針對(duì)企業(yè)的網(wǎng)絡(luò)惡意軟件攻擊 IT管理人員應(yīng)該如何做到全面防御

2015-10-16 09:37 作者：admin 瀏覽量：

　　針對(duì)性的惡意軟件攻擊，計(jì)算機(jī)存在的主要問(wèn)題是安全措施極其薄弱，如沒(méi)有漏洞測(cè)試，以及對(duì)傳統(tǒng)殺毒軟件過(guò)度依賴等。另外還發(fā)現(xiàn)在安全團(tuán)隊(duì)、桌面支持團(tuán)隊(duì)、IT管理員和其他相關(guān)方之間的溝通出現(xiàn)中斷。這是非常致命的。隨著我們更多地了解這些先進(jìn)惡意軟件的復(fù)雜程度以及問(wèn)題可能的復(fù)雜性和廣泛性。在企業(yè)遇到這種問(wèn)題時(shí)，管理員是無(wú)法簡(jiǎn)單地通過(guò)關(guān)閉系統(tǒng)，重新安裝鏡像來(lái)避免的。(網(wǎng)絡(luò)維護(hù)服務(wù))

　　對(duì)于如何應(yīng)對(duì)這些惡意軟件感染針對(duì)企業(yè)的網(wǎng)絡(luò)IT管理，以下是需要注意的五個(gè)關(guān)鍵步驟。

　　1. 文檔化

　　如果你要有效地管理IT風(fēng)險(xiǎn)，需要有完善的事件響應(yīng)流程。行動(dòng)計(jì)劃的缺失可以說(shuō)是有效安全響應(yīng)的最大障礙。馬上開始制定積極的預(yù)防措施來(lái)盡量減少惡意軟件攻擊的潛在影響。如果要讓你的組織具備處理被僵尸網(wǎng)絡(luò)劫持的能力，那么一個(gè)對(duì)不同終端，網(wǎng)絡(luò)訪問(wèn)，數(shù)據(jù)管理以及未知用戶都有詳細(xì)定義的好的計(jì)劃是相當(dāng)有必要的。

　　2. 診斷

　　俗話說(shuō)，治病一半的功勞在于診斷。所以，感染點(diǎn)在哪里?這是一個(gè)對(duì)于惡意軟件來(lái)說(shuō)價(jià)值$ 64,000的問(wèn)題。(IT外包)

　　使用加密，快速DNS變更的方式進(jìn)行攻擊稱之為“Fast Flux服務(wù)網(wǎng)絡(luò)”，很多典型的僵尸網(wǎng)絡(luò)和C&C代碼都是使用這種方式穿梭在傳統(tǒng)的安全控制雷達(dá)之下的。這就是為什么沒(méi)有合適的工具就難以檢測(cè)僵尸網(wǎng)絡(luò)。但如果你能找到惡意軟件發(fā)起的主機(jī)，一定要加緊調(diào)查并盡量控制范圍。提示：Windows客戶端被感染的可能性比較大，但也可能是你的Windows服務(wù)器。

　　使用微軟的Sysinternals工具是一個(gè)好的開端。需要特別小心的是注意在有嫌疑的機(jī)器上輸入的任何密碼，以及從這里訪問(wèn)的其它系統(tǒng)等。對(duì)于像Wireshark之類的網(wǎng)絡(luò)分析工具，OmniPeek還可以提供額外的視圖以查看網(wǎng)絡(luò)層面發(fā)生的事情，這種更高級(jí)別的視圖將讓管理員受益匪淺。

　　此外，你最終可能需要從Damballa和FireEye這樣的供應(yīng)商那里獲取更先進(jìn)的技術(shù)，以有效地追蹤惡意軟件感染和進(jìn)行肉雞移除。

　　3. 限制

　　如果你足夠了解惡意軟件的感染，可以運(yùn)用一些應(yīng)急的網(wǎng)絡(luò)訪問(wèn)控制列表或防火墻規(guī)則來(lái)阻止惡意軟件的入站或出站網(wǎng)絡(luò)流量，直到將它們清理掉。

　　你還可以采用白名單的方法，加上本地策略或組策略作為基本工具來(lái)對(duì)抗惡意軟件感染，更可以使用Bit9提倡的“積極安全控制策略”作為高級(jí)工具進(jìn)行對(duì)抗。

　　4. 清除

　　只是運(yùn)行一個(gè)簡(jiǎn)單的防病毒掃描是無(wú)法將肉雞移除的。你甚至無(wú)法檢測(cè)到惡意軟件的異常行為。即使可以檢測(cè)，惡意代碼也往往與操作系統(tǒng)/注冊(cè)表相互交織，使主流的殺毒軟件不知道如何進(jìn)行處理。

　　你所能做的最好的措施之一就是運(yùn)行多個(gè)反惡意軟件工具，尤其是像Webroot和Malwarebytes這樣的對(duì)更高級(jí)威脅相對(duì)了解的工具。你也可能除了重新安裝操作系統(tǒng)之外毫無(wú)選擇。

　　此外，在重新安裝操作系統(tǒng)

　　時(shí)，還要注意數(shù)據(jù)丟失的風(fēng)險(xiǎn)。在我處理過(guò)的項(xiàng)目中，幾乎沒(méi)有任何內(nèi)部安全評(píng)估，也沒(méi)有找到位于工作站上的敏感信息的備份副本。

　　5. 補(bǔ)丁更新

　　對(duì)于惡意軟件的感染，最大的敵人莫過(guò)于用戶沒(méi)有對(duì)Java、Adobe和相關(guān)的第三方軟件進(jìn)行定期更新。其次是Windows XP即將退休。

　　問(wèn)題是，對(duì)企業(yè)的系統(tǒng)進(jìn)行更新可以消除威脅，至少可以防止惡意軟件的傳播。所以現(xiàn)在需要開始考慮第三方軟件的補(bǔ)丁管理問(wèn)題，以至于在真正出現(xiàn)問(wèn)題時(shí)你可以有所防備。

　　即使網(wǎng)絡(luò)中還殘存一點(diǎn)僵尸信息，很可能就會(huì)遭遇第二波感染。應(yīng)急事件措施以及讓專業(yè)人士定期對(duì)疑似特征的終端進(jìn)行處理將會(huì)讓整個(gè)組織處于IT安全的保護(hù)之中。

　　去除終端上的惡意軟件是盡量減少風(fēng)險(xiǎn)的一個(gè)方面。威脅情報(bào)(知道要尋找什么，并有足夠的信息支持決策)非常關(guān)鍵。這又回到一個(gè)基本的管理原則：了解你的網(wǎng)絡(luò)。雖然它聽起來(lái)有些無(wú)聊，但是當(dāng)你真正知道什么是“ 正常”時(shí)，你就會(huì)對(duì)異常活動(dòng)做出正確的判斷。(電腦桌面維護(hù)外包) 

　　如果你沒(méi)有工具或流程來(lái)獲取相應(yīng)的信息，那就從今天開始吧。要獲得終端的控制權(quán)，你需要有好的網(wǎng)絡(luò)分析工具和事件監(jiān)控工具來(lái)同僵尸網(wǎng)絡(luò)進(jìn)行對(duì)抗。就像我最喜歡的一句話：“知己知彼，百戰(zhàn)不殆”。

　　惡意軟件的問(wèn)題并不會(huì)隨著時(shí)間的流逝有任何好轉(zhuǎn)的跡象。所以對(duì)于桌面和網(wǎng)絡(luò)管理員來(lái)說(shuō)，現(xiàn)在需要提高他們的技能，使之成長(zhǎng)為威脅分析師，數(shù)據(jù)科學(xué)家和事件響應(yīng)者。即使目前這些領(lǐng)域還不會(huì)影響他們的工作，但是有朝一日，他們一定會(huì)派上用場(chǎng)的。

　　艾銻無(wú)限是中國(guó)領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無(wú)限http://www.qiaojiaju.cn