Быстрые действия помогают финансовой фирме избежать катастрофы безопасности
10 худших моментов в истории сетевой безопасности
Например, нью-йоркская инвестиционная фирма Maxim Group в этом году столкнулась с суровым испытанием безопасности, когда вспышка вируса поразила настольные компьютеры и серверы компании на базе Windows.
"В начале 15 апреля несколько человек позвонили, чтобы сказать, что у них возникли проблемы с компьютерами", - рассказывает Джон Майклс, технический директор там, описывая, как ИТ-персонал инвестиционной фирмы начал подозревать в то утро, что что-то было ужасно неправильно. "После изучения этого, мы знали, что происходит что-то плохое, затрагивающее всех наших пользователей и мои серверы."
Вредоносное ПО отключало приложения, развращая их .exe-файлы, чтобы они не открывались после закрытия,а также делали тысячи подключений к серверам, насыщая сеть. "Это повредило все .exe-файлы, развращая их", - говорит Майклс. - Люди входили в систему и получали пустой экран.- Вирус вносил изменения в реестр компьютеров.
В ответ Maxim Group сказала примерно 325 пользователям компьютеров не выключать компьютеры, в то время как Майклс и его команда обратились к поставщикам за помощью. У Maxim Group не было централизованного антивирусного продукта на месте, позволив различным группам идти своим собственным путем с различными продуктами. Решение об изменении этой практики было принято на месте.
Поставщик антивирусных программ Symantec был вызван для настройки централизованного антивирусного сервера, а также попытался проанализировать, что это за вредоносное ПО, и дать рекомендации по очистке. Это было нелегко.
"Symantec потребовалось около трех дней, чтобы определить, что это был за вариант вируса", - говорит Майклс. - Они сказали, что никогда не видели подобного варианта."
В конце концов вирус был идентифицирован как вариант "Салли", более старого вируса, который поражает .exe и теперь также установит бэкдор и Троян. "Мы спросили Symantec, мы единственные, кто говорит вам об этом? И они сказали: "у нас 3 миллиона инфицированных.'"
Очистка более 300 зараженных вирусом компьютеров была огромной головной болью. Symantec посоветовала провести полную повторную визуализацию компьютеров, которую предприняла Maxim Group, процесс, который занял несколько недель.
В ходе борьбы с Салли Майклс говорит, что он также связался с другим поставщиком, Cymtec Systems, чей продукт он продемонстрировал, чтобы установить Sentry gateway поставщика безопасности, который отслеживает трафик и использование полосы пропускания, применяя политику веб-сайта и блокируя антивирусное ПО.
Причина использования шлюза Sentry заключается в том, чтобы запретить сотрудникам заходить на "веб-сайты, которые они, вероятно, не должны", тем более что веб-серфинг повышает риск заражения вредоносными программами, говорит Майклс.
Но вспышка вируса также показала, что существует связь между зараженными компьютерами и тем, что может быть ботнетом. "Они подключались к мошенническим интернет-сайтам", - говорит Майклс, говоря, что Sentry поможет отслеживать такого рода активность в будущем.
По сей день Майклс говорит, что он не уверен, как вариант Салли попал в сеть Maxim Group, чтобы взорваться в той вспышке 15 апреля. "Может быть, это был веб-сайт или USB-устройство, я не знаю", - говорит Майклс. Но в тот день все изменилось с точки зрения инвестиционной компании, решившей ужесточить политику использования Интернета.
"До этого эпизода мы разрешали сайты социальных сетей, но сейчас этого не делаем", - говорит Майклс. Сайты социальных сетей приобретают репутацию мест, где распространяется вредоносное ПО, и если нет четкой бизнес-причины для их использования,они запрещены.
И исчезли ли старые черви-бластеры и Сассеры, которые нанесли такой сокрушительный удар более полувека назад?
К сожалению, нет, говорит " топ-риски кибербезопасности"отчет, опубликованный на этой неделе Институтом SANS в сотрудничестве с TippingPoint и Qualys. В докладе, в котором рассматривались шестимесячные данные, касающиеся 6000 организаций, использующих средства предотвращения вторжений и 100 миллионов сканирований уязвимостей на 9 миллионах компьютеров, чтобы получить картину различных типов атак, отмечается: "Сассер и бластер, печально известные черви 2003 и 2004 годов, продолжают заражать многие сети."
Автор: Keylogger.Org Команда