Tôi đã thấy một số trang web cung cấp 'Đại học phần mềm độc hại', các lớp đào tạo về loại bỏ phần mềm độc hại. Bạn có nghĩ rằng thỉnh thoảng cập nhật các kỹ năng loại bỏ phần mềm độc hại (hoặc kho vũ khí) không? Làm thế nào để bạn trở nên hiệu quả hơn trong việc đối phó với mối đe dọa đang phát triển, rất phức tạp này?
Câu trả lời:
Bạn không "làm sạch phần mềm độc hại". Bạn cấp các máy và bắt đầu lại. Bất cứ điều gì ít hơn là một dịch vụ cho khách hàng của bạn và yêu cầu rắc rối.
Theo như đối phó với "mối đe dọa", bạn không cho phép người dùng chạy với tài khoản cấp Quản trị viên (trên Windows) và bạn không cài đặt phần mềm không đáng tin cậy (càng nhiều càng tốt). Nó có vẻ khá đơn giản với tôi. Khách hàng của tôi và tôi không gặp vấn đề gì với phần mềm độc hại.
Ngoài các thực tiễn sysadmin về việc không cho phép người dùng chạy các tài khoản cấp quản trị viên và như vậy, rất nhiều trách nhiệm thuộc về bạn để luôn cập nhật về các mối đe dọa trong tự nhiên. Đọc các cảnh báo rằng cửa sổ bật lên khi một mối đe dọa mới được tìm thấy. Có chính sách cập nhật cho phần mềm của bạn.
Không có gì có thể phá hủy bảo mật nhanh hơn người dùng xác định, vì vậy hãy giáo dục họ về sự nguy hiểm của việc nhấp vào liên kết ngẫu nhiên trong e-mail hoặc cài đặt ứng dụng trừ khi họ chắc chắn về nguồn (v.v.), đảm bảo nói với họ rằng đây là an toàn của mạng và máy tính gia đình của họ.
Nếu bạn luôn cập nhật tin tức và thông tin cho người dùng của bạn, thì bạn sẽ giảm đáng kể mức độ tiếp xúc của mình.
Theo như "đào tạo phần mềm độc hại", chỉ riêng cái tên này đã hơi quá lời - tiếp thị thông tin để truyền cảm hứng cho nhiều niềm tin. Có lẽ tôi quá hoài nghi, nhưng tôi cảm thấy rằng bất kỳ "chủ đề phần mềm độc hại" cụ thể nào sẽ bị lỗi thời trước khi lớp học diễn ra.
Chắc chắn, một số kỹ năng cơ bản được áp dụng, nhưng nếu quản trị viên (hoặc công nghệ hỗ trợ) chưa biết những điều đó, tôi muốn họ định dạng máy (vì lý do Evan Anderson chỉ ra) thay vì cơ hội về kỹ năng làm sạch của họ .
Autorun và Process Explorer từ Sysiternals (hiện thuộc sở hữu của MS) là những người bạn tốt nhất của bạn. 1-2 lần nhiễm trùng tôi thấy một tuần mà người dùng đã mở tệp đính kèm hoặc truy cập trang không nên có và AV (cập nhật!) Chưa hoàn thành chặn nó, thường có thể được dọn sạch 30m-1h nỗ lực chỉ với hai tiện ích này. Việc này khá đơn giản và sau vài lần dọn dẹp đầu tiên của bạn, bạn sẽ có một sở trường để biết những gì cần phải bị giết / loại bỏ để loại bỏ phần mềm độc hại.
Điều đó nói rằng, cứ sau một thời gian, bạn sẽ chạy qua một mẩu phần mềm độc hại không phải do một kẻ ngốc viết ra, vì vậy nếu bạn không thể thực hiện bất kỳ bước tiến nào sau 30 phút, thì đã đến lúc xóa / tải lại hoàn toàn.
Hãy nhớ rằng, điều này phù hợp hơn với SMB khi phần cứng không được chuẩn hóa. Nếu bạn đã có một hình ảnh hệ thống và các tập tin của người dùng được sao lưu, sẽ nhanh hơn để xóa / tải lại ở dấu hiệu nhiễm trùng đầu tiên.