アカウント名:
パスワード:
全体が全く同じシステム構成の場合、同一の脆弱性を突かれて一斉に落ちるリスクが高いから、ある程度の多様性が必要かもしれませんね。 例えばOSはWin、Linux、OS Xあたりから選べるとか、クライアントのセキュリティソフトは三社の製品から選べるとかして、OSレベルでは数種類のシステムが動いているようにしておけば、どれか一つは生きてる可能性が高そう。 あと、クライアントとサーバではOSもセキュリティも別種にしておくとか、管理できる範囲内で多様性が必要だよね。
//でも、最後の決め手はバックアップですよね。こういう場合。テープとか光メディアとかオフラインでバックアップをとっておけば、金と時間はかかってもデータ消失という最悪の事態は避けられる・・。
>最後の決め手はバックアップですよね
ほんまにそう。単体のマシンが使えなくなるのはまだいい方で、もし rm -fr * しまくるマルウェアが発生したらOSが違ってても常用のネットワークドライブ先まで死亡で我が家も阿鼻叫喚ですよ。
ファイルシステムのスナップショット撮っておけば助かりそう。スナップショットも消されたら知らん。WindowsのHomeエディションでも撮れるよ。取ってるだけで使ったことないけど。
セキュリティという観点ではスナップショットは無意味です。攻撃を受けて汚染状態にあるシステムであれば、スナップショットも当然汚染されているものと見なすべきですから。
ランサムウェアによる破壊であればスナップショットも破壊される恐れはあるにはあるだろうけど……スナップショットのデータ構造まできっちり把握して操作するって普通のユーティリティでもあまり信頼性は期待できないのに、マルウェアがきっちりデータ構造解釈して改竄操作できるかは怪しい気が。
ただの破壊でも存在検知して的確に破壊する技術が要るから、スナップショットだけであっても生き延びる可能性は上がると思う。# オフラインへのバックアップが一番ですが。
同じ機能のアプリケーションをWindowsとLinuxの両方で開発し、別々のサーバーに搭載しデータを同期するお互いにお互いのサービスを監視し、不具合があったら自動で切り離すユーザーからはあたかも1つのサービスのように見える
そんなシステムを運用している事業者なんているのだろうか
同期取るタイミングで遅いシステムに合わせられそうだし、設計ミスの脆弱性は防げないし、不具合も多そうだし使い道なさそう
たぶん以下のどれかだと思います。・アクセス権がガバガバだった・システム管理者権限を持っているユーザーが感染した・権限昇格の脆弱性を突かれた
クライアントがいくら多様化しようと関係ないでしょう管理の面で言ったら、防ぐべき脆弱性が増えるだけでむしろ逆効果かもしれません
Windowsマシン群を管理していたサーバーのアクティブディレクトリとやらを乗っ取れば、「Windowsマシンのほとんどが影響を受けた=Windowsマシンのほとんどがランサムウェアに感染した」が可能では?
被害がWindowsなのは、単にランサムウェアがWindowsにしか感染しなかったからでは。大規模感染を引き起こす経路は、プロキシサーバや学内WEBを乗っ取って、「大学からの大切なお知らせ」ページを表示させる方法もありまっせ。この経路なら、クロスサイトスクリプティングからも攻撃可能。(ふつうなら、WEBサーバ乗っ取りだろうけど。)
追記 プロキシの場合は、乗っ取りというよりも「なりすまし」か。アクティブディレクトリを経由すれば「ほぼすべてのWindows」が可能だが、Windows共通の脆弱性をついても「ほぼすべてのWindows」も可能だろう。たぶん、そこそこ古い機能の脆弱性を使った可能性もあるだろう。いずれにせよ続報を待った方がいいでしょうね。
テープとか光メディアとかオフラインでバックアップ
もっと単純に、組織の知財に関わるファイルは常にファイルサーバーに置いとくルールにしておくんで良いのでは。ほら、ファイルサーバーだけ多様化するのは超簡単だし。
いっそネットカフェみたいに、サインイン毎に環境がリセットされる運用にするのもいいかも。もちろん継続利用するツールに関して設定回りを保存復元する維持する方法を検討するのは前提で。
ファイルサーバに問題がなくても、クライアントから削除要求が来たら、消さざるを得ない。スナップショット取るとか、大量の書き込み要求を監視するとか手はありそうだけど。
そこを気にする場合は、一時用途以外のファイルは全部世代管理の対象にしてしまっていいと思う。
その問題は、高級なファイルサーバであれば対処は可能(回復可能)。まあ、そんなに予算がある所ばかりじゃないので個別の対策としては、テープとディスクが主流だろうね。
相も変わらずバイト列で検知しようとしてっから後手後手になるんよ組織内での拡散防ぐにゃ個々のマシンでポート監視しあって怪しいマシンを報告隔離する自動的な仕組みを入れなきゃ内部はみな素性の知れてるヤツらだしパケの正邪定義も無理ではないだろうに今更、切り離し作業をシス管が人力対応してるだけなのは何故なの
最近のランサムウェアは、SMBでマウントしてるサーバまで暗号化するので、たとえファイルサーバやNASがLinuxや独自OSでも、マウントして変更権限が与えられてたら暗号化される
多様性を維持するためのコストよりも全滅を復旧するコストの方が安く済むとか色々。俺らごときが考え付く程度のことは大学の担当者だって知ってるだろうよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
システムの多様性 (スコア:5, 興味深い)
全体が全く同じシステム構成の場合、同一の脆弱性を突かれて一斉に落ちるリスクが高いから、ある程度の多様性が必要かもしれませんね。
例えばOSはWin、Linux、OS Xあたりから選べるとか、クライアントのセキュリティソフトは三社の製品から選べるとかして、OSレベルでは数種類のシステムが動いているようにしておけば、どれか一つは生きてる可能性が高そう。
あと、クライアントとサーバではOSもセキュリティも別種にしておくとか、管理できる範囲内で多様性が必要だよね。
//でも、最後の決め手はバックアップですよね。こういう場合。テープとか光メディアとかオフラインでバックアップをとっておけば、金と時間はかかってもデータ消失という最悪の事態は避けられる・・。
Re: (スコア:0)
>最後の決め手はバックアップですよね
ほんまにそう。
単体のマシンが使えなくなるのはまだいい方で、
もし rm -fr * しまくるマルウェアが発生したら
OSが違ってても常用のネットワークドライブ先まで死亡で
我が家も阿鼻叫喚ですよ。
Re: (スコア:0)
ファイルシステムのスナップショット撮っておけば助かりそう。
スナップショットも消されたら知らん。
WindowsのHomeエディションでも撮れるよ。取ってるだけで使ったことないけど。
Re: (スコア:0)
セキュリティという観点ではスナップショットは無意味です。
攻撃を受けて汚染状態にあるシステムであれば、スナップショットも当然汚染されているものと見なすべきですから。
Re: (スコア:0)
ランサムウェアによる破壊であればスナップショットも破壊される恐れはあるにはあるだろうけど……
スナップショットのデータ構造まできっちり把握して操作するって
普通のユーティリティでもあまり信頼性は期待できないのに、
マルウェアがきっちりデータ構造解釈して改竄操作できるかは怪しい気が。
ただの破壊でも存在検知して的確に破壊する技術が要るから、
スナップショットだけであっても生き延びる可能性は上がると思う。
# オフラインへのバックアップが一番ですが。
Re: (スコア:0)
同じ機能のアプリケーションをWindowsとLinuxの両方で開発し、別々のサーバーに搭載しデータを同期する
お互いにお互いのサービスを監視し、不具合があったら自動で切り離す
ユーザーからはあたかも1つのサービスのように見える
そんなシステムを運用している事業者なんているのだろうか
Re:システムの多様性 (スコア:1)
同期取るタイミングで遅いシステムに合わせられそうだし、設計ミスの脆弱性は防げないし、不具合も多そうだし使い道なさそう
Re: (スコア:0)
たぶん以下のどれかだと思います。
・アクセス権がガバガバだった
・システム管理者権限を持っているユーザーが感染した
・権限昇格の脆弱性を突かれた
クライアントがいくら多様化しようと関係ないでしょう
管理の面で言ったら、防ぐべき脆弱性が増えるだけでむしろ逆効果かもしれません
Re: (スコア:0)
Windowsマシン群を管理していたサーバーのアクティブディレクトリとやらを乗っ取れば、
「Windowsマシンのほとんどが影響を受けた=Windowsマシンのほとんどがランサムウェアに感染した」が可能では?
Re: (スコア:0)
被害がWindowsなのは、単にランサムウェアがWindowsにしか感染しなかったからでは。
大規模感染を引き起こす経路は、プロキシサーバや学内WEBを乗っ取って、「大学からの大切なお知らせ」ページを表示させる方法もありまっせ。
この経路なら、クロスサイトスクリプティングからも攻撃可能。(ふつうなら、WEBサーバ乗っ取りだろうけど。)
Re: (スコア:0)
追記 プロキシの場合は、乗っ取りというよりも「なりすまし」か。
アクティブディレクトリを経由すれば「ほぼすべてのWindows」が可能だが、
Windows共通の脆弱性をついても「ほぼすべてのWindows」も可能だろう。
たぶん、そこそこ古い機能の脆弱性を使った可能性もあるだろう。
いずれにせよ続報を待った方がいいでしょうね。
Re: (スコア:0)
テープとか光メディアとかオフラインでバックアップ
もっと単純に、組織の知財に関わるファイルは常にファイルサーバーに置いとくルールにしておくんで良いのでは。
ほら、ファイルサーバーだけ多様化するのは超簡単だし。
いっそネットカフェみたいに、サインイン毎に環境がリセットされる運用にするのもいいかも。
もちろん継続利用するツールに関して設定回りを保存復元する維持する方法を検討するのは前提で。
Re: (スコア:0)
ファイルサーバに問題がなくても、クライアントから削除要求が来たら、消さざるを得ない。
スナップショット取るとか、大量の書き込み要求を監視するとか手はありそうだけど。
Re: (スコア:0)
そこを気にする場合は、一時用途以外のファイルは全部世代管理の対象にしてしまっていいと思う。
Re: (スコア:0)
その問題は、高級なファイルサーバであれば対処は可能(回復可能)。
まあ、そんなに予算がある所ばかりじゃないので個別の対策としては、テープとディスクが主流だろうね。
Re: (スコア:0)
相も変わらずバイト列で検知しようとしてっから後手後手になるんよ
組織内での拡散防ぐにゃ個々のマシンでポート監視しあって怪しいマシンを報告隔離する自動的な仕組みを入れなきゃ
内部はみな素性の知れてるヤツらだしパケの正邪定義も無理ではないだろうに
今更、切り離し作業をシス管が人力対応してるだけなのは何故なの
Re: (スコア:0)
最近のランサムウェアは、SMBでマウントしてるサーバまで暗号化するので、
たとえファイルサーバやNASがLinuxや独自OSでも、
マウントして変更権限が与えられてたら暗号化される
Re: (スコア:0)
多様性を維持するためのコストよりも全滅を復旧するコストの方が安く済むとか色々。
俺らごときが考え付く程度のことは大学の担当者だって知ってるだろうよ。