2014-11-11 17:43 GMT+01:00 Paolo Pedaletti: > ciao Paolo, > > > Stiamo lavorandoci per tentare di identificare/prevenire l'infezione > > riprendo questo "vecchio" post per sapere che strategie vengono/possono > essere impiegate per mitigare l'impatto di questi virus. > > Concretamente, supponiamo di *non* avere il completo controllo dei > desktop / portatili di una università, e supponiamo di voler offrire un > servizio di backup/condivisione dei file all'interno dei vari > dipartimenti/uffici. > Come fare per non rendere completamente inutile o addirittura dannoso > questo servizio? > Il semplice versioning dei file e' il massimo che posso fare? > C'e' modo di identificare un file infetto? > > E' successo che un proprietario di un pc infetto da un crypro-virus si > sia accorto dell'infezione diverse settimane dopo... > il che rende il versioning quotidiano molto impegnativo (dal punto di > vista dello spazio occupato per tutto il servizio) > > Idee? > Soluzioni? >
Ciao, secondo me alcune strategie che possono essere utili: 1) In particolare per Cryptolocker, non offrire il backup tramite condivisioni SMB/mappatura di drive. Cryptolocker cercherà di infettare e bloccare condivisioni e drive mappati se ne trova, quindi suggerirei di valutare soluzioni alternative. 2) Come rimedio più generale, fare la scansione dei file immessi nei backup ed offrire la possibilità di bloccare e mettere in quarantena i file. Ri-scannerizzare anche file già scannerizzati nei giorni/settimane precedenti, perché aggiornamenti con definizioni di virus potrebbero scoprire oggi quello che non si è scoperto ieri. 3) In generale, controllare bene i permessi offerti nei sistemi di backup. In nessun modo gli utenti devono poter anche indirettamente causare l'esecuzione sul sistema NAS/SAN di un qualsiasi eseguibile, volontariamente o meno. Usare permessi, chroot, virtualizzazione eccetera per creare "container" di isolamento. Spero sia di aiuto Cordiali saluti -- Marco Ermini CISSP, CISA, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini
