Lorsqu'une machine a été infectée par un logiciel malveillant, la plupart d'entre nous identifions immédiatement l'action appropriée comme "la neutraliser de l'orbite" - c'est-à-dire effacer le système et recommencer. Malheureusement, cela est souvent coûteux pour une entreprise, surtout si les sauvegardes sont configurées de manière moins qu'optimale. Cela peut produire une résistance de la part de la direction et des utilisateurs qui souhaitent simplement continuer à utiliser la machine pour le travail. Après tout, en ce qui les concerne, ils peuvent "simplement faire tourner AV dessus" et tout ira bien.
Comment expliquez-vous le problème à la direction et aux utilisateurs de nature non technique? Je pourrais facilement produire une raison technique, mais j'ai du mal à trouver la formulation appropriée pour les utilisateurs non techniques. J'apprécierais particulièrement toute façon de parler avec laquelle le destinataire peut s'identifier, par exemple faire appel au sens de la gestion des risques d'un gestionnaire.
D'après mon expérience, la direction n'aime pas écouter les analogies intelligentes. Selon la personne qui se soucie du résultat net en dollars ou en heures de productivité. J'expliquerais:
Le résultat final est qu'un compromis de nos données coûtera à l'entreprise environ X dollars + Y heures à récupérer. Cela est Z% susceptible de se produire compte tenu des logiciels malveillants présents sur cette machine. Une nouvelle installation coûtera A dollars + B heures pour récupérer. Vous choisissez l'action appropriée.
C'est court et clair et ne leur laisse pas vraiment de place pour discuter. Ils comprendront clairement le risque et devraient prendre la bonne décision.
J'éviterais les analogies biologiques ou non commerciales (sauf s'il s'agit d'un hôpital). Votre travail consiste à évaluer les risques, les coûts et à proposer des options. Le travail de votre direction consiste à prendre la décision sur la base de votre analyse et de vos conseils.
En règle générale, une approche sous forme de tableau est préférable. "approche", "probabilité de corriger le problème", "coût" sont le minimum requis. Vous pouvez appeler le deuxième "Vegas" si vous devez absolument devenir mignon.
Par exemple, dans ce cas, vous pouvez avoir les éléments suivants.
Approach Prognosis Cost
Run anti-virus on machine 30% 4 hours IT, 4 hours downtime
Replace machine w/new machine 75% $3,000, 16 hours IT, 4 hours downtime
AV machine, copy user files,
replace machine, restore 60% $3,000, 24 hours IT, 4 hours user, 8 hours
files downtime
Dans cette liste (en supposant un bureau utilisateur), le vrai problème est le comportement de l'utilisateur. Vous aurez besoin de documenter pourquoi le pronostic est <100% pour les différentes options, et pourquoi tout ce qui implique des fichiers utilisateur est moins efficace que "fouiner depuis l'orbite".
Selon le problème, vous souhaiterez peut-être ajouter "ne rien faire" ou "attendre" qui informeront votre gestion des risques pour l'entreprise en général.
Vous pouvez boire tout l'anti-virus du vin rouge que vous voulez essayer de prévenir le cancer, mais une fois que vous aurez cette première tumeur, plus de boisson ne vous aidera pas. Vous devez le couper et vous assurer que vous obtenez tout cela, car si vous ne le faites pas, il reviendra.
Une fois que vous êtes infecté par un virus, les symptômes évidents sont une gêne, mais c'est ce que vous ne pouvez pas voir où se trouve le vrai danger. Les portes dérobées, les rootkits et les botnets peuvent tous se cacher sans aucune indication de problème. Parfois, les dangers cachés sont combinés avec des dangers évidents afin que vous vous sentiez en sécurité une fois que les symptômes évidents ont disparu, mais l'évidence est une distraction du caché.
Une fois que vous savez que vous avez été infecté, vous ne savez pas jusqu'où va l'infection et ne pas savoir cela signifie que vous ne savez pas ce qui est à risque. La ligne de conduite la plus élémentaire consiste à le neutraliser de l'orbite. De cette façon, vous savez où vous êtes et vous savez quel est votre risque, même s'il y a un coût important à recommencer à zéro.
C'est facile - il suffit de terminer la citation dans votre question, d'Aliens.
C'est le seul moyen d'en être sûr.
C'est vraiment tout ce qu'il y a à faire. Ni plus ni moins. Faites-leur savoir que si vous exécutez le logiciel AV dessus et que le logiciel dit qu'il a trouvé et supprimé le virus, alors peut-être qu'ils sont ok. Peut être. Si le virus a vraiment été supprimé. Si c'était vraiment le seul virus.
Pour répondre à ce que quelqu'un d'autre a publié sur "Comment enregistrer les données utilisateur de la machine", la réponse est que non. "ENLEVEZ ET NUKEZ LE SITE ENTIER D'ORBIT" Cela signifie que vous effectuez une restauration à partir d'une sauvegarde et qu'ils perdent tout ce qui n'a pas été sauvegardé. Ce n'est pas la chose facile à faire, c'est la bonne chose à faire.
Parce que c'est le seul moyen d'en être sûr.
Essayez les espions. Le dernier opus de James Bond semble faire des millions d'entrées, donc la foule en général est pour l'instant , réceptive aux histoires d'espionnage. Expliquez qu'une fois que des personnes peu fiables/hostiles sont en charge (c'est la configuration "compromise"), il n'y a aucun moyen de récupérer la sécurité appropriée en en leur demandant de le faire ; et pourtant, c'est à cela que sert l'exécution d'un AV sur une machine infectée. Les réseaux d'espions à travers le monde ont toujours été séparés en cellules autonomes afin que les parties pourries puissent être coupées. Une fois qu'un agent a été renversé, vous pouvez peut-être le renverser, mais vous ne lui ferez plus jamais confiance.
Pour rendre la démonstration plus complète, parlez de firmwares de clavier infectés , qui souligne la nécessité de vraiment mettre la machine à feu. La réutilisation du matériel, même après un nettoyage, est risquée. Par conséquent , les gestionnaires/utilisateurs devraient se sentir reconnaissants que nous acceptions de ne pas faire le nettoyage complet, et nous limiter à logique nuking, pas physique. Faites sentir que c'est déjà une grave compromission de votre part.
Pour être l'avocat du diable, la direction a entendu tout cela. La sécurité est la gestion des risques et ils doivent prendre la décision. Rappelez-leur simplement les outils.
Risk = Probability of occurance X impact of occurance
100% de chances d'indisponibilité de la production pendant la reconstruction et les coûts de reconstruction contre 0,01% de chances que des logiciels malveillants ou des backdoors restent dans le système.
Qui contrôlerait les portes arrière? Des cybercriminels commettant des délits en série en provenance de Chine, de Russie ou d'Europe de l'Est. À quoi auraient-ils accès? les données du système, les partages de fichiers, les renifleurs de clavier, les microphones, les caméras, etc. Pour combien pourraient-ils vendre ces informations? Combien de temps pourraient-ils passer inaperçus?
Qu'est-ce que cela signifie pour la machine en question et les informations la concernant?
Donnez ensuite votre évaluation de la cible (en utilisant vos informations limitées) et laissez-les prendre la décision. Ils connaissent les finances et ont une meilleure idée de la valeur réelle de l'objectif.
Il existe de nombreux autres vecteurs d'attaque. Employés mécontents, sous-traitants et leur équipement, portes dérobées dans des logiciels légitimes, systèmes de sécurité mal configurés, lecteurs non chiffrés, etc. C'est un monde imparfait. L'argent et le temps passé à reconditionner pourraient être mieux dépensés ailleurs, comme la fixation de la politique de mot de passe, le renforcement de vos serveurs de messagerie, l'amélioration des sauvegardes, etc.
Du point de vue du technicien, vous avez certainement raison. Mais le PDG ne regarde pas cela du point de vue du technicien. Vous devez donc soit présenter l'argument en des termes qui lui conviennent.
Aucune solution n'est absolument efficace à 100%. Pas même "le faire sortir de l'orbite". Ce que vous obtenez, ce sont les probabilités. Mettez cela sur une table coûts-avantages, et vous parlez un langage que le PDG peut comprendre: (les chiffres ici ne sont que des exemples)
Donc, si je nettoie le malware évident seul, le coût est le plus bas (1 heure de travail/temps d'arrêt) et peut-être que 20% d'efficacité (80% du temps, l'attaquant reviendra rapidement).
Si je nettoie les logiciels malveillants évidents et passe plus de temps à examiner les fichiers modifiés au cours des 48 dernières heures, alors j'obtiens un taux de réussite et un coût plus élevés: 6 heures de travail/temps d'arrêt, taux de réussite de 60%
Peut-être que si je fais tout ce qui précède et que je réinstalle tous les packages système (par exemple sur les systèmes RH: yum reinstall openssh-server
etc.), les coûts et les taux de réussite augmentent: 12 heures de travail/temps d'arrêt, 95% de taux de réussite
Si je fais tout ce qui précède, plus passer plus de temps à vérifier/supprimer tous les fichiers dans/bin,/sbin/etc., qui n'appartiennent à aucun package, alors peut-être que cela ajoute encore 4 heures, et me donne 3% de points supplémentaires sur mon taux de réussite.
Enfin, si je "le fais sortir de l'orbite", j'obtiens le coût et le taux de réussite les plus élevés: 48 heures de travail/temps d'arrêt, 99,995% de taux de réussite
Ensuite, à partir de là, nous calculons le coût de chaque heure de travail/temps d'arrêt, plus le coût par incident de chaque exploit, et nous commençons à avoir une idée de la solution qui coûtera probablement le moins/le plus à long terme. Et maintenant, c'est une décision commerciale simple. Les PDG sont bons dans ce domaine.
Bien sûr, les solutions répertoriées ci-dessus supposent un environnement * NIX, mais vous pouvez proposer une liste similaire pour les systèmes Windows. Assurez-vous d'y ajouter AV en option avec un taux de réussite associé réaliste .
Voici le hic: les probabilités sont difficiles à trouver. À moins que vous n'ayez fait ou vu beaucoup de ces solutions à mi-chemin, vous n'avez probablement aucune base pour continuer. De plus, convaincre un professionnel de la sécurité d'adopter la solution 3 ci-dessus lorsqu'il sait qu'il ignore spécifiquement certaines menaces potentiellement graves sera difficile à vendre.
Mais la décision et le risque sont la responsabilité du PDG, pas du professionnel de la sécurité. Il peut décider de choisir une option moins sûre, mais tant qu'il sait quels risques il prend, alors il devrait être libre de le faire.
C'est difficile. Vous devez utiliser des concepts que la personne moyenne comprendra et trouver un moyen de leur faire prendre soin. J'utiliserais des virus biologiques et comment ils fonctionnent pour expliquer comment fonctionnent les virus informatiques car c'est quelque chose que tout le monde a expérimenté et qui a le potentiel d'amener l'utilisateur à être "sympathique" avec la situation de l'ordinateur.
Un virus biologique subvertit une cellule, lui faisant faire ce que le virus veut. Le virus devient essentiellement un zombie. Vous ne pouvez pas faire confiance à la cellule pour faire ce qu'elle est censée faire, et vous ne pouvez pas arrêter la cellule infectée par le virus et la rendre à nouveau normale, la machine a été prise en main si bien que vous ne pouvez que la tuer.
Les virus informatiques plus anciens n'imitaient pas de très près les virus biologiques. Leur niveau de sophistication était tel qu'ils étaient capables de faire certaines choses, mais pas d'infecter les systèmes au niveau où ils ne pouvaient pas être supprimés. Leur survie dépendait davantage de l'absence d'un AV sur le système.
Désormais, les virus informatiques imitent les virus biologiques de plus près, ils sont capables de subvertir un système si complètement que vous ne pouvez jamais être sûr qu'ils sont clairs. Cela peut dire que c'est clair, mais le virus est si totalement sous contrôle qu'il peut empêcher un AV de le détecter. L'ordinateur est comme une cellule zombie, et le seul moyen d'empêcher le virus de se propager est de le tuer.
Imaginez que nous vivons dans un film d'horreur. Votre fiancé ou votre fiancée (selon le cas) a été maudit par une sorcière et crache maintenant des vomissements de projectiles tout en faisant tourner la tête de manière anormale.
En tant qu'exorciste et chirurgien du cerveau amateur, vous avez deux options:
L'option 1 est simple, bon marché et fonctionne (dans les films d'horreur).
L'option 2 nécessite des équipes de médecins hautement qualifiés et coûteux, et ne fonctionnera probablement pas parce que vous ne pouvez pas anesthésier les démons .
La restauration du logiciel à partir de la sauvegarde est analogue à l'option 1 et, contrairement à l'exorcisme, fonctionne IRL.
L'option 2 est analogue à l'utilisation d'administrateurs système pour vérifier les fichiers binaires de programme, les fichiers de données et les configurations par rapport à une bonne copie connue qu'ils auraient pu simplement installer sur la machine en premier lieu.
Il convient de souligner qu'il est généralement correct de transférer précieux non exécutable données ( sans sauvegarde récente ) à partir d'une machine infectée, avant de quitter l'orbite (essuyage du disque dur, réinstallation du système d'exploitation à partir d'une source sûre). Des trucs comme des documents en texte brut (par exemple, un manuscrit en latex ou un code source) ou des fichiers multimédias importants (par exemple, des images de vacances en famille) peuvent valoir la peine d'être récupérés s'il n'y a pas de sauvegarde récente. Cependant, vous devez vous douter que le virus laisse à un attaquant le contrôle total du système infecté, et l'attaquant peut avoir modifié vos données. Cela pourrait inclure l'introduction de portes dérobées dans votre code source, la création de leurs propres utilisateurs administratifs dans vos bases de données, la modification des fichiers de configuration afin que le système soit dans une configuration faible qui peut être attaquée à nouveau, etc. (je lirais tout le code source avec des dents fines) peigne pour vous assurer qu'aucune modification subtile n'a été apportée - et ce n'est que si ce n'est pas critique pour la sécurité). Faites également attention à certains fichiers multimédias susceptibles de contenir des virus, par exemple, des documents MS Office avec des virus de macro (dans ce cas, je préfère exporter la copie du contenu texte hors du . Doc/. xls dans un fichier texte brut du système infecté lorsqu'il n'est connecté à rien). Faites également attention à ne pas transférer les données de la machine infectée (pour ne pas réinfecter l'autre machine); Par exemple, je ferais probablement quelque chose comme démarrer un live cd linux, monter le disque dur infecté avec -noexec, me connecter à Internet et copier sélectivement les fichiers importants, et si possible essayer de les comparer à la sauvegarde la plus récente.
La raison de la sortie de l'orbite est la seule façon dont vous pouvez avoir confiance pour utiliser à nouveau cet ordinateur en toute sécurité. Les logiciels antivirus fonctionnent en identifiant les logiciels malveillants connus et ne peuvent donc pas le faire avec une précision de 100% (et les logiciels antivirus exécutés sur un ordinateur infecté peuvent avoir été falsifiés par le virus, ce qui réduit considérablement ses chances de supprimer complètement le virus). Si vous recommencez à un point sûr, vous n'aurez pas le vol de vos précieuses données ou vous devrez répéter le processus dans une semaine (peut-être sur plus de PC à mesure que l'infection se propage). La réinstallation peut être automatisée et prend moins d'une journée; à peu près un temps équivalent pour exécuter une analyse antivirus complète qui n'a aucune garantie d'efficacité. Si le temps d'arrêt est un problème, il doit y avoir redondance dans la quantité de ressources informatiques disponibles pour l'organisation.