Widziałem niektóre witryny oferujące „Uniwersytet Malware”, szkolenia dotyczące usuwania szkodliwego oprogramowania. Czy uważasz, że od czasu do czasu konieczna jest aktualizacja umiejętności usuwania złośliwego oprogramowania (lub arsenału)? W jaki sposób skuteczniej radzisz sobie z tym rosnącym, bardzo skomplikowanym zagrożeniem?
Odpowiedzi:
Nie „czyścisz złośliwego oprogramowania”. Poziomujesz maszyny i zaczynasz od nowa. Wszystko, co mniej, jest uszczerbkiem dla klienta i prośbą o kłopoty.
Jeśli chodzi o „zagrożenie”, nie zezwalasz użytkownikom na uruchamianie kont na poziomie administratora (w systemie Windows) i nie instalujesz niezaufanego oprogramowania (o ile to możliwe). Wydaje mi się to dość proste. Moi klienci i ja nie mamy problemu ze złośliwym oprogramowaniem.
Poza praktykami sysadmin polegającymi na nie pozwalaniu użytkownikom na uruchamianie kont na poziomie administratora, i tak spoczywa na tobie duża odpowiedzialność za to, że jesteś na bieżąco z zagrożeniami na wolności. Przeczytaj ostrzeżenia wyskakujące po znalezieniu nowego zagrożenia. Przygotuj zasady aktualizacji oprogramowania.
Nic nie może zniszczyć bezpieczeństwa szybciej niż zdeterminowany użytkownik, dlatego poinformuj ich o niebezpieczeństwach związanych z klikaniem losowych łączy w wiadomości e-mail lub instalowaniem aplikacji, chyba że są oni pewni źródła (itp.), Upewniając się, że jest to związane z bezpieczeństwem sieci i ich komputerów domowych.
Jeśli będziesz na bieżąco z wiadomościami i będziesz wiedział o tym swoich użytkowników, drastycznie zmniejszysz swoją widoczność.
Jeśli chodzi o „szkolenie w zakresie szkodliwego oprogramowania”, sama nazwa jest nieco zbyt modnym hasłem marketingowym, aby wzbudzić wiarę. Być może jestem zbyt sceptyczny, ale uważam, że wszelkie konkretne „tematy związane ze złośliwym oprogramowaniem” będą przestarzałe, zanim sesja się rozpocznie.
Pewnie, zastosowanie mają pewne podstawowe umiejętności, ale jeśli administrator (lub technik wsparcia) jeszcze tego nie wie, wolałbym sformatować maszynę (z powodów wskazanych przez Evana Andersona), zamiast ryzykować umiejętności czyszczenia .
Autoruns i Process Explorer z Sysinternals (obecnie własnością MS) są twoimi najlepszymi przyjaciółmi. 1-2 infekcje, które widzę w tygodniu, w których użytkownik otworzył załącznik lub odwiedził stronę, której nie powinien mieć, a (aktualne!) AV nie zablokowało go całkowicie, ogólnie można je usunąć w 30m-1h wysiłku za pomocą tylko tych dwóch narzędzi. Są dość proste, a po kilku pierwszych oczyszczeniach zyskasz talent do wiedzieć, co należy zabić / usunąć, aby pozbyć się złośliwego oprogramowania.
To powiedziawszy, co jakiś czas natkniesz się na kawałek złośliwego oprogramowania, które nie zostało napisane przez idiotę, więc jeśli nie możesz zrobić żadnego postępu po 30 minutach, czas na całkowite wyczyszczenie / przeładowanie.
Pamiętaj, że jest to bardziej odpowiednie dla małych i średnich firm, w których sprzęt nie jest znormalizowany. Jeśli masz obraz systemu i utworzono kopię zapasową plików użytkownika, szybciej wyczyścisz / przeładujesz przy pierwszym znaku infekcji.