アカウント名:
パスワード:
オフラインバックアップしてなかったんか?って事。まぁ、うちの会社でもLTO5へのオフラインバックアップは週1回だけど、社内NASへのオンラインバックアップは毎日取ってるし、システムバックアップもあるから、サーバ自体がコケても復元は半日位で済む。
毎日のデータが重要なら毎日オフラインでバックアップ取るべきだと思うなぁ...
穴を塞がずにデータだけ戻したところで、速攻再暗号化されるだけだと思いますが。
以前から潜伏していてバックアップにも入り込んでいる可能性も考えないといかんしねえ
標的型だと検出できてないかもしれませんしねぇ…
ITインフラの仕事してるけどテープバックアップ案件はほとんど無くなってしまったなストレージスナップショットもしくはバックアップソフト使用がほとんど先日客がEmotetに感染してバックアップソフト動かしているWindowsServerもやられたもちろんバックアップデータもすべて暗号化されたので復旧はできなかったよ
テープバックアップ回帰は大企業中心に動いていると思うんだけど...最近の監査がらみの要件にもオフラインバックアップの実現手段として載ってきてるし。
ストレージの機能を用いたスナップショット+非同期レプリケーション(VSS+DFSやWindows上で動くものは不可)は当たり前にやるとして、バックアップソフトで動かすならせめてストア先はWindowsの影響を受けないものを選ばないと意味がない。あとはクラウド上にオンサイトと同系統のバーチャルストレージアプライアンスを動作させるのも次善策ではある。
EmotetでServerがやられるイメージが湧かないのだがどういう運用をしてんだろう。Serverでメールなんて読まないしOfficeすら入ってないな。さすがにブラウザは使うが。端末が感染して踏み台になったところへ外部から侵入されて、高度な技術を持つ侵入者が未対策の脆弱性を突いてServerに侵入みたいな?
Emotetって要はダウンローダだから、そこからいくらでもスクリプトやプログラムを注入し放題なんですが...そうすれば未知/既知ともに脆弱性ツッツキ放題です。
ド素人の端末にスクリプトやプログラムを注入して乗っ取ったぐらいで、Serverのバックアップ処理をどうこうできる権限が簡単に取れるわけないでしょ。どんな運用してんのよ。納品してから1度もパッチ当ててないとか?
インターネットにつながっていない(ことになっている)のに、どうやって日常的にパッチ当てるのさ? 普通そういうシステムは閉環境であることを前提にバグ以外のパッチは当てないのがあたりまえ(ホスト運用のやり方の名残)
このトピの総合医療センターの話なんてしてないが、#4353877が経験したのはクローズドな環境だったのか?だったらEmotetに感染したのも、スクリプトやプログラムを注入し放題でリモートで脆弱性ツッツキ放題な、ぜんぜんクローズドになってないのも困った運用だな。Emotetとは別に、FortiGateのファイアーウォールだかVPNもやられたのか?
1台でもクライアントが感染したら、ネットワークにつながってたらサーバーなんて簡単に乗っ取れるのよ。意識変えた方がいい。一番簡単なのはAnyDeskとかのリモートデスクトッププログラムをサービスで立ち上がるようこっそり入れて、正規のクレデンシャルでそのあと昼休みとかにゆっくりやる。
「昼休み程度の時間があれば、俺は勤め先のサーバーを簡単に乗っ取ってやるぜ」スラドはすごい人材の集まりなのか、運用がめちゃくちゃな会社が多いのか・・・
トレンドマイクロの営業みたいな奴だな。
その2択なら「運用がめちゃくちゃな会社が多い」の方なんだが、もうちょっと突っ込んだ話をするとアンチウイルスとかIPSとかって正規のプログラムにめっちゃ弱いのよ。正規の良く知られたプログラムを動作させて準備することで、実際の被害が出るまでリモートからの不正アクセスされてる事が分からんケースがある。exe単体やブラウザ経由で動くような奴だと、動作ログでも完全フリーズ環境以外じゃ時間かけないと分からん。そしてそんなことに時間/人が掛けられないケースが多い。
あと、新興国にオフィスや工場があったりするとモラルハザード起こりやすくて、サポートのために常時インターネット接続型のリモートデスクトップソフトをその国の超大手ベンダーが当たり前のようにインストール指定してきたり、445とかの普段開けないようなポートの穴あけを要望してきたりするので、グッと危険度が上がる。
エンドユーザー権限ではなく、「バックアップ処理をどうこうできる権限」を簡単に取ってやるというので驚いているのです。
奈良県宇陀市立病院で2020年に発生したランサムウェア感染への提言(PDF) [uda.nara.jp]
(調査により判明していること)■感染経路の特定システム復旧を優先する一方、証拠保全を行わないまま医療情報システムの再セットアップが行われたことで、正確な原因究明ができない状況となりました。
(ウイルス感染の影響)ウイルスの侵入経路は機器を再セットアップしたことによりログが残っていないため、個 人情報の流出があったか否かの断定が行えなかった。現在まで間いため、個 人情報の流出があっか否断定行えな。現在までの間、個人情報が流出したという情報はありませんが、引き続き動向を注意して参ります。
安易に復旧すると後で痛い目に合う。
引用文が崩れているのは、提言を作成したWord 2013が腐ってるためなのでご容赦を。
それはケースバイケース。復旧を優先するか証拠保全を優先するかは現場現場、場合によっちゃ同じ現場でも今抱えている業務の状況で異なってくる。日頃、その線引きを決めておくことも運用の重要なタスクなんだわ。
毎日バックアップは取っている。小さいサーバーしか扱った事がないだろ!!何も分かっていない。サーバー自体に入れるなら、半日でも出来る。初期状態に戻してから、入れ直す必要がある。どこに、ウィルスが残っているか分からないから!家庭用PCと訳が違う。全端末を新規入替も必要だ!!
(ネタだとわかっているが)んなわけあるかいな...完全に痕跡が残らないで改変されることはまずないから、痕跡を追ってクリーンな範囲を特定してその部分に戻すよ。
今NHKのニュースで、バックアップはあるがシステムの安全が確認できるまで復旧処理できないと言ってました。
うーん、安全をどこに置くかだけど、「おかわり」が嫌ならそれなりの暫定運用をする形で、まずは証拠保全として現状のディスクデータとログをとりあえずコールドコピーしてから、取り急ぎここまで戻せばとりあえず問題ないであろうち思われる時点のデータでシステム自体はさっさと暫定復帰させて、その後ゆっくり原因究明すればいいのに。
少なくともうちの周りでは業務復旧優先だとこの方針。どんな障害であれ待てて復旧まで土日挟んだ3日、平日だと24時間というところは多い
セキュリティ絡みだと、他にも穴は無いのかってはなしからシステム総点検に繋がるから簡単にはいかないよ。
それは原因究明重視では正しいんだけど、業務復旧重視だと止めておける時間にタイムリミットがあるので、穴がまだ開いていることを前提に、利用制限(インターネット接続完全遮断など)をかけて暫定的に復旧させることがある。原因究明と対策は暫定復旧後に時間をかけてやる感じ。これはその組織システム障害時の考え方次第なので、どっちも間違ってはいない。
ランサムウェアはケースによっては40日前に感染し潜伏している状況もある。2ヶ月前のバックアップでないとダメそう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
こういうの見ると思う事 (スコア:0)
オフラインバックアップしてなかったんか?って事。
まぁ、うちの会社でもLTO5へのオフラインバックアップは週1回だけど、
社内NASへのオンラインバックアップは毎日取ってるし、
システムバックアップもあるから、サーバ自体がコケても復元は半日位で済む。
毎日のデータが重要なら毎日オフラインでバックアップ取るべきだと思うなぁ...
Re: こういうの見ると思う事 (スコア:1)
穴を塞がずにデータだけ戻したところで、速攻再暗号化されるだけだと思いますが。
Re: (スコア:0)
以前から潜伏していてバックアップにも入り込んでいる可能性も考えないといかんしねえ
Re: (スコア:0)
標的型だと検出できてないかもしれませんしねぇ…
Re: (スコア:0)
ITインフラの仕事してるけどテープバックアップ案件はほとんど無くなってしまったな
ストレージスナップショットもしくはバックアップソフト使用がほとんど
先日客がEmotetに感染してバックアップソフト動かしているWindowsServerもやられた
もちろんバックアップデータもすべて暗号化されたので復旧はできなかったよ
Re: (スコア:0)
テープバックアップ回帰は大企業中心に動いていると思うんだけど...最近の監査がらみの要件にもオフラインバックアップの実現手段として載ってきてるし。
ストレージの機能を用いたスナップショット+非同期レプリケーション(VSS+DFSやWindows上で動くものは不可)は当たり前にやるとして、
バックアップソフトで動かすならせめてストア先はWindowsの影響を受けないものを選ばないと意味がない。
あとはクラウド上にオンサイトと同系統のバーチャルストレージアプライアンスを動作させるのも次善策ではある。
Re: (スコア:0)
EmotetでServerがやられるイメージが湧かないのだがどういう運用をしてんだろう。
Serverでメールなんて読まないしOfficeすら入ってないな。さすがにブラウザは使うが。
端末が感染して踏み台になったところへ外部から侵入されて、
高度な技術を持つ侵入者が未対策の脆弱性を突いてServerに侵入みたいな?
Re: (スコア:0)
Emotetって要はダウンローダだから、そこからいくらでもスクリプトやプログラムを注入し放題なんですが...
そうすれば未知/既知ともに脆弱性ツッツキ放題です。
Re:こういうの見ると思う事 (スコア:1)
ド素人の端末にスクリプトやプログラムを注入して乗っ取ったぐらいで、Serverのバックアップ処理をどうこうできる権限が簡単に取れるわけないでしょ。
どんな運用してんのよ。納品してから1度もパッチ当ててないとか?
Re: (スコア:0)
インターネットにつながっていない(ことになっている)のに、どうやって日常的にパッチ当てるのさ?
普通そういうシステムは閉環境であることを前提にバグ以外のパッチは当てないのがあたりまえ(ホスト運用のやり方の名残)
Re: (スコア:0)
このトピの総合医療センターの話なんてしてないが、#4353877が経験したのはクローズドな環境だったのか?
だったらEmotetに感染したのも、スクリプトやプログラムを注入し放題でリモートで脆弱性ツッツキ放題な、ぜんぜんクローズドになってないのも困った運用だな。
Emotetとは別に、FortiGateのファイアーウォールだかVPNもやられたのか?
Re: (スコア:0)
1台でもクライアントが感染したら、ネットワークにつながってたらサーバーなんて簡単に乗っ取れるのよ。意識変えた方がいい。
一番簡単なのはAnyDeskとかのリモートデスクトッププログラムをサービスで立ち上がるようこっそり入れて、正規のクレデンシャルでそのあと昼休みとかにゆっくりやる。
Re: (スコア:0)
「昼休み程度の時間があれば、俺は勤め先のサーバーを簡単に乗っ取ってやるぜ」
スラドはすごい人材の集まりなのか、運用がめちゃくちゃな会社が多いのか・・・
Re: (スコア:0)
トレンドマイクロの営業みたいな奴だな。
Re: (スコア:0)
その2択なら「運用がめちゃくちゃな会社が多い」の方なんだが、もうちょっと突っ込んだ話をするとアンチウイルスとかIPSとかって正規のプログラムにめっちゃ弱いのよ。
正規の良く知られたプログラムを動作させて準備することで、実際の被害が出るまでリモートからの不正アクセスされてる事が分からんケースがある。
exe単体やブラウザ経由で動くような奴だと、動作ログでも完全フリーズ環境以外じゃ時間かけないと分からん。そしてそんなことに時間/人が掛けられないケースが多い。
あと、新興国にオフィスや工場があったりするとモラルハザード起こりやすくて、
サポートのために常時インターネット接続型のリモートデスクトップソフトをその国の超大手ベンダーが当たり前のようにインストール指定してきたり、
445とかの普段開けないようなポートの穴あけを要望してきたりするので、グッと危険度が上がる。
Re: (スコア:0)
エンドユーザー権限ではなく、「バックアップ処理をどうこうできる権限」を簡単に取ってやるというので驚いているのです。
それダメ! (スコア:0)
奈良県宇陀市立病院で2020年に発生したランサムウェア感染への提言(PDF) [uda.nara.jp]
(調査により判明していること)
■感染経路の特定
システム復旧を優先する一方、証拠保全を行わないまま医療情報システムの再セットアップが行われたことで、正確な原因究明ができない状況となりました。
(ウイルス感染の影響)
ウイルスの侵入経路は機器を再セットアップしたことによりログが残っていないため、個 人情報の流出があったか否かの断定が行えなかった。現在まで間いため、個 人情報の流出があっか否断定行えな。現在までの間、個人情報が流出したという情報はありませんが、引き続き動向を注意して参ります。
安易に復旧すると後で痛い目に合う。
Re: (スコア:0)
引用文が崩れているのは、提言を作成したWord 2013が腐ってるためなのでご容赦を。
Re: (スコア:0)
それはケースバイケース。
復旧を優先するか証拠保全を優先するかは現場現場、場合によっちゃ同じ現場でも今抱えている業務の状況で異なってくる。
日頃、その線引きを決めておくことも運用の重要なタスクなんだわ。
Re: (スコア:0)
毎日バックアップは取っている。小さいサーバーしか扱った事がないだろ!!
何も分かっていない。サーバー自体に入れるなら、半日でも出来る。
初期状態に戻してから、入れ直す必要がある。どこに、ウィルスが残っているか分からないから!
家庭用PCと訳が違う。全端末を新規入替も必要だ!!
Re: (スコア:0)
(ネタだとわかっているが)んなわけあるかいな...
完全に痕跡が残らないで改変されることはまずないから、痕跡を追ってクリーンな範囲を特定してその部分に戻すよ。
Re: (スコア:0)
今NHKのニュースで、バックアップはあるがシステムの安全が確認できるまで復旧処理できないと言ってました。
Re: (スコア:0)
うーん、安全をどこに置くかだけど、「おかわり」が嫌ならそれなりの暫定運用をする形で、
まずは証拠保全として現状のディスクデータとログをとりあえずコールドコピーしてから、
取り急ぎここまで戻せばとりあえず問題ないであろうち思われる時点のデータでシステム自体はさっさと暫定復帰させて、その後ゆっくり原因究明すればいいのに。
少なくともうちの周りでは業務復旧優先だとこの方針。
どんな障害であれ待てて復旧まで土日挟んだ3日、平日だと24時間というところは多い
Re: (スコア:0)
セキュリティ絡みだと、他にも穴は無いのかってはなしからシステム総点検に繋がるから
簡単にはいかないよ。
Re: (スコア:0)
それは原因究明重視では正しいんだけど、業務復旧重視だと止めておける時間にタイムリミットがあるので、穴がまだ開いていることを前提に、利用制限(インターネット接続完全遮断など)をかけて暫定的に復旧させることがある。原因究明と対策は暫定復旧後に時間をかけてやる感じ。
これはその組織システム障害時の考え方次第なので、どっちも間違ってはいない。
Re: (スコア:0)
ランサムウェアはケースによっては40日前に感染し潜伏している状況もある。
2ヶ月前のバックアップでないとダメそう。