Комментарии 23
Ну на самом деле, в первую очередь надо вырубать ПК из сети, после этого проводить сканирование и спасать нужные файлы, у нас все таки отдела документооборота, а значит есть вероятность потерять важные файлы.
Верно. Тоже выбрал второй вариант, и почти у всех в регламентах так и написано, что нужно ПК отключить от сети, а тут считают иначе…
Да тест вообще какой-то, мягко говоря, спорный. Предлагается внедрять контроли на основании ложного инцидента, типа в следующий раз может не пронести — с этого выпал в осадок. Технари писали, видимо, потому что системным подходом тут и не пахнет.
то есть, технари, которых тут большинство, ничего не понимают??? Прошу прощения, но были бы другие времена, вызвал бы Вас на дуэль за такие высказывания сударь.
11/12 про спам- фильтры посмеялся, особенно когда спам-адреса генерятся сотнями тысяч
НЛО прилетело и опубликовало эту надпись здесь
Сотрудница из отдела документооборота компании нажала в фишинговом письме «не туда», и её рабочая станция «поймала» шифровальщик.
Правильный ответ — написать заявление «по собственному». Если у сотрудницы из отдела документооборота разрешён запуск exe-шников откуда попало — это профнепригодность. Если при этом «Шифровальщик уже мог уйти в сеть» — это вообще преступная халатность.
Спасибо, теперь я точно знаю что овоща тупее меня не существует :-)
Крайне загадочная последовательность действий и постановка задачи в целом.
Во-первых, каким образом шифровальщик вообще попал на машину? В организации отсутствует почтовый антивирус? Пользователям разрешено запускать все, что попало? Отсутствует антивирусная защита в реальном времени? Или безопасники не слышали про эвристику, защищенные Дефендером каталоги и т.п.?
Далее, «перезаливать» зараженную машину ДО того, как будет проведено полное обследование и выявлен шифратор — это глупость чистой воды. Правильный алгоритм: отключить машину, вытащить системный диск, подключить к другой машине и снять полный образ. Физический диск потом можно вернуть обратно, а образ использовать для получения образца и прочего анализа. Образец при этом высылается производителю антивируса и через несколько часов оказывается в базе.
Требование «обновить антивирус» на первом шаге попросту не имеет отношения к реальности: он обновляется сам, автоматически, с проверкой обновлений раз в несколько часов максимум. Если это известный шифровальщик, он уже есть в базе. Если неизвестный, какой смысл обновлять антивирус немедленно, до передачи образца вендору?
Далее, совершенно удивительные вещи автор теста пишет про «файлы на рабочих станциях». Откуда они там вообще взялись? Все файлы при нормальной постановке работы хранятся только и исключительно на файл-серверах. На станциях используются механизмы типа offline files и перенаправления стандартных локаций Винды в сеть.
При подозрении массового распространения червя-шифратора по сети первое, что делается, это блокировка доступа пользователей к файл-серварам (отключение сетевых интерфейсов, остановка службы Server или аналогичные меры). После остановки волны доступ разблокируется, пользователям дается указание на проверку данных, зашифрованное восстанавливается из бэкапов.
Третий шаг (провести беседу с сотрудниками, вот это все) — вообще чудо. Все это должно быть сделано ДО того, как что-то случится. Это элементарные требования к построению сети и регулярному обучению.
В общем, я бы не доверил обеспечение безопасности сети автору этого теста, сорри.
Во-первых, каким образом шифровальщик вообще попал на машину? В организации отсутствует почтовый антивирус? Пользователям разрешено запускать все, что попало? Отсутствует антивирусная защита в реальном времени? Или безопасники не слышали про эвристику, защищенные Дефендером каталоги и т.п.?
Далее, «перезаливать» зараженную машину ДО того, как будет проведено полное обследование и выявлен шифратор — это глупость чистой воды. Правильный алгоритм: отключить машину, вытащить системный диск, подключить к другой машине и снять полный образ. Физический диск потом можно вернуть обратно, а образ использовать для получения образца и прочего анализа. Образец при этом высылается производителю антивируса и через несколько часов оказывается в базе.
Требование «обновить антивирус» на первом шаге попросту не имеет отношения к реальности: он обновляется сам, автоматически, с проверкой обновлений раз в несколько часов максимум. Если это известный шифровальщик, он уже есть в базе. Если неизвестный, какой смысл обновлять антивирус немедленно, до передачи образца вендору?
Далее, совершенно удивительные вещи автор теста пишет про «файлы на рабочих станциях». Откуда они там вообще взялись? Все файлы при нормальной постановке работы хранятся только и исключительно на файл-серверах. На станциях используются механизмы типа offline files и перенаправления стандартных локаций Винды в сеть.
При подозрении массового распространения червя-шифратора по сети первое, что делается, это блокировка доступа пользователей к файл-серварам (отключение сетевых интерфейсов, остановка службы Server или аналогичные меры). После остановки волны доступ разблокируется, пользователям дается указание на проверку данных, зашифрованное восстанавливается из бэкапов.
Третий шаг (провести беседу с сотрудниками, вот это все) — вообще чудо. Все это должно быть сделано ДО того, как что-то случится. Это элементарные требования к построению сети и регулярному обучению.
В общем, я бы не доверил обеспечение безопасности сети автору этого теста, сорри.
Я даже немножко дальше зайду.
Ежели у вас вовсю бушует шифровальщик — самое время настроить SRP, включить Secure Boot и изолировать этого гаденыша в пределах юзерспейса.
На серверах сложнее, но тоже можно.
1) Сначала снапшотим все хранилки и физически вырубаем менеджмент
2) Далее то же самое, что и на рабочих станциях.
Если у Вас ещё нет SRP и нет подписанной загрузки — самое время ею обзавестись.
Ежели у вас вовсю бушует шифровальщик — самое время настроить SRP, включить Secure Boot и изолировать этого гаденыша в пределах юзерспейса.
На серверах сложнее, но тоже можно.
1) Сначала снапшотим все хранилки и физически вырубаем менеджмент
2) Далее то же самое, что и на рабочих станциях.
Если у Вас ещё нет SRP и нет подписанной загрузки — самое время ею обзавестись.
Мне нравится «Уволенный сотрудник скачал критическую информацию», но нет ответа «Заблокировали учетку, потом дело по 272 УК РФ»
И всё же у сотрудников начали массово шифроваться файлы на рабочих станциях. Что сделать, чтобы предотвратить эпидемию?
Правильный ответ — неправильный.
Пока будешь выяснять какие именно компьютеры заражены, заражены будут все.
Вырубать нужно сразу всю сеть, и врубать по очереди, после проверки.
И вообще, большинство ответов — о рандомном сферическом коне вакууме. Решение принимается из-за особенностей конкретной компании и ее нужд. Где-то джамп-хост, где-то впн, где-то VDI и так далее. А тут — нужно знать о чем думал автор?
Изучать запущенные докер-контейнеры вообще смешно. А почему докер-контейнеры именно на этом сервере? А может это нода в кластере — тут положишь, в другом месте поднимется?
А откуда картинки к тесту?
я спец
А откуда картинки? Мультсериал?
Вариант 2! выключить и снести нафиг окна… Поставить линукс и не сношать мозги))
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
На киберстраже. Тест для безопасника на скилы и скорость