To give you the best possible experience, this site uses cookies. Review our Privacy Policy and Terms of Service to learn more. Got it!
Search a title or topic

Over 20 million podcasts, powered by 

Player FM logo
Artwork

Tech Internet Cisco Li-Ji Hong (洪李吉 Podcasting Education
Content provided by Li-Ji Hong (洪李吉). All podcast content including episodes, graphics, and podcast descriptions are uploaded and provided directly by Li-Ji Hong (洪李吉) or their podcast platform partner. If you believe someone is using your copyrighted work without your permission, you can follow the process outlined here https://podcastplayer.com/legal.

Similar to Cisco學習資訊分享

Player FM - Podcast App
Go offline with the Player FM app!
Get it on App Store Get it on Google Play

Cisco學習資訊分享 «
病毒爆發時,網路團隊可以幫什麼忙?

 
Play
Playing
Share
 

MP3Episode home
Manage episode 214421571 series 1290638
Content provided by Li-Ji Hong (洪李吉). All podcast content including episodes, graphics, and podcast descriptions are uploaded and provided directly by Li-Ji Hong (洪李吉) or their podcast platform partner. If you believe someone is using your copyrighted work without your permission, you can follow the process outlined here https://podcastplayer.com/legal.
我從網路新聞得知,台灣的台積電公司,受到病毒的攻擊。我花了一些時間研究這個事件。以下是我目前的心得。

我目前的理解


我從已經公告的內容理解,這個病毒爆發事件,在台灣時間八月三日星期五晚上開始爆發。台灣時間八月五日星期日公告發布的當天,已經控制(contained)病毒感染範圍,同時找到解決方案,同一天的下午兩點為止,受影響的機台80%已經恢復正常。預計八月六日完全恢復。目前(台灣時間八月六日晚上十點)為止,我還沒有看到完全恢復的公告。
病毒的感染來源是「新機台在安裝軟體的過程中操作失誤」,病毒在「新機台連接到公司內部電腦網路時發生病毒擴散」。破壞範圍並不包含公司核心資料,「公司資料的完整性和機密資訊皆未受到影響」。
從以上公開資訊,我判斷,並不是因為網路硬體的缺陷,讓病毒進入後爆發。病毒攻擊感染的對象,是用戶或是伺服器的主機作業系統。

網路團隊可以協助


回到我原本的主題。單純從網路系統出發,面對這種病毒攻擊事件,我認為網路團隊至少可以提供下面這幾種協助。同時,我也舉出一些可能的檢查點,也許其他的企業,可以同時作自我檢視。

攻擊偵測和分析(Detection and Analysis)


當網路系統觀察到不正常的流量和可疑的封包,可以提早告警。
透過網路擴散的病毒攻擊,一定會在正常的網路流量之外,產生不正常的流量或是封包。
如果我們平常就觀察記錄正常流量的基線(Baseline),要察覺出流量數值開始偏離正常值,應該不困難。
要取得這些流量數據,我們將會需要SNMP和NetFlow。我們企業的網路系統,是否已經具備這個功能了呢?是否可以自動抓取,自動保存至少最近三個月的數據呢?
病毒開始擴散的時候,很可能會丟出不少的探測封包,標定哪些主機是可以被攻擊的。因此不合理的探測封包來源的出現的時候,例如ARP封包、廣播封包、ICMP、TCP/UDP Port Scanning,我們可以合理的懷疑這些封包來源有問題。
我們自己企業網路裡面,是否可以判別這些異常封包的活動?可以抓出來源嗎?能夠紀錄不正常來源的網路埠、MAC地址、IP地址等資訊嗎?

遏制(Containment)


網路系統可以啟動包圍、遏制攻擊活動,控制受影響範圍。
當其他團隊確認中毒的主機是哪幾部之後,我們是否可以立刻知道,這些主機有可能和哪些其他主機相連通嗎?可以透過防火牆、路由表、存取控制清單(ACL),立刻隔離它們的網路連通嗎?
最少,我們應該要能夠知道,這些產生封包的來源,到底接在哪一個網路硬體的網路埠上,我們可以快速關閉這些網路埠,而且,關閉了這些網路埠之後,不應該斷開對於這個網路硬體的管理功能。

復原(Recovery)


網路系統可以提供頻寬和優先順序,縮短復原的時間。
當主機要進行修復的時候,應該會需要將備份的資料、作業系統映像檔案,也就是大量的數據封包,傳送到受損的主機。我們的企業網路,是否容量規劃上足夠承載這種大規模的復原流量嗎?在共用網路埠上,能夠區分封包的優先順序嗎?
以上是我個人的觀察和建議的檢查點。我相信,台積電這種規模的公司,肯定將迅速的從這個事件中復原。
日本東京,「お台場海浜公園
回頭看富士電視台

One more thing…


檢疫隔離(Quarantine)這個字的來源,其實就是義大利語的「40天」。也就是說,對於不知道是否帶有傳染病毒的來源,我們先將他們隔離至少40天,如果在這個時間內,沒有看到病毒的傳染,代表我們可以放心,這個來源應該是不帶傳染性的。
這個簡單的做法,面對未知的電腦病毒,我認為也有幫助。當不確定是否乾淨的未知系統,要接入生產網路之前,也許先接上一個虛擬的世界:裡面有Internet、各種電腦、網路硬體、等等。我們先觀察記錄它的行為,也許不需要到40天。如果被發現有疑似攻擊的行為,我們就可以先採取各種預防的步驟了。
我是洪李吉。希望我的心得整理,對於各位都有幫助。歡迎大家留言,聊一聊您對於這個事件的看法喔!
  continue reading

19 episodes

#Tech #Internet #Cisco #Li-Ji Hong (洪李吉 #Podcasting Education
Artwork

病毒爆發時,網路團隊可以幫什麼忙?

Cisco學習資訊分享

published

Play Playing
iconShare
 
MP3Episode home
Manage episode 214421571 series 1290638
Content provided by Li-Ji Hong (洪李吉). All podcast content including episodes, graphics, and podcast descriptions are uploaded and provided directly by Li-Ji Hong (洪李吉) or their podcast platform partner. If you believe someone is using your copyrighted work without your permission, you can follow the process outlined here https://podcastplayer.com/legal.
我從網路新聞得知,台灣的台積電公司,受到病毒的攻擊。我花了一些時間研究這個事件。以下是我目前的心得。

我目前的理解


我從已經公告的內容理解,這個病毒爆發事件,在台灣時間八月三日星期五晚上開始爆發。台灣時間八月五日星期日公告發布的當天,已經控制(contained)病毒感染範圍,同時找到解決方案,同一天的下午兩點為止,受影響的機台80%已經恢復正常。預計八月六日完全恢復。目前(台灣時間八月六日晚上十點)為止,我還沒有看到完全恢復的公告。
病毒的感染來源是「新機台在安裝軟體的過程中操作失誤」,病毒在「新機台連接到公司內部電腦網路時發生病毒擴散」。破壞範圍並不包含公司核心資料,「公司資料的完整性和機密資訊皆未受到影響」。
從以上公開資訊,我判斷,並不是因為網路硬體的缺陷,讓病毒進入後爆發。病毒攻擊感染的對象,是用戶或是伺服器的主機作業系統。

網路團隊可以協助


回到我原本的主題。單純從網路系統出發,面對這種病毒攻擊事件,我認為網路團隊至少可以提供下面這幾種協助。同時,我也舉出一些可能的檢查點,也許其他的企業,可以同時作自我檢視。

攻擊偵測和分析(Detection and Analysis)


當網路系統觀察到不正常的流量和可疑的封包,可以提早告警。
透過網路擴散的病毒攻擊,一定會在正常的網路流量之外,產生不正常的流量或是封包。
如果我們平常就觀察記錄正常流量的基線(Baseline),要察覺出流量數值開始偏離正常值,應該不困難。
要取得這些流量數據,我們將會需要SNMP和NetFlow。我們企業的網路系統,是否已經具備這個功能了呢?是否可以自動抓取,自動保存至少最近三個月的數據呢?
病毒開始擴散的時候,很可能會丟出不少的探測封包,標定哪些主機是可以被攻擊的。因此不合理的探測封包來源的出現的時候,例如ARP封包、廣播封包、ICMP、TCP/UDP Port Scanning,我們可以合理的懷疑這些封包來源有問題。
我們自己企業網路裡面,是否可以判別這些異常封包的活動?可以抓出來源嗎?能夠紀錄不正常來源的網路埠、MAC地址、IP地址等資訊嗎?

遏制(Containment)


網路系統可以啟動包圍、遏制攻擊活動,控制受影響範圍。
當其他團隊確認中毒的主機是哪幾部之後,我們是否可以立刻知道,這些主機有可能和哪些其他主機相連通嗎?可以透過防火牆、路由表、存取控制清單(ACL),立刻隔離它們的網路連通嗎?
最少,我們應該要能夠知道,這些產生封包的來源,到底接在哪一個網路硬體的網路埠上,我們可以快速關閉這些網路埠,而且,關閉了這些網路埠之後,不應該斷開對於這個網路硬體的管理功能。

復原(Recovery)


網路系統可以提供頻寬和優先順序,縮短復原的時間。
當主機要進行修復的時候,應該會需要將備份的資料、作業系統映像檔案,也就是大量的數據封包,傳送到受損的主機。我們的企業網路,是否容量規劃上足夠承載這種大規模的復原流量嗎?在共用網路埠上,能夠區分封包的優先順序嗎?
以上是我個人的觀察和建議的檢查點。我相信,台積電這種規模的公司,肯定將迅速的從這個事件中復原。
日本東京,「お台場海浜公園
回頭看富士電視台

One more thing…


檢疫隔離(Quarantine)這個字的來源,其實就是義大利語的「40天」。也就是說,對於不知道是否帶有傳染病毒的來源,我們先將他們隔離至少40天,如果在這個時間內,沒有看到病毒的傳染,代表我們可以放心,這個來源應該是不帶傳染性的。
這個簡單的做法,面對未知的電腦病毒,我認為也有幫助。當不確定是否乾淨的未知系統,要接入生產網路之前,也許先接上一個虛擬的世界:裡面有Internet、各種電腦、網路硬體、等等。我們先觀察記錄它的行為,也許不需要到40天。如果被發現有疑似攻擊的行為,我們就可以先採取各種預防的步驟了。
我是洪李吉。希望我的心得整理,對於各位都有幫助。歡迎大家留言,聊一聊您對於這個事件的看法喔!
  continue reading

19 episodes

#Tech #Internet #Cisco #Li-Ji Hong (洪李吉 #Podcasting Education

All episodes

×
 
Loading …

Welcome to Player FM!

Player FM is scanning the web for high-quality podcasts for you to enjoy right now. It's the best podcast app and works on Android, iPhone, and the web. Signup to sync subscriptions across devices.

 

Similar to Cisco學習資訊分享

Listen to 500+ topics
Player FM - Podcast App
Go offline with the Player FM app!
Get it on App Store Get it on Google Play
icon
Help/FAQ | Advertise with Us
Arts|Business|Comedy|Economics|Entertainment|News|Politics|Religion
Science|Soccer|Sports|Storytelling|Technology|True Crime
Copyright 2025 | Privacy Policy | Terms of Service | | Copyright
Episode being played series thumbnail
icon icon
Speed
Series settings
1x
1x
Volume
100%
icon
icon icon
/

View Player FM in...
Player FM
Browser
Chrome
Safari
Firefox
Listen to this show while you explore
Play