Nella mia esperienza al management non piace ascoltare analogie intelligenti. A seconda della persona a cui tengono i profitti in dollari o ore di produttività. Spiegherei:

La conclusione effettiva è che una compromissione dei nostri dati costerà all'azienda circa X dollari + Y ore per il recupero. Questo è Z% probabile che accada dato il malware che è su questa macchina. Una nuova installazione costerà A dollari + B ore per il ripristino. Scegli l'azione appropriata.

È breve e chiaro e in realtà non lascia loro spazio per discutere. Capiranno chiaramente il rischio e dovrebbero prendere la decisione giusta.

Eviterei le analogie biologiche o non commerciali (a meno che questo non sia un ospedale). Il tuo compito è valutare rischi, costi e fornire opzioni. Il compito della tua direzione è prendere la decisione in base alla tua analisi e ai tuoi consigli.

In genere, un approccio in formato tabulare è il migliore. "approccio", "probabilità di correggere il problema", "costo" sono il minimo necessario. Puoi chiamare la seconda "Vegas" se devi assolutamente diventare carino.

Ad esempio, in questo caso, potresti avere quanto segue.

  Approach Prognosis CostRun anti -virus sulla macchina 30% 4 ore IT, 4 ore di inattività Sostituzione macchina con nuova macchina 75% $ 3.000, 16 ore IT, 4 ore di inattività Macchina AV, copia file utente, sostituzione macchina, ripristino 60% $ 3.000, 24 ore IT, 4 ore utente , 8 ore di inattività dei file  

In questo elenco (assumendo un desktop utente), il vero problema è il comportamento dell'utente. Dovrai documentare il motivo per cui la prognosi è < al 100% per le varie opzioni e perché tutto ciò che riguarda i file degli utenti è meno efficace del "nuking from orbita".

A seconda del problema, potresti aggiungere "non fare nulla" o "aspettare" per informare la direzione dei rischi per l'azienda in generale.

Puoi bere tutto l'antivirus del vino rosso che vuoi provare per prevenire il cancro, ma una volta che hai quel primo tumore, bere di più non aiuterà. Devi eliminarlo e assicurarti di averlo tutto, perché se non lo fai tornerà di nuovo.

Una volta che sei stato infettato da un virus, i sintomi evidenti sono un fastidio, ma è quello che non puoi vedere dove si trova il vero pericolo. Backdoor, rootkit e botnet possono nascondersi senza alcuna indicazione che ci sia qualcosa di sbagliato. A volte i pericoli nascosti sono combinati con pericoli evidenti, quindi ti senti sicuro una volta che i sintomi evidenti sono scomparsi, ma l'ovvio è una distrazione dal nascosto.

Una volta che sai di essere stato infettato, non lo sai fino a che punto arriva l'infezione e non sapere ciò significa che non sai cosa è a rischio. La linea d'azione più elementare è quella di bombardarlo dall'orbita. In questo modo sai dove ti trovi e qual è il tuo rischio, anche se ricominciare da capo costa un costo significativo.

È facile : termina la citazione nella tua domanda, da Aliens.

È l'unico modo per esserne sicuri.

Questo è davvero tutto quello che c'è da fare. Niente di più, niente di meno. Fagli sapere che se esegui il software AV su di esso e il software dice di aver trovato e rimosso il virus, allora forse stanno bene. Può essere. Se il virus è stato davvero rimosso. Se quello fosse davvero l'unico virus.

Per rispondere a ciò che qualcun altro ha pubblicato su "Come salvare i dati utente dalla macchina", la risposta è che non lo fai. "DECOLLA E SFUOTA L'INTERO SITO DA ORBIT" Ciò significa che ripristini dal backup e loro perdono tutto ciò che non è stato sottoposto a backup. Non è la cosa facile da fare, è la cosa giusta da fare.

Perché è l'unico modo per esserne sicuri .

Prova le spie. L'ultima opera di James Bond sembra fare milioni di voci, quindi la folla in generale è, per ora , ricettiva alle storie di spionaggio. Spiega che una volta che le persone inaffidabili / ostili sono al comando (questa è la configurazione "compromessa"), non c'è modo di recuperare la sicurezza adeguata chiedendo loro di farlo ; eppure, questo è ciò che significa eseguire un AV su una macchina infetta. Le reti di spie in tutto il mondo sono sempre state seggregate in celle autonome proprio in modo che le parti marce possano essere recise. Una volta che un agente è stato sovvertito, puoi forse ribaltarlo indietro, ma non ti fiderai mai più di lui.

Per rendere la dimostrazione più completa, parla di firmware della tastiera infetti, che evidenzia la necessità di mettere veramente a fuoco la macchina. Riutilizzare l'hardware, anche dopo un wipeout, è rischioso. Pertanto , i manager / utenti dovrebbero sentirsi grati per il fatto che accettiamo di non fare la pulizia completa e limitarci a nuotare logico , non fisico. Fai in modo che si tratti già di un grave compromesso da parte tua.

Per essere l'avvocato del diavolo, la direzione ha sentito tutto questo. La sicurezza è la gestione del rischio e devono prendere la decisione. Ricorda loro gli strumenti.

  Rischio = Probabilità di occorrenza X impatto di occorrenza  

100% di possibilità di tempi di inattività della produzione durante la ricostruzione e costi di ricostruzione rispetto allo 0,01% di possibilità di eventi dannosi software o backdoor rimanenti nel sistema.

Chi controllerebbe le backdoor? Criminali informatici che commettono crimini seriali dalla Cina, dalla Russia o dall'Europa orientale. A cosa avrebbero accesso? dati di sistema, condivisioni di file, sniffer della tastiera, microfoni, fotocamere, ecc. Per quanto potrebbero vendere quelle informazioni? Per quanto tempo potrebbero non essere rilevati?

Cosa significa questo per la macchina in questione e le informazioni su di essa?

Quindi fornisci la tua valutazione del target (utilizzando le tue informazioni limitate), e lascia che siano loro a prendere la decisione. Conoscono le finanze e hanno una visione più chiara del vero valore del bersaglio.

Ci sono molti altri vettori per l'attacco. Dipendenti scontenti, appaltatori e le loro apparecchiature, backdoor in software legittimo, sistemi di sicurezza configurati in modo errato, unità non crittografate, ecc. È un mondo imperfetto. Il tempo e il denaro spesi per la ristrutturazione potrebbero essere spesi meglio altrove, come correggere la politica delle password, rafforzare i server di posta elettronica, migliorare i backup, ecc.

Dal punto di vista del tecnico, hai sicuramente ragione. Ma il CEO non sta guardando questo dal punto di vista del tecnico. Quindi devi esprimere l'argomento in termini che abbiano senso per lui.

Nessuna soluzione è assolutamente efficace al 100%. Nemmeno "bombardarlo dall'orbita". Quello che ottieni sono le probabilità. Mettilo su una tabella costi-benefici e stai parlando un linguaggio che il CEO può capire: (i numeri qui sono solo esempi)

• Quindi, se pulisco da solo il malware evidente, allora il costo è il più basso (1 ora di manodopera / tempo di inattività) e forse quel 20% effettivo (l'80% delle volte, l'attaccante tornerà rapidamente).

• Se pulisco l'ovvio malware e dedica più tempo a esaminare i file modificati nelle ultime 48 ore, quindi ottengo una maggiore percentuale di successo e un costo maggiore: 6 ore di manodopera / inattività, 60% di percentuale di successo

• Forse se faccio tutto quanto sopra e reinstallo tutti i pacchetti di sistema (ad esempio sui sistemi RH: yum reinstall openssh-server ecc.), allora il costo e le percentuali di successo vanno più alto: 12 ore di manodopera / tempo di inattività, percentuale di successo del 95%

• Se eseguo tutto quanto sopra, più dedico più tempo a controllare / rimuovere i file in / bin, / sbin / ecc., che non sono di proprietà di alcun pacchetto, quindi forse questo aggiunge altre 4 ore e mi dà un 3% di punti extra sulla mia percentuale di successo.

• Infine, se lo "spingo dall'orbita", ottengo il più alto costo e tasso di successo: 48 ore di lavoro / tempo di inattività, percentuale di successo del 99,995%

Da lì, calcoliamo quanto costa ogni ora di lavoro / tempo di inattività, oltre a aggiungere il costo per incidente di ogni exploit, e iniziamo a farci un'idea di quale soluzione probabilmente costerà di meno / di più a lungo termine. E ora è una semplice decisione aziendale. I CEO sono bravi in ​​questo.

Naturalmente, le soluzioni elencate sopra presumono un ambiente * NIX, ma potresti trovare un elenco simile per i sistemi Windows. Assicurati di inserire AV come opzione con una percentuale di successo associata realistica .

Ecco il problema: le probabilità sono difficili da trovare. A meno che tu non abbia fatto o visto molte di queste soluzioni a metà strada, probabilmente non hai alcuna base per andare avanti. Inoltre, convincere un professionista della sicurezza ad accettare la soluzione 3 di cui sopra quando sa che sta specificatamente ignorando alcune minacce potenzialmente gravi sarà una vendita difficile.

Ma la decisione e il rischio sono responsabilità del CEO, non del professionista della sicurezza. Potrebbe decidere di optare per un'opzione meno sicura, ma fintanto che sa quali rischi sta correndo , dovrebbe essere libero di farlo.

È difficile. Devi usare concetti che la persona media capirà e trovare un modo per fargli interessare. Vorrei usare virus biologici e come funzionano per spiegare come funzionano i virus informatici perché è qualcosa con cui tutti hanno esperienza e ha il potenziale per convincere l'utente a essere "comprensivo" della situazione del computer.

Un virus biologico sovverte una cellula, facendole fare ciò che vuole il virus. Il virus diventa essenzialmente uno zombi. Non puoi fidarti che la cellula faccia quello che dovrebbe fare, e non puoi fermare la cellula infettata da virus e renderla di nuovo normale, il meccanismo è stato preso così a fondo che puoi solo ucciderlo.

I vecchi virus informatici non imitavano molto da vicino i virus biologici. Il loro livello di sofisticazione era tale che erano in grado di fare alcune cose, ma non di infettare i sistemi al livello che non potevano essere rimossi. La loro sopravvivenza dipendeva più dalla mancanza di un AV nel sistema.

Ora i virus informatici imitano quelli biologici molto più da vicino, sono in grado di sovvertire un sistema così completamente che non puoi mai essere sicuro che siano chiari. Potrebbe dire che è chiaro, ma il virus ha il controllo così totale che può impedire a un AV di rilevarlo. Il computer è come una cellula zombie e l'unico modo per impedire la diffusione del virus è ucciderlo.

Immagina di vivere in un film dell'orrore. Il tuo fidanzato o fidanzata (a seconda del caso) è stato maledetto da una strega e ora sta vomitando vomito proiettile mentre girava la testa in modo innaturale.

Tu, come esorcista e chirurgo cerebrale dilettante, hai due opzioni:

1. Scaccia i demoni totalmente e riporta l'anima della tua amata alla proprietà del loro corpo.
2. Prova un intervento chirurgico al cervello lungo giorni e delicato su un corpo soprannaturalmente forte e pericoloso che lo farà combatti ogni tuo tentativo.

L'opzione 1 è semplice, economica e funziona (nei film dell'orrore).

L'opzione 2 richiede team di medici altamente qualificati e costosi e probabilmente non funzionerà perché non puoi anestetizzare i demoni.

Il ripristino del software dal backup è analogo all'opzione 1 e, a differenza dell'esorcismo, funziona IRL.

L'opzione 2 è analoga all'impiego di amministratori di sistema per controllare i binari del programma, i file di dati e le configurazioni rispetto a una buona copia nota che avrebbero potuto installare sulla macchina in primo luogo.

Vale la pena sottolineare che di solito va bene trasferire dati preziosi non eseguibili ( senza backup recente ) da un macchina, prima di nuotare dall'orbita (pulire il disco rigido, reinstallare il sistema operativo da una fonte sicura). Cose come documenti in chiaro (ad esempio, manoscritto in lattice o codice sorgente) o file multimediali importanti (ad esempio, immagini di vacanze in famiglia) possono valere la pena di essere recuperati se non c'è un backup recente. Tuttavia, è necessario sospettare che il virus consenta a un utente malintenzionato di avere il pieno controllo del sistema infetto e che potrebbe aver modificato i dati. Ciò potrebbe includere l'introduzione di backdoor nel codice sorgente, la creazione di propri utenti amministratore nei database, l'alterazione dei file di configurazione in modo che il sistema si trovi in ​​una configurazione debole che possa essere attaccata di nuovo, ecc. (Leggerei tutto il codice sorgente con un pettine per assicurarsi che non siano state apportate modifiche sottili - e questo solo se non è critico per la sicurezza). Fai anche attenzione ad alcuni file multimediali che potenzialmente contengono virus, ad esempio, documenti di MS Office con virus macro (in questo caso, meglio esportare la copia del contenuto di testo dal .doc / .xls in un file di testo semplice dal sistema infetto quando non è connesso a nulla). Prestare attenzione anche a trasferire i dati dalla macchina infetta (per non reinfettare l'altra macchina); ad esempio, probabilmente farei qualcosa come avviare un live cd di Linux, montare il disco rigido infetto con -noexec, connettersi a Internet e copiare selettivamente file importanti e, se possibile, provare a confrontarli con il backup più recente.

Il motivo per il lancio di armi nucleari dall'orbita è l'unico modo in cui puoi avere la certezza di usare di nuovo quel computer in sicurezza. Il software antivirus funziona identificando il malware noto e come tale non può farlo con una precisione del 100% (e il software antivirus in esecuzione su un computer infetto potrebbe essere stato manomesso dal virus, riducendo significativamente le sue possibilità di rimuovere completamente il virus). Ricominciare da un punto sicuro significa che i tuoi dati preziosi non verranno rubati o dovrai ripetere il processo di nuovo in una settimana (possibilmente su più PC man mano che l'infezione si diffonde). La reinstallazione può essere automatizzata e richiede meno di un giorno; all'incirca un tempo equivalente per eseguire una scansione antivirus completa che non ha alcuna garanzia di efficacia. Se il tempo di inattività è un problema, è necessaria una ridondanza nella quantità di risorse di elaborazione disponibili per l'organizzazione.