-
Junior Member
- Вес репутации
- 52
Нужны примеры процедуры реагирования на массовое заражение вирусами
День добрый!
Работаю в крупной компании (компьютеров много, администрятся они удаленно и централизованно), потребовалось разработать процедуру реагирования на массовое заражение вирусом/вирусами, ищу примеры подобных процедур (дабы чего-нибудь не забыть).
То есть нужна не инструкция по защите от вирусов (фаерволлы, антивирусы, отказ от локадминов и т.п. - все это уже давно есть и настроено), а именно шаги, которые будут предприниматься уже ПОСЛЕ факта массового заражения.
Например, действия, которые можно предпринять, если установленный антивирус не знает вируса:
1. Препятствовать распространению.
Изолировать зараженные машины. Полностью выключить из сети, если возможно, если нет - изолировать программно (запрет всего и вся фаерволлом, блокировка учетной записи пользователя, отключение сетевых интерфейсов и служб и т.п.)
2. Анализ.
а) Взять одну зараженную машину на анализ - автозагрузки, запущенных процессов, rootkit-ов и т.п.
б) Параллельно искать в интернете решение проблемы (пусть временное)
в) Выслать подозрительные файлы (если таковые найдутся) производителям антивирусного ПО
3. По результатам анализа выявить действия по удалению вируса (стороннними утилитами, удалением файлов, перезаливкой машин и т.п.)
4. Удалить вирус
5. Разработать комплекс мер, для исключения повторного заражения таким вирусом
Вот именно что-то вроде этого, с конкретными действиями и нужно разработать, чтобы, если не дай бог заражение произойдет, у людей было четкое понимание, что и как нужно делать.
Разрабатывать процедуру будем сами, с учетом специфики нашей ИТ-инфраструктуры, но существующие примеры подобных процедур здорово бы помогли.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Сообщение от
iukpshl
2. Анализ.
а) Взять одну зараженную машину на анализ - автозагрузки, запущенных процессов, rootkit-ов и т.п.
1. предварительно развернуть автоматическую систему сбора логов (пример: AVZ, sysinspector) с тем чтобы в период активного заражения сети можно было регулировать интервалы создания логов на любой машине.
2. забор в карантины вредоносных программ и скорейшая отправка в антивирусные лаборатории. (без выпуска сигнатур весьма трудно справиться с контрольной зачисткой в случае массового заражения, особенно если это файловые вирусы);
3. для самостоятельного лечения можно использовать сканер на базе АВЗ с возможностью добавления сигнатур неизвестного вируса (если не файловый)
(т.е. данный сканер всегда должен быть готов к запуску, но вы оперативно должны выделить вредоносные файлы и добавить их сигнатуры_хэши в базу.)
-
-
-