アカウント名:
パスワード:
結局暗号化されるだけだったらデータだけ(バックアップからでも)確保できれば問題ないし、他社に甚大な影響を与えないなら、まるっと綺麗にして終わらせるのも(特に中小なら)ありなのでは?
結局暗号化されるだけだったらデータだけ(バックアップからでも)確保できれば問題ないし、
繋がってたらバックアップ含めて食らうし気付の遅れれば食らったデータがバックアップされるって思い至らないのはなぜ?
そんなタコなバックアップになってないからかな。ちょっとしたいいストレージ使ってれば、変更率が高いとスナップショット領域超過で止まるようになってる。また、どんなシステムでも普通1週間分+αぐらいはバックアップとっていて、その間全く気付かないシステムなんて、使っていないのと同義なんで捨ててしまえ。
俺が攻撃者ならば発症までその程度の期間は空けるけどね。それにバックアップって色んな方法があるけれど、データのみでなくマシンイメージ全体をとってしまうなら潜伏したまま。クラウドでのバックアップだとそういうのも多いでしょ。
ランサムウェアの基本は「暗号化はするが破壊しない」(人質殺しちゃったら意味ないでしょ?)ということと、よしんば破壊されても、基本的に発症してからなら、EDRから症状に応じてロールバックできるんだよ。
むしろ潜伏中にチョロチョロ情報窃盗されてる間に気づくようにするのが今の課題じゃないかな、と。ヒューリスティック検知でもスクリプト経由でただ外部に通信しているだけだと大抵通過しちゃうので、普通のUTM+EPPじゃきついのよ。分かりやすくIPabuseに乗るようなBotnetにぶん投げてくれるんだったら楽なんだけどね...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
公表する必要性がなかったとか (スコア:0)
結局暗号化されるだけだったらデータだけ(バックアップからでも)確保できれば問題ないし、
他社に甚大な影響を与えないなら、まるっと綺麗にして終わらせるのも(特に中小なら)ありなのでは?
Re:公表する必要性がなかったとか (スコア:0)
結局暗号化されるだけだったらデータだけ(バックアップからでも)確保できれば問題ないし、
繋がってたらバックアップ含めて食らうし
気付の遅れれば食らったデータがバックアップされる
って思い至らないのはなぜ?
Re: (スコア:0)
そんなタコなバックアップになってないからかな。
ちょっとしたいいストレージ使ってれば、変更率が高いとスナップショット領域超過で止まるようになってる。
また、どんなシステムでも普通1週間分+αぐらいはバックアップとっていて、
その間全く気付かないシステムなんて、使っていないのと同義なんで捨ててしまえ。
Re: (スコア:0)
俺が攻撃者ならば発症までその程度の期間は空けるけどね。
それにバックアップって色んな方法があるけれど、データのみでなくマシンイメージ全体をとってしまうなら潜伏したまま。
クラウドでのバックアップだとそういうのも多いでしょ。
Re: (スコア:0)
ランサムウェアの基本は「暗号化はするが破壊しない」(人質殺しちゃったら意味ないでしょ?)ということと、
よしんば破壊されても、基本的に発症してからなら、EDRから症状に応じてロールバックできるんだよ。
むしろ潜伏中にチョロチョロ情報窃盗されてる間に気づくようにするのが今の課題じゃないかな、と。
ヒューリスティック検知でもスクリプト経由でただ外部に通信しているだけだと大抵通過しちゃうので、普通のUTM+EPPじゃきついのよ。
分かりやすくIPabuseに乗るようなBotnetにぶん投げてくれるんだったら楽なんだけどね...