Tveganje okužbe z zlonamerno programsko opremo je vedno prisotno. Kljub uporabi strogih varnostnih pravil, napredne tehnologije in velikosti organizacije obstaja možnost, da zlonamerna programska oprema prodre v obrambo. Če se to zgodi – in mora biti obravnavano kot “kdaj”, ne kot “če” – je ključnega pomena, da vemo, kako ustrezno ukrepati. Jasen načrt odziva je bistven za omejevanje in odpravljanje okužbe ter preprečevanje nadaljnjih težav.

Če ne veste, kje začeti, je ta članek za vas. V njem je predstavljenih osem ključnih korakov, ki jih je treba izvesti po odkritju okužbe z zlonamerno programsko opremo v vašem sistemu.

1. Identifikacija okuženih gostiteljev

Prvi korak pri reševanju incidenta z zlonamerno programsko opremo je ugotoviti, ali ste resnično okuženi. V nekaterih primerih, kot je napad z izsiljevalsko programsko opremo, ki prizadene celotno organizacijo, morda ni potrebno preveriti sumov, saj je okužba očitna. Vendar pa okužbe niso vedno tako očitne, zato je pomembno pregledati vire odkrivanja, da bi bolje razumeli naravo incidenta. Forenzični podatki vašega protivirusnega programa, filtrov vsebine, IPS in tehnologij SIEM lahko zagotovijo vpogled v vrsto zlonamerne programske opreme in v to, kako je bil vaš sistem kompromitiran. Dnevniški podatki bi morali biti shranjeni vsaj eno leto, da omogočijo temeljito preiskavo po incidentu. Analitična orodja, kot je Emsisoft EDR, lahko zelo koristijo pri preučevanju incidenta v realnem času in pomagajo IT ekipam razumeti, kako je bil izveden napad, kateri sistemi so bili prizadeti in kako najbolje odgovoriti na incident.

2. Preprečevanje nadaljnje okužbe

Ko imate natančno sliko o incidentu, je naslednji korak v procesu okrevanja preprečiti nadaljnje širjenje zlonamerne programske opreme. Namen tega koraka je dvojen: prvič, preprečiti, da bi se zlonamerna programska oprema širila na druge naprave v omrežju, in drugič, preprečiti dodatno škodo na že okuženih napravah. Idealno bi bilo, da bi bila vsa prizadeta omrežja med okrevanjem v celoti izključena, vendar to ni vedno mogoče. V nekaterih primerih bi lahko začasno izklopili omrežni dostop, kar bi lahko zelo učinkovito preprečilo širjenje zlonamerne programske opreme. Vendar pa bi lahko motnje, ki bi jih povzročil ta ukrep, bile večje od varnostnih tveganj, ki jih predstavlja izolacija prizadetega omrežja. Če se odločite za ta korak, bi morali vsi okuženi gostitelji biti odstranjeni iz omrežja, medtem ko bi morale biti nepoškodovane naprave tesno spremljane za znake zlonamerne aktivnosti.

3. Ustvarite varnostno kopijo okuženih gostiteljev

Pri določenih vrstah zlonamerne kode, vključno z izsiljevalskimi programi, lahko integriteta podatkov močno ogrozi. Zato je dobra praksa pri popravljanju okuženih sistemov vedno ustvariti varnostno kopijo, preden se lotite dešifriranja ali odstranjevanja zlonamerne kode. Če pride do nepričakovanih težav med postopkom odpravljanja šifriranja ali odstranjevanja zlonamerne kode, lahko vedno obnovite sistem v njegovo prvotno stanje in poskusite postopek znova. Za podrobnejše informacije o tem, kako se odzvati na incidente z izsiljevalsko programsko opremo, si lahko ogledate ustrezne blog zapise.

4. Ponastavite poverilnice

Za čas med okužbo in odkritjem zlonamerne kode je značilno, da obstaja tveganje, da so bile večkratne poverilnice ukradene in poslane zlonamernežem. Zato je bistveno, da ponastavite vse shranjene poverilnice, ob upoštevanju najboljših praks za ustvarjanje in upravljanje novih gesel. Med postopkom ponastavljanja poverilnic morate paziti, da ne izgubite dostopa do sistemov ali storitev, ki jih morda potrebujete med okrevanjem.

5. Izbrišite zlonamerno programsko opremo

Postopek odstranjevanja zlonamerne programske opreme z okuženih gostiteljev se lahko razlikuje glede na obseg okužbe. Pri običajnih okužbah lahko protivirusna rešitev običajno odstrani zlonamerno programsko opremo, ki bi morala biti karantenska namesto izbrisana, da jo lahko po potrebi analiziramo kasneje. V primerih bolj zapletenih okužb bi bila boljša možnost brisanje prizadetih naprav in ponovna namestitev operacijskega sistema, zlasti če: je vpleteno odkupninsko programje, je gostitelj okužen že nekaj časa, je gostitelj okužen z zadnjimi vrati, koreninskimi kompleti ali drugimi zapletenimi oblikami zlonamerne programske opreme, ni jasno, ali se je na okuženem gostitelju pojavila dodatna zlonamerna dejavnost. V takšnih scenarijih je ponovna izgradnja prizadetih gostiteljev od začetka najbolj zanesljiv način za zagotovitev, da organizacija popolnoma odpravi okužbo.

6. Obnovitev iz varnostnih kopij

Če želite obnoviti gostitelje iz varnostnih kopij, morate biti popolnoma prepričani, da so varnostne kopije brez zlonamerne programske opreme, da se izognete ponovni okužbi vašega sistema. Ko je naprava obnovljena, jo lahko povežete z varno mrežo, da prenesete in namestite posodobitve za operacijski sistem in druge aplikacije. Na ta način lahko zagotovite, da so vsi programi in sistemski datoteke na gostitelju posodobljeni na najnovejšo, varno različico, preden se ponovno povežete z glavno omrežje.

7. Ponovno se povežite z omrežjem

Po odstranitvi zlonamerne programske opreme z naprav je zadnji korak v načrtu za okrevanje po incidentu vzpostavitev začasnih zaščitnih ukrepov. Ko ste prepričani, da je omrežje očiščeno, ponovno povežite obnovljene naprave z omrežjem ter omogočite storitve, ki ste jih morda izklopili. Po tem je potrebno pozorno spremljati omrežje v naslednjih urah, dneh in tednih, da boste lahko opazili znake sumljive dejavnosti, ki bi lahko nakazovale morebitno ogroženost.

8. Iz incidenta se učite

Vsak incident z zlonamerno programsko opremo predstavlja priložnost za učenje. Čeprav se morda sliši klišejsko, je kritični pregled incidenta ključnega pomena za boljše razumevanje, kako se je okužba zgodila, kako pripravljeni ste bili za spopadanje z nevarnostjo in katera področja postopkov odzivanja bi lahko izboljšali. Vaje za učenje po incidentu lahko pomagajo pri prepoznavanju in odpravljanju ranljivosti ter zmanjšanju tveganja za morebitne ponovitve incidenta. Možni ukrepi za izboljšave lahko vključujejo spremembe v varnostnih politikah organizacije, prilagoditve nastavitev programske opreme ali operacijskega sistema, ponovno konfiguracijo varnostnih aplikacij, investicije dobre protivirusne programe, prilagoditev formalnih postopkov odzivanja, in podobno.

Način odziva pogojuje vaše nadaljnje delo

Učinkovit način odzivanja na okužbo z zlonamerno programsko opremo je ključen za preprečevanje morebitnih katastrofalnih posledic. Brez pravilne strategije za odzivanje se lahko majhna okužba hitro razširi in prerase v veliko incident, ki lahko povzroči resne poslovne izgube, škodo za ugled podjetja in lahko celo ogrozi varnost strank in zaposlenih. Če organizacija nima načrta za odzivanje na zlonamerno programsko opremo, se lahko znajde v stresni situaciji in se sooča s težkimi odločitvami, ki lahko vplivajo na celotno poslovanje.

Poleg tega lahko učinkovit način odzivanja na okužbo z zlonamerno programsko opremo tudi zmanjša stroške za popravilo po incidentu. Če organizacija hitro in učinkovito ukrepa, lahko prepreči dodatne poškodbe in zmanjša količino časa in denarja, ki bi jih sicer porabila za obnovo sistema in okrevanje poslovanja.

Zato je izjemno pomembno, da organizacije razvijejo načrt za odzivanje na zlonamerno programsko opremo, ki se osredotoča na preprečevanje incidentov, odkrivanje napadov in hitro odzivanje nanje. Načrt bi moral vključevati podroben opis postopkov za odzivanje, ki so primerni za različne scenarije in situacije, pa tudi jasno določene odgovornosti in pristojnosti za vse zaposlene. S tem lahko organizacija zagotovi, da bo vsakdo vedel, kaj se od njih pričakuje, če pride do okužbe z zlonamerno programsko opremo, in da bodo vsi ukrepi usklajeni in učinkoviti.

EMSISOFT - Antivirus in zaščita pred zlonamerno programsko opremo

Izberite možnosti

Priporočamo!

Antivirusi

vsi prispevki

Piškotek	Trajanje	Opis
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

ANTIVIRUSI

Proizvajalci