,并且该软件指出已找到并删除了该病毒,则可能还可以。也许。如果病毒真的被清除了。如果那真的是唯一的病毒。

要回答其他人关于“如何从计算机中保存用户数据”的内容,答案是您没有。 “起飞并从轨道上骗取整个站点”,这意味着您从备份中恢复,并且丢失了所有未备份的内容。这不是一件容易的事,而是正确的事。

因为这是唯一可以确保的方法。

评论


稍等一下。此安装具有相当的价值。

–engineerC
2012年11月19日在22:33

我可以向他们收费!

–马克·艾伦(Mark Allen)
2013年12月6日,0:09

#5 楼

尝试间谍。詹姆斯·邦德(James Bond)的最后一部作品似乎有成千上万的条目,因此,目前为止,大多数人都接受间谍故事。说明一旦由不可靠/敌对的人负责(这是“妥协”的设置),便无法通过要求他们这样做来恢复适当的安全性;但是,这就是在受感染机器上运行AV的目的。全世界的间谍网络始终被精确地隔离到自治单元中,以便可以将腐烂的部分切断。代理被颠覆后,您也许可以将其颠覆,但是您再也不会信任他。机器开火。即使在擦除后重用硬件也是有风险的。因此,经理/用户应该对我们接受不进行全面清洗感到感激,并将自己限制在逻辑上,而不是物理上。让您觉得这已经是您的严重困扰。

评论


从文学的角度来看,这是一个很好的解释方式,但我担心这样的解释会使大多数中层管理人员从完全不同的角度傻眼。

–多项式
2012年11月19日15:50

您是否知道Apple是否对键盘固件黑客行为做了什么,还是在野外被发现?

–丹在火光中摆弄
2012年11月19日在16:39



我不知道有什么反对它的事情,也没有任何野蛮的侮辱。但这并不能证明...

–托马斯·波宁(Thomas Pornin)
2012年11月19日在18:03

@ThomasPornin,除了扔掉硬件(没有任何问题)之外,如果键盘固件被感染,还可以将其重置为出厂默认设置吗?

–起搏器
2015年5月5日下午5:01

#6 楼

作为魔鬼的拥护者,管理者已经听到了所有这一切。安全是风险管理,他们需要做出决定。只要提醒他们这些工具即可。

Risk = Probability of occurance X impact of occurance


重建过程中有100%的生产停机时间和重建成本,而系统中仍然存在0.01%的恶意软件或后门程序。 br />谁来控制后门?来自中国,俄罗斯或东欧的网络犯罪分子正在执行一系列犯罪。他们将获得什么?系统数据,文件共享,键盘探听器,麦克风,照相机等。他们能够卖出多少这些信息?它们会被检测到多长时间?

这对有问题的机器及其上的信息意味着什么?

然后提供对目标的评估(使用有限的信息) ),然后让他们做出决定。他们了解目标的财务状况,并且对目标的真实价值拥有更深入的了解。

还有许多其他攻击媒介。心怀不满的员工,承包商及其设备,合法软件的后门,错误配置的安全系统,未加密的驱动器等。这是一个不完美的世界。花费大量的金钱和时间在其他方面可能会更好,例如修复密码策略,加固电子邮件服务器,改善备份等。

#7 楼

从技术人员的角度来看,您当然是正确的。但是,CEO并不是从技术人员的角度来考虑这一问题。因此,您必须使用对他有意义的术语进行论证。

没有一种解决方案绝对是100%有效的。甚至没有“从轨道上发射”。你得到的是概率。将其放在成本效益表上,您会说的是首席执行官可以理解的语言:(这里的数字仅是示例)成本最低(1个小时的人工/停机时间),而且可能是20%有效(80%的时间,攻击者会迅速返回)。在过去的48个小时中,我获得了更高的成功率和更高的成本:6个小时的人工/停机时间,成功率达到60%
如果我做完上述所有事情并重新安装所有系统软件包(例如,在RH系统上: yum reinstall openssh-server等),那么成本和成功率会更高:12个小时的人工/停机时间,95%的成功率
如果执行上述所有操作,还要花更多时间检查/删除/ bin,/ sbin /中的任何文件等等,而不是任何程序包所拥有的,那么可能又增加了4个小时,并给我带来了3%的成功率。高最佳成本和成功率:48小时人工/停机时间,成功率99.995%

然后,从那里,我们计算出每小时的工作/停机成本是多少,再加上每次事故的成本利用,我们开始了解哪种解决方案的长期成本可能最低/最高。现在,这是一个简单的业务决策。 CEO擅长于此。

当然,上面列出的解决方案在* NIX环境下进行,但是您可以为Windows系统提供类似的列表。确保将AV扔在那里,作为具有现实相关成功率的选项。

这就是难题:概率很难得出。除非您已经完成或看到了很多这样的中途解决方案,否则您可能没有任何基础。另外,当说服安全专业人员知道自己特别忽略了一些潜在的严重威胁时,要说服安全专家接受上述解决方案3将会是一件艰难的事。

但是,决策和风险是首席执行官的责任,而不是安全专业人员的责任。他可能会决定选择一种不太安全的选择,但是只要他知道自己要承担的风险,那么他就应该可以这样做。

评论


真正的问题是,当CEO做出决定而不是从轨道上脱身而导致感染最终幸存下来并遭受严重损害时,诉讼很可能会转身说,因为已完成的选择有效95%,但失败了95%归咎于进行恢复的系统管理员,由于需要将某人作为惨败的替罪羊而解雇,因此显然应该是未能成功清除感染的人。

–丹在火光中摆弄
2012年11月19日在18:49

@DanNeely这肯定是您期望担心的事情。但是,只要对所有内容进行了正确的解释和记录,就不应该如此。如果购买的合同中有记录的缺陷率是2%的产品,则不能将98%的缺陷归咎于制造商。这是100%的决策者。如果您担心的是在工作场所中,您应该(a)断然拒绝执行CEO告诉您的工作,和/或(b)找到新工作。

– tylerl
2012年11月19日在18:56

yum重新安装openssh-server等取决于您是否能够信任yum来执行应做的事情。你做?

–用户
2012年11月19日19:45

@MichaelKjörling通常,是的。同样,我们在计算概率和平均值。 ssh / sshd和包括md5sum的coreutils经常被木马感染。但是到目前为止,在我检查过的成千上万的被黑系统中,它们还没有对yum,python或rpm进行木马化。这不是不可能,只是还不流行(还)。

– tylerl
2012年11月19日在20:27

#8 楼

这是一个艰难的过程。您必须使用普通人会理解的概念,并找到一种使他们受到照顾的方法。我将使用生物病毒及其工作原理来解释计算机病毒的工作原理,因为它是每个人都有的经验,并且有可能使用户“同情”计算机的状况。

生物病毒破坏细胞,使其发挥病毒的作用。该病毒实质上变成了僵尸。您不能信任该细胞执行应做的事情,也无法停止受病毒感染的细胞并使它再次恢复正常,该机械已被完全控制,只能杀死它。

较旧的计算机病毒并没有非常接近地模仿生物病毒。他们的熟练程度足以使他们能够做一些事情,但无法将系统感染到无法删除的程度。他们的生存更多地取决于系统上没有AV。

现在,计算机病毒可以更紧密地模仿生物病毒,它们能够彻底破坏系统,以致您永远无法确定它们是否清晰。也许可以说很清楚,但是该病毒完全受到控制,可以阻止AV对其进行检测。计算机就像僵尸细胞一样,防止病毒传播的唯一方法是将其杀死。

#9 楼

想象一下我们生活在一部恐怖电影中。您的未婚夫或未婚夫(视情况而定)已被女巫诅咒,现在正喷出投射性呕吐物,同时不自然地旋转头部。 :


彻底消灭恶魔,让自己心爱的灵魂恢复对自己身体的所有权。与您的每一次尝试战斗。无法工作,因为您无法麻醉恶魔。


从备份还原软件类似于选项1,与驱魔作品IRL不同。类似于雇用sysadmins来检查程序二进制文件,数据文件和配置是否与它们可以首先安装在计算机上的已知良好副本相对。

评论


我想你误会了。我可以提供很好的技术说明,但是我正在寻找一种向非技术用户或经理进行说明的方法。此外,如今与典型的OS安装相比,100MB的存储空间已不算多-Windows 7或8的存储空间为数十GB。

–多项式
2012年11月19日15:40

@Polynomial,这是我尝试提供的详细信息级别的解释,非技术用户可以理解。s是的,如今对于面向用户的OS而言,100 MB的安装量很小。尽管许多专用服务器仍运行较薄的OS。

–迈克·塞缪尔(Mike Samuel)
2012年11月19日15:44

@Polynomial,请参阅我的编辑。

–迈克·塞缪尔(Mike Samuel)
2012年11月19日的16:00

我个人会对此采取僵尸态度-如果其他幸存者被咬,您是否a)实施急救并让他们耸了耸肩,还是b)就在那里杀死他们以防止他们伤害他人,然后烧死他们的尸体?

–user3490
2012年11月19日下午16:50

@ user3490,我认为人们会选择第一个选项。

–起搏器
2015年5月5日下午5:06

#10 楼

值得指出的是,通常可以从受感染的机器上传输有价值的不可执行数据(没有最近备份),然后再绕轨道运行(擦拭硬盘,从安全来源重新安装OS)。如果没有最近的备份,像纯文本文档(例如乳胶手稿或源代码)或重要媒体文件(例如家庭度假的图像)之类的东西可能值得恢复。但是,您需要怀疑该病毒使攻击者可以完全控制受感染的系统,并且攻击者可能已经修改了您的数据。这可能包括在您的源代码中引入后门程序,在数据库中创建自己的管理员用户,更改配置文件以使系统处于弱配置且可以再次受到攻击等。(我会细读所有源代码梳以确保没有进行任何细微的更改-仅在对安全性要求不高的情况下才进行)。还请注意某些媒体文件可能包含病毒,例如带有宏病毒的MS Office文档(这种情况最好,我将从.doc / .xls中将文本内容复制到受感染的纯文本文件中系统未连接任何东西时)。另外,请小心将数据从受感染的计算机传输出去(以免再次感染另一台计算机);例如,我可能会做一些事情,例如从linux live cd启动,用-noexec挂载受感染的硬盘,连接到互联网,并选择性地复制重要文件,如果可能的话,尝试将它们与最新备份进行比较。 />
从轨道上晃动的原因是您有信心再次安全使用该计算机的唯一方法。防病毒软件通过识别已知的恶意软件来工作,因此不能100%准确地做到这一点(而且在受感染的计算机上运行的防病毒软件可能已被病毒篡改,从而大大降低了其彻底清除病毒的机会)。从安全的角度出发,这意味着您不会窃取您的宝贵数据,也不必在一周内再次重复该过程(随着感染的传播,可能会在更多的PC上)。重新安装可以自动进行,并且一天之内即可完成;大约不能保证有效运行完整病毒扫描的等效时间。如果停机是一个问题,那么组织中可用的计算资源量就需要冗余。

评论


然后是字体/图像/ ...导致查看器中的缓冲区溢出攻击或出现在查看器中的PDF-您永远无法确定系统是否没有被目标0天打通过一些数据文件。

–马丁·施罗德(MartinSchröder)
2012年11月22日23:29

@MartinSchröder-我同意pdf(例如* .doc)很危险,因为它们不是简单的纯文本,但通常会自动执行嵌入式脚本。我不同意通过成熟的观看者观看时通常安全的图像。原则上,图像查看器可能容易受到缓冲区溢出攻击,但前提是编写得不好(例如,带有不安全库的不安全语言从不进行边界检查)。我将浏览网络并查看所呈现的任何图像,没有病毒的危险(与pdf / doc不同)。

– jimbob博士
2012年11月26日17:23

我想知道是否可以通过执行某种unicode缓冲区溢出来感染.txt文件。

– Spikolynn
18 Mar 6 '18 at 17:32