J'ai vu certains sites proposant «Malware University», des cours de formation pour se débarrasser des logiciels malveillants. Pensez-vous que la mise à jour de vos compétences de suppression de logiciels malveillants (ou arsenal) est nécessaire de temps en temps? Comment pouvez-vous devenir plus efficace pour faire face à cette menace croissante et très compliquée?
Réponses:
Vous ne "nettoyez pas les logiciels malveillants". Vous nivelez les machines et recommencez. Rien de moins est un mauvais service à votre client et demande des ennuis.
En ce qui concerne la "menace", vous n'autorisez pas les utilisateurs à s'exécuter avec des comptes de niveau administrateur (sous Windows) et vous n'installez pas de logiciels non fiables (dans la mesure du possible). Cela me semble assez simple. Mes clients et moi n'avons aucun problème avec les logiciels malveillants.
Au-delà des pratiques sysadmin de ne pas laisser les utilisateurs exécuter des comptes de niveau administrateur et autres, une grande partie de la responsabilité vous incombe de rester à jour sur les menaces dans la nature. Lisez les avertissements qui apparaissent lorsqu'une nouvelle menace est détectée. Ayez une politique de mise à jour pour votre logiciel.
Rien ne peut détruire la sécurité plus rapidement qu'un utilisateur déterminé, alors informez-les des dangers de cliquer sur des liens aléatoires dans les e-mails ou d'installer des applications à moins qu'ils ne soient sûrs de la source (etc.), en veillant à leur dire que c'est pour la sécurité du réseau et de leurs ordinateurs personnels.
Si vous restez au courant de l'actualité et tenez vos utilisateurs au courant, vous réduisez considérablement votre exposition.
En ce qui concerne la «formation sur les logiciels malveillants», le nom à lui seul est un mot à la mode trop marketing pour inspirer beaucoup de foi. Je suis peut-être trop sceptique, mais je pense que tout «sujet de malware» spécifique sera obsolète avant la session.
Bien sûr, certaines compétences de base s'appliquent, mais si un administrateur (ou un technicien de support) ne sait pas déjà ces choses, je préfère formater la machine (pour les raisons indiquées par Evan Anderson) au lieu de tenter sa chance sur leurs compétences de nettoyage .
Autoruns et Process Explorer de Sysinternals (maintenant la propriété de MS) sont vos meilleurs amis. Les 1-2 infections que je vois une semaine où un utilisateur a ouvert une pièce jointe ou visité une page ne devraient pas avoir, et l'AV (à jour!) Ne l'a pas complètement bloqué, peuvent généralement être nettoyées dans 30m-1h d'effort avec seulement ces deux utilitaires. Ils sont assez simples, et après vos premiers nettoyages, vous aurez le don de savoir ce qui doit être tué / supprimé pour se débarrasser des logiciels malveillants.
Cela dit, de temps en temps, vous rencontrerez un morceau de malware qui n'est pas écrit par un idiot, donc si vous ne pouvez pas faire de progrès après 30 minutes, il est temps pour un nettoyage / rechargement complet.
Gardez à l'esprit que cela est plus approprié pour les PME où le matériel n'est pas standardisé. Si vous avez une image système et que les fichiers de l'utilisateur sont sauvegardés, il sera plus rapide de nettoyer / recharger au premier signe d'infection.